当前位置: 安全纵横 > 安全公告

一周安全动态(2012年10月18日-2012年10月25日)

来源:安恒信息 日期:2012-10

2012年10月第四周(10.18-10.25)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 高校网络安全事件进高发期 受害者多为女生

中国政法大学危机管理研究中心10月16日发布了关于高校网络安全事件的研究成果:自2006年以来,我国校园网络安全事件至少发生39起。受害者基本上集中在年轻漂亮的女大学生这一社会群体;从涉事高校来看,名校受袭曝光的比例相当高;发生地域最集中的是北京和武汉。从事发时间来看,每年的六七月份全国高考考试、高校本科招生时段和高校每学期期末(如秋季学期期末一月份、夏季学期期末七月份)时段是高校网络安全事件发生的集中时间段,其次是每年的八九月份。

黑客和在校生作案

自2006年起,中国政法大学危机管理研究中心便持续关注和搜集相关信息,根据他们的统 计,2006年1例,2007年3例,2008年11例,2009年7例,2010年11例,2011年2例,2012年4例。“虽然年份分布不太均匀, 但是近几年是高校网络安全事件高发的时期。”该中心副教授张永理说。

高校网络安全事件主要指高校网站受到外来非法攻击并且造成一定损害的事件,或高校在校师生的合法权益被非法公布于众从而对当事人及学校造成恶劣影响或一定损失的网络事件。

据张永理介绍,该研究中的“高校”主要定位为公办专科及其以上教育层次的高等学校,民办高校和相关教育行政部门则不在此研究之列;已经毕业的学生也不在讨论范围。

研究表明,从肇事者主体来看,基本上集中在网络黑客和在校大学生两大类群体。其中,黑客入侵行为有25例,占事件总数的64.1%;高校在校学生行为有14例,占事件总数的35.9%。肇事者团伙作案的现象也日益增加。

半数以上为了钱

该研究报告指出,基于非法牟利动机(如招生诈骗、黑客恶意添加录取考生、黑客入侵邮箱骗取钱财、黑客入侵高校网络篡改学生成绩等)的高校网络安全事件有20例,占总数的51.3%。

值得注意的是,“在非法牟利的群体中,有相当一部分是在校大学生,而这些在校大学生中大多数为来 自贫困家庭的男生。他们一方面为极端贫困长期困扰,另一方面又有强烈的脱贫欲望,加上其中一部分人在电脑方面有一定天赋,在贫困的折磨、欲望和利益的诱惑 下,这些人很容易就走上了违法犯罪的歧途。”张永理说。

基于感情因素如泄愤、报复等有7例,占总数的17.9%。这其中,有的是基于对教育制度不满而借用清华、北大校长的名义抨击教育制度,有的是对学校管理不善发泄不满,还有的是因考试挂科心生不满而私下篡改高校网页以泄愤。

名校受袭比例高

研究报告指出,受害者多为年轻漂亮的女大学生。如2008年6月23日的海南师范大学艳照门事件、2008年11月17日的南昌大学50名女生隐私网上遭曝光事件、2010年2月25日的北影女生网曝不雅视频事件、2012年6月17日的黑 客盗取华中科技大学女生证件照建比美网站事件,等等。

从涉事高校来看,名校受袭曝光的比例相当高。如北京大学、清华大学、北京师范大学、中国人民大学、武汉大学、华中科技大学、中南财经政法大学、上海交通大学、复旦大学等都曾与相关事件联系在一起。

另外一个现象是,发生地点最集中的是在北京和武汉。发生在北京的有12例,占总数的30.8%;在武汉的有9例,占总数的23.1%。上述两地合计占53.9%,占总数一半以上。

高校应对多被动

该研究认为,高校自身的管理不善直接造成了网络安全事件。高校尤其是名校人才济济却频频发生安全事件,缺乏基本的风险管理措施。

在应对上,也显得颇为被动,鲜见马上对系统进行升级、删除相关联接、发布声明、向公安机关报案等应对措施。“几乎看不到他们启动相关应急预案的应急相应程序方面的报道,高校本身的网络安全事件的应对体制、机制和应急预案都需要重新审视。”张永理说。

研究还发现,对于肇事者的处罚畸轻也是高校网络安全事件频发的原因。39例事件中,处罚结果有的仅仅是批评教育,有的虽然判刑但量刑较轻且多为缓刑。

1.2 打击网络金融犯罪,神马不是浮云

“神马都是浮云”是一句网络流行语,而20岁的程序写手高阳却把它用作了新型木马病毒的名字。在短短两个月的时间里,这匹“神马”通过QQ传播在全国各地横冲直撞,窃走近百名受害人网银账户内的资金,涉案金额达1000多万元,制造了全国最大一起网银盗窃团伙案。近日,江苏省徐州市公安局网警支队破获了这起盗窃案。这匹神通广大的“神马”,最终成为网络中的过眼浮云。

