当前位置: 安全纵横 > 安全公告

一周安全动态(2012年11月08日-2012年11月15日)

来源:安恒信息 日期:2012-11

2012年11月第二周(11.08-11.15)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 网络攻击的发展趋势

目前,Internet 已经成为全球信息基础设施的骨干网络,Internet 的开放性和共享性使得网络安全问题日益突出,网络攻击的方法已由最初的零散知识点发展为一门完整系统的科学。与此相反的是,成为一名攻击者越来越容易,需要掌握的技术越来越少,网络上随手可得的攻击实例视频和黑客工具,使得任何人都可以轻松地发动攻击。网络攻击技术和攻击工具正在以下几个方面快速发展。

一、网络攻击阶段自动化

当网络安全专家用“自动化”描述网络攻击时,网络攻击已经开始了一个新的令人恐惧的“里程碑”,就像工业自动化带来效率飞速发展一样,网络攻击的自动化促使了网络攻击速度的大大提高。自动化攻击一般涉及四个阶段。

1)扫描阶段

攻击者采用各种新出现的扫描技术(隐藏扫描、告诉扫描、智能扫描、指纹识别等)来推动扫描工具的发展,使得攻击者能够利用更先进的扫描模式来改善扫描效果,提高扫描速度。最近一个新的发展趋势是把漏洞数据同扫描代码分离出来并标准化,使得攻击者能自行对扫描工具进行更新。

2)渗透控制阶段

传统的植入方式,如邮件附件植入、文件捆绑植入,已经不再有效,因为现在人们普遍都安装了杀毒软件和防火墙。随之出现的先进的隐藏远程植入方式,如基于数字水印远程植入方式、基于DLL(动态链接库)和远程线程插入的植入技术,能够成功地躲避防病毒软件的检测将受控端程序植入到目的计算机中。

3)传播攻击阶段

以前需要依靠人工启动工具发起的攻击,现在发展到由攻击工具本身主动发起新的攻击。

4)攻击工具协调管理阶段

随着分布式攻击工具的出现,攻击者可以很容易地控制和协调分布在 Internet 上的大量已经部署的攻击工具。目前,分布式攻击工具能够更有效地发动拒绝服务攻击,扫描潜在的受害者,危害存在安全隐患的系统。

二、网络攻击智能化

随着各种智能性的网络攻击工具的涌现,普通技术的攻击者都有可能在较短的时间内向脆弱的计算机网络系统发起攻击。安全人员若要在这场入侵的网络战争中获胜,首先要做到“知彼知己”,才能采用相应的对策组织这些攻击。

目前攻击工具的开发者正在利用更先进的思想和技术来武装攻击工具,攻击工具的特征比以前更难发现。相当多的工具已经具备了反侦破、只能动态行为、攻击工具变异等特点。

反侦破是指攻击者越来越多地采用具有隐蔽攻击工具特性的技术,使得网络管理人员和网络安全专家需要耗费更多的时间分析新出现的攻击工具和了解新的攻击行为。

智能动态行为是指现在的攻击工具能根据环境自适应地选择或预先定义决定策略路径来变化对他们的模式和行为,并不像早期的攻击工具那样,仅仅以单一确定的顺序执行攻击步骤。

攻击工具变异是指攻击工具已经发展到可以通过升级或更换工具的一部分迅速变化自身,进而发动迅速变化的攻击,且在每一次攻击中会出现多种不同形态的攻击工具。

三、漏洞的发现和利用速度越来越快

安全漏洞是危害网络安全最主要的因素,安全漏洞并没有厂商和操作系统平台的区别,他在所有的操作系统和应用软件都是普遍存在的。

新发现的各种操作系统与网络安全漏洞每年都要增加一倍,网络安全管理员需要不断用最近的补丁修补相应的漏洞。但攻击者经常能够抢在厂商发布漏洞补丁之前,发现这些未修补的漏洞同时发起攻击。

