当前位置: 安全纵横 > 安全公告

一周安全动态(2011年12月1日-2011年12月8日)

来源:安恒信息 日期:2011-12

2011年12月第一周(12.1-12.8)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1. 安全新闻

1.1 Java漏洞成黑客目标 微软呼吁用户更新软件

12月1日消息,据国外媒体报道,微软信息安全团队发表最新一期信息安全研究显示,在最近一年内,微软的防毒软件总共侦测到2750万次瞄准Java漏洞的攻击,平均每季度690万次,超越先前Adobe在Acrobat、Reader及Flash方面的漏洞,成为黑客主要目标。

该份报告指出,从今年上半年开始,Java执行环境(JRE)的虚拟机器(JVM)及开发工具JDK成为攻击目标,原因在于Java非常普及,Oracle宣称超过3亿台设备安装Java。

这些恶意软件大部分都攻击Java2010年发现的一个JRE漏洞,去年第四季度开始有恶意软件攻击该漏洞,但直到今年三月才修补,结果是今年第一季度增加了十倍的攻击。

微软呼吁Java及其他软件的用户必须更新软件,以Java为例,攻击次数居次的漏洞早在2008年12月就已经修补,其他主要被攻击的Java漏洞则在2009年11月就已经修补。部分专家更建议,非必要使用到Java技术的电脑就不应该安装Java软件。

除了Java之外,微软操作系统本身的漏洞也成为焦点,该份报告指出,今年第二季度因为Windows Shell漏洞,针对操作系统的攻击从上一季度的200多万次增长至500多万次,仅次于Java。

 

1.2 打印机或将成计算机安全新漏洞 可被黑客控制


哥伦比亚大学研究人员展示通过病毒控制惠普打印机

据msnbc网站报道,哥伦比亚大学研究显示,打印机成为计算机安全的新漏洞,黑客通过控制打印机,很可能对数百万家企业、消费者,甚至是政府机构造成影响。

研究者通过msnbc网站发布了一个危险警告,他们表示,犯罪分子可通过互联网远程控制打印机,从而盗取个人信息、攻击安全网络,甚至是造成打印机实体故障。通过对惠普LaserJet系列打印机进行试验,研究者发现,这一安全漏洞不是轻易就能解决的,其他品牌的打印机很可能也是这样。此外,黑客们是否已意识到或者开始利用这一漏洞尚未可知。

在政府和企业的资助下,研究者们在一个电子实验室中进行了为期数月的研究,并于二周前向联邦机构递交了简报,汇报了漏洞的具体情况。上周,他们还将研究结果告知了惠普公司。

惠普本周一表示,公司仍就此易损性的细节进行审查,目前尚未不能够确定或否认研究人员提出的结论,不过,该研究最大的争议点在于研究者对于安全漏洞广泛性的表征。

惠普首席技术专家基思·摩尔(Keith Moore)指出:“公司对于这项研究十分重视。经过初步研究,我认为这一安全漏洞在现实世界中被人加以利用的可能性并不高。当然,直到我们核实之后,才方便对此发表评论。此外,公司暂不能确定哪些打印机机型会受到影响”。

然而,哥伦比亚大学的研究人员认为,这一安全漏洞是很基本的,可能影响到上千万台打印机及其他嵌入式的固件。

安全漏洞的主体主要是诸如打印机之类的嵌入式固件,为了使计算机的功能更加全面,使用者嵌入了越来越多的配套固件,并且通常是接入到互联网中的。

哥伦比亚大学工程和应用科学学院计算机科学系教授Salvatore Stolfo指出:“问题的关键在于,众多科技企业尚未留意到互联网的这一个角落,而我们却关注到了。该项研究的结论是十分明晰的,同时,这一漏洞的影响是巨大的。这些设备完全暴露在风险中,很可能被人利用”。

此前,打印机安全漏洞一直是理论上的,而哥伦比亚大学的研究者表示,他们已识别出第一例攻击,并和同事崔昂(Ang Cui)一起,展示了攻击的过程:黑客通过计算机,远程命令打印机的熔凝器持续加热,最终使得打印纸受热燃烧,变成褐色,并且冒烟。

