当前位置: 安全纵横 > 安全公告

一周安全动态(2012年5月31日-2012年6月7日)

来源:安恒信息 日期:2012-6

2012年6月第一周(5.31-6.7)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1. 安全新闻

1.1 “火焰”病毒入侵伊朗截屏录音后自毁 疑为美以制造(图)

俄罗斯电脑安全公司卡巴斯基实验室28日发布报告,确认新型电脑病毒“火焰”(flame)入侵伊朗等多个中东国家。电脑安全专家认为,这种新型病毒是迄今为止世界上最复杂的计算机病毒,可能是“某个国家专门开发的网络战武器”。28日,俄罗斯电脑安全公司卡巴斯基实验室宣布,发现了一种破坏力巨大的“火焰”电脑病毒。以复杂程度和功能效力衡量,新现身的“火焰”是目前全球最强电脑病毒。

它到底能干啥?

卡巴斯基首席专家维达利·卡鲁克说,这种新型病毒不会对电脑造成实质性伤害,但它的间谍功能十分强大。感染该病毒的电脑将自动分析使用者的上网规律,记录用户密码,自动截屏并保存一些文件和通讯信息,甚至可以暗中打开麦克风进行秘密录音等,然后再将窃取到的这些资料发送给远程操控该病毒的服务器。

“火焰”之所以拥有如此强大的间谍功能,是因为它的程序构造十分复杂,此前从未有病毒能达到这种水平。技术人员说, “火焰”大小达到20兆,是普通商业信息盗窃病毒的100倍,可以通过USB存储器以及互联网进行复制和传播,并能接受来自世界各地多个服务器的指令。一旦完成搜集数据任务,这些病毒还可自行毁灭,不留踪迹。卡巴斯基实验室说,由于“火焰”太复杂,研究人员要花上数年来分析它。

它已潜伏了5年

虽然这种病毒是在最近才被发现的,但很多专家认为它可能已经存在了5年之久,而且主要锁定中东国家。

据英国广播公司报道,伊朗、以色列、黎巴嫩、沙特和埃及在内的成千上万台电脑都已感染了这种病毒。而且这种病毒的攻击活动不具规律性,个人电脑、教育机构、各类民间组织和国家机关都曾被其光顾过。电子邮件、文件、消息、内部讨论等等都是其搜集的对象。

如果这一结论成立,意味着病毒幕后“元凶”如今的技术更加先进。英国网络安全企业Dtex系统公司高级管理人员莫汉·库说:“最让我恐惧的是,如果他们5年前就能制造这个东西(‘火焰’),那么他们现在正研制什么呢?”

伊朗是病毒重灾区

有分析人士认为,这次新病毒的发现会火上浇油,助长有关若干国家秘密部署网络武器的猜测,并进而引发网络战。卡巴斯基实验室首席执行官尤金·卡巴斯基说:“网络战已经成为信息安全领域近几年内最热议话题,新病毒似乎意味着这场战争的又一阶段。”

卡巴斯基高级研究员斯考文伯格说,“火焰”病毒所包含的代码数量大约相当于之前发现的“震网”病毒(Stuxnet)或“毒区”病毒(Duqu)的20倍,且有证据表明“火焰”与“震网”都由同一个组织或者国家控制。

在此之前,伊朗核设施内的计算机系统曾多次遭到“震网”和“毒区”的攻击,一些用于铀浓缩的离心机因此无法运行。伊朗官员曾指责美国和以色列开发、扩散了旨在破坏伊朗核计划的“震网”等病毒。

美国《纽约时报》去年1月报道,震网“可能由美国和以色列情报部门合力制造”,用于阻止伊朗核活动。美国官方拒绝回应这种说法。

目前,伊朗国家计算机应急小组发布了安全警报,指出“火焰”是伊朗最近发生的大量数据丢失事件的原因所在。伊朗已经决定对该国所有官方机构的电脑系统进行紧急检查,以便排除可能受到的病毒袭击。

 

