当前位置: 安全纵横 > 安全公告

一周安全动态(2012年10月11日-2012年10月18日)

来源:安恒信息 日期:2012-10

2012年10月第三周(10.11-10.18)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 黑客入侵全球百所大学 120万笔资料遇泄

黑客团体GhostShell首领DeadMellox透过Twitter宣布,名为“西风计划Project WestWind”的新一轮攻击行动已经入侵全球百所大学,120万笔个人资料已被公开供大众下载。黑客称他们入侵时发现许多服务器早就藏有恶意软件,并且其他黑客可能是为了信用卡资料而来。“西风行动” 的目的在于提高大众注重大学的信息安全问题,并指责当前的教育政策等相关问题。

安全公司Identity Finde分析黑客的资料时发现,这些资料含有3.6万笔电子邮件帐号,其中大约一万笔资料包含姓名、电话、地址、生日、婚姻状态、种族等等,不过并没有信用卡、身份证字号、银行帐号等敏感信息。部分帐号的密码仍为Hash加密状态,但大部分的密码为明码方式呈现。

该公司认为遭入侵的服务器可能遭受典型的SQL Injection攻击而导致资料外泄,且遭攻击的服务器都位于分支机构,而这些大学的中央网络系统可能都未被入侵。这也凸显大学信息安全维护工作的困境——因学术自由等因素,无法执行严格、统一的安全政策。黑客公布的服务器名单中包含了许多名校,如哈佛、剑桥、史丹福都名列其中。其中史丹福大学已向媒体承认有两个部门的网站被入侵,约翰霍普金斯大学的安全部门则还在验证是否如黑客所言有五部服务器遭入侵。其他受害的大学还包含德州大学、纽约大学,瑞士的苏黎世大学、日本东京大学、意大利罗马大学等。

GhostShell是美国知名黑客团体Anonymous的分支之一,八月下旬该团体曾经公布地狱火计划Project Hellfire,宣称该波攻击入侵了全球上百个政府机构及银行组织,公开的资料达上百万笔,其中包含美国中央情报局及华尔街等机构信息。

1.2 菲律宾呼吁“黑客”停攻击

菲律宾官员6日说,一部针对网络犯罪的法律引起争议,激怒“黑客”,继而攻击发布自然灾害应急信息的网站。

这部法律旨在打击网络诈骗、个人身份信息盗窃、垃圾邮件和儿童色情。反对者指认法律限制自由,迫使网民自我审查;允许政府监视邮件、视频聊天和即时通信等网络活动,未经法院授权即可关闭政府认为与犯罪活动相关的网站。

总统贝尼尼奥·阿基诺5日为法律辩解,而他的发言人阿比盖尔·瓦尔特第二天就披露黑客攻击事件,涉及政府发布自然灾害应急信息的网站以及气象、地震和海啸监测机构、社会福利机构在社交网站的账户。

瓦尔特呼吁停止网络攻击:“许多人受到影响……我们知道(一些网民)反对《国家网络犯罪预防法》,其实有其他方式表达”。

她没有披露网站遭破坏程度,所涉及的网站似乎6日下午开始恢复运行。

菲律宾处于环太平洋火山地震带,地震频发,经常遭受台风袭击,政府借助网站发布预警信息,向民众提供灾害数据和建议。

菲律宾最高法院已经受理要求宣布这部法律不合法的请愿书。

1.3 安全团队发现3G协议漏洞 可能导致用户位置被追踪

近日,英国伯明翰大学安全研究团队发现3G移动手机中存在一个很容易导致用户成为被追踪对象的漏洞。目前还没有任何有效补丁软件可以修复这一问题。我们都知道,3G网络标准的设计初衷是为了保护用户在使用网络过程的信息。网络中的国际移动用户识别码(IMSI)则一般通过签署临时移动用户识别码(TMSI)进行保护。而在TMSI更新时,3G网络也将不会被任何人追踪。

不过,这一设想现在已经得到了该研究团队的否定。他们发现当成功骗过一个IMSI网页请求时就可以随意破解以上说的这些方法。而这样的一个网页请求往往能够提供用户的所在地信息。

除此之外,研究团队还发现了存在于AKA协议中的一个漏洞,一旦IMSI遭到删除,那么AKA就可以在某一个区域内被转发到其他用户的手机上,并且除了目标用户之外,其他人都可以通过身份验证。