在展示过程中,一个热敏开关自动发力,在火燃烧之前将打印机暂停。然而,研究者相信,其他没有热敏开关控件的打印机很可能成为火苗的源泉,计算机黑客通过简单的电脑指令,就可以引发一场浩劫。

对此,惠普在一份声明中表示,公司旗下所有打印机产品都包含着热敏开关,将防止打印机起火。同时,该热断路器不会因为固件被改变,抑或是上述漏洞的影响而停止发挥作用。

崔昂和Stolfo指出,他们通过逆向工程对普通的惠普LaserJe打印机安装了控制软件,使得这些打印机通过“远程固件更新”的命令实现固件的更新。打印机每次接受任务时,都会检查是否有相应的软件可以更新。然而,他们所研究的打印机并没有识别更新软件来源的能力,无法通过验证源代码的方式来验证软件升级的可靠性,因此,任何人都可以控制打印机,从而删除其操作软件和安装诱杀版本。

哥伦比亚的研究人员声称,通过打印一份含有病毒的文件,就足够使得该打印机成为控制目标。而在一些情况下,打印机通过联网打印资料,意味着病毒可以被远程安装,无需与人接触即可实现。

Stolfo指出,这就像买车的时候没有拿到钥匙一样,完全没有安全感。

 

1.3 黑客专业分工细化 致移动互联网安全防护愈加艰难

根据工信部最新监测情况,截至10月底,针对移动互联网的恶意程序种类已经达到4500种,同比去年全年的1500种,不到一年时间已增长了200%。据分析,这一增长速度未来两年还将持续加快。

就移动互联网安全问题而言,目前阶段正出现一些重要趋势:已将移动互联网视为攫取经济利益重要目标的黑客地下产业链正迅速形成更细的专业化分工,攻击力量日趋强大;而作为其主要窃取内容的信息,也正成为目前移动互联网安全问题中的关键部分。

非法市场为攻击行为做大量投资

赛门铁克的Art Gilliland向本刊记者指出,由于目前针对移动互联网的攻击日益以经济利益为主要目标,在利益的驱动下,形成了一个整体的非法市场来组织黑客及其行动。针对移动互联网应用或者利用移动互联网进行的恶意攻击,已经可以细化分解为多个环节和步骤,每一步骤有专门的黑客进行,而每一环节都设法谋取钱财。

目前国内情况与全球情况一致,工信部通信保障局人士向记者表示,在整个互联网已经形成了非常成熟的黑客地下产业链,从病毒制作、传播、发起攻击到最后经济资金走帐有一套产业链。

以一次典型的攻击为例,从最早的对潜在攻击目标进行调研和前期侦查,发起攻击侵入目标系统,在目标系统中定位到自己所寻找的具体目标信息,控制住这些信息,到最后偷走或损毁这些信息,每一步或许都是由不同的黑客进行,且这些黑客会标价将其成果销售给下一步骤或下一环节的执行者。

值得一提的是,由于非法市场的存在,目前有大量专门资金投入到这些攻击行为上,不仅培训攻击者,还补充了大量更具威胁的攻击工具包,使得每一环节的攻击者更加专业高效,攻击力更强。

信息安全威胁加大

移动互联网业目前的特性却越来越凸显出这些安全问题治理的难度。

全国信息安全标准化技术委员会杨建军博士认为,本身移动互联网增加了无线空口接入,并将大量移动终端引入IP网,使互联网产生了新的安全威胁,网络攻击、失窃密等问题更为突出,如通过破解空口接入协议非法访问网络,对空口传递信息进行监听和盗取等。此外,移动上网日志留存信息的缺失,使得访问移动互联网的行为无法精确溯源,给黑客提供了可乘之机。

然而,目前移动互联网终端有限的存储计算能力和无线宽带网有限的空口资源,使得移动互联网安全防护措施的有效性和可扩展性大大降低。同时,我国整体的移动互联网终端技术研发水平和移动互联网业务发展水平与国际差距较大,自主可控性不强。

