当前位置: 安全纵横 > 安全公告

一周安全动态(2012年8月9日-2012年8月16日)

来源:安恒信息 日期:2012-8

2012年8月第三周(8.9-8.16)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 两男子利用网络黑客技术非法入侵并破坏政府网站

近日,两男子因利用网络黑客技术非法入侵并破坏无为县政府网站和其他多家政府、教育部门网站被安徽省无为县人民检察院以涉嫌破坏计算机信息系统罪批准逮捕。据悉,这是该县首例破坏计算机信息系统案。

经查,犯罪嫌疑人吴某系浙江省乐清市人,初中毕业后自学计算机技术,2010年开始利用从网络上下载的黑客工具攻击入侵政府、学校及公司企业单位网站,取得网站控制权后以一、二百元的价格卖给做“六合彩”、“股票”网站的人,从中非法获利十四、五万元。2012年5月份,犯罪嫌疑人陈某利用网上QQ和犯罪嫌疑人吴某联系,由吴某利用计算机“黑客”技术多次攻击无为县政府网站(网址:www.ww.gov.cn),吴某取得网站控制权后以一百元的价格将该网站控制权卖给陈某。后陈某将无为县政府网站非法修改链接至其注册的“六合彩”网站,通过非法链接增加“六合彩”网站的流量来挣钱,致使无为县政府网站和其他多家政府、教育部门网站多日、多次无法正常使用。

1.2 葫芦岛市建昌县政府网疑遭黑客入侵(图)

东北新闻网葫芦岛讯(记者 赵月明)“建昌县政府网里面出现了多条与政府信息无关的新闻,是不是被黑客入侵了?”近日,有网友向记者反映葫芦岛市建昌县政府网疑遭黑客入侵,至今尚未处理。

根据网友提供的线索,记者登陆了建昌县政府网站,在首页建昌新闻栏目中看到, 8月3日分别出现了《致管理团队的一封信》等三篇文章。《致管团队的一封信》一文出现了以下内容:

“亲爱的管理团队们,你们的网站存在严重的BUG(漏洞、缺陷的意思),希望你们看到此条公告后速联系……以便得知漏洞的位置,此条公告已经足以证明漏洞。 另外,为了防止密码泄漏,我修改了你们最高权限的管理用户密码,请你们速联系取回……”

根据以上内容,一些从事网络技术工作的网友猜测建昌县政府网被“黑客”入侵的可能性极高,并表示担忧,同时也呼吁相关部门加强网站安全性建设。

政府网作为政府对外展示、公开信息的平台,安全性至关重要。往往一些小小的防范疏忽,就会使政府网的信息准确性及时效性大大降低。部分网站甚至完全丧失对网站的最高管理权限,造成的影响是不可挽回的。所以加强政府网的安全性刻不容缓。

1.3 银行网银只认IE 只因安全控件维护和测试工作量大

“中国工商银行能改进一下你们的网站吗?排名财富500强第54名的公司,网站简陋得像乡镇企业,用Firefox(火狐浏览器)和Chrome(谷歌浏览器)都不能登录你们的系统,只能用IE(微软浏览器),还不能是IE9,得是IE6。你们不脸红吗?”日前,新浪微博上一位名为 “假装的纽约”的用户发布了这样一条微博,引起众人关注,并纷纷吐槽。

那么到底工商银行网上银行支持哪些浏览器呢?其他银行的网站是否也有类似的情况呢?记者进行了调查。

工行网银不认Firefox

记者在Windows环境下分别使用IE9、Chrome和Firefox这3个浏览器查看是否有“假装的纽约”所反映的情况。

用IE9打开中国工商银行网站,点击“个人网上银行登录”,出现“工商银行安全控件”的安装提示。安装完毕后,记者输入卡号、密码、验证码,顺利登录工行网银,并没有发现“不能是IE9,得是IE6”才能登录网银的情况。

Chrome的情况是在登录界面,没有密码和验证码的输入框,的确无法登录。

最新版本的Firefox14则是在登录时提示:“对不起,目前我行个人网银仅支持在Firefox浏览器10.0.X版本使用。”

“假装的纽约”微博投诉后不久,“中国工商银行电子银行”的官方微博回复了这条微博,证实了记者的体验过程:“您好,目前通过Windows平台Firefox浏览器可访问国内中文版个人网银,在Windows Vista 及Windows7操作系统下也可使用IE9,但目前暂不支持Chrome。给您带来的不便敬请谅解!”

