当前位置: 安全纵横 > 安全公告

一周安全动态(2011年12月8日-2011年12月15日)

来源:安恒信息 日期:2011-12

2011年12月第二周(12.8-12.15)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1. 安全新闻

1.1 克罗地亚选举日执政党官网疑遭黑客攻击

新华网萨格勒布12月4日电(记者马震)克罗地亚执政党克罗地亚民主共同体官方网站4日议会选举日当天突然无法正常访问,警方已就此展开调查。

据克罗地亚通讯社报道,黑客组织此前已表示要对克罗地亚民主共同体官方网站展开攻击。

据报道,克罗地亚民主共同体官网当天早些时候突然无法正常访问,但该党一些地方分支机构的网站则运行正常。克罗地亚内务部发言人已证实此事。

克罗地亚4日举行议会选举,选民将从12个选区内选出议会全部151名议员,新政府将根据选举结果产生。克罗地亚民主共同体是克罗地亚第一大政党,已连续执政多年。当地媒体和专业民调机构近期公布的多份民意调查结果显示,由社会民主党为首的反对派联盟的支持率领先于克罗地亚民主共同体。

 

1.2 黑客利用Adobe Reader 9.x 漏洞发起攻击

Adobe发表安全警告称,已经发现有黑客利用Adobe Reader 9.x 中的漏洞对Windows系统发起攻击的状况。

该漏洞的影响范围也正在逐渐扩大,目前包括适用于Windows以及Mac OS X操作系统的Adobe Reader X (10.1.1)以及更早期版本、适用于Unix操作系统的Adobe Reader 9.4.6以及更早期版本以及适用于Windows以及Mac OS X操作系统的Adobe Acrobat X (10.1.1)以及更早期版本都存在相关的漏洞。

Adobe的产品正在持续成为黑客攻击的脆弱环节。根据Adobe提供的信息显示,黑客通过这一漏洞的攻击可能会导致目标系统的崩溃,或者会让黑客能够暂时获得控制目标电脑的最高权限。

Adobe目前正在尽全力为Windows版的Adobe Reader以及Adobe Acrobat 9.x开发出应对该漏洞的补丁。该补丁预计将在下周(12月12日)之前正式推出。

Adobe的软件安全团队ASSET在官方博客中解释称:“之所以我们首先解决Windows操作系统下Adobe Reader以及Acrobat 9.4.6的补丁问题,答案十分简单:因为该版本的产品和平台是最容易成为黑客攻击的对象。现实当中的主要黑客攻击,无论是过去还是现在,都主要局限在 Windows系统上的Adobe Reader。”

目前其他操作系统上的Adobe Reader以及Acrobat都暂时不会遭到直接威胁,因此Adobe计划将这些相关产品的补丁直接放到下一次的季度性升级当中——下一次产品升级时间 将在2012年1月10日。目前尚没有报道称有黑客在试图使用搭载恶意软件的PDF产品攻击Mac OS X或者Unix系统下的Adobe Reader或者Acrobat,而目前Windows版的Adobe Reader X以及Acrobat X都可以在沙盒保护模式下运行,从而能够避免暴露在黑客的攻击范围之内。

Adobe并没有给出具体的指导方案,以确保消费者在更新补丁之前能够有效地保护自己的电脑不受到攻击。因此在新的补丁发布之前,广大电脑用户必须十分小心地应对所有PDF文件,特别要避免打开陌生或者可疑的PDF文件。

 

1.3 维基解密再次公布287份文档 揭秘跨国监控

12月2日凌晨消息,维基解密(WikiLeaks)周四在网站上公布了287份文档,这些文档称为“Spy Files”(间谍文件),包括了来自160家公司的287份数字监控公司的营销材料、价目表和产品名录。

这些文档根据公司名称和监控类型分类,如间谍软件、WiFi拦截和手机取证等。

其中不乏一些知名大企业的文档,如阿尔卡特-朗讯、诺基亚西门子通信公司和惠普等。

维基解密在网站上称:“对所有人的通信进行大规模拦截不但是现实的,而且已经成为跨越25个国家的秘密新兴产业。跨国监控公司主要位于技术先进的国家,他们向全球所有国家销售其技术。该行业并未得到有效监管,情报部门、军事部门和警方都可以暗地窃听用户通话,无需电信运营商帮助即可控制用户计算机。用户如果使用手机,即使并未通话仅处于待机状态,他们的地理位置也能被追踪。”

维基解密还暗示,将来还会公布更多的文档。

 

1.4 美对伊朗建立网上虚拟使馆 伊朗黑客或进行袭击

中广网消息 (记者 王宗英) 据中国之声《新闻晚高峰》报道,我们先带大家浏览一个今天全世界最受关注的网站:该网站的地址iran.usembassy.gov,打开网页之后,最上方的星条旗和会清楚地告诉你:没错!你现在所在的位置就是美国驻伊朗大使馆。