领导这项研究的伯明翰大学研究人员将在本月举行的ACM Conference on Computer and Communications Security会议上公布漏洞细节。

1.4 海南省安监局官方网站屡屡被黑

“海南省安全生产监督管理局(以下简称省安监局)的网站,模仿安徽省安全生产监督管理局的网站,部分内容直接从安徽的网站粘贴过来,例如组织结构的内容,连领导名字、介绍、致辞都是安徽省生产监督管理局的。”9日,网友“海角惊涛”在某论坛发布的一个标题为《海南省安全生产监督管理局网站惊现大错误》的网帖,引起网友热议。

网帖:部分内容系直接从同行网站粘贴过来

日前,网友“海角惊涛”在某论坛上发布了一个标题为《海南省安全生产监督管理局网站惊现大错误》的网帖,引起网友热议。该网友称,“海南省安全生产监督管理局的网站模仿安徽省安全生产监督管理局的网站,部分内容直接从安徽的网站粘贴过来。”同时,该网友还粘贴了几张“海南省安全生产监督管理局”网站的截图,以及安徽省安监局网站的截图作为对比。记者对比发现,“海南省安全生产监督管理局”的官网内,不仅局机构设置、领导名字、致辞,甚至一些工作动态、联系电话等板块内容,都与安徽省安监局的网站内容一模一样,主页仅有一条信息是关于海南的。但两网站的背景色不同。“出现如此大的纰漏,是相关工作人员的一时疏忽吗?”有网友跟帖称。但也有网友怀疑该网站为“假网站”。

记者在百度里搜索“海南省安全生产监督管理局”时,点击进入搜索结果第一条的网址“http://dycc.tianya.com/”后发现,里面的内容确实与网友所说的一样。到底是怎么回事呢?记者决定进行求证。

部门:原官网屡遭恶意篡改,今年7月已停用

昨日上午,记者来到了省安监局了解情况。据该局办公室相关负责人王先生介绍,在百度搜索栏内键入“海南省安全生产监督管理局”时,搜索结果第一条的网址系被黑客篡改过的,该网站系省安监局原官方网站,但早在今年7月时就已停用,搜索结果第二条的网址才是现在正在使用的省安监局网站。

随后,王先生打开“http://ajj.hainan.gov.cn/”省安监局网站。记者浏览该网站后发现,两个网站的页面虽然一样,但王先生所打开的网站里面的内容确为海南省安监局的信息。

据介绍,该局于2011年4月与海南一家公司签订网站维护协议。但从去年开始,该局网站网页多次被不法分子篡改,并且问题一直无法解决。这不仅可能让用户敏感数据失窃,还严重威胁到该局网站运行安全,此事引起省政府领导、省信息化建设领导小组、省公安厅和该局领导的高度重视。为此,该局与该公司解除网站维护协议。

王先生表示,已停用的网站因还未取消,所以再次遭到不法分子的入侵篡改。目前,他们正在联系国家有关单位,尽快把该网站撤掉,以免给群众造成误导。

1.5 中国好声音对于企业IT建设的借鉴意义

2012年夏天中国最火热的电视节目是什么?也许大部分人的第一反应可能就是《中国好声音》。

不错,这档由荷兰引进的电视节目,一直从欧洲火到美洲现在又火到了中国。每到星期五的晚上微博上简直就被《中国好声音》的信息刷屏一样,第二天到了单位,你往往也能够听见无论是男女都会对昨天晚上的节目侃侃而谈。

而这档节目的火热从高达6000千万的冠名费和每15秒就高达50万的广告费就可以看出端倪,它的影响力已经直追中国电视节目顶峰——05年的《超级女声》。其实,在观众已经审美疲劳的情况之下,近几年的选秀节目已经非常疲软,为什么中国好声音会如此异军突起,仔细观察起来,节目组的对于资源的整合能力起到了非常关键的作用,而这种整合的思想,其实对我们IT,也有一定的借鉴意义。