而在Mac平台上,记者致电工行服务热线了解到,今年工行正式推出适合Mac 平台Safari 浏览器的网银控件,不过对于操作系统和浏览器的版本有严格要求,需要Mac OS X 10.6.8及Safari5.1或以上版本。

多数银行网银只认IE

“假装的纽约”微博也引来众多评论,网友纷纷吐槽自己的境遇:“每次上网银,Chrome都输入不了验证码,还得换别的浏览器,很麻烦”、“我用的是苹果电脑,平时根本不用IE浏览器,就为了几家银行专门装了个Windows系统”……

《IT时报》记者致电多家银行客服了解到,大多数银行网银只支持IE或者是IE内核的浏览器。

Windows平台上,中国银行网银只支持IE6到IE8版本的IE浏览器登录,其他浏览器均不可以。中国农业银行网银无法支持Firefox浏览器登录。招商银行用户使用Chrome和Firefox可以登录但无法支付。

中国建设银行是最早支持Firefox的银行,用户安装中国建设银行E路护航网银安全组件后,就可以在Firefox中进行查询、转账、支付等操作。而到目前,支持Firefox的也只有建行和工行。

Mac平台也是被各大银行“抛弃”的对象。中行、建行、农行等银行均表示网银暂不支持Mac平台。浦东发展银行网银在Mac平台上,仅支持动态密码版用户,不支持数字证书版用户。招商银行用户则是可在Mac平台上登录,但无法进行支付操作。

安全控件致使IE受宠

据了解,造成这种原因是因为国内的网上银行的密码输入框一般采用了ActiveX控件,而ActiveX 是微软的专有技术,目前只有使用IE 或基于IE 内核的浏览器才能正常登录网上银行,Chrome、Firefox还有Mac平台都不满足条件,除非银行为他们另外重新制作安全控件。

“其实网银对浏览器的支持永远滞后”,一名不愿透露姓名的银行业内人士对《IT时报》记者表示,银行出于安全性的考虑,在网银开发过程中要进行大量测试、严格立项,每一次IE更新,网银都会打补丁,而Chrome和Firefox的更新频率又往往很高,银行是否愿意出力去维护这些小众浏览器的安全控件,往往还要考虑一下。

他透露,目前各大银行正在研究“下一代网银系统”,它将基于HTML5技术实现跨平台操作,打破浏览器之间的技术差异所带来的影响。

相关链接

强大插件应对网银无法登录问题

Chrome和Firefox这两个“非IE核心”的浏览器因为可以自由安装插件而被广大网友所喜爱,在网上,为了应对Chrome和Firefox无法登录网银的问题,大家纷纷使出绝招。

比如在Firefox中,官方最近新推的“firefox网银支付助手”插件就能解决问题,另外还有“解雇IE”、“IE Tab”等一些网友自制插件。而在Chrome中,“ActiveX for Chrome”是网友提供的解决方案之一。

1.4 黑暗降临: FBI称美国劳工部或发生数据泄露?

在2012年7月初,FBI发布消息称美国劳工部的敏感经济数据可能发生泄露。在这个白宫信息都经常泄露的年代,经济数据看起来没什么了不起,可真的是这样么?

在遭遇了2008年的金融海啸后,世界经济遭遇了前所未有的困境,道琼斯指数由14000点上方跌至2009年的不足7000点,投资者的信心也遭遇了前所未有的打击,而经济数据是指引经济走势的重要指标,其中的非农就业指数被认为是影响股市,黄金市场的最重要数据,那么这次劳工部泄露的到底是什么数据呢?

