当前位置: 安全纵横 > 安全公告

一周安全动态(2011年12月15日-2011年12月22日)

来源:安恒信息 日期:2011-12

2011年12月第三周(12.15-12.22)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1. 安全新闻

1.1 海口多家单位网络系统遭“黑客”攻击损失惨重

12月15日消息(记者 李云川)许多人以为只有政府部门的计算机网络才会遭到网络“黑客”攻击,“黑客”离我们十分遥远。但是,记者从14日召开的海口市信息安全等级保护工作会上获悉,近两年发生在海口的几起网络“黑客”案件,说明“网络黑客”离我们并不遥远。

公司遭攻击损失千万

漏洞:密码管理不到位

今年年初,海口某大型商业公司网络遭到“黑客”攻击,因该公司资金流量较大,公司负责人一时没有察觉这一情况,等到发现情况不对劲时,已有上千万元资金遭盗转。有关负责人慌忙向警方报案,市公安局网警支队经过紧张调查,抓到了多名犯罪嫌疑人。

据警方介绍,该公司之所以遭网络“黑客”攻击并通过网上银行盗取巨额资金,主要是该公司的信息安全等级保护工作存在较大缺陷,比如网络系统本应由多人分别掌握密码,由于其网络信息密码管理工作不到位,其个别内部人员就轻易获取了密码,实施了网络犯罪。警方抓获嫌犯和追赃后,该公司仍然蒙受了数百万元的经济损失。

网络社区网帖被更改

漏洞:管理员密码被盗

今年初,海口某大型网站遭到网络“黑客”攻击,其网络社区数百条网帖被更改。市公安局网警支队在调查中发现,该网站的安全防护措施较为严密,外地“黑客”通过网络攻击,却盗取了该网站超级管理员密码,从而进入该网站社区页面改帖,该网站蒙受了巨大的名誉损失。

警方在侦查此案中,花费了数十万元,跑遍了30多个省上百个城市,先后抓获了上百名犯罪嫌疑人,一条网络“黑客”的经济利益链条就此浮出了水面。

据警方介绍,嫌疑人通过发起“黑客”攻击,盗取政府、企业或网站管理密码后,通过更改网上内容获取经济利益,比如曾经有海南的两家同类企业,相互在网上发帖诋毁对方公司,这两家公司一方面找网络“黑客”发帖诋毁对方,一方面又通过“黑客”删除对自己公司不利的网帖。有的“黑客”团体就专门从事盗网站管理密码,然后转卖给他人,买方再利用掌握的密码,侵入他方计算机网络实施删改帖犯罪活动。

据犯罪嫌疑人交待,他们每次通过‘黑客’攻击手段删除或更改1条网络信息,收取数百元到数千元不等的费用,也有删除一条国家级网站上的信息收费高达6万元。

电视台网站遭攻击

漏洞:安全防护措施较差

去年,某电视台网站正在直播一场募捐晚会,网站突然遭到黑客攻击,因晚会上公布着受捐账号等,情况非常严重,网站被迫关闭数小时。海口网警经过缜密侦查,跨省抓获了犯罪嫌疑人。

经警方调查,犯罪嫌疑人采用的“黑客”攻击手段非常低级,之所以攻击成功是因为该网站的安全防护措施较差。犯罪嫌疑人对各网站进行扫描,发现哪家网络系统存在漏洞便入侵,嫌犯自己都难以相信会如此轻易侵入一家电视台网站。

警方:对“黑客”不能掉以轻心

海口市公安局网警支队支队长李辉告诉记者,网络“黑客”攻击的并不只是党政机关和企事业单位信息网络,个人的相关信息也可能通过网络泄露出去造成经济财产损失。比如许多人为了方便记住自己日常使用的相关密码,往往将个人微博、QQ及玩游戏等的密码同自己银行卡、存折账号等设为相同密码,因银行的网络防护系统较严密,“黑客”难以侵入,嫌犯就采用“黑客”手段攻击个人微博、QQ号、游戏号密码等,然后掌握其银行卡密码,从而实施经济犯罪活动。

“‘黑客’离我们并不遥远。因此提醒广大民众千万别将银行卡与微博、QQ等设为同一密码,否则一旦被‘黑客’攻破并被嫌犯利用,后果不堪设想。”李辉说。

 