移动互联网的最大安全威胁正越来越集中于信息领域。

从应用发展趋势来看,移动支付、位置服务、移动搜索等与个人信息密切绑定的应用正在成为移动互联网领域最重要的一批“杀手级”业务,而这些应用往往为用户提供数据同步上传及位置定位等功能。这不仅给用户的个人信息和财物安全带来了潜在风险,也对国家的信息安全监管造成极大威胁。而现有传统互联网的监管技术手段难以覆盖移动互联网,缺乏针对移动互联网的有效管控平台,管理的难度和复杂性前所未有。

应重视专用标准制定

目前从监管部门到企业,不仅在研发移动互联网安全技术手段,也在同时制定相应标准。标准制定对于移动互联网安全领域发展非常关键,不过,由目前的情况来看,各方蜂拥而上的行为,使得标准制定也出现不少矛盾和混乱之处。

前述工信部通信保障局人士向记者表示,目前由不同主体发起制定之中的许多标准,存在一些重复或冲突之处;同时,移动互联网安全领域目前基础标准较多而专用标准较少,应该更加重视管理标准和关键技术标准的制定。

 

1.4 IPv6——黑客的下一个攻击目标

与以前IPv4需要DHCP不同,IPv6不需要人工配置。思科杰出系统工程师,《IPv6安全》一书的合著者Eric Vyncke称,这种无状态的自动配置特点意味着“支持IPv6的设备只需单一的路由通告即可识别自己在网络上的身份”。

他提醒称:“仅支持IPv4的路由器和交换机无法对IPv6设备通告进行识别或做出回应,但是一个流氓IPv6路由器能够发送并解译这种信息。”

无状态自动配置允许支持IPv6的设备与其它的IPv6网络设备和在同一LAN中的服务进行通信。通过这一程序,设备能够通告自己的位置,并可通过IPv6邻居发现协议(NDP)被定位。

但是如果不加管理,NDP可能会将邻近的设备暴露给那些急于收集网络内部信息的黑客,甚至允许这些设备被接管并变成“僵尸”。

Vyncke警告这种威胁是真实存在的。他称:“我们在全球范围内进行了观察,这些僵尸机器正在越来越多的使用IPv6作为与僵尸主控机进行通信的隐蔽渠道。”在许多伪装中,支持IPv6的恶意软件能够在一个或多个IPv4信息中封装恶意负载。如果没有数据包深度探测等符合IPv6规范的安全措施,这类负载通过穿透IPv4边界,而DMZ防御却无法探测出来。

安全邻居发现协议(SEND)为IETF针对流氓RA和NDP欺骗等Layer-2层IPv6威胁所开发的解决方案,这些威胁相当于IPv4威胁中的流氓DHCP和ARP欺骗。尽管微软和苹果等知名厂商并不支持SEND,但是一些操作系统厂商已经开始对SEND提供支持。

思科和IETF正在为IPv6制定安全措施,这些措施与目前在用的保护IPv4免受这类威胁侵害的措施相似。

IETF已经成立了一个SAVI(源地址认证)工作小组。思科始于2010年的IOS升级计划目前也已经进入到了第三阶段,预计将在2012年开始全面实施。

Vyncke强调,许多常见的IPv6安全风险是由于终端用户设备在网络中配置不当产生的,正确的配置和IPv6安全措施能够消除许多这类风险。他解释称:“这类问题的解决办法是部署原生IPv6,以在同一水平上保护IPv6信息,应对你已经在IPv4上成功防御过的同类威胁。”

IPSec安全神话

目前普遍认为,IPv6天生就比IPv4要安全,因为在IPv6中IPSec支持是强制性的。Vyncke称:“这个神话需要被揭穿。”
他指出,除去大范围部署IPSec所面临的实际挑战之外,由于(路由器/交换机/防火墙)设备无法看到IPSec封装的信息内容,导致它们的重要安全功能受到了影响。

出于这一原因,作为IETF活跃成员和《RFC 3585》一书作者的Vyncke称,一个IETF工作小组正在考虑在IPv6部署中将IPSec支持由“必须”调整为“推荐”。

关于禁止IPv6,Vyncke认为这是一个非常糟糕的主意,其原因有两个。首先,微软表示在Windows 2008中禁止IPv6是因为配置不支持。Vyncke称,禁止IPv6的做法是一个不切明智的策略,这将导致IPv6的部署不可避免的出现拖延。其次,无论IT部门愿意与否,支持IPv6的设备已经开始在网络中大量出现,这将导致安全形势出现恶化。