从纽约时报披露的信息来看,可能所有关键的经济数据都有过泄露的历史,包括经济增长幅度,房屋销售,原油价格,就业率和失业率,泄露的原因未知,但是发现若干媒体有多次成功预测经济数据的先例,那么除了占据眼球的媒体,经济数据还能做什么呢?

互联网时代的金融市场存在大量的自动化交易,每秒有上万笔交易完成,交易策略/算法是事先写好的,如果提前知道经济数据,那么大量针对交易数据的交易可以在瞬间完成,之前多只股票如Facebook和苹果的交易触发熔断机制,极有可能是高频自动化交易导致。

令人失望的是,美国劳工部目前采取的安全措施只是禁止记者进入涉密区域时携带手机等通讯设备,仅仅从物理安全的角度考虑问题,明显是严重低估了所面临的风险,只能说Anonymous今年给的教训还不够。

而从金融市场盈利的角度来看,提前获取披露信息的利益极大,相信很多上市企业的内网已经成了渗透师的乐园,如何更好地利用信息,也许你们现在多了一个答案。

相关阅读:

美国劳工部(英语:United States Department of Labor),是美国联邦政府行政部门之一,主管全国劳工事务,成立于1913年3月4日。主要职责是负责全国就业、工资、福利、劳工条件和就业培训等工作。主要机构有人力管理署、劳资关系署和工资、劳工标准署,妇女管理局、工资和工作时间处、劳工标准局、雇工补偿局、联邦合同服从局和劳工统计局。现任部长为2009年上任的希尔达·索利斯(Hilda Solis)。

1.5 伦敦奥运与黑客:泰晤士河边的骇客攻防战

这是一块伦敦奥委会官员不希望任何人注意到的赛场——网络世界的精英黑客之间的较量,一方试图保护奥运会的核心电脑系统,而另一方试图闯入破坏它们。

众黑客希望“留名奥运”

当刘翔、罗伯斯、梅里特,三个世界上最快的栏上旋风刮过伦敦奥运的终点线时,亿万国人热切地在电视机前迎接伟大时刻的到来。不幸的是,此时计时计分系统忽然失灵,一条来自国际黑客组织的消息占领了人们的电视或电脑屏幕。

如果在110米栏、100米跑、50米自由泳等决赛时,判定胜负的计时和摄影系统因为外部介入攻击而突然停止工作,这可能将成为奥运会史上最难堪的丑闻,还好上述事件发生的概率并不大。

正因为此,在伦敦的35个比赛场馆,计分和计时系统是黑客活动分子的“最爱”,一位当地政府安全官员匿名表示,“记录时间和分数的数字系统最容易受到攻击,黑客往往利用它来发表声明,或是对某些利益巨大的犯罪行为下赌注。”事实上,伦敦东部的奥林匹克体育场,已成为一些黑客活动分子的目标。

英国全国反恐专家理查德·克拉克说,网络攻击可能让比赛受到物理水平的威胁,比如比赛中断。可以说,这是更高级别的黑客攻击。

在2008年北京奥运会上,潜在的网络攻击数量达到骇人的12亿次,4年后,伦敦每天恐将迎来14万次可能的网络袭击。

据一位网络安全顾问透露,因入侵美国CIA、国会参议院、日本索尼公司等政府和企业网站“闻名”的LulzSec和其他一些黑客组织,已经铆上伦敦奥运,他们希望自己提出的观点有可能瞬间传遍全球,“即便黑客也想在奥运留下印记。”

今年早些时候,“007就职单位”军情五处负责人乔纳森·埃文斯说,对英国政府和企业的网络攻击已达到“惊人水平”,对网络犯罪分子来说,伦敦奥运会将是一个“有吸引力的目标”。

