当前位置: 安全纵横 > 安全公告

一周安全动态(2012年5月24日-2012年5月31日)

来源:安恒信息 日期:2012-5

2012年5月第五周(5.24-5.31)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1. 安全新闻

1.1 美司法部网站遭黑客攻击 大量内部数据可能被盗

中新社华盛顿5月21日电 (记者 吴庆才)在欧美非常活跃的黑客组织“无名氏”21日声称其再次攻克美国司法部网站,并从中获取大量内部数据。美国司法部当天稍后承认,其网站确遭黑客入侵。

美国司法部在一份声明中表示,该部门正在调查由其所属的司法统计局操作的服务器被非法侵入的事件,司法统计局网站在遭攻击的这段时间里一直在运作,而司法部的主要官网(www.justice.gov)也未受影响。

声明表示,司法部将继续加强保护和防御措施以保障信息安全,并将对任何非法活动展开刑事调查。

当天早些时候,“无名氏”黑客组织成员通过社交网络和博客发布消息称他们已从司法部网站获得了1.7GB的数据。一位名为Jimmy89的黑客在博客上说:“在‘战利品’中,你们将发现很多闪光的东西,比如内部邮件、整个数据库的转储等。”

“我们不代表任何政府和政党,我们代表人民的自由、言论的自由和信息的自由。我们公布这些数据,以便让人们了解他们政府中的腐败。”Jimmy89说。

这已是美国司法部网站今年以来第二次遭到该黑客组织的攻击。今年年初,美国司法部和联邦调查局联手调查并关闭了知名共享网站“百万上传”(Megaupload.com),指控其7名高级主管大规模侵犯知识版权。随后,作为报复,“无名氏”黑客组织成员攻击了司法部、联邦调查局等网站,导致这些网站长时间无法登陆。

黑客组织“无名氏”是一个松散的联合体,他们经常对一些政府和企业发动网络攻击,目前有关该组织的很多事情还是“谜”。近两年,该组织似乎加大了对美国政府机构的攻击,该组织宣称,美国国土安全部、美国联邦调查局(FBI)以及其他政府机构网站也曾遭到他们攻击。

 

1.2 《暗黑3》疑遭黑客攻击 SQL注入致玩家被洗劫

《暗黑破坏神3》自从5月15日正式发售以来可谓是命运多舛,网络质量较差造成玩家频频掉线、错误代码一个接着一个弹出让玩家直欲抓狂。屋漏偏逢连夜雨,正在暴雪为这些事情忙的焦头烂额的时候,雪上加霜的事情发生了——欧服有玩家被盗号了。

根据国外媒体的报道,目前在欧服已经发生了多起玩家被盗号事件,具体发生事件大约是在上周日的下午四点种左右,一些正在游戏中的玩家突然弹出了错误33和33007代码。然后就自动退出游戏了,重新登陆之后发现自己的物品以及金币全部不见了。这些被盗的用户有一个共同的特点:暴雪认证器失效了。

目前有玩家推断说盗号的原因可能是暴雪服务器遭到了SQL注入攻击所至,因为他们此前曾经在某论坛看到过有黑客准备组织类似的行动。

不管原因如何,希望暴雪能够尽快提升帐号的安全性,给玩家一个合理的答复。同时我们也提醒《暗黑3》玩家,无论你在哪个服务器,一定要注意自己帐号的安全性。

 

1.3 研究人员发现移动蜂窝网络安全漏洞

计算机科学家识别出了移动蜂窝网络的安全漏洞,允许攻击者劫持智能手机用户的互联网连接,向手机和信任网站之间的流量植入恶意内容。新攻击方法被称为TCP序列号推理攻击(TCP sequence number inference attack),密歇根大学研究人员的论文(PDF)将在本周举行的IEEE Symposium on Security and Privacy会议上讨论。

研究人员称,只要应用层未加密,不管网络有没有加密,它都能有效工作,因为它不依赖于流量嗅探。研究人员在HTC、三星和摩托罗拉的 Android智能手机上测试了攻击,当手机连接到使用序列号检查的蜂窝网络,研究人员能劫持Facebook、Twitter、Windows Live Messenger等在线服务的连接。论文合作者Zhiyun Qian博士说,这种攻击方法也适用于使用蜂窝网卡和手机共享无线热点的计算机。

 

1.4 日本将举行全国黑客大赛

面向全社会的计算机黑客技术竞技大会,由日本经济产业省牵头,将以国家的名义于今年首次举办。面对接二连三的黑客攻击,发掘能够保护日本的“正义黑客”迫在燃眉。据悉该大会将于今年10月之后,全国分4个赛区进行预选,明年的2月举行决赛。

据负责人讲,赛题为模拟服务器攻击,并以此来积累经验。今年将斥资7000 万日元预算,并将调查参照美国拉斯维加斯的世界最顶级对抗赛规则。明年之后,不仅在民间,将来还想发展成为世界级的大会。

经济产业省在2003年,计划过举行同样的面对大学生的大会,但是鉴于“黑客=作恶”的偏见,“国家要培养罪犯么?”的质疑声中被迫取消。但是,在此之后,连接到防卫省和众议两院的服务器接连遭到攻击,经济产业省于是做出了“时代已经变化,发掘人才乃至当务之急”的方针转变。

今年2月,以技术者的有识之士为中心面向福冈县学生的大会首次举行,今年5月19、20日,茨城县举行了第二次大会,至此官民发力培养人才的时机已经成熟。

 