发展动力

除去威胁以外,IPv6的商业部署案例正在越来越多,IPv6已经无法继续被忽视。由于许多国际客户的网络已经不再支持IPv4,银行和在线券商正在失去与这些客户的联系,为此银行和在线券商已经开始正视这一挑战。

西班牙电信和T-Mobile等公司已经开始大规模部署IPv6,尤其是在欧洲地区。美国政府目前也已经开始向IPv6过渡,同时他们还呼吁提供商和厂商提供更多的IPv6产品和服务。

博科通讯系统公司产品管理总监Keith Stewart称:“你永远不希望自己处于无法与客户互动的困境之中。”通过与网络厂商分享观点,Stewart发现向IPv6过渡已经成为了一个大趋势。

Stewart称:“在互联网中整体升级为IPv6既不现实也无法办到。客户需求一个平衡的、实际的解决方案”。他指出,由于服务提供商消耗地址的速度最快,因此他们是首批升级至IPv6的团体,其次是谷歌和脸谱等内容服务商,最后才是终端用户,因为这些终端用户的家庭路由器有99%是基于IPv4 协议研发的。

在向IPv6过渡的同时,博科也在部署负载平衡器,向对公服务提供IPv6翻译,在内部网络中保留IPv4连接。

瞻博网络公司称,迄今为止,在申请IPv6服务的客户中,大部分来自教育和政府部门,尤其是需要遵守联邦IPv6命令的大学研究实验室和政府机构。

瞻博网络公司预测,2012年IPv6将更为活跃,特别是在服务提供商中。该公司软件工程总监Alain Durand称:“对于我们在全球的客户来说,IPv4地址枯竭日益成为一个非常严重的问题。” Durand预测,大部分IPv6部署都将是一些小项目,它们在现有的IPv4对公服务中采用双堆栈解决方案以增加IPv6功能。他称:“为了解决 IPv4地址短缺问题,客户经常会选择增加一个NAT层。”

尽管目前还无法准确预测IPv4地址将于何时枯竭,但是亚太互联网络信息中心(APNIC)首席科学家Geoff Huston 根据IANA和区域互联网注册管理机构公布的数据分析,剩余的IPv4地址将在2014年被彻底用完。

不过,需要注意的是Huston的分析忽略了那些私营公司手中保留的地址,这些地址未来可能会被拿出来使用或被出售。比如,微软在近期收购北电资产的过程获得了超过60万个IPv4地址。在近期的评估当中,这部分IPv4地址没有被考虑在内,许多业内人员预测随着IPv4地址供应短缺,升级成本将会上涨。

由于没有可供借鉴的最佳IPv6转型实践,许多网络经理并不愿意主动采取行动。尽管安全问题以及担心无法与已向仅支持IPv6系统过渡的客户通信的问题日益突出,但是保持观望并等待他人探路可能并不是一个明智的态度。

明智的做法是在规划阶段与能够提供架构和安全指导的值得信赖的网络厂商建立或重新建立联系,共同在众多的IPv6过渡方案中找到一个切实可行的方案。

 

1.5 2011年五大黑客攻击事件深入探讨

以“互联网安全新思维”为主题的OWASP2011亚洲峰会在11月8日-9日成功举办。本届大会以“网络安全产品测评”、“OWASP应用安全技术”“业务安全发展新思路”“云安全”等多个角度展开深入的讨论。Imperva高级策划师Noa Bar Yosef女士为我们深入介绍了2011年五大黑客攻击事件。


▲Imperva高级策划师Noa Bar Yosef女士演讲

Noa首先谈到,“目前,黑客攻击日趋自动化,以前是每个小时有27个攻击,每两分钟一次。你想想你坐在家里,每两分钟就有人想撬你的锁。我们发现在高峰的时候,每秒钟有7个试图攻击。这么高的攻击量,一定是因为自动化了。37%是directory traversal,4%是rfi,36%是XSS,23%的sqli,最流行的收集数据的方法。攻击者、黑客都是一帮人,都来自同一个来源,比如我们在一个主机上会发现攻击者来自于同一个黑客或者同一台主机。比如说30%的攻击事件只有10个黑客来源。”

