当前位置: 安全纵横 > 安全公告

一周安全动态(2012年10月25日-2012年11月01日)

来源:安恒信息 日期:2012-10

2012年10月第五周(10.25-11.01)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 保定城管局官网被攻击 黑客留下污言秽语

中国青年网北京10月19日电 河北保定市城市管理行政执法局官方网站(www.bdzfj.gov.cn)今天被黑客攻击,其主页内容遭人篡改,黑客在网页上不仅留下污言秽语,还留下了自己的手机号。

记者随后通过百度快照查看到该网站以往历史网址,查到网址下方所留联系电话。下午16点28分,中国青年网记者致电保定市城市管理行政执法局, 该局办公室有关工作人员尚未知情,在记者提示下才发现网站被黑一事。该工作人员没有对此作出正面答复,只是一再表示会向局领导尽快汇报。为准确了解该网站被黑原因,下午16点38分,记者随后致电该局负责人,该负责人也处于未知情状态,并未给记者做任何解释。晚17点,记者发现该网站服务器关闭。截至记者 发稿时,该网站依旧没有恢复正常。记者随后又电话采访了部分互联网技术专家,有专家表示,目前很多地方政府网站缺乏安全意识,技术上没有及时更新是导致黑 客轻松得手的关键。


下午17点,河北保定市城市管理行政执法局官方网站因遭黑客攻击关闭时的页面

下午18点,输入河北保定市城市管理行政执法局官方网站地址时显示的页面

1.2 山东省卫生厅网站遭黑客侵袭 办证信息充斥网页 卫生厅官网突然遭“黑”

10月18日晚上9点左右,记者登录山东省卫生厅网站 (www.sdws.gov.cn)时发现,该网站卫生要闻、工作动态、地方工作信息等多个版块信息被篡改成“办假证信息”.整个首页密密麻麻全部被“办 证信息”充斥,直到晚上一点多,记者再次登录该网站,页面仍然没有恢复正常。

本月官网数度遭遇袭击

随后记者根据卫生厅网站上的信息维护电话,联系到山东省卫生统计信息中心。一名负责网站信息维护的网管员告诉记者,卫生厅官网这个月已经遭到5、6次攻击了,由于这个网站访问量比较大,黑客的攻击给他们带来了很大的麻烦。当记者询问,网站如果屡次遭到攻击很容易给卫生厅抹黑时,这名网管员告诉记者,省卫生厅网站是由他们“金卫”公司在运营,最近由于设备调整所以遭到了很多攻击,他会尽快把情况上报,对网站防火墙进行升级。

攻击网站要负法律责任

济南网警支队的工作人员告诉记者,网站如果确认自己受到了黑客攻击,可以收集相关证据到当地公安局报案。

济南盛强律师事务所律师马培民说,黑客非法入侵网站的行为应该追究其法律责任。

1.3 汇丰网页遭黑客入侵 金管局:密切关注汇丰黑客攻击,银行可应付

汇控19日公布,集团全球多个网站于昨日凌晨受到黑客攻击,客户无法使用网上服务,惟有关攻击并无影响客户数据。汇控未交代有多少客户受影响,但外电 指,受影响的地区包括英国、美国、巴西及香港。汇控表示,服务在早上回复正常,强调客户资料未有受到影响,对客户构成不便致歉,指会与相关的部门保持紧密 合作。

金管局副总裁阮国恒表示,汇丰遭黑客攻击事件,属於分布式拒绝服务(DDOS)的黑客入侵类型,而金管局一直有密切监察该类入侵,亦有要求本港银行监测此类入侵,并且要求银行在遇到入侵时要做好後备计划,并且要於最短时间内处理。

他表示,於过去一共发生过4次DDOS型黑客入侵,已经要求银行提交具体报告,但相信银行已经有清晰的处理模式。

至於,身兼汇丰银行香港区总裁的冯婉眉,则拒绝评论汇丰黑客事件是否有香港客户受到影响。

1.4 工作中使用个人设备对企业安全造成威胁

当下,由于智能手机的功能日益强大,使其远远超出通讯工具这一简单概念。今天的智能手机是一种功能全面的工作工具,经常被员工使用来访问企业信息。据B2B International 于2012年进行的一次企业IT安全调查显示,33%的企业允许员工利用智能手机访问企业资源,却未对其进行访问授权限制,这对企业安全威胁严重。

据调查,38%的企业会为智能手机的使用进行一些限制,如禁止访问特定网络资源等;19%的企业完全禁止在工作中使用移动设备;只有11%的企业使用了移动设备管理(MDM)软件,确保移动设备的安全同企业的安全策略一致。

