当前位置: 安全纵横 > 安全公告

一周安全动态(2012年9月6日-2012年9月13日)

来源:安恒信息 日期:2012-9

2012年9月第二周(9.6-9.13)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 电商盗号产业链曝光 网站“拖库”为罪魁祸首

日前,知名电商网站亚马逊中国曝出账户被盗事件,消息称此事牵涉用户超过千人,有受害者账户余额被盗号分子购买手机等商品,造成直接经济损失。对此,安全公司第一时间向全体网民发布安全警告:不法黑客利用网站漏洞窃取数据库,进而在电商平台盗号消费已成产业链,建议网民为电商账户单独设置高强度密码,并定期更换,以免其他网站泄密而牵连电商账户被盗。

安全工程师安扬表示,电商盗号产业链分为“拖库”、“扫号”和销赃三个主要环节。“拖库”指黑客攻击网站漏洞,窃取包含用户注册邮箱和密码的数据库;“扫号”指黑客将数据库聚合在一起,专门针对知名电商网站自动化批量登录,;黑客销赃的手段则包括消费受害者账户余额、截取商品,收集受害者电话、地址等个人资料,进行诈骗活动。

图:黑客网站公开提供密码数据库查询服务

“去年底多网站‘泄密门’爆发后,网上公开的注册邮箱和密码达到上亿条,而黑客团伙实际掌握的数据库规模可能远远超过这个数字。”安扬表示,即便只有小于1%的网民在电商网站使用常用注册邮箱和密码,黑客在基于庞大数据库的“扫号”过程中,也能够获取大量电商账户,亚马逊中国曝出的上千账户被盗只是冰山一角,更多电商网站和用户账户可能仍在黑客暗中控制中,出现账户余额等利益时才会显现危害。

据此前发布的《2012上半年中国网络安全报告》显示,国内有超过75%的网站存在高危漏洞,随时可能被黑客入侵“拖库”。甚至有黑客网站公开提供密码数据库查询服务,大量网民的邮箱和密码因此暴露在网上,对账户安全造成严重威胁。

针对用户如何保护自身账户财产,安全专家建议:

第一,电商等重要账户单独设置高强度密码,并定期更换;

第二,如果担心密码太多难以记住,可采用“常用密码+网站名称”的密码格式(或用其他特殊符号代替+),可以提高黑客“扫号”的难度;

第三,电商账户尽可能不存有余额,以免账户被盗造成经济损失。

1.2 索尼移动证实400名中国客户信息被黑客盗走

9月6日消息,据路透社报道,索尼证实,黑客窃取了存储在第三方销售商服务器上的400个中国大陆和台湾客户电子邮件地址和用户名。黑客组织NullCrew曾在Twitter上发布消息称,他们攻击了索尼移动网站,并在网上公布了完整的数据库。NullCrew随后在Pasterbin公布了这些数据,并发布一则消息:对不起,我们对你们的安全感到失望。这只是我们控制的8台索尼服务器中的一台。

他们公布的数据如下:441个带邮件地址的用户名,24个ThinkUser表中带Hashed密码的用户名,3个管理员用户表中管理员的数据。

NullCrew不仅攻击了索尼,还攻击了柬埔寨军队网站并掏空数据库,同时还攻击英国政府网站data.gov.uk,以宣示对朱利安·阿桑奇(Julian Assange)和维基解密的支持。

索尼称,这次攻击没有危及到用户的信用卡信息。不过索尼发言人乔治·博伊德(George Boyd)在东京称,还不清楚攻击的来源。消息人士称,索尼自己的服务器没有被攻击,但其客户信息有时存储在被其雇用,负责销售推广和其他活动的外部公司服务器上。

1.3 蚌埠破获黑客非法入侵案

日前,蚌埠市警方远赴郑州、莆田、上海等地,抓获犯罪嫌疑人王某、张某某、徐某某3人,打掉了一个入侵网站并出售网站控制权进行牟利的犯罪团伙。

今年5月27日,蚌埠市某县政府信息中心工作人员报案称,其在访问县政府网站时发现,网站首页异常,页面被篡改。此后虽经修复,但网站陆续又受到多次篡改,并把县政府网站的链接跳转到一非法出售枪支的网站上。随后,蚌埠警方初步查明,犯罪嫌疑人徐某某自2011年多次攻击网站以获取网站权限,同时以几十到几百元的价格出售网站的控制权限。犯罪嫌疑人张某某、王某从徐某某处购买网站权限后,或者转售给他人,或者挂接非法网站,提高非法网站的访问量牟利。警方在对犯罪嫌疑人使用的计算机勘验后发现,该团伙曾获取控制权的网站近千个,涉及政府、金融、企业等多个领域。目前,三名犯罪嫌疑人因涉嫌非法入侵计算机系统罪被批捕。