“隐藏的脸”护驾奥运

这里原本就是世界上最繁忙的码头,如今却是伦敦经济发展的新兴区域。石砌的狭窄街道,华丽的古老建筑矗立两旁。泛黄的路灯,绚丽的橱窗,随处可见各式各样的雕像和络绎不绝衣冠笔挺的绅士。新兴的金丝雀码头(Canary Wharf)呈现的是伦敦的现代气息,这里的地铁线是最新的,当然时速也最快。

大多数人并不知情,伦敦奥运技术运营中心亦坐落于此,负责每分每秒监控全英国的约11500台计算机和服务器。其背后的庞大系统负责传递奥运场馆记分牌上的信息,向运动员发送单项比赛时间表,或是在边境官员电脑上显示入境运动员的注册信息。

在英女王宣布奥运正式开始之前,网络安全主管部门已经邀请“道德黑客”模拟进行了超过20小时的攻击测试。此前北京奥运的类似模拟测试规模不足14小时。

英国媒体为此打出了《Team Geek to keep Olympic Games running》(极客团队保障奥运会进行)的新闻标题。更有趣的是,这数千名“道德黑客”被喻为伦敦奥运“隐藏的脸”,他们亦是运动员,参加一个史上最大的网络运动项目,同时防范网络攻击的威胁。

“这将是一个相当复杂,但不被察觉的网络,我们可能做不到100%,但是它接近100%。”奥运网络安保企业负责人自信满满地说:“非常明显,全世界都在看,胜利是用最小极限单位来测量的,没有第二次的机会。”

伦敦眼、摩天轮都是潜在目标

如果说奥运核心运行系统被很好地“藏”了起来,或者被证明是坚不可摧的,那么可悲的是,黑客将转移攻击目标,例如公交基础设施、金融业或顶级赞助商。

Visa,就是一个可能受攻击目标,它垄断了奥运场馆周边的所有提款机,是奥运会的提供信用服务的唯一供应商。

“黑掉Visa网络后,不让任何人卖东西或买东西,这将造成巨大伤害。”网络安全顾问曼弗雷特说:“当你尝试应对一次已经发生的黑客攻击时,你会发现曾努力设计的防范计划,可能是灾难性的。”

也有人说,伦敦眼是一个值得追逐的目标,或是让摩天轮停止或向后运行,伦敦地铁也是一个很有吸引力的目标,它是整个城市的十字线。

在这些目标面前,伦敦奥运当下“最火”的病毒是什么?例如,Flame和Shady RAT,就连奥运主办方电脑也备受威胁。大名鼎鼎的Flame病毒能间谍并破坏网络系统的能力,曾被用来在今年4月攻击伊朗;而Shady RAT则主要攻击计算机和个人用户,可怕的是,它这些年来的目标是国际奥委会委员们的电脑。

根据最新一期的网络安全报告显示,黑客利用2012年伦敦奥运在网络上进行恶意攻击的案例已经呈现升高趋势,截至目前已经发现有黑客运用伦敦奥运的话题进行乐透彩等赌博诈骗活动。最新作案手法是,黑客摇身一变成为奥运主办单位,假借招聘人力、赢取奥运门票等来实施诈骗。

伦敦奥组委表示他们将会花费7.5亿美元用于奥运科技保障,不过这似乎还远远不够,负责打击网络恐怖主义的英国大臣弗朗西斯·莫德早在5月就曾向数百酒店、培训中心等正在被运动员、教练员、奥运官员和政要使用的相关奥运设施发出警告,伦敦奥运将“不会是免疫网络攻击的”。