1.2黑客组织再度出手 F1官网加拿大站期间将被攻击

著名的网络黑客组织“Anonymous”声称将会在下周的加拿大分站对F1官方网站展开新一轮的攻击。

Anonymous曾经在今年巴林分站进行期间在自由练习时对F1官网进行了攻击,事发后,他们承认了相关的责任,并强调攻击行为主要是针对巴林政府侵犯人权。

F1加拿大分站将在6月9日于蒙特利尔上演,Anonymous决定在F1巴林分站进行期间再次对F1官方网站发动攻击,这一次他们主要针对的是加拿大政府,近期,魁北克当地的学费被大幅提高,由此引发了多次集会抗议事件,当地于5月18日紧急出台了限制集会的法例。

Anonymous对于当局的这一措施十分不满,于是他们决定在F1加拿大分站进行期间攻击F1网站,从而令事件在全球范围内引起广泛的关注。

Anonymous在声明中表示:“就象我们在巴林所做的那样,我们会破坏埃克莱斯通先的派对。从6月7日起直到比赛结束后的6月10日,Anonymous将会破坏F1网站的转储服务器和数据库,当中甚至包括F1服务器的信用卡客户资料。”

“我们的目前明显只是针对大奖赛,当地有很多学生都希望提出他们的抗议,但F1的组织者考虑到会对比赛造成影响而拉起了警戒,为了保护所1亿加元的利润,他们放弃了民主。”

“我们强烈建议大家都加入来一起抵制在蒙特利尔进行的F1比赛,我们亦建议大家不要在F1官方网站上购买任何的商品,对此,我们已经作出了警告。”

 

1.3 FPGA预留可编程后门 容易被黑客攻击

一名名为Sergei Skorobogatov的剑桥科学家近日发布了一篇让人们十分震惊的报告。这份报告中称目前很多敏感的军事机构和政府机关使用的计算机中都包含着可以硬编码的后门。这份报告引起了很大的争议。甚至引发了Errata Security 网站专门撰文试图驳斥Skorobogatov的文章。

Skorobogatov的研究表明,目前比较流行的现场可编程门阵列(FPGA)故意预留一个可以重新编译的Vector(容器)。Skorobogatov表示,如果使用这样的芯片,那么武器系统以及核工厂等军事机构可能被利用这个后门的病毒来禁止运行。

Errata Security 则回击道,这些后门通常被认为是诊断界面。但是厂商们通常在产品出厂之前基于成本的考虑,提前断开了这些实体通道界面。但是这些接口可以通过重新连接来使用,这些技巧通常被用在破解消费电子产品上。例如XDA-开发者论坛正是通过这种方法来修改了Galaxy S系列产品。之前的某一版本的Xbox 360也是通过这种方法破解的。

尽管Errata Security的回击合情合理但是我们不得不认真思考Skorobogatov的研究,毕竟留有vector的硬件芯片还是有被黑的可能的。面对日益增多和复杂的黑客攻击,国家安全部门绝对不能对这样的问题视而不见。

 

1.4 黑客入侵无线网络常用手段

现在无线宽频上网越来越流行,但许多无线网络并没有采取安全防护措施,不但易遭黑客入侵,而且事后追查凶手都很困难。

专家提醒,黑客入侵无线网络通常采用以下四种手段:

方法一:现成的开放网络

过程:黑客扫瞄所有开放型无线存取点(Access Point),其中,部分网络的确是专供大众使用,但多数则是因为使用者没有做好设定。

企图:免费上网、透过你的网络攻击第三方、探索其它人的网络。

方法二:侦测入侵无线存取设备

过程:黑客先在某一企图网络或公共地点设置一个伪装的无线存取设备,好让受害者误以为该处有无线网络可使用。若黑客的伪装设备讯号强过真正无线存取设备的讯号,受害者计算机便会选择讯号较强的伪装设备连上网络。此时,黑客便可等着收取受害者键入的密码,或将病毒码输入受害者计算机中。