1.2 政府网站成黑客恶意攻击对象 比例高达10%

近有媒体报道,登陆福建“永春县人民政府公众信息网”却弹出的是聊天交友网。在其网站“乡镇之窗 ”一栏,其中,点击 “蓬壶镇”弹开的是“异性聊天交友网”等内容。而点击其他一些乡镇,绝大部分 均被告知“不存在”。永春县数字永春建设办公室相关负责人证实,部分网站被人恶意篡改,而大部分乡 镇因暂未建网站,所以暂时打不开。

无独有偶,重庆江津区教委的官方网站上,竟链接QQ炫舞外挂。这家网站中最显眼的位置,最新的帖子中 有“论文代写、酒吧、KTV活动图片等内容”,而被怀疑是否被人篡改。而此前,福建省宁德市周宁县一 少年为炫耀技术水平,连续两次恶意入侵,导致网站无法正常使用。

政府网站总是令人如此放心不下

据国家互联网应急中心监测公布的数据显示,2010年中国内地共有近3.5万家网站被黑客篡改,其中被篡 改的政府网站达4635个,政府网站安全防护较为薄弱。被篡改的政府网站比例达到10.3%,即全国有约十 分之一的政府网站遭遇了黑客篡改。

国家互联网应急中心分析认为,政府网站易被篡改的原因是:网站整体安全性差、缺乏必要的经常性维护 ,某些政府网站被篡改后也长期无人过问,未能消除安全隐患。

政府网站安全性不高不仅影响了政府形象和电子政务工作的开展,还给不法分子发布虚假信息或植入网页 木马以可乘之机,造成更大的危害。

 

1.3 迅驰集团等金融公司财务系统受到黑客重创

日前欧盟峰会造成的金融乱局,让不少示威者在华尔街游行示威,要求稳定货币政策,减少欧盟和欧债乱局带来的损失。但是效果甚微,当局尚未给予必要的回应。

据悉,美国国土安全部官员12月2日爆料,一些示威者在遭到警方驱逐后,情绪激动,已经从12月1日起对多家金融公司的财务系统发起黑客攻击,破坏它们存储的数据资料。迅驰集团、花旗银行、IMF等众多金融公司的财务系统均遭到重创。美国计算机突发事件应付小组(US-CERT)已经向华尔街所有的金融公司发出了警告。

为了解详情,记者连线了全球最大的金融公司——迅驰集团的全球投资副总Robert Denson先生,Denson先生说,当前迅驰集团的财务系统受到了黑客攻击,入侵黑客的计算机手段相当高明,在公司财务系统页面中加入了许多华尔街政策不满的煽动性的情节,使公司财务系统基本处于瘫痪状态。 目前,金融机构财务系统正在经历着有组织、复杂的新型攻击带来的各种安全威胁,钓鱼攻击、僵尸网络、域欺诈等来自黑客的挑衅,无论是防御难度,还是控制手段都面临着巨大的挑战。 Denson先生说,虽然公司已经挑选了最好的软件维护工程师日以继夜地抢修,但是在短期内恢复财务系统正常运行的几率微之极微,预计一年内很难恢复原有的数据储备和主要功能。

Denson先生表示公司会尽最大努力保护公司广大投资商和客户的利益,不会给他们造成任何损失!

 

1.4 央行:电子银行支付安全最大漏洞源自第三方

“商业银行应加强与非金融支付机构的合作,为电子银行的发展创造更大的商机。”中国人民银行支付结算司副司长樊爽文近日在“2011年中国电子银行年会”上作出上述表态。他表示,目前国内电子银行支付安全的最大漏洞源于网络第三方。

樊爽文表示,电子银行实现可持续健康发展的前提是安全,电子银行的支付安全漏洞包括三个方面,一是来源于电子银行内部,二是来源于电子银行消费者本身,三是来源于网络第三方。目前最突出的主要是来源于网络第三方,包括网络钓鱼、黑客攻击、植入木马程序等,这写风险事件严重影响了客户使用电子银行的信心,威胁着客户资金安全和银行资金安全,成为制约电子银行发展的重要因素。

他表示,电子银行实现可持续健康发展也离不开商业银行和非金融支付机构的合作,非金融支付机构的出现和发展适应了电子商务发展的需要,也为支付服务市场注入了新的活力,对此,商业银行不要只看到危机,而忽视了商机。

“作为支付服务市场的主体,商业银行应当充分发挥业务经验丰富、客户信赖度高、业务多元化、资源充足等各方面的优势,通过电子银行的进一步发展,为电子商务发展提供更好更全面的金融服务和支付服务,同时也应当重视非金融支付机构在专业化服务、用户拓展等方面的优势,要加强相互合作,为电子银行的发展与拓展新的空间创造更大的商机。”他表示。