1.4 Oracle发布安全警报漏洞修复

由于在刚刚结束的2012黑帽大会上爆出了一系列漏洞,因此Oracle近期发布了针对数据库产品的安全警报漏洞修复。该漏洞是由数据安全咨询顾问David Litchfield在黑帽大会上演示的,包括一系列的概念验证(proof-of-concept)攻击,通过这一漏洞,用户可以将权限提升为DBA(database administrator)级别,并可以通过SQL注入来远程操纵数据库索引记录。

会上Litchfield演示了三个针对Oracle已发布补丁的溢出攻击,这些补丁全部都是两年前报告发布的,其中包括CVE-2010-0902(非特定的OLAP漏洞),CVE-2010-3512(非特定的核心RDBMS组件漏洞)以及CVE-2012-0552(非特定Oracle Spatial组件漏洞)。除上述三个之外,Litchfield还演示了另外一个针对未发布补丁的溢出攻击,并已经提交给MITRE机构的公共漏洞和暴露(Common Vulnerabilities and Exposures,CVE)数据库。

Oracle在本次发布的安全警报(security alert)中建议用户尽快为Oracle Database产品打上补丁,其中涉及到的产品版本包括10.2.0.3、10.2.0.4、10.2.0.5、11.1.0.7、11.2.0.2和11.2.0.3.

在原文中Oracle声称:“由于Oracle融合中间件、企业管理器以及E-Business Suite等产品均包含Oracle Database Server组件,所以上述产品也同样受到本次安全漏洞影响。Oracle建议用户尽快安装补丁程序。”

1.5 黑客组织入侵FBI安全系统 盗取1200万苹果账号信息

北京时间9月4日消息,据外国媒体报道称,黑客组织AntiSec侵入FBI安全系统,获取逾1200万苹果设备账户信息,AntiSec已在网站上贴出100万苹果设备识别码。

据称AntiSec与全球著名黑客组织Anonymous有所关联。AntiSec称已公布100万苹果设备唯一识别码(UDID),设备唯一识别码由一连串唯一数字组成,用于识别每台苹果iOS设备,一般被开发人员用于跟踪苹果用户群中应用程序的安装情况。

AntiSec宣称通过黑入FBI安全系统共获取逾1200万苹果设备唯一识别码(UDID),包括用户姓名、地址、认可标记等信息。AntiSec还在Pastebin网站公布了黑客侵入FBI计算机获取数据的过程。

AntiSec称,2012年3月黑客利用AtomicReferenceArray漏洞攻击纽约FBI特工计算机,并下载部分文件,其中一个文件名为“NCFTA_iOS_devices_intel.csv”包含逾1200万个苹果设备唯一标识信息,包括苹果推送服务标志(APNS)、用户姓名、设备名称、设备类型、手机号码、用户地址等信息。

尽管苹果已表示会开始限制开发人员获取用户信息,Pastebin网站告示称AntiSec贴出这些苹果账户信息是出于怀疑FBI违法使用苹果账户信息,例如用户跟踪等。AntiSec同时反对外界使用设备唯一识别码(UDID)。

AntiSec公告表示,“我们认为使用设备唯一识别码(UDID)真的很不好。这种为硬件设备进行ID编码的概念应该在未来市场上根除。”

尽管AntiSec宣称已获取1200万苹果设备唯一识别码(UDID),AntiSec表示只公布100万相关信息,并在公布信息中裁去如名字全称、手机号码及地址等私人信息。AntiSec告示表示,“我们只公布我们认为足以帮助用户查找自己设备的信息。”

2 本周关注病毒

2.1 Trojan.Win32.VBCode.fux(木马病毒) 警惕程度 ★★★

病毒获得运行后,首先会关闭网络共享和Windows防火墙,导致电脑变得十分脆弱,很容易被黑客和木马入侵。随后病毒访问黑客指定网址下载大量流氓软件。病毒完成这些操作,用户看不到任何通知,随后,病毒进行自删除,整个过程十分隐蔽。除此以外,病毒具有很强的修改空间,病毒作者只要稍作修改,病毒的危害性便大大增加,比如更改网址指向其他的病毒木马。