企图:不肖侦测入侵、盗取密码或身份,取得网络权限。

方法三:WEP加密攻击

过程:黑客侦测WEP安全协议漏洞,破解无线存取设备与客户之间的通讯。若黑客只是采监视方式的被动式攻击,可能得花上好几天的时间才能破解,但有些主动式的攻击手法只需数小时便可破解。

企图:非法侦测入侵、盗取密码或身份,取得网络权限。

方法四:偷天换日攻击

过程:跟第二种方式类似,黑客架设一个伪装的无线存取设备,以及与企图网络相同的及虚拟私人网络(VPN)服务器(如SSH)。若受害者要连接服务器时,冒牌服务器会送出响应讯息,使得受害者连上冒牌的服务器。

企图:非法侦测入侵、盗取密码或身份,取得网络权限。

 

1.5 网秦发布吸费蝙蝠二代预警 黑客吸费超8万

网秦“云安全”监测平台近日发布紧急安全预警,在全球率先发现今年3月被曝光的恶意吸费软件“吸费蝙蝠”的变种升级版本——“吸费蝙蝠二代”。据悉目前受感人数已经超过2万,业内人士推测按每部每天扣费4次,每次扣费1元来计算,前已经黑客获利超过8万。

网秦安全专家刘先生表示,“吸费蝙蝠二代”伪装成热门游戏应用“植物大战僵尸”诱骗用户下载,与其前代“吸费蝙蝠”相比,继承了在植入手机后可自动判别地理位置来发送扣费短信,并屏蔽当地运营商的业务确认短信,自动回复确认开通的功能。而病毒升级后的伪装程度和扣费功能力都有大幅提升,让用户在不知情的状态下落入吸费陷阱。

 

 

手机、钥匙和钱包成为现代人出门必不可少的“三大件”。手机已经迅速进入人们生活中的各方面。手机的功能有了极大的拓展,最初的手机仅仅可以用来打电话、发短信,而现在使用手机上网、视频、购物等功能的用户也越来越多。而正是手机超强的拓展特性,让一些不法分子盯上了其中的“商机”。

据网秦“云安全”监测平台统计, 2012年第一季度查杀到Android手机恶意软件3523款,同比去年同期增长247%,直接感染手机达412万部。中国大陆地区以26.7%的感染比例位居全球首位,国内方面,广东省以23.4%的居首,北京、上海紧随其后。
业内人士认为,随着手机技术的不断发展以及市场竞争的加剧,智能手机操作系统的种类也越来越统一,这使手机恶意代码更加易于广泛传播。手机病毒与电脑病毒不同其威胁也更大,很多人有手机24小时开机的习惯,而有些病毒就自设了时钟,在白天与夜晚有不同的动作。因此,病毒有可能趁你熟睡之机大肆行动。

 

2. 本周关注病毒

2.1 病毒名称:Backdoor.Win32.Hupigon.co(后门病毒)
警惕程度★★★

该病毒通过网络传播,病毒会偷窃用户隐私信息,还可能远程控制用户计算机,给用户计算机安全带来极大危害。

 

2.2 病毒名称:Trojan.Win32.Fednu.ufl(木马病毒)
警惕程度★★★

病毒运行后,会释放病毒驱动程序,替换系统服务并结束杀毒软件。为进一步扩大传播范围,病毒会通过局域网和U盘进行传播。电脑中毒后还会被开设后门,成为黑客肉鸡,不断下载盗号木马。

 

2.3 病毒名称:Trojan.PSW.Win32.AliPay.pj(木马病毒)
警惕程度★★★★

该变种木马将自身伪装成商品图片,骗取用户点击。点击运行后,会关闭Windows自带的系统防火墙,便于其实施木马行为。接下来通过修改注册表键值,实现开机自动启动。当用户访问某些第三方支付平台进行支付时,病毒会自动保存cookie,并在注册表中更改支付软件相关注册表信息。这样在用户使用第三方支付平台的时候,病毒伺机窃取用户账户以及密码,发送到黑客指定的服务器。

 