银监会信息中心信息科技风险管理处处长骆絮飞在“2011年中国电子银行年会”表示,目前我国银行业基本保持了稳健运行的良好态势,信息科技的不断发展在推动业务创新的同时,也提升了经营管理能力和风险管理水平,成为银行战略转型的重要支撑。

但她表示,另一方面,随着网络银行、电子商务业务的迅速发展,网络攻击等违法犯罪活动也呈现上升趋势,针对网上银行的攻击行为十分猖獗。为此,银监会积极制订了有关网上银行的科技风险政策,也向行业多次发出了风险提示,积极采取各项监管措施,推动银行业提升风险防范能力。同时,银监会也将持续加强与公安、工信等有关部门的协同合作,采取综合防范措施,防控风险。”她表示。

根据CFCA最新发布的《2011中国电子银行调查报告》,2011年,中国电子银行业务实现了持续增长,个人和企业网银用户在去年基础上均有所增加,企业网银柜台业务替代率超过60%。同时新兴的手机银行业务也展现出巨大潜力。值得注意的是,随着电子银行业的迅速发展,业务的安全性也日益受到用户的重视。58.5%的受访用户表示安全性是其选择手机银行品牌时核心的考虑因素。

 

1.5 网络攻击暴露美基础设施安全反应系统重大漏洞

伊利诺斯州供水公用事业部门遭黑客攻击的报道受到了公众的关注,社会提出了这样一个问题:美国在重要基础设施上安装的识别网络攻击的报告系统很糟糕,相关部门还需要重新思考这个问题。

美国联邦调查局(FBI)和国土安全部(DHS)均表示,没有证据表明伊利诺斯州供水系统水泵出现故障是因为遭受了黑客攻击。

自从2000年以来,国土安全部一直鼓励各个州和城市建立所谓的“Fusion Centers”(融合中心)。这个中心在本地政府控制下运行,收集电力供水等有可能与国家安全有关的数据。

据国土安全部称,美国目前有72个融合中心,各个中心都采取不同的方法。11月10日,众多融合中心当中的一个——伊利诺斯州恐怖主义和情报中心(STIC)发布了一个简短的题为“公共供水系统网络入侵”的报告后,这个报告就引起了争议,突显了目前美国重要基础设施安全反应系统工作方式的弱点。

来自伊利诺斯州STIC的报告称,伊利诺斯州某公司用于控制水泵的SCADA(监视控制与数据采集)系统遭到了来自俄罗斯的网络攻击,导致水泵反复打开和关闭,进而被烧毁。此外,STIC报告称,某个信息技术服务公司在检查了SCADA系统之后认为,黑客攻击该SCADA系统已经长达数月并且设法获取了用户名和口令。

这个STIC报告已经发送给国土安全部进行审查。国土安全部称,这是一个例行性的程序。但是,国土安全部工业控制系统网络应急响应小组(ICS-CERT)后来说,其在11月16日才知道这篇报告。

这篇报告是在与伊利诺斯州STIC有关的部门之间共享的,属于保密级的。但是,与伊利诺斯州STIC有关的一家公用事业公司运营者受到了这篇报告的困扰并且在寻求得到指导意见。他向应用控制解决方案部门负责人、知名的能源行业专家乔·韦斯(Joe Weiss)披露了这个情况。

韦斯在自己的博客中公布这篇报告后,引起了媒体大爆发。华盛顿邮报和其它新闻媒体称这个事件可能是对美国重要基础实施进行的最为严重的网络攻击。

经过媒体大肆报道,国土安全部和FBI就要与ICS-CERT协调公开解释他们如何排遣一个小组去伊利诺斯州供水部门展开调查。联邦政府首次提到这个部门的名字是在伊利诺斯州斯普林菲尔德的Curran-Gardner镇公共供水区。这个部门为2000多个用户服务。

ICS-CERT在11月23日发布的一个公告称,该部门在11月16日获悉伊利诺斯州STIC的报告后,就立马派人去STIC收集额外信息。ICS-CERT获得了一个记录文件。然而,最初的分析不能证明有任何证据支持曾发生网络入侵的说法。

Curran-Gardner本身不愿意讨论此事。但是,国土安全部和FBI现在称,在详细分析之后,国土安全部和FBI没有发现伊利诺斯州斯普林菲尔德的Curran-Gardner镇公共供水区的SCADA系统遭到网络入侵的证据。