目前,“带上自己的设备来上班”已成为企业中的一种新兴趋势。上述设备可以是计算机,也可以是智能手机或平板电脑。但很多公司并没有对这些设备采取限制措施。虽然有34%的受调查公司承认使用个人设备的确会对企业造成威胁,并有55%的企业表示会想办法降低这一风险,但大多数企业IT人员并未对此作出响应。殊不知,安全威胁就在身边——23%的受调查人员曾经遭遇过因为移动设备丢失或失窃造成的企业数据丢失。

尽管将工作相关数据存储在个人移动设备上存在风险,但只有9%的公司计划在未来引入严格的手动设备使用限制策略。有趣的是,接受调查的IT专业人员中,有36%认为尽管各类限制措施层出不穷,但是在工作场所使用个人设备的用户数量仍将持续增长。

1.5 黑客门槛降低:90后网络犯罪引关注

3万多元现金,一眨眼被人转移到巨人网络的账户里变成游戏币。今年3月,家住江苏省徐州市的王先生在互联网上不经意间落入了一个骗局。随着骗局被公安机关侦破,包括木马作者在内的58名犯罪嫌疑人被成功抓获。这些犯罪嫌疑人中,22岁以下的90后年轻人占到40%。

徐州市公安局网警支队苏警官告诉中国青年报记者,从近年侦破的案件来看,互联网犯罪显示出低龄化的特点,“这些年轻人对计算机比较感兴趣,对技术相对来说比较精通。他们天天在网上,没有稳定或正当的经济来源,都是打零工,很容易被引导走上犯罪道路”。

“浮云”木马案件

王先生是一家淘宝网店的卖家,他和顾客在网上讨价还价时,收到一个陌生网友的对话框。该网友自称认识拍拍网公司的人,能帮王先生刷拍拍网店的信誉。随后,王先生接收了对方发送的一个软件包,该网友还似乎“不经意”地告诉王先生,目前支付宝有优惠活动,充值100元送30元,只限当晚。

王先生立即用网上银行向自己的支付宝账户打了2000元,随后电脑屏幕上突然跳出“巨人账户充值成功”的信息。而当王先生查询支付宝账户时,却发现充值没有成功。发觉上了当的王先生果断报了警。

原来,犯罪嫌疑人以发“拍拍新规则”为名,实际向王先生发送的是一种叫做“浮云”的新型木马病毒。这种病毒在受害人使用网银转账的过程中,在后台秘密截取网银转账信息,在受害人不知情的情况下,将受害人网银内的资金秘密转入到犯罪嫌疑人指定的游戏账户。

经过侦查和追踪,徐州警方一举侦破了这个“浮云”木马盗窃团伙,在对涉案资金进行分析整理后警方发现,在不到两个月里,“浮云”木马案件中的受害人达近百人,涉案金额1000多万元。

苏警官向记者表示,利用木马盗窃对技术的要求并不是太高,“他们还算不上黑客,只能说写木马的两个人技术还不错,而对用木马的人就没有太高的技术要求。”

做黑客的门槛降低了

近年来,90后利用网络犯罪的案件不算少见。90后朱凯华从2010年起,利用网银漏洞盗取信用卡,套现300万元,最终,朱凯华因犯信用卡诈骗罪、妨害信用卡管理罪,数罪并罚被判有期徒刑13年6个月,并处罚金人民币35万元。90后青年肖东伟,利用网络非法设置博彩平台,专门用于骗取网友钱财,在短短10天里骗得40余万元,后被山东省冠县检察院以涉嫌诈骗罪批捕。

“对于我们来说,如果真想 黑 一个人的网络系统,通过课堂上的学习内容,以及自己的研究是可以做到的,但我不会去做。因为只是技术研究,自己觉得好玩,别人也会崇拜你的技术能力,但我心里很明白,如果真做了,那是犯法的事,我心里有这个底线。”就读于电子信息工程专业的在校大学生马文(化名)对记者说。

中国人民公安大学心理学教授武伯欣非常关注青少年网络犯罪,在日常研究中经常会接触涉及网络的年轻人犯罪案件,他发现,涉嫌互联网犯罪的高发年龄段在18~25岁,网络对于90后的吸引超过了任何一个年龄段。武伯欣认为:“对于90后,网络是生活中不可缺少的一部分,尤其是生活在乡村的年轻人,网络是他们唯一获得心理满足的途径。”