3. 安全漏洞公告

3.1 Cisco IOS XR软件路由处理器拒绝服务漏洞

Cisco IOS XR软件路由处理器拒绝服务漏洞

发布时间:

2012-05-31

漏洞号:

BUGTRAQ ID: 53728
CVE ID: CVE-2012-2488

漏洞描述:

Cisco IOS XR是下一代网络和思科运营商路由系统。
Cisco Ios Xr 4.2.1之前版本在实现上存在安全漏洞,此漏洞源于Cisco 9000系列聚合服务路由器(ASR),路由交换处理器(RSP440)或承载路由系统性能路由处理器(CRS)不恰当地处理特制报文,远程未验证的攻击者可通过发送特制的报文到受影响系统利用此漏洞造成拒绝服务。

安全建议:

厂商补丁:
Cisco已经为此发布了一个安全公告
链接:http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120530-iosxr

 

3.2 多个DeltaV产品多个远程漏洞

多个DeltaV产品多个远程漏洞

发布时间:

2012-05-31

漏洞号:

BUGTRAQ ID: 53591
CVE ID: CVE-2012-1814,CVE-2012-1815,CVE-2012-1816,CVE-2012-1817,CVE-2012-1818

漏洞描述:

DeltaV是艾默生过程管理系统部提供适用于不同规模的过程管理方案,以及功能强大的方便易用的过程控制和设备管理,全新结构体系的过程控制系统和数字自动系统。
多个DeltaV产品在实现上存在多个远程漏洞,利用这些漏洞可允许攻击者窃取Cookie验证凭证、访问或修改数据、执行任意代码、拒绝服务等。

安全建议:

厂商补丁:
emersonprocess
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www2.emersonprocess.com/en-US/brands/DeltaV/Pages/index.aspx

 

3.3 libcrypt 'crypt()'密码加密漏洞

libcrypt 'crypt()'密码加密漏洞

发布时间:

2012-05-31

漏洞号:

BUGTRAQ ID: 53729 CVE ID: CVE-2012-2143

漏洞描述:

libcrypt是ANSI C加密库。
libcrypt在实现上存在密码加密漏洞,在处理某些包含无法用7位ASCII代表的字符时,crypt()函数中使用的DES实现存在编程错误,攻击者可利用此漏洞绕过使用受影响crypt()函数加密其用户密码的应用验证机制,当输入包含仅最高有效位设置了(0x80)的字符时,该字符和其后字符都会被忽略。系统不使用crypt()或仅使用crypt()处理7位ASCII的不会受到影响。

安全建议:

厂商补丁:
sourceforge
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://jocr.sourceforge.net/index.html

 

3.4 Asterisk IAX2通道驱动程序拒绝服务漏洞

Asterisk IAX2通道驱动程序拒绝服务漏洞

发布时间:

2012-05-30

漏洞号:

BUGTRAQ ID: 53722
CVE ID: CVE-2012-2947

漏洞描述:

Asterisk是一款实现电话用户交换机(PBX)功能的自由软件、开源软件。

Asterisk在IAX2通道驱动程序的实现上存在安全漏洞,在启用MOH后,AST_CONTROL_HOLD结构无法通过空数据,可造成应用崩溃。

安全建议:

厂商补丁:

Asterisk
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://downloads.asterisk.org/pub/security/

 

3.5 Xinetd安全限制绕过漏洞

Xinetd安全限制绕过漏洞

发布时间:

2012-05-30

漏洞号:

BUGTRAQ ID: 53720 CVE ID: CVE-2012-0862

漏洞描述:

Xinetd是一个来源于BSD inetd的安全替代产品,最初是由panos@cs.colorado.edu开发的。
Xinetd在实现上存在安全限制绕过漏洞,在启用了tcpmux-server访问后,xinetd没有配置服务,而是利用tcpmux端口公开了所有启用的服务,攻击者可利用此漏洞绕过防火墙的安全限制,通过tcpmux端口访问服务。

安全建议:

厂商补丁:
Xinetd
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.xinetd.org/