华盛顿邮报也报道了这个事情并且后来引述某个知情人士的话说,远程访问SCADA是Curran-Gardner的一个承包商实施的。他当时碰巧在俄罗斯。

这个承包商的名字是Jim Mimlitz,是Navionics Research公司的创始人和老板。他现在公开表示,他今年6月曾在俄罗斯休假并且应Curran-Gardner的要求远程访问了SCADA系统。他说,他没有向他们提到他在俄罗斯休假。

目前还不清楚这个在6月份发生的事情在CERT的报告中如何被认为是在11月发生的黑客事件。韦斯向《网络世界》逐字逐句地阅读了这个报告。这篇报告缺少有关可能的入侵的细节、与SCADA有关的问题和实际发生了什么事情。

国土安全部最终的结论是:没有任何证据支持最初的报告中的说法,没有任何证书被窃或者没有任何厂商参与导致那个水厂水泵故障的恶意活动。这个报告是以未经证实的数据为基础的并且随后泄露给了媒体。此外,国土安全部和FBI还做出结论称,没有像以前报告的那样有来自俄罗斯或者任何外国实体的恶意通讯。

但是,国土安全部确实补充说,对于这个事件的分析仍在进行之中。在有结果后将发布额外的相关信息。

一些安全专家指出,他们发现一个SCADA承包商能够从俄罗斯远程访问美国设施的SCADA系统这个事情应该受到谴责。

Unisys网络安全产品组合解决方案部门主管安德烈·艾迪(Andre Eaddy)说,这毫无疑问是一种糟糕的安全做法,可能是这次调查中最糟糕的信息。大多数机构都会限制来自某些国家的通讯,特别是来自俄罗斯和中国的通讯。那是因为有许多与恶意软件有关的攻击来自于这些国家。不值得冒这个风险。甚至携带包含承包商信息的笔记本电脑到那里去也被认为是不安全的。

韦斯说,承包商能够从俄罗斯直接访问一个SCADA系统是令人震惊的。但是,最大的问题是我们没有控制系统证据和记录。这意味着很难准确地了解在发生了可能的突破事件之后发生了什么事情,在什么地方和什么时候发生的。

韦斯指出,在整个事件中,伊利诺斯州STIC融合中心发布了一个非常直接的报告,没有表明这个报告是初步的和没有经过证实的。这个报告包含了爆炸性的信息。这个事件表明美国重要信息报告系统是多么糟糕。

韦斯说,伊利诺斯州的说法是极为恐怖的。很难理解ICS-CERT、国土安全部和FBI在一个多星期之后才介入此事并且说这个报告是错误的。韦斯还指出,各个融合中心都报告不同的事情。这些报告在提交给华盛顿的国土安全部之前似乎都在本地传播。韦斯不清楚这些融合中心为什么在没有搞清楚事情是否正确就发布报告。

韦斯认为,联邦政府协调的部门Water-ISAC和水公用事业部门应该获悉伊利诺斯州STIC的报告。

业界一些人士认为韦斯公开披露伊利诺斯州STIC报告有些越界了。但是,韦斯说,他与这篇报告没有任何官方联系并且没有任何为这个文件保密的义务。

11月23日,国土安全部下属ICS-CERT部门发布一个有关“伊利诺斯州水泵故障报告”的安全公告,指出没有任何证据支持最初的STIC报告中的说法。那篇报告是以未经证实的数据为基础的并且后来泄露给媒体。没有任何证书被窃或者没有厂商参与导致那个水厂的水泵故障的任何恶意活动。

ICS-CERT没有提到韦斯的名字,指出公告讨论对于它的例行性的流程的影响。这个流程一般是保密的。公开披露受影响的单位名字和事件信息是不同寻常的,不是ICS-CERT正常的事件报告和分类流程的一部分。在这个案例中,由于未经证实的信息已经泄露给公众,ICS-CERT以及这个资产拥有者/运营者都认为,协作分析所有可用的数据和披露分析结果对于这个社区是最有利的。

国土安全部的消息人士称,对于融合中心的总的看法是它们只是收集信息的地方。国土安全部是验证这个信息合法性的最权威的部门。融合中心不仅包括重要基础设施公司,而且还包括私营部门的合作伙伴。例如,思科称它属于许多融合中心,如果检测到严重的恶意攻击,它会立即提供信息。

国土安全部通过联邦应急管理局(FEMA)授权向融合中心提供资金,但是,期待州和本地政府赞助一个中心承担基本的财务和管理职能。国土安全部承认,融合中心在活动和做法方面有很大不同,尽管自从2008年以来一直努力推动建立基本的智能和通用的工具集。

