当前位置: 安全纵横 > 安全公告

一周安全动态(2012年10月4日-2012年10月11日)

来源:安恒信息 日期:2012-10

2012年10月第二周(10.4-10.11)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 黑客攻破53所大学 在网上公布3.6万人信息资料

据《纽约时报》报道,本周一黑客在网上公布了53所大学的3.6万个个人资料,涉及大学包括哈佛、斯坦福、康奈尔、普林斯顿、约翰·霍普金斯和苏黎世等。

这个黑客团体自称Team GhostShell,他们公开了约3.6万个学生、教职员和工作人员的电子邮件地址、姓名、用户名、密码、地址和电话号码,其中还涉及一些敏感信息,包括学生的生日以及大学雇员的工资单。

一般情况下,黑客都会想方设法获取此类信息,因为它们可被用于偷窃身份、破解银行账户或卖到黑市牟利。大学则是经常受攻击的目标,因为它们有庞大的个人资料纪录。学生也不像成年人那样经常留意账户和信用卡的情况。

斯坦福大学发言人丽莎·安·拉平(Lisa Ann Lapin)证实两个系的网站遭到侵入,但他表示学校的“服务器是安全的”。

1.2 瑞典三军司令部网站遭黑客袭击

瑞典政府、军队、公共服务、银行、媒体等多个领域的主要网站遭病毒攻击而无法访问。瑞典专家表示,此次网络袭击目标分散,难以确定攻击动机。

瑞典三军司令部网站当天因遭过载攻击被迫启动网络防御系统,主动拒绝所有终端对网站服务器的访问请求。瑞典司法部下属的预防犯罪管理局和法院协调局网站也遭受同类攻击。

瑞典铁路公司网站当天上午因遭攻击瘫痪大约1小时20分钟,导致旅客无法在网上订票。瑞典通讯社、瑞典银行、瑞典北欧斯安银行等网站也因遭攻击短暂瘫痪。

瑞通社随后报道称,其网站服务器日志显示,这次过载攻击来自世界各地被攻击者入侵过或可间接利用的“僵尸主机”。

瑞典警方信息技术专家阿尔奎斯特说,此次网络袭击目标包括政府、企业、社会机构等多个层面,涉及媒体、司法等多个行业,但目标分布并无规律,因此难以确定攻击动机。

1.3 匿名者为海盗湾“维护正义” 再次攻击多个瑞典政府网站

近日,黑客组织匿名者在YouTube上提交了一个新视频。在视频,该组织表示为海盗湾以及维基解密创始人阿桑奇“伸张正义”,他们呼吁支持者参与到瑞典政府各大网站的攻击活动中。今天,《华尔街时报》对此事进行了确认。

这个为称为“匿名者组织历史上最伟大的时刻”截止到到目前为止,已经攻击了瑞典安全服务部门、瑞典检察官办公室以及瑞典中心银行等20多个重要网站。不过到瑞典政府没有对此事做出回应。

虽然海盗湾网站已经被关闭多天,但到现在为止人们仍然还不知道它关掉的真正原因。而且,就在这周,海盗湾前运行人PRQ被警方逮捕。不过,海盗湾Facebook主页上表示PRQ的遭捕以及海盗湾的被关没有联系。

1.4 黑客非法入侵案揭删帖黑幕 删帖49条获利8万余

为删除网帖,犯罪嫌疑人非法控制计算机信息系统获取经济利益。在海南省日前公布的一起“黑客”非法入侵案中,记者发现,如今各种“职业删帖”的广告在网络铺天盖地,秒删、快删、慢删被明码标价,一条灰色地下利益链已悄然形成。

神秘消失的帖子令“黑客”浮出水面

入侵论坛计算机系统,非法删帖49条就能获利8万余元,而雇佣其他“黑客”入侵计算机系统收入则更颇为丰厚。这是海口市公安局网警支队近期破获一起网络“黑客”删帖案的“核心故事”。

据警方介绍,去年4月,海南省某大型论坛上出现了一条关于河北某家大型企业送礼名单的帖子,引发网友高度关注,该企业联系网站删帖未能成功。而几天后,网站工作人员却惊讶地发现这条曝光帖子突然消失了。在确定非内部人员所为后,网站向海口市公安局网警支队报案。