在美伊断交逾三十年之后,这个虚拟的网上大使馆可以说是美国针对宿敌伊朗的创意之作。在网站主页的显著位置,还赫然写着两行给伊朗人民的话:“我们很自豪建立这个虚拟大使馆。这是我们对伊朗人民肩负的使命。这就是你们的地盘。希望你们能呆上一会。”

在希拉里此前放风要建一座虚拟的伊朗大使馆之后,这一消息在美国当地时间6号变成了现实。打开该虚拟大使馆的网址,一段希拉里录制的欢迎视频引入眼帘,希拉里在视频中说:希望该平台为美国人和伊朗人“公开无忧地”进行沟通交流提供一条渠道。按照网站公布的联系方式,记者拨通了电话:

你好,这里是美国国务院签证办公室,详细的签证办理情况请您登录iran.usembassy.gov签证官会在每周一到每周五上午8点30到下午5点向您解答有关签证的具体问题。

除了签证办理信息之外,虚拟使馆的内容还包括美国方面的政策信息以及来自美国之音的中东消息。同时网站还设置了博客、网上即时聊天等社交网站工具,用英国和波斯语两种语言两种通道。美国副国务卿谢尔曼说,美国正在采取措施,阻止伊朗就此设置电子屏障:

谢尔曼:此外,我们还在向伊朗民众推广社交网络以及覆盖我们的广播网络,美国之音的波斯语节目,我们也正在采取技术措施来防范伊朗阻止我们的信号。

对此,伊朗议会议长拉里贾尼表示,美国的这招只会加强伊朗国内的团结。而一些伊朗黑客组织此前已经跃跃欲试,扬言要用实际行动占领这一“虚拟使馆”。

与此同时,伊朗最高领袖哈梅内伊已经向军队、情报机构和安全部门发出正式指令,要求他们采取所有必要措施保卫国家。有消息称,伊朗近日还击落了一架美国中情局的RQ-170高度精密的隐形无人机。那么美国和伊朗这对针尖对麦芒的宿敌,会不会在近期擦枪走火?国防大学的张召忠教授做出了如下的评论:

张召忠:革命卫队主要管内务安全这方面,另外国家安全这块它也有陆海空三军,它主要是管洲际导弹这样一些非常敏感的东西,人数大约一、二十万人,力量还是非常雄厚的,它是伊朗武装力量当中最精锐的忠诚度最高的一支力量。最近一个时期以来,伊朗还不断的提升自己戒备的规模,最近又传出打下了美国RQ-170无人机,他判定美国在伊拉克撤军和阿富汗撤军之后有可能对伊朗进行打击,

 

1.5 政府网站SQL注入、信息泄露、弱密码三大安全漏洞突出

人民网北京11月16日电  (记者 王汉超)目前,政府网站重视硬件投入,也采取了一定的防护措施,但在检测中发现,安全漏洞在各级政府网站中仍然普遍存在,尤其是SQL注入、信息泄露、弱 密码三大安全漏洞尤其突出。11月16日,在中国电子信息产业发展研究院主办的“中国软件大会-2011年论坛”上,中国软件评测中心常务副主任黄子河指 出,政府网站必须把安全性问题真正重视起来。

相比常见的电脑黑客篡改网页,危害性更大的是政府网站的数据遭到窃取。随着办公数字化、网 络化,那些公众可以上网办理业务的行业,如工商、税务、交通等部门的信息安全要求进一步提高。网上曾曝出某市交通一卡通的搭乘信息可以通过输入卡号随意查 询的案例,而税务报表等数据隐含更多的个人信息。

安全漏洞在技术方面主要体现为三个方面,即SQL注入、信息泄露和弱密码。SQL注入是指黑客利用网页中的用户名、查询条件等输入框,向应用程序插入指令,提交数据库查询代码,从而获取网站后台信息,进而进行攻击或操作的一种方式。如果开 发人员对输入值校验不够,将可能导致数据库信息被全部或部分获取。信息泄露是指由于网站目录防护不足,导致敏感信息泄露。弱密码是指网站未从技术上对密码 强度进行要求,使登录密码容易被破译的情况。很多人为了省事,密码设置极简,形同虚设,用户名密码多人共用的现象也很普遍。

针对这些情 况,黄子河提出应当从“探虚实、练内功、勤体检”三方面防范政府网站安全漏洞的出现。网站上线之前一定要先进行安全测试,排查安全漏洞,摸清网站防护水 平;根据检测结果对网站进行整改加固,增强抗攻击能力;定期进行漏洞扫描、渗透测试、挂马检测等“体检”,防范新的安全漏洞出现。最后他说,技术上的问题 可以通过各种措施加以解决,而安全意识则是更为根本的问题,安全管理必须引起足够重视。