复杂资源有效整合

中国好声音的成功首先是对于资源整合的成功,其中包括了制作平台、播出平台、选手、推广平台的共同合作。尤其值得一提的是,好声音的选手都是节目组逛遍网站论坛,去各地的音乐学院酒吧、文工团,一旦遇到“好声音”,就录下音频,记录编号并传回总部,由音乐总监和导演组完成挑选。这保证了资源的丰富性。

联想到企业在进行IT建设的时候,尤其是在采购环节的时候,如果企业能够将备选的范围扩大,能够多多进行各个厂商的比较,甚至能够去他们的其他客户企业去参观去了解,那么企业在选型的成功率上要高很多。如果只是被动地等厂商过来推销,只听他们的一面之辞,那么就很有可能造成一次不合理的采购,轻的造成资源的浪费,而重的甚至影响到整个IT架构,造成整个IT系统效率低下。

另外,目前的新兴技术也层出不穷,无论是大的诸如云计算、大数据这样涉及到企业IT架构的,还是小的诸如各种移动应用、物联网技术等等,只要能为企业所用,取长补短是一个有效的整合资源的方式。

利益捆绑,合作共赢

另外,《好声音》这个节目能火,跟四位导师在台上拼命“互掐”也有关系,他们的表演往往能够制造许多话题,成为节目收视率的又一保证,那么,这内部是一种什么样的机制,保证了导师参与的积极度呢?答案就是,导师与制作方的深度合作,以前其他选秀评委都是打包给与出场费,而好声音的导师则没有一分钱的出场费,但是他们会参与节目最终的选手的演唱会、彩铃,这样导师一旦加入就与自己的学院捆绑在一起,同时也带着自己的资源去帮助学生发展。

在企业IT建设中,企业与IT厂商的合作方式,如果能够借鉴这种方式的话,说不定对企业会更有益处。目前,IT厂商与企业有着各种形式的深度合作,甚至深入到企业架构的设计当中,IT厂商说得头头是道,他们的IT产品或者解决方案对于企业是否产生了积极影响,企业的盈亏与他们毫无关系。如果大胆地畅想一下,如果在未来,IT厂商无偿为企业提供IT服务,但会根据企业的最终营收进行分成,那么,IT厂商对企业的支撑力度会不会更大,也更有效果,这其实是一个可以值得思考的问题。

而这样的案例也不是没有,美国的一家云计算平台供应商就针对中小企业提供一种服务模式:云计算平台的资源中小企业尽管用,这家公司还会专门派出技术或者服务支持,而这家公司将从这些企业最终的年度利润中按照一定的百分比提取。这无疑是一种双方共赢的模式。

找准痛点主动创新

好声音能够成功的第三个方面,就是对于模式的颠覆与创新。尤其值得一提的是实现了导师与学院的双向选择。过程中,导师只能凭借声音去判断学员,一旦转过身去就就必须接受学员的选择。这有两个好处,首先凭声音判断强化了节目选出“好声音”的主题,第二学员选择老师不仅给人感觉新鲜,同时造成了导师对学员的互抢夺,最终获益的是学生,栏目的话题性也更多。

而IT创新对我们的企业的IT也是非常重要,由于网络的发展,市场变得更加的复杂,经济环境的变化更加迅速,企业之间的竞争也更为明显。这个时候企业需要在产品与服务的研发创新,市场推广的创新,客户服务的创新上,做更多的努力。而在业务越来越依赖IT的趋势之下,这一切最终的落脚点都要在企业IT之上。如何有一个非常灵活高效的IT架构,去支撑业务的快速创新,渠道的创新,甚至于是IT本身就作为一种创新的产品,能够直接面向客户,给客户提供一个耳目一新而又有实际价值的东西。

良好沟通默契配合

最后,要成功地完成一个项目,良好的沟通是非常非常重要的。中国好声音当中,学员不是完美的,几乎每一个学员都其弱点。这一点在哈林组非常的明显,然而通过沟通,导师能够发现每一个人的闪光点,并且把他们的优势都组合起来,这样造就了哈林团队虽然整体实力不强但是其四强赛异常的精彩。

在企业IT建设当中,许多IT主管会抱怨其IT预算太少,不能够每次采购都买到最优的产品。然而在企业信息化建设的过程当中,软硬件产品并不是成功的唯一条件,如何有效地整合业务流程、如何优化企业IT架构、如何实现高效的运维服务,这些都需要CIO去考虑,如何在这些方面进行协调衔接,将各个环节的价值发挥到最大,这才是企业IT建设的根本。