四、防火墙的渗透率越来越高

配置防火墙目前仍然是企业和个人防范网络入侵者的主要防护措施。但是,一直以来,攻击者都在研究攻击和躲避防火墙的技术和手段。从他们攻击防火墙的过程看,大概分为两类。

第一类攻击防火墙的方法是探测在目标网络上安装的是何种防火墙系统,并且找出此防火墙系统允许哪些服务开放,这是基于防火墙的探测攻击。

第二类攻击防火墙的方法是采取地址欺骗,TCP序列号攻击等手法绕过防火墙的认证机制,达到攻击防火墙和内部网络的目的。

五、安全威胁的不对称性在增加

Internet 上的安全是相互依赖的,每个 Internet 系统遭受攻击的可能性取决于连接到全球 Internet 上其他系统的安全状态。由于攻击技术水平的进步,攻击者可以比较容易地利用那些不安全的系统,对受害者发动破坏性的攻击。随着部署自动化程度和攻击工具管理技巧的提高,威胁的不对称性将继续增加。

六、对网络基础设施的破坏越来越大

由于用户越来越多地依赖网络提供各种服务来完成日常相关业务,攻击者攻击位于 Internet 关键部位的网络基础设施造成的破坏影响越来越大。对这些网络基础设施的攻击, 主要手段有分布式拒绝服务攻击,蠕虫病毒攻击、对 Internet 域名系统 DNS 攻击和对路由器的攻击。尽管路由器保护技术早已成型,但许多用户并未充分利用路由器提供加密和认证特性进行相应的安全防护。

1.2 中国篮协官网被黑谁所为 篮协领导感到无辜被攻击

网站被黑这样的事件,最近可谓是发生了不少,尤其是钓鱼岛问题不断升级的时刻,那段时刻经常有爆料说,日本的那个网站挂上了钓鱼岛是中国的字样。然而最近中国篮协官网被黑了,至今还不知道是谁干的,而最让篮协领导想不到明白的是,篮协为什么就会成为了被攻击的对象呢?从中国篮协官网被黑上面所显示出来的日文可以看出,中国篮协官网还是受到了钓鱼岛事件的牵连。

一位亲临季前赛现场观战的篮管中心领导刚刚获知情况,他表示,“政治争端与篮球运动无关,不理解为何篮协官网会成为黑客的目标。”他还表示,篮协肯定会考虑增强官网的安全性。

这名来自篮管中心竞赛部的领导也是在现场通过记者获知篮协官网被黑的消息,他透露前几天也曾发生过类似事件,但对今晚官网再遭攻击的具体情况并不了解。同时,他也表示了对篮协成为黑客目标的不解,“中国篮球和钓鱼岛争端没有任何关系,卷入政治没有任何道理。另外平时官网受关注的程度也不算高,很难理解。”

篮协领导的确不大明白篮协官网被黑客攻击的原因,毕竟这是体育型的网站,和政治扯不上多大的关系。就是之前日本那些被黑的网站都和政治有着一定的关系。而篮协官网被黑,实在让人有些搞不清理由了,一个受关注程度并不太高的体育机构的网站也许才是那些不够专业的黑客所攻击的对象,因为这次篮协官网上显示出来的日文实在太不够专业了,就好像是电脑翻译出来的那样。同时,篮协领导也表示今后要加强官网的安全性。

1.3 AVG报告显示黑客盯上手机银行 盗取银行财产

AVG于近日发布了2012年第三季度社群威胁报告,深度解析了黑客们是如何编写Zitmo(全称Zeus-in-the-mobile)恶意软件的。这个恶意软件能够在用户们毫无戒备的情况下,将他们的智能手机连接到僵尸网络,网络罪犯们凭此窃取他们的网银信息,盗取他们的银行财产。