好在,目前来看,伦敦奥运做到了“远离黑客” 。

2 本周关注病毒

2.1 Trojan.Win32.AvKiller.ov(木马病毒)警惕程度 ★★★

该病毒试图关闭多种杀毒软件,访问黑客指定的网站,下载木马病毒到本地执行。并通过U盘进行再次传播。

2.2 Trojan.Win32.Downloader.am(木马病毒)警惕程度 ★★★

该病毒会破坏杀毒软件运行,阻止其正常升级,使其无法查杀最新病毒,并下载盗号木马,盗取中毒电脑的隐私信息。

2.3 病毒名称:Trojan.Win32.Downloader.ah(木马下载器)警惕程度 ★★★★

病毒运行后将自我删除,同时在用户的system32文件夹下释放两个驱动,并注册为服务。该病毒会摘除杀毒软件的钩子,破坏某些杀毒程序的升级,同时链接指定的地址,自动下载其他病毒文件。除此之外,该病毒还可以连接系统进程、输入法进程,以实现盗号、记录用户操作等功能。

3 安全漏洞公告

3.1 Oracle Database 'CTXSYS.CONTEXT' Index权限提升漏洞

Oracle Database 'CTXSYS.CONTEXT' Index权限提升漏洞

发布时间:

2012-08-09

漏洞号:

BUGTRAQ ID: 54884

漏洞描述:

Oracle Database是甲骨文公司的一款关系数据库管理系统。到目前仍在数据库市场上占有主要份额。

Oracle Database在实现上存在与CTXSYS.CONTEXT索引相关的不明细节错误,成功利用后可获取SYSDBA权限,但需要DBMS_STATS上的CREATE TABLE和CREATE PROCEDURE权限及EXECUTE权限。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://www.oracle.com/technetwork/topics/security/

3.2 IBM多个产品本地权限提升漏洞

IBM多个产品本地权限提升漏洞

发布时间:

2012-08-09

漏洞号:

CVE-2012-2188

漏洞描述:

IBM硬件管理控制台(Hardware Management Console)提供了标准的用户接口来配置和管理Power System系列服务器以及服务器上的分区。

IBM Power Hardware Management Console (HMC) SP4之前的7R3.5.0、7R7.2.0 SP3之前的7R7.1.0和7R7.2.0、SP2之前的7R7.3.0、SP2之前的Systems Director Management Console (SDMC) 6R7.3.0没有正确限制VIOS viosrvcmd命令,可通过 $ 或 & 字符相关的载体,本地用户可获取提升的权限。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://www.ers.ibm.com/

3.3 JBoss Enterprise Application Platform跨站请求伪造漏洞

JBoss Enterprise Application Platform跨站请求伪造漏洞

发布时间:

2012-08-09

漏洞号:

CVE-2011-2908

漏洞描述:

JBoss企业应用平台(JBoss Enterprise Application Platform,EAP)是J2EE应用的中间件平台。

JBoss Enterprise Application Platform 5.1.1及其他版本在实现上存在跨站请求伪造漏洞,利用此漏洞可允许远程攻击者执行某些未授权操作并访问受影响应用。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://www.jboss.org/

3.4 PHP PDO内存访问冲突拒绝服务漏洞

PHP PDO内存访问冲突拒绝服务漏洞

发布时间:

2012-08-07

漏洞号:

BUGTRAQ ID: 54777

漏洞描述:

PHP是一种HTML内嵌式的语言,PHP与微软的ASP颇有几分相似,都是一种在服务器端执行的嵌入HTML文档的脚本语言,语言的风格有类似于C语言,现在被很多的网站编程人员广泛的运用。

PHP 5.4.3及其他版本在实现上存在远程拒绝服务漏洞,攻击者可利用此漏洞造成Web服务器崩溃,拒绝服务合法用户。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://www.php.net

3.5 Apache Libcloud中间人信息泄露漏洞

Apache Libcloud中间人信息泄露漏洞

发布时间:

2012-08-06

漏洞号:

BUGTRAQ ID: 54798

漏洞描述:

libcloud 是一个访问云计算服务的统一接口,该项目已经成为Apache 组织的顶级项目,采用Python 开发。

Apache Libcloud在实现上存在中间人漏洞,攻击者可利用此漏洞嗅探即时消息会话并获取敏感信息。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://httpd.apache.org/