然而,国土安全部现在不能确切地解释要求企业报告什么异常情况或者安全事件。

Gartner分析师约翰·佩斯卡托雷(John Pescatore)在谈到融合中心时说,现在,这不是一个好的模式。不仅情报收集功能要改进,而且还要提供更多的来自其它渠道的预防性信息,帮助私营行业的企业确切地了解真正的威胁。

 

2. 本周关注病毒

2.1 Worm.Win32.Autorun.twj(蠕虫病毒)
警惕程度★★★

该病毒通过U盘等可移动存储设备传播,病毒会双进程守护的功能,下载大量木马病毒,给用户造成很大安全隐患。

2.2 Trojan.Win32.Fednu.txd(木马病毒)
警惕程度★★★

病毒运行后,会释放病毒驱动程序,替换系统服务并结束杀毒软件。为进一步扩大传播范围,病毒会通过局域网和U盘进行传播。电脑中毒后还会被开设后门,成为黑客肉鸡,不断下载盗号木马。

2.3 Backdoor.Win32.Undef.thg(后门病毒)
警惕程度★★★★

病毒运行后,将获得用户电脑的计算机名、IP地址、安装的杀毒软件、防火墙等信息发送到黑客指定的服务器上。根据黑客的反馈,控制用户电脑实现黑客后门功能,例如,打开IE访问黑客指定网站、下载木马病毒、监视屏幕摄像头、查看电脑中的文件等,使用户电脑变成黑客肉鸡。

 

3. 安全漏洞公告

3.1 Microsoft 任意代码执行漏洞

Microsoft 任意代码执行漏洞

发布时间:

2011-12-14

漏洞号:

CVE-2011-3413

漏洞描述:

Microsoft是微软发布的非常流行的操作系统。
Microsoft PowerPoint 2007 SP2;Mac的Office 2008;Word, Excel,和PowerPoint 2007 File Formats SP2的Office Compatibility Pack;和PowerPoint Viewer 2007 SP2中存在漏洞。远程攻击者可借助PowerPoint文件中的无效OfficeArt记录执行任意代码或者导致拒绝服务,也称为“OfficeArt Shape RCE Vulnerability”。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.microsoft.com/download/en/details.aspx?id=8255

 

3.2 Microsoft Windows ‘Microsoft Time’组件安全漏洞

Microsoft Windows ‘Microsoft Time’组件安全漏洞

发布时间:

2011-12-14

漏洞号:

CVE-2011-3397

漏洞描述:

Microsoft Windows是微软发布的非常流行的操作系统。
Microsoft Windows XP SP2和SP3版本,以及Server 2003 SP2版本的Microsoft Time组件中存在漏洞。远程攻击者可借助Internet Explorer上的未明“binary behavior”的特制网站执行任意代码,也称为“Microsoft Time Remote Code Execution Vulnerability”。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.microsoft.com/download/en/details.aspx?id=10767

 

3.3 HP StorageWorks P4000 Virtual SAN Appliance远程命令执行漏洞

HP StorageWorks P4000 Virtual SAN Appliance远程命令执行漏洞

发布时间:

2011-12-14

漏洞号:

BUGTRAQ ID: 51042
CVE ID: CVE-2011-4147

漏洞描述:

HP StorageWorks P4000 Virtual SAN Appliance是虚拟化存储虚拟网解决方案。

HP StorageWorks P4000 Virtual SAN Appliance在实现上存在远程命令执行漏洞,攻击者可利用此漏洞以当前用户权限执行任意命令。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://itrc.hp.com

 

3.4 PuTTY SSH身份验证密码信息泄露漏洞

PuTTY SSH身份验证密码信息泄露漏洞

发布时间:

2011-12-13

漏洞号:

BUGTRAQ ID: 51021

漏洞描述:

PuTTY是Windows和Unix平台上的PuTTYTelnet和SSH的实现,带有xterm终端模拟器。
PuTTY 0.59到0.61版本没有删除身份验证过程中用户输入的内容,在内存中保存了用户的密码,成功利用后可使攻击者获取敏感信息。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.chiark.greenend.org.uk/~sgtatham/putty/

 

3.5 IBM Tivoli Netcool/Reporter代码注入漏洞

IBM Tivoli Netcool/Reporter代码注入漏洞

发布时间:

2011-12-6

漏洞号:

CVE-2011-4668

漏洞描述:

IBM Tivoli Netcool/Reporter 2.2.0.8之前的2.2版本中存在漏洞。远程攻击者可借助与使用Apache HTTP服务器的未明CGI程序有关的向量执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www-01.ibm.com/support/docview.wss?uid=swg24031456