一份2012年发表的普华永道报告(全球四大会计事务所之一)预测:2015年数字银行将成为全球储户的优先选择。前不久,美联储研究指出,约有21%的手机用户在过去12个月内使用过手机银行业务;2012年7月份,欧盟五国有3000万人通过智能手机登入银行账户,同比上涨了85%;而在中国,伴随着电商业的不断发展,人们使用手机银行办理业务早已屡见不鲜。Zitmo是从早期旨在盗取个人电脑信息的宙斯病毒发展而来的。AVG持续关注宙斯病毒的发展态势,并且掌握了黑客们是如何散布针对手机平台(尤其是安卓)的病毒、对手机银行进行攻击等。

与此同时,黑客们通过臭名昭著的“黑洞攻击包”,针对有影响力的社交网络(如Facebook)发起密集攻击,让社交网络用户也成为了待宰的羔羊。网络犯罪分子通过操纵多台外部广告服务器,在短短八小时之内使有记录的攻击事件从25起顿然上升到超过160万起,使得用户们无法登入账户、连接游戏服务器或使用应用程序。但是,安装了电脑和智能手机最新安全防卫软件的消费者们则有效的避免了攻击。

“Zitmo不是什么新鲜的恶意软件;但是网络犯罪分子们使用这类恶意软件发起攻击的方式,也随着用户习惯的更改而不断变化,这让人很担忧”,AVG公司高级安全专家Tony Anscombe说道。“我们总是提醒用户们在搜索和下载智能手机应用程序时要采取防范措施,这是因为未经认证的第三方网站通常是犯罪分子们上传带病毒流程软件的黄金宝地。人们常常中招,因为他们不清楚自己的手机上是否有恶意软件。所以说,手机用户们最好安装手机安全防卫软件,保持软件的实时更新,并且在使用手机银行业务和社交网络服务时留个心眼”。

1.4 研究员发现Apache设置不严 暴露server-status

近日,国外安全研究人员发现由于对apache设置不严,导致服务器状态暴露于公网。本来apache有一个叫server-status 的功能,为方便管理员检查服务器运行状态的。它是一个HTML页面,可以显示正在工作的进程数量,每个请求的状态,访问网站的客户端ip地址,正在被请求的页面。

但是如果这个页面对公网开放,就会存在一些安全隐患,例如任何人口可以看到谁在访问网站,甚至包括一些本来隐藏的管理页面。

以下是研究人员发现一些大型网站也存在这样的问题:

http://php.net/server-status/

http://metacafe.com/server-status/

http://cloudflare.com/server-status/ (FIXED)

http://disney.go.com/server-status/ (FIXED)

http://www.latimes.com/server-status/

http://www.staples.com/server-status/

http://tweetdeck.com/server-status/ (FIXED)

http://www.nba.com/server-status/

http://www.ford.com/server-status/

http://www.cisco.com/server-status/

http://www.chicagotribune.com/server-status/

http://www.yellow.com/server-status/

更多的列表看见:

http://urlfind.org/?server-status

修复方法:

http://httpd.apache.org/docs/2.2/mod/mod_status.html。

1.5 成功的网络攻击提高应对网络犯罪成本

根据Ponemon研究所的最新调查发现,在三年时间内,针对企业的网络攻击增加了一倍以上,这提升了企业应对攻击的成本。2012年网络犯罪成本调查(2012 Cost of Cyber Crime Study)发现,网络攻击成本从2011年平均每家公司每年840万美元增加到890万美元,增加了6%。

由惠普公司委托的这次调查对不同行业的56家企业进行了调查,这56家公司都遭到攻击者的成功攻击,并且其网络也已被渗透。这次调查是使用基于活动的成本核算方法来收集数据--Ponemon使用该方法分析公司行为,而不是采用问卷调查方法。这是Ponemon研究所在第三个年度发布这样的报告。

调查显示:“基于这些调查结果,企业需要更加提高警觉,保护好企业最敏感和最机密的信息。”安全研究人员很早就注意到互联网地下经济,那里充斥着兜售自动工具包的网络犯罪分子以及僵尸控制者,他们出租其恶意服务器以使任何人可以执行大规模网络攻击。2011年网络犯罪成本调查还指出,日益频繁的攻击给IT安全团队带来