自1996年国内发现首例利用计算机网络实施金融犯罪案件后,各地涉及计算机网络的金融犯罪频频发生。从国内金融业现状来看,在电脑广泛运用的银行结算、支付业务领域,网络安全还是一个较为薄弱的环节,理应引起业界的高度重视。尤其是对于一些银行电子化起步较晚,缺乏足够的财力和技术力量来解决计算机安全隐患的基层金融单位,潜在的风险更大。据报道,目前国内电子商务站点中,90%以上存在严重的安全漏洞。统计表明,近年来利用网络进行各类违法犯罪的行为,在中国正以每年30%的速度递增,目前已发现的黑客攻击案约占总数的15%。中国95%上网的网管中心都遭到过境内外黑客攻击或侵入,其中银行、证券机构是黑客攻击的重点。

网络金融犯罪是一种高技术、智能型犯罪、由于网络本身有安全系统的保护,并且网络金融犯罪通常是以电磁信息形态出现的,所以使得一般人不易察觉到计算机内部软件资料发生的变化,不像其它犯罪那样有确凿的书证和物证。有时,金融犯罪行为虽已实施,但从外表上看不出什么变化,对网络运行也毫无影响,这就使得受害人很难觉察到犯罪行为的发生。即使犯罪行为已经被发现,仍有侦查上的困难,例如收集证据困难,犯罪现场不明确等等。此外,实施计算机金融犯罪的行为人,一般来说都是从事计算机专业或者与计算机有关的专业人员,他们大多数受过良好的教育,具有相当程度的计算机知识,且精通计算机软件和计算机操作技巧。为了达到犯罪目的避开计算机安全系统的保护和稽查,犯罪行为人往往事先编制好犯罪程序,具有相当的反侦查能力。计算机犯罪具有的专业性、隐蔽性、多样化等特点,无疑给公安机关侦破增加了一定的难度。

“徒法不足以自行”。执法与立法同等重要,来自打击网络犯罪第一线的报告并不容乐观:当前全社会对金融网络犯罪的防范意识和能力相当薄弱,司法机关在计算机金融犯罪方面的侦破能力、审判能力也不是很强。预防和打击金融网络犯罪并不是一个轻松的话题。

值得一提的是,针对当前网络违法犯罪形势依然严峻、网上安全管理秩序仍存在诸多问题的实际情况,在前期打击整治网络违法犯罪专项行动已取得明显成效的基础上,公安部决定自今年8月继续组织全国公安机关开展深化打击整治网络违法犯罪专项行动,严厉打击各种网络违法犯罪,有效整治和规范互联网秩序。

公安部有关负责人表示,通过集中打击整治,公安机关力争破获一批网上重大违法犯罪案件,摧毁一批网上违法犯罪团伙,打掉一批从事非法活动、现实危害突出的网站、账户,并会同相关部门整顿一批问题突出的网络平台和网络服务商、运营商,使利用互联网从事违法犯罪活动明显减少,网络环境得到明显净化,人民群众依法使用互联网的意识明显增强,使用互联网的安全感和信任度明显提高。同时,公安机关还将充分发挥广大人民群众的力量,积极落实举报奖励政策;不断完善多警种联动合成作战机制,固化经验,建立一套打击网络违法犯罪的长效机制。

1.3 渗透测试员分享黑客最常利用的那些漏洞

网站遭到攻击以及各种数据泄露事故(例如Anonymous攻击排名前100的大学)让企业疑惑这些攻击者是如何侵入系统以及为什么这么容易攻击。这些遭受攻击的不同企业中存在哪些常见漏洞?攻击者最常利用的漏洞是哪些?

我们询问了很多渗透测试人员,他们通常能够利用哪些主要漏洞,这些渗透测试人员有些在大学和企业环境工作,有些是每周为各种类型客户执行渗透测试的全职安全顾问。

这些渗透测试人员几乎都有类似的漏洞清单。每份清单的最前面都是SQL注入、跨站脚本(XSS)或者不安全的网站。令人惊讶吗?不尽然。通常情况下,Anonymous选择入侵的方法主要是通过SQL注入。一旦web服务器和底层数据库服务器受到破坏,就很容易利用这些服务器的信任关系,并存储密码来攻击其他目标。

Include Security公司的高级安全分析师Christian von Kleist表示,在外部渗透测试中,web服务器通常是他最先注意到的。他表示:“我的很多渗透测试获得成功,只是因为我能够利用网络中不安全的web应用程序。”

当von Kleist被问到为什么他认为web应用程序通常布满漏洞时,他表示,那些创建这些软件和保护网络的人员之间存在断层。“他们独立工作,在开发软件过程中很少涉及安全性,最终结果就是开发过程中的漏洞将部署到生产环境。”