1.5 黑客冒名用电子邮件行骗 审查不严损失百万元

据港台媒体报道,最近传出有中小企业的电脑主机遭到黑客入侵,歹徒利用电子邮件冒名向被害公司的国外客户行骗,顺利盗领上百万元的货款,再透过不知情的企业提供帐户洗钱,目前已知有两家企业受害。

警方指出,这个诈骗集团是看准中小企业都是利用电子邮件当成联系渠道之一,因此,先扮骇客入侵负责人黄姓男子经营的公司电脑主机,再冒用电子邮件发信国外客户,要求汇款到指定帐户,由于国外客户一时不查,造成货款被歹徒拦截,被害的公司出了货却收不到钱,损失上百万元。

警方还发现,歹徒还通过电子邮件诱骗另一家不知情企业的员工协助洗钱,造成追查不易,总计目前有两家企业受害,警方除了持续侦办,也呼吁企业要加强网络安全的管理工作。

 

2. 本周关注病毒

2.1 Trojan.Win32.BHO.gdv(木马病毒)
警惕程度★★★

该病毒会关闭很多主流杀毒软件,并修改浏览器BHO,然后链接到黑客指定网站下载木马到本机运行。

 

2.2 病毒名称:Trojan.Win32.FakeFolder.by(木马病毒)
警惕程度★★★★

病毒作者为避免病毒被手工删除,会破坏操作系统的安全模式,并让用户无法打开注册表编辑器。同时,会尝试关闭主流杀毒软件,躲避查杀。最终,病毒会在桌面上创建多个钓鱼网站的快捷方式,使用户进入黑客指定网站,为其带来巨大经济利益。

 

2.3 病毒名称:Trojan.Win32.Dervce.a(木马型后门病毒)
警惕程度★★★★

病毒运行后,首先会释放具有黑客后门功能的文件,并且通过注册系统服务的方式,实现开机自动运行。随后,后门程序会尝试与黑客连接,连接成功后会上传用户电脑中的任何文件数据,并实现远程控制功能,比如:开启Http代理和Socket5代理,方便黑客做不法之事;获取用户电脑物理内存、Windows版本等信息。

 

3. 安全漏洞公告

3.1 PHP 'com_print_typeinfo()'远程代码执行漏洞

PHP 'com_print_typeinfo()'远程代码执行漏洞

发布时间:

2012-05-23

漏洞号:

BUGTRAQ ID: 53621

漏洞描述:

PHP是一种HTML内嵌式的语言,PHP与微软的ASP颇有几分相似,都是一种在服务器端执行的嵌入HTML文档的脚本语言,语言的风格有类似于C语言,现在被很多的网站编程人员广泛的运用。
PHP 5.4.3中的函数com_print_typeinfo在实现时存在远程漏洞,php引擎在执行包含可绑定壳到端口的壳代码的恶意代码时,可被远程攻击者利用在受影响的网络服务器中执行任意代码。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.php.net

 

3.2 PHP 'com_event_sink()' 远程代码执行漏洞

PHP 'com_event_sink()' 远程代码执行漏洞

发布时间:

2012-05-23

漏洞号:

BUGTRAQ ID: 53642

漏洞描述:

PHP是一种HTML内嵌式的语言,PHP与微软的ASP颇有几分相似,都是一种在服务器端执行的嵌入HTML文档的脚本语言,语言的风格有类似于C语言,现在被很多的网站编程人员广泛的运用。
PHP 5.4.3中的函数com_event_sink()在实现时存在远程漏洞,可被远程攻击者利用在受影响的网络服务器中执行任意代码。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.php.net

 

3.3 PHP多个空指针引用拒绝服务漏洞

PHP多个空指针引用拒绝服务漏洞

发布时间:

2012-05-23

漏洞号:

BUGTRAQ ID: 53643

漏洞描述:

PHP是一种HTML内嵌式的语言,PHP与微软的ASP颇有几分相似,都是一种在服务器端执行的嵌入HTML文档的脚本语言,语言的风格有类似于C语言,现在被很多的网站编程人员广泛的运用。
PHP 5.4.3之前版本在实现时存在空指针引用导致的多个拒绝服务漏洞,攻击者可利用这些漏洞造成应用崩溃。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.php.net

 

3.4 IBM Rational Change跨站脚本执行漏洞

IBM Rational Change跨站脚本执行漏洞

发布时间:

2012-05-23

漏洞号:

BUGTRAQ ID: 53607

漏洞描述:

IBM Rational Change是基于Web的企业变更管理解决方案。
IBM Rational Change 5.3.0.3在实现上存在跨站脚本执行漏洞,攻击者可利用此漏洞执行任意脚本代码,窃取Cookie身份验证凭证。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.ers.ibm.com/

 

3.5 Symantec Endpoint Protection文件包含漏洞

Symantec Endpoint Protection文件包含漏洞

发布时间:

2012-5-23

漏洞号:

BUGTRAQ ID: 53183
CVE ID: CVE-2012-0295

漏洞描述:

Symantec Endpoint Protection (SEP)是由Symantec Corporation开发反病毒和防火墙产品,是服务器和工作站的统一管理的企业环境安全。
Symantec Endpoint Protection 12.1在管理控制台的实现上存在文件包含漏洞,攻击者可利用此漏洞插入和执行任意代码,可能会导致远程权限提升并控制下层系统。

安全建议:

Symantec已经为此发布了一个安全公告(SYM12-008)以及相应补丁:
SYM12-008:Security Advisories Relating to Symantec Products - Symantec Endpoint Protection Multiple Issues

链接:
http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=secu