经过警方缜密侦查,一个以非法入侵网站论坛,删除帖子获利的“黑客”团伙浮出水面。

办案民警说,湖南籍男子曹某大学毕业后一直没有找到合适工作,后来发现入侵网站论坛删除帖子能非法获利,便开始“招兵买马”。重庆籍男子吕某在网上看到曹某的“招聘信息”与,与其达成协议,开始经营替人删除网站帖子的业务。

2011年5月到10月期间,曹某和吕某合伙非法删除49个凯迪论坛帖子,获利8万余元。除此之外,曹某还以每帖500元到800元的价格承接删除“我爱购物网”“南方网”帖子删除的业务,并找来何某负责,两人为此也获利8万余元。

据犯罪嫌疑人交代,一些企业或个人不愿意负面消息在网络上传播,急切想删帖,无论要价多高,这些人都会支付。

应运而生的“网络危机公关”

记者调查发现,随着网络舆论日益强大。一些企业单位和个人的负面信息曝光率逐渐增多。在这种情况下,“危机公关公司”应运而生,专门负责删除客户在网络上的负面信息,甚至出现了为删帖而非法入侵网站计算机的非法行为。

办案人员说,真正的网络谣言会不攻自破,一些客观存在的负面信息则让事件当事人惶恐不安。随着删帖需求不断增多,一条非法删帖的灰色利益链逐形成。

在本案中,曹某向警方交待,自己只是网络“危机公关”的中间人。在他之上,是专业删帖公司和高级代理人;在他之下,是负责删帖的“黑客”;他只充当一个承接的角色,既不负责跟删帖客户直接联系,也不懂删帖如何操作。

曹某说,他加入大量网络公关的QQ群,在其中承接国内各大知名网站的删帖业务。去年1月,通过互联网和吕某结识后,通过QQ群接收各类删帖业务,交由吕某通过黑客手段进行删除,并将获利的酬金抽取部分给吕某。“每帖收1800元,给吕某1400元,自己收400元。”

一位不愿意透露姓名的论坛工作人员说,一般要求删帖的客户在负面消息曝光后,会找到网络危机公关公司,然后这些公司再联系专业删帖公司,删帖掮客获取信息后交给负责删帖的黑客完成业务。

记者通过QQ联系到了一家显示在大连的删帖公司,发现该公司在淘宝网上有一个专门的网店,上边清晰地说明“各类网站数据维护、新闻、视频、博客、知道、贴吧论坛贴子处理链接”。经过询问,记者得到的答复是,删除知名论坛的网帖需要2000到4000元不等。如果不着急,帖子将在3天内删除,价格略低。如果想快删,收费要高出500元。该公司还表示,还可通过特殊手段进行“秒删”,价格可以商量。

删帖既掩盖事实真相又危害网络安全

一些网络专家急切地告诉记者,删帖这种“拿人钱财,替人消灾”的行为,不但会混淆视听,掩盖事件真相,更会极大程度危害网络安全。

查办案件的王警官说,不法分子正是利用了要求删帖人急于消除负面信息的心理乘虚而入,趁机敲诈勒索,事态一旦扩大,被骗几率很大。而一旦被一些不怀好意的删帖公司盯上,则后患无穷,要花费更多的时间和精力去应对。

2011年,国家有关部门曾在全国联合开展了为期两个月的专项整治行动,包括“删帖公司”在内的一大批从事非法网络公关活动的网站被关闭。但是记者发现,在沉寂一段时间后,“删帖公司”卷土重来。

“我国在网络安全监管方面仍不到位。”海南中邦律师事务所律师张孝民说,一般来说,很多网站都有申请删除信息的正规流程,也不排除一些网站内部人员利用自己的权限与不法分子进行金钱交易,更有甚者,直接入侵网络采用黑客行为,破坏网站数据以达到删除信息目的。