2 本周关注病毒

2.1 Trojan.Win32.Fednu.uja(蠕虫病毒) 警惕程度 ★★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.2 Worm.Win32.Autorun.txd(蠕虫病毒) 警惕程度 ★★★

该病毒通过U盘等可移动存储设备传播,病毒会双进程守护的功能,下载大量木马病毒,给用户造成很大安全隐患。

2.3 Backdoor.Win32.Hupigon.cr(后门病毒) 警惕程度 ★★★

该病毒通过网络传播,病毒会偷窃用户隐私信息,还可能远程控制用户计算机,给用户计算机安全带来极大危害。

3 安全漏洞公告

3.1 Apache HTTP Server 'LD_LIBRARY_PATH'不安全库加载任意代码执行漏洞

Apache HTTP Server 'LD_LIBRARY_PATH'不安全库加载任意代码执行漏洞

发布时间:

2012-10-10

漏洞号:

CVE ID: CVE-2012-0883

漏洞描述:

Apache HTTP Server是Apache软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,由于其多平台和安全性被广泛使用,是最流行的Web服务器端软件之一。
Apache HTTP Server 2.4.2之前版本内的envvars (即envvars-std)在LD_LIBRARY_PATH内放置了零长度的目录名称,通过在执行apachectl时在前工作目录内木马DSO,可允许本地用户获取权限。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://www.apache.org

3.2 Microsoft SQL Server Report Manager跨站脚本执行漏洞(MS12-070)

Microsoft SQL Server Report Manager跨站脚本执行漏洞(MS12-070)

发布时间:

2012-10-10

漏洞号:

CVE ID: CVE-2012-2552

漏洞描述:

Microsoft SQL Server是关系数据库管理系统。
SQL Server Report Manager内存在反射XSS漏洞,可允许攻击者注入客户端脚本到用户的IE实例中。该脚本可欺骗内容、泄露信息、欺骗用户。

安全建议:

Microsoft已经为此发布了一个安全公告(MS12-070)以及相应补丁: MS12-070:Vulnerability in SQL Server Could Allow Elevation of Privilege (2754849) 链接: http://www.microsoft.com/technet/security/bulletin/MS12-070.asp

3.3 IBM WebSphere Commerce 未明安全漏洞

IBM WebSphere Commerce 未明安全漏洞

发布时间:

2012-10-09

漏洞号:

CVE ID: CVE-2012-4830

漏洞描述:

IBM WebSphere Commerce 提供了一套完整的SOA电子商务模型与集成方案。
IBM WebSphere Commerce 6.0至6.0.0.11版本、7.0至7.0.0.6版本中存在未明漏洞。远程攻击者可利用该漏洞通过未知向量获取用户的个人数据。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接: http://www-01.ibm.com/support/docview.wss?uid=swg21612484

3.4 多个Cisco产品多个远程拒绝服务漏洞

多个Cisco产品多个远程拒绝服务漏洞

发布时间:

2012-10-11

漏洞号:

CVE ID: CVE-2012-4662,CVE-2012-4663

漏洞描述:

思科是互联网解决方案的领先提供者,其设备和软件产品主要用于连接计算机网络系统。
多个思科产品存在多个远程拒绝服务漏洞,成功利用后可造成受影响设备崩溃并重载。受影响产品:Cisco Firewall Services Module (FWSM)、Cisco ASA 5500 Series Adaptive Security Appliances、Cisco Catalyst 6500 Series ASA Services Module。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://www.cisco.com/warp/public/707/advisory.html

3.5 PostgreSQL JDBC驱动程序交互错误SQL注入攻击漏洞

PostgreSQL JDBC驱动程序交互错误SQL注入攻击漏洞

发布时间:

2012-10-08

漏洞号:

CVE ID: CVE-2012-1618

漏洞描述:

PostgreSQL JDBC驱动程序可允许Java程序连接到PostgreSQL数据库。
PostgreSQL JDBC 8.2之前版本结合使用启用了"standard_conforming_strings"选项的PostgreSQL服务器时存在交互错误,无法正确转义某些JDBC语句参数,可允许远程攻击者执行SQL注入攻击。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://www.postgresql.org