还有哪些漏洞榜上有名呢?包括应用服务器、网络设备和内容管理系统暴露的行政和管理界面,其次是设备打印机和视频会议系统泄漏的信息;过时的和/或不受支持的软件,通常还具有不安全的默认配置;以及暴露的web服务。

Secure Ideas公司高级安全顾问Kevin Johnson表示:“我们经常会发现,行政或管理界面能够被外部攻击者看到。”一些例子包括:JBoss、Tomcat和ColdFusion的基于web的管理界面,以及SSH和SNMP等管理服务。

Johnson表示,经常被安装的软件数据包包括ColdFusion或者JBoss服务器,而没有意识到这些服务器包括管理员控制台。Christian表示:“这些管理控制台通常使用默认登录凭证,或者存在常见漏洞。”

除了意外暴露的管理界面,渗透测试者还利用了来自互联网网络设备泄露的信息,包括打印机和视频会议系统泄露的信息。由于打印机和视频会议系统通常使用默认登录凭证或者干脆没有设置密码,攻击者可以窃取用户名、密码和内部IP地址,甚至对内部系统发动攻击。

去年,Rapid 7公司的首席安全观HD Moore演示了如何通过网络扫描来轻松地识别视频会议系统。他发现互联网中5000个系统正在等待自动接听呼叫。其中一些,他能够“窃听附近的谈话以及记录周围环境的视频—甚至查看20英尺外笔记本屏幕上的电子邮件。”

Secure Ideas公司的Johnson表示,最糟糕的事情之一是web服务或者业务以及端点的暴露。

“这些服务通常由业务合作伙伴或者应用程序使用,例如营销部门使用的移动应用程序,”他表示,“由于这些端点被设计为使用客户端应用程序来通信,而不是直接通过用户,开发人员通常认为这些只需要较少的控制,因为应用程序时‘值得信赖的’。”

为什么大家担心暴露的web服务?Johnson表示,缺乏安全控制让它们很容易成为攻击者的切入点。在他们的渗透测试中,他们可以直接展示被成功利用的漏洞带来的业务影响。

当然,最大的问题是企业应该如何解决这些问题,这样他们就不会成为攻击目标?在几乎所有情况下,知道网络上有些什么是至关重要的。安全团队应该定期进行网络扫描以识别新的系统和服务。

企业存在的常见问题是不知道哪些是外部可以访问的。除了定期的漏洞扫描(以发现最常见的漏洞)外,企业需要采取措施以扫描所有新主机和服务的面向外部的IP地址。除了定期扫描,在web应用程序的开发、采购和部署过程,应该更多地考虑安全因素,但我们都知道,这件事情说起来容易,做起来难。

1.4 福布斯:境外黑客对华攻击猛增

美刊称,日前,美国国会报告指责中国的电信公司很可能在监视美国公司的消息传出时,中国公司也遭受到前所未有的黑客攻击,包括来自美国计算机系统的袭击。

据美国《福布斯》双周刊报道,外国人非法侵入或监视中国机密系统的情况不断增加。中国国家计算机网络应急技术处理协调中心的网站称,2012年1月至6月期间,大约780万台中国计算机受到来自27900个国外IP地址的袭击。这些袭击的来源大部分在美国,其比例占24%以上。日本紧随其后,占17.2%。接下来是韩国,占11.4%。

中国国家计算机网络应急技术处理协调中心的周永林(音)说:“对我国的网上袭击来自境外,情况正变得越来越严重。”到目前为止,受影响的计算机数量几乎达到2011年全年的数字。周永林说,黑客通过海外的IP地址和服务器用木马病毒侵害系统,创造出大批受感染主机构成的僵尸网络。

报道指出,2012年4月,全球黑客“匿名者”组织说,他们计划摧毁5个中国公司网站。在4月,来自菲律宾的黑客突破几家中国网站。

1.5 卡巴斯基实验室发现迷你“超级火焰”病毒 目前已感染近50家公司

近日,来自卡巴斯基实验室的研究人员表示他们发现了专门用于攻击大型公司的迷你“超级火焰”病毒(miniFlame)。据悉,该种病毒的运作情况跟此前的“超级火焰”(Flame)和Gauss非常相似。而miniFlame的出现似乎将这以上两种病毒联系在一起,甚至可以推测这两种病毒来自同样的开发者。实验室的研究人员表示现在他们接触的到还只是多起中东地区网络攻击的皮毛。

根据实验室提供的报道,我们了解到病毒幕后团伙首先通过Flame窃取数据,然后再从中删选大型公司,然后植入miniFlame这一病毒,从而获得更加详尽的数据信息。

一旦系统先后感染了Flame和miniFlame这两种病毒,攻击者就可以往相应的PC上发送被称为browse32的模块,然后从PC上删除掉Flame病毒,转而植入miniFlame病毒。比较有意思的是,miniFlame具备拦截Flame再次被安装的功能。