吕某表示,发现凯迪论坛有安全漏洞之后,他曾经告诉论坛工作人员,表示可以义务帮忙修复漏洞,但论坛方面没有理会他。“从纯技术方面讲,很容易恢复”。

中国互联网协会信用评价中心法律顾问赵占领表示,我国对“网络危机公关”并没有明确的法律规范,极易给不法行为提供生存土壤,亟待完善相关的法律法规和监管机制。

1.5 Google警告:提防国家级黑客攻击

全球搜索引擎龙头Google近期侦测到“数以万计”源自中东地区的新一波黑客攻击,因而对用户发出警讯,提醒他们可能遭到怀有敌意的政府发动网络攻击。

英国“每日邮报”报导,Google发送讯息给在国际关系、发展和其他敏感领域任职的用户,通知他们最近有人暗中监督他们的线上历史纪录。 Google经常成为黑客目标,因为Google不单着重搜索,同时也提供用户其他服务,譬如电子邮件、地图和全球最受欢迎的网页浏览器之一 Chrome。

根据“纽约时报”,Google本周发送警语给可能成为黑客目标的用户,属性写道,“警告:我们相信国家资助的黑客可能企图侵入你的帐户或电脑”。

这不是Google第一次侦测到疑似由国家政府发起或支持的不友善网络活动。

Google今年6月首度对少数用户发送网络安全警讯,但随后展开的调查显示,安全漏洞比先前所预期的来得多。

Google安全人员威塞克告诉纽时:“数以万计新用户”将收到警讯,提醒他们帐户遭到入侵。

在顶特宣布自己收到警讯的人包括国安记者和国际智库员工。

威塞克指出,国家资助的黑客攻击特别常源自中东地区,网络间谍在中东“许多国家”十分活跃。

他拒绝说明哪些政府涉嫌主使网络间谍活动,但巴林、伊朗和土库曼共和国等国,最近被控透过网络暗中监督异议分子。

2 本周关注病毒

2.1 Trojan.Win32.FakeIcon.am(木马病毒) 警惕程度 ★★★

病毒运行后修改注册表,实现开机自启动,并在后台建立网络连接,在黑客指定的服务器,下载病毒,盗取大量隐私信息。

2.2 Trojan.Win32.Fednu.uiy(木马病毒) 警惕程度 ★★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.3 CAD伪装大盗 警惕程度 ★★★★

该病毒伪装成acad.fas文件的AutoLisp脚本程序,当用户从包含该文件的文件夹中打开DWG文件时,该病毒会将DWG工程文件和当前硬盘上所有的文件列表,以邮件形式发送到黑客指定邮箱。

3 安全漏洞公告

3.1 Endian Firewall多个跨站脚本执行漏洞

Endian Firewall多个跨站脚本执行漏洞

发布时间:

2012-10-02

漏洞号:

CVE ID: CVE-2012-4923

漏洞描述:

Endian Firewall是开源的防火墙设备。 Endian Firewall 2.4存在多个XSS漏洞,可允许远程攻击者通过createrule参数向dnat.cgi传参、addrule参数向dansguardian.cgi传参、 PATH_INFO参数向openvpn_users.cgi传参,注入任意Web脚本或HTML。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://www.endian.com

3.2 MySQL MyISAM表格符号链接本地权限提升漏洞

MySQL MyISAM表格符号链接本地权限提升漏洞

发布时间:

2012-09-29

漏洞号:

CVE ID: CVE-2012-4452

漏洞描述:

MySQL MyISAM是MySQL关系型数据管理系统5.5之前版本的默认存储引擎。
MySQL存在本地权限提升漏洞,本地攻击者可利用此漏洞提升在受影响计算机上的权限。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://dev.mysql.com/doc/refman/

3.3 OpenStack Keystone令牌验证多个安全限制绕过漏洞

OpenStack Keystone令牌验证多个安全限制绕过漏洞

发布时间:

2012-09-29

漏洞号:

CVE ID: CVE-2012-4456

漏洞描述:

OpenStack Keystone为OpenStack系列计划提供身份、令牌、目录和策略服务的项目。
Keystone 2012.2之前版本的OS-KSADM服务和用户租赁内存在错误,API没有验证X-Auth-Token令牌,成功利用后可允许已经通过身份验证的攻击者绕过某些安全限制,执行未授权操作。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://horizon.openstack.org/intro.html