2.2 Worm.Win32.Autorun.txb(蠕虫病毒) 警惕程度 ★★★

该病毒通过U盘等可移动存储设备传播,病毒会双进程守护的功能,下载大量木马病毒,给用户造成很大安全隐患。

2.3 Trojan.Win32.Buzus.fyu(“Windows内鬼”木马病毒) 警惕程度 ★★★★

病毒运行后会替换正常的Windows系统文件为病毒主程序,释放由随机数字命名的一个驱动到%WINDOWS%\system32\drivers目录下,通过劫持注册表,达到破坏杀毒软件的目的。同时,病毒会遍历用户磁盘,感染本地磁盘中exe、html、asp、aspx、rar等文件,向其注入病毒代码。除此之外,该病毒会在全局域网内共享,并感染局域网内的所有可感染共享文件,而被感染的电脑将从黑客指定网址下载大量木马。

3 安全漏洞公告

3.1 Oracle Java SE远程JRE漏洞

Oracle Java SE远程JRE漏洞

发布时间:

2012-09-04

漏洞号:

CVE ID: CVE-2012-0547

漏洞描述:

Sun Java Runtime Environment是一款为JAVA应用程序提供可靠的运行环境的解决方案。
Oracle Java SE 7 Update 6及之前版本、6 Update 34及之前版本的JRE组件中存在不明细节漏洞,影响目前未知。

安全建议:

Oracle已经为此发布了一个安全公告(alert-cve-2012-4681-1835715)以及相应补丁: alert-cve-2012-4681-1835715:Oracle Security Alert for CVE-2012-4681 链接: http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-1835715.html

3.2 Apache Struts跨站请求伪造和拒绝服务漏洞

Apache Struts跨站请求伪造和拒绝服务漏洞

发布时间:

2012-09-03

漏洞号:

 

漏洞描述:

Apache Struts是一款开发Java web应用程序的开源Web应用框架。
Apache Struts 2.3.4.1之前版本存在安全漏洞,可被恶意用户利用执行跨站请求伪造和拒绝服务攻击。
1)令牌处理机制没有正确验证令牌名称配置参数,通过操作令牌值参数为会话属性值,该漏洞可被利用执行跨站请求伪造攻击。
2)在处理请求参数时的错误可被利用消耗CPU资源,通过包含OGNL表达式的参数名称可造成拒绝服务。

安全建议:

Apache Group已经为此发布了一个安全公告(s2-010)以及相应补丁:
s2-010:Apache Struts 2 Documentation
链接:http://struts.apache.org/2.x/docs/s2-010.htm

3.3 Linux Kernel 'clock_gettime()'本地拒绝服务漏洞

Linux Kernel 'clock_gettime()'本地拒绝服务漏洞

发布时间:

2012-09-03

漏洞号:

CVE ID: CVE-2011-3209

漏洞描述:

Linux Kernel是Linux操作系统的内核。
Linux Kernel在调用clock_gettime()后存在本地拒绝服务漏洞,攻击者可利用此漏洞造成系统崩溃。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://www.kernel.org/

3.4 Linux Kernel 'taskstats.c'本地拒绝服务漏洞

Linux Kernel 'taskstats.c'本地拒绝服务漏洞

发布时间:

2012-09-03

漏洞号:

CVE ID: CVE-2011-2484

漏洞描述:

Linux Kernel是Linux操作系统的内核。
Linux Kernel 2.6.39.1及之前版本kernel/taskstats.c的add_del_listener函数没有阻止多个注册退出处理程序,通过特制的应用,可允许本地用户造成拒绝服务,绕过OOM限制器。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://www.kernel.org/

3.5 OpenStack Keystone令牌过期多个安全限制绕过漏洞

OpenStack Keystone令牌过期多个安全限制绕过漏洞

发布时间:

2012-09-03

漏洞号:

CVE ID: CVE-2012-3426

漏洞描述:

OpenStack Keystone为OpenStack系列计划提供身份、令牌、目录和策略服务的项目。
OpenStack Keystone 2012.1.1之前版本没有正确执行令牌过期,通过令牌链新建令牌、利用占用禁用用户账户的令牌、利用占用带有变更密码的账户,可允许远程已验证用户绕过目标身份验证限制。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://horizon.openstack.org/intro.html