下面是2011年最大五次黑客攻击事件:

1、RSA

2011年3月,Data related to SecureID tokens给攻击了,他们被钓鱼攻击的,钓鱼文件里面有一个恶意的邮件,不知情的员工点击了邮件,然后公司就受到了攻击。黑客通过钓鱼进入最大量的机器或者用户。当大量的机器受到钓鱼邮件攻击以后,下一步黑客在这个基础上发动第二个层次的攻击。越来越严重,发现来自内部的攻击,这些攻击也不是自愿的,而是因为他们收到钓鱼邮件,打开钓鱼邮件,就在内部成了攻击的平台。很多用户在公司上班的时候,并没有小心。

2、美国800万被攻破的网站

为什么800万个网站全球,为什么有这么大量的网站受害呢?其中的原因就是用谷歌,我们发现黑客每年送800万个恶意的软件给谷歌,这充分证明的自动化的危害。比如说恶意的查询不是从同一个IP来的,就是因为黑客把它分布给不同的IP。工作原理是这样的,一个攻击者的第一件事获得一个僵尸网络,在它的控制之下,拥有全球受害机的僵尸网络,接下来黑客就会得到分布搜索工具,这就叫做Dorks,通过查询具体的措施。

3、LulzSec’s 50天的黑客

还有很大的攻击事件,他们去年从5月21号号召所有的黑客攻击任何系统,在未来的50天之内,包括美国很大的新闻网络,索尼、亚历山大州的公共安全部门,他们没有选择性,5天他们说向任何的组织都可以发动攻击,口号是为了好玩。

4、Sony

2011年索尼出于无奈关闭了他们的网络,看上去他们成员聊天记录可以看到,他们用的手段都是很常用的,主要因为我们的数据没有安全的储藏和保护,安全应该是一个公司的基本的组成部分,永远不可以忽略。其实这对于公司来讲是很实际的问题,比如说索尼受到攻击以后第二点,它的股票是直线下降。

5、出售政府网站

这张单子给政府和军事机构的网站,你可以花99块钱,可以买到怎么样去攻击意大利一个国家部门的网站。这又一次证明了黑客了自动化造成的危害。同时也证明了SQL注入成为了一个非常有利可图的工业。

比如说索尼的攻击事件使得7000多万个信用卡资料被盗用,如果我们看到黑客用的自动化的工具,他们把这个软件装进去以后,按一个键,就可以显示很多受到攻击的网站。我们之所以发现了软件,是因为这个软件留下的踪迹,但是很多软件的踪迹是不容易追踪的。

Noa谈到:“我们刚才看了2011年五个最大的攻击事件,我们可以看出来事故不可以避免的,大部分的攻击者是找容易攻击的目标,他们用的手段很简单,比如说SQL注入,避免受到SQL注入工具的技术其实早已经存在,可以很轻易的部署到,我们可以发现很多黑客是累犯,他们30%的攻击事件是有十个黑客来源。我想重申一下,对付攻击的办法是有的,就等着我们去部署。我们要加强对这些黑客累犯的防护,可以大大减少被攻击的可能性。怎么样知道哪个是攻击累犯呢?我们有两种办法,一是白单,一是黑名单。攻击日趋自动化,我们怎么样去对付这些自对的攻击呢?有一个很有效的办法,把程序故意的变慢,比如程序慢一秒钟,对于人是不会察觉的,对自动攻击有一个很有效的打击作用。事故是不可以避免的,当事故发生了以后,我们要找到踪迹,很多系统的记录,就是我们的朋友,我们应该在里面尽量找出攻击者的来龙去脉保护系统。”

很多攻击通过钓鱼软件,为什么用户会打开钓鱼软件呢?这并不是技术问题,这是人的问题。我们应该教育终端用户存在的危险,好让他们怎么样保护自己,保护他们所在单位。我们还需要考虑到有一些终端用户,由于他的不小心或者教育程度不够,在他的电脑给侵入过的,他自己都不知道,但是他已经不自愿的成为了黑客的攻击平台