至于犯罪动机,除去常规的钱、名利、性等动机外,武伯欣认为年轻人好奇的动机很突出,还有游乐的动机,他们根本不知道自己是在犯罪。现在网络上的年轻人不像前辈们那样只注重在现实中通过奋斗获得成功。他们认为在现实中实现不了的,在网络上可以实现。对于有的年轻人为了网络中的虚拟货币、虚拟分数而坐在电脑前,没日没夜,甚至为之犯罪的现象,武伯欣表示,从犯罪心理学角度看,人们犯罪是为了追逐金钱、感官享乐、名利等,而90后表现为“既有现实的追逐,又有对虚幻的迷恋”。

在马文看来,现在做黑客的门槛降低了,网络上很多技术论坛里有现成的文件,只需要自己填写完整后打包就可以。他曾经亲眼看到有所谓的“技术达人”当场向同学们展示黑进一家政府网站,“黑进去以后他就可以更改主页的信息,当时很多人围着他看,他并没有更改,只是证明了他的这种能力”。

减少90后网络犯罪还需多方努力

马文说,他在学校里曾上过“网络技术安全”的课程,主要是讲一些IT协议,内容协议的安全性,但面对一些诱惑时,完全要靠自我约束。他认为,应该加强对青少年的法律常识教育,让每一个互联网从业者在最初接触互联网时,就给自己心里加上一把锁。

参与侦破网银大案的苏警官告诉记者,很多90后犯罪是因为缺乏正确的引导,当他缺钱花时,发现写一款病毒或木马软件可以赚钱,他就会铤而走险。“如果让他们的一技之长有发挥的地方,他们犯罪的可能性就会变小。”苏警官表示,“浮云”木马病毒的主要作者中,有一个就属于这种情况。

在参与侦破的过程中,苏警官感触最深的就是90后犯罪嫌疑人走上犯罪道路与家庭教育不无关系。“家里人对他们的关心比较少,一个木马设计者天天在家里上网,家里问他在干什么,他说做网站,具体做什么,有哪些经济来源,家人都不清楚。另一个设计者是在北京打工,家里人对他的工作状况一无所知。”苏警官表示,现在很多年轻人与父母有代沟,甚至与父母没话讲,出去打工后,家里也不过问,“其实家里的关爱可以从一定程度上改变他们的行为”。

“90后年轻人的家长有的很少使用网络,有的对网络并不熟悉,他们的教育方式滞后,不能适应孩子的需求。”武伯欣认为,社会、学校、家庭都没有对新一代人的教育有所更新,教育手段不能适应教育对象的变化。

90后已然离不开网络。他们寄居于网络生活,上课虽然被禁止,一下课就拿出手机上网。网络弥补了90后成长教育中的种种缺失,同时也很容易让他们在网络中迷失。武伯欣坦言,“在我最近接触的案件中,就曾遇到过为了6块钱上网费而杀人的极端案例。”

在武伯欣看来,减少90后的互联网犯罪还需要多方面的努力。首先,国家相关部门应借鉴国际上的研究成果,不要总讲中国的特殊性,比如建立影片分级制度等;其次,针对网络,不能忽略对未成年人“游乐”软件的管理,这些软件的很多内容对青少年成长不利,甚至在手机上就应该分级;再次,大学课堂缺乏性教育,是否能够通过网络、手机软件等利于青少年接受的形式,对青少年进行此类教育。

2 本周关注病毒

2.1 Trojan.Win32.Fednu.ujn(木马病毒) 警惕程度 ★★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.2 Hack.Exploit.Script.JS.CVE-2012-4969.a(4969脚本病毒) 警惕程度 ★★★

该病毒利用IE漏洞CVE-2012-4969,通过挂马网站进行传播,用户在浏览恶意网站时就会遭受攻击,病毒运行后,黑客可在用户电脑中植入任何病毒,用户将面临隐私泄露、账号被窃等一些列严重威胁。

2.3 Worm.Win32.FakeFolder.by(蠕虫病毒) 警惕程度 ★★★★

该病毒运行后为躲避杀毒软件查杀,会试图结束当前运行的安全软件进程,通过创建注册表劫持项阻止杀毒软件再次启动,甚至还会删除安全软件图标并使其隐藏。病毒作者为避免病毒被手工删除,会破坏操作系统的安全模式,并让用户无法打开注册表编辑器。最终,病毒会在桌面上创建多个钓鱼网站的快捷方式,使用户进入黑客指定网站,为其带来巨大经济利益。