研究人员相信截至到目前为止全球已经有将近50家大型公司感染了miniFlame病毒。而他们现在已经发现了miniFlame的六种存在形式。

2 本周关注病毒

2.1 Trojan.Win32.Fednu.uje(木马病毒) 警惕程度 ★★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.2 Trojan.Script.VBS.StartPage.uq(木马病毒) 警惕程度 ★★★

病毒运行后,利用系统文件加载病毒脚本,篡改桌面上所有快捷方式,使用户在点击貌似正常的图标后,运行病毒,访问黑客指定的恶意导航网址。由于病毒会篡改所有桌面快捷方式,导致用户在不经意间疯狂访问恶意网站,从而使用户电脑速度变慢、网速下降甚至在访问恶意网站后,电脑被下载大量盗号木马,使自身利益受到进一步损害。

2.3 Win32.Taris.a(“塔里斯”后门病毒) 警惕程度 ★★★★

病毒程序或是被感染的程序第一次运行,会在windows目录下释放名为ishtar.exe的感染源,并修改注册表,将病毒感染源设置为隐藏,同时开启后门,上传黑客感兴趣的信息到指定的地址。一旦被该病毒感染,用户的隐私信息和网上支付账户都将面临巨大威胁。

3 安全漏洞公告

3.1 Oracle Java SE JRE组件多个子组件远程漏洞

Oracle Java SE JRE组件多个子组件远程漏洞

发布时间:

2012-10-17

漏洞号:

 

漏洞描述:

Sun Java Runtime Environment是一款为JAVA应用程序提供可靠的运行环境的解决方案。
Oracle Java SE在Java Runtime Environment组件的实现上存在安全漏洞,通过多个协议,未通过身份验证的远程攻击者可利用此漏洞影响下列版本的完整性、机密性、可用性:7 Update 7及更早版本、6 Update 35 及更早版本。

安全建议:

Oracle已经为此发布了一个安全公告(javacpuoct2012-1515924)以及相应补丁: javacpuoct2012-1515924:Oracle Java SE Critical Patch Update Advisory - October 2012
链接:
http://www.oracle.com/technetwork/topics/security/javacpuoct2012-1515924.html

3.2 Oracle Sun Solaris 未明安全漏洞

Oracle Sun Solaris 未明安全漏洞

发布时间:

2012-10-18

漏洞号:

CVE ID: CVE-2012-5095

漏洞描述:

Sun Solaris 是一款由Sun Microsystems公司开发的Unix操作系统。
Oracle Sun Solaris 10版本中存在未明漏洞。本地攻击者可利用该漏洞通过与inetd有关的向量,影响保密性,完整性以及可用性。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接: http://www.oracle.com/technetwork/topics/security/cpuoct2012-1515893.html

3.3 Sybase ASE Java操作系统命令执行漏洞

Sybase ASE Java操作系统命令执行漏洞

发布时间:

2012-10-18

漏洞号:

 

漏洞描述:

Sybase Adaptive Server Enterprise是一款企业级数据库,可支持传统的、关键任务的OLTP和DSS应用。
Sybase Adaptive Server Enterprise (ASE)中存在远程任意命令执行漏洞,该漏洞源于没有正确验证用户提供的输入。攻击者可利用该漏洞在受影响应用程序上下文中执行任意命令。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接: http://sybase.com/

3.4 nginx "location"受限制资源服务漏洞

nginx "location"受限制资源服务漏洞

发布时间:

2012-10-17

漏洞号:

CVE ID: CVE-2011-4963

漏洞描述:

nginx是一款使用非常广泛的高性能Web服务器。
nginx允许远程攻击者通过请求内的“.”或某些“$index_allocation”序列,绕过目标访问限制或访问受限文件。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://nginx.net/

3.5 IBM OS/400 HTTP Server跨站脚本执行漏洞

IBM OS/400 HTTP Server跨站脚本执行漏洞

发布时间:

2012-10-16

漏洞号:

CVE ID: CVE-2012-2687

漏洞描述:

OS/400是IBM公司为其AS/400以及AS/400e系列商业计算机开发的操作系统。
OS/400 V6R1M0存在安全漏洞,可导致跨站脚本执行攻击。

安全建议:

IBM已经为此发布了一个安全公告(SE53614)以及相应补丁: SE53614:SE53614 - HTTPSVR - PATCH APACHE VULNERABILITYS CVE-2012-2687
链接:
http://www-01.ibm.com/support/docview.wss?uid=nas2a2b50a0ca011b37c86257a96003c9a4f