2. 本周关注病毒

2.1 Backdoor.Win32.Undef.thc(后门病毒)
警惕程度★★★

病毒运行后,将获得用户电脑的计算机名、IP地址、安装的杀毒软件、防火墙等信息发送到黑客指定的服务器上。根据黑客的反馈,控制用户电脑实现黑客后门功能,例如,打开IE访问黑客指定网站、下载木马病毒、监视屏幕摄像头、查看电脑中的文件等,使用户电脑变成黑客肉鸡。

 

2.2 Worm.Win32.Autorun.twh(蠕虫病毒)
警惕程度★★★

该病毒通过U盘等可移动存储设备传播,病毒会双进程守护的功能,下载大量木马病毒,给用户造成很大安全隐患。

 

2.3 Trojan.Win32.Nitol.c(木马病毒)
警惕程度★★★★

该木马运行后会释放一个以随机数产生的病毒文件,并修改注册表作为服务被Svchost.exe进程加载,因为以服务的方式加载不易被用户察觉,具有一定的隐蔽性。该木马会使用户电脑被强制重启,木马将会随着系统的启动而加载。该木马完全运行之后,将搜集用户计算机的操作系统版本、磁盘分区等信息上传到黑客指定网址,并且在后台自动收集用户的个人信息,游戏账户,网上银行等有价信息。

 

3. 安全漏洞公告

3.1 lighttpd ‘http_auth.c’ 远程拒绝服务漏洞

lighttpd ‘http_auth.c’ 远程拒绝服务漏洞

发布时间:

2011-12-1

漏洞号:

CVE-2011-4362

漏洞描述:

Lighttpd是一款轻型的开放源码Web Server软件包。
lighttpd 1.4.30之前的版本中存在远程拒绝服务漏洞。攻击者可利用该漏洞造成应用程序崩溃,导致拒绝服务。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.lighttpd.net/download

 

3.2 Apache MyFaces安全绕过漏洞

Apache MyFaces安全绕过漏洞

发布时间:

2011-12-1

漏洞号:

CVE-2011-4359

漏洞描述:

MyFaces是Apache软件基金的一个项目,实现了JSF框架。
Apache MyFaces中存在安全绕过漏洞。攻击者可利用该漏洞绕过某些安全保护,进而在受影响应用程序上下文的不知情用户浏览器上执行任意脚本代码。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://myfaces.apache.org/

 

3.3 Oracle Mojarra安全限制绕过漏洞

Oracle Mojarra安全限制绕过漏洞

发布时间:

2011-12-1

漏洞号:

CVE-2011-4358

漏洞描述:

Oracle是一款流行的大型关系数据库管理系统,使用于Unix、Linux和Microsoft Windows平台下。
Oracle Mojarra中存在安全限制绕过漏洞。该漏洞源于Java Bean解析参数时的一个错误,这可能导致某些参数被认为是EL表达式,当Java Bean中的"includeViewParameters"参数设置为"true"时将会攻击成功。

安全建议:

目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://java.net/jira/browse/JAVASERVERFACES-2247

 

3.4 Linux GNU Debugger ‘debug_gdb_scripts’ 任意代码执行漏洞

Linux GNU Debugger ‘debug_gdb_scripts’ 任意代码执行漏洞

发布时间:

2011-12-1

漏洞号:

CVE-2011-4355

漏洞描述:

Linux所带的GNU Debugger (gdb)工具在实现上存在任意代码执行漏洞。在定义了.debug_gdb_scripts后,gdb会从当前目录加载可疑文件,造成以当前用户的权限执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.kernel.org/

 

3.5 IBM WebSphere MQ安全漏洞

IBM WebSphere MQ安全漏洞

发布时间:

2011-12-1

漏洞号:

CVE-2011-1378

漏洞描述:

IBM WebSphere MQ 是一种提供程序到程序的通信方式的中间件。
当MQM组的默认权限建立之后,基于OpenVMS平台的IBM WebSphere MQ 6.0版本中存在漏洞。由于IBM WebSphere不能正确验证User Authorization File (UAF)数据,本地用户可借助control命令关闭监听进程和命令服务器。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www-01.ibm.com/software/integration/wmq/