3 安全漏洞公告

3.1 F5 FirePass 远程SQL注入漏洞

F5 FirePass 远程SQL注入漏洞

发布时间:

2012-10-25

漏洞号:

BUGTRAQ ID: 56175

漏洞描述:

F5 FirePass SSL VPN设备允许用户安全的连接到关键业务应用设备上。
F5在FirePass 7.0.0 HF-70-7、6.1.0 HF-610-9的实现上存在SQL注入漏洞,成功利用后可允许未验证的攻击者控制应用、访问或修改数据。

安全建议:

F5已经为此发布了一个安全公告(SOL13656)以及相应补丁, 建议您对FirePass v6.1.0 安装HF-601-9,对7.0.0安装HF-70-7: SOL13656:FirePass SQL injection vulnerability
链接: http://support.f5.com/kb/en-us/solutions/public/13000/600/sol13656.html

3.2 Winmail Server多个HTML注入漏洞

Winmail Server多个HTML注入漏洞

发布时间:

2012-10-25

漏洞号:

BUGTRAQ ID: 56231

漏洞描述:

Winmail Server是一款安全易用全功能的邮件服务器软件。 Winmail Server 5.0 Build 0620及其他版本存在多个安全漏洞,可被利用操作脚本插入攻击。
1)通过"monitorname"参数传递到 admin/main.php("dest"设置为"mailmonitor"时)的输入及 "signname"参数向 admin/main.php传参没有正确过滤即被显示给用户,可被利用插入任意HTML和脚本代码。
2)通过邮件主题传递的输入没有正确过滤即被使用,可被利用插入任意HTML和脚本代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://www.magicwinmail.com/

3.3 多个IBM DB2产品远程栈缓冲区溢出漏洞

多个IBM DB2产品远程栈缓冲区溢出漏洞

发布时间:

2012-10-22

漏洞号:

CVE ID: CVE-2012-4826

漏洞描述:

IBM DB2是一个大型的商业关系数据库系统,面向电子商务、商业资讯、内容管理、客户关系管理等应用,可运行于AIX、HP-UX、Linux、Solaris、Windows等系统。
多个IBM DB2 9.1、9.5、9.7、9.8、10.1产品(AIX、Linux、HP、Solaris、Windows)存在远程栈缓冲区溢出漏洞,在调试存储流程时,其架构内的错误可导致在受影响应用中执行任意代码,或可能会造成拒绝服务。 (CVE-2012-4826)

安全建议:

IBM已经为此发布了一个安全公告(1614536)以及相应补丁: 1614536:Security Bulletin: Buffer Overflow Vulnerability in IBM DB2 SQL/PSM Stored Procedure Infrastructure (CVE-2012-4826).
链接: http://www-01.ibm.com/support/docview.wss?uid=swg21614536

3.4 IBM AIX FTP Client安全绕过漏洞

IBM AIX FTP Client安全绕过漏洞

发布时间:

2012-10-22

漏洞号:

CVE ID: CVE-2012-4845

漏洞描述:

AIX是一个基于开放标准的UNIX操作系统,为用户提供企业信息技术基础架构。
IBM AIX v6.1、7.1及其他版本存在安全漏洞,用户登录后,FTP服务转换UID,可被利用导致绕过某些安全限制并执行未授权操作,例如访问root文件。

安全建议:

IBM已经为此发布了一个安全公告(ftp_advisory1)以及相应补丁: ftp_advisory1:AIX ftp vulnerability
链接: http://aix.software.ibm.com/aix/efixes/security/ftp_advisory1.asc

3.5 IBM Remote Supervisor Adapter II弱密钥漏洞

IBM Remote Supervisor Adapter II弱密钥漏洞

发布时间:

2012-10-22

漏洞号:

CVE ID: CVE-2012-2187

漏洞描述:

IBM Remote Supervisor Adapter是IBM x86服务器上的带外管理接口卡。
适用于System x3650、x3850 M2、x3950 M2 1.13及更早版本的IBM Remote Supervisor Adapter II可生成弱RSA密钥,可导致绕过某些安全限制,执行未授权操作。

安全建议:

IBM已经为此发布了一个安全公告(ssg1S1004218)以及相应补丁: ssg1S1004218:IBM XIV storage systems (MTM 2810-A14, 2812-A14) and IBM XIV Storage System Gen3 (MTM 2810-114, 2812-114) might use SSLV2 and/or weak keys
链接: http://www-01.ibm.com/support/docview.wss?uid=ssg1S1004218