 

2. 本周关注病毒

2.1 Trojan.Win32.Fednu.twd(木马病毒)
警惕程度★★★

病毒运行后,会释放病毒驱动程序,替换系统服务并结束杀毒软件。为进一步扩大传播范围,病毒会通过局域网和U盘进行传播。电脑中毒后还会被开设后门,成为黑客肉鸡,不断下载盗号木马。

2.2 Trojan.DL.Win32.Undef.tki(木马病毒)
警惕程度★★★

这是一个病毒下载器,病毒运行后链接黑客指定的病毒下载列表,随后根据这个下载地址列表下载很多流氓软件和病毒。

2.3 Backdoor.Win32.Undef.tgx(安德夫后门)
警惕程度★★★★

病毒运行后,首先会添加注册表启动项,达到开机自动启动的目的。病毒为躲避杀毒软件追杀,会搜索并结束8款国外知名安全软件。病毒随电脑启动后会主动连接黑客控制端,将电脑的磁盘信息、系统信息上传给黑客,同时,潜伏在用户电脑中,随时接受黑客远程指令。并且,该病毒还会将自身注入到多款知名浏览器中,通过这些浏览器在电脑后台不断下载盗号木马,对电脑实施进一步的破坏。

 

3. 安全漏洞公告

3.1 HP多个产品安全漏洞

HP多个产品安全漏洞

发布时间:

2011-12-2

漏洞号:

CVE-2011-4161

漏洞描述:

HP CM8060 Color MFP with Edgeline; Color LaserJet 3xxx, 4xxx, 5550, 9500, CMxxxx, CPxxxx和Enterprise CPxxxx; Digital Sender 9200c以及9250c; LaserJet 4xxx, 5200, 90xx, Mxxxx, and Pxxxx和LaserJet Enterprise 500 color M551, 600, M4555 MFP以及P3015的默认配置中存在漏洞,允许 RFU(Remote Firmware Update)设置。远程攻击者可通过TCP端口9100上的会话上传特制的固件更新来执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www8.hp.com/cn/zh/home.html

 

3.2 D-Link DNS-320拒绝服务漏洞

D-Link DNS-320拒绝服务漏洞

发布时间:

2011-12-7

漏洞号:

 

漏洞描述:

D-Link DNS-320 ShareCenter是千兆网络存储器。
D-Link DNS-320 ShareCenter中存在拒绝服务漏洞。攻击者可利用该漏洞导致受影响的设备重载或者关闭,拒绝对合法用户提供服务。

安全建议:

目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.dlink.com/

 

3.3 Serv-U 拒绝服务漏洞和安全绕过漏洞

Serv-U 拒绝服务漏洞和安全绕过漏洞

发布时间:

2011-12-7

漏洞号:

CVE-2011-4358

漏洞描述:

Serv-U是一种由Rob Beckers开发的被广泛运用的FTP服务器端软件,支持3x/9x/ME/NT/2K等全Windows系列。

Serv-U在实现上存在安全漏洞,可被恶意用户利用造成拒绝服务并绕过某些安全限制。

1)在操作数据连接的监听套接字处理中存在错误,通过大量的FTP PASV命令,可耗尽可用的TCP端口,造成无法处理其他被动连接。

2)管理控制台会在管理员登录后生成较弱的会话令牌,这会允许枚举有效的令牌并通过FTP反弹攻击造成任意用户。成功利用此漏洞需要用户具有读写权限并让管理员打开控制台。

安全建议:

目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.serv-u.com/

 

3.4 JBoss AS跨站请求伪造漏洞

JBoss AS跨站请求伪造漏洞

发布时间:

2011-12-6

漏洞号:

CVE-2011-3609

漏洞描述:

JBOSS是开放的源代码,遵从J2EE规范的,100%纯java的EJB服务程序。
JBoss AS中存在跨站请求伪造漏洞。攻击者可利用该漏洞在受影响站点上下文的不知情用户浏览器上执行任意脚本代码,盗取基于cookie的认证证书进而发起其他攻击。JBoss AS 7.02版本中存在该漏洞,其他版本也可能受影响。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.jboss.org/jbossas/downloads/

 

3.5 IBM Tivoli Netcool/Reporter代码注入漏洞

IBM Tivoli Netcool/Reporter代码注入漏洞

发布时间:

2011-12-6

漏洞号:

CVE-2011-4668

漏洞描述:

IBM Tivoli Netcool/Reporter 2.2.0.8之前的2.2版本中存在漏洞。远程攻击者可借助与使用Apache HTTP服务器的未明CGI程序有关的向量执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www-01.ibm.com/support/docview.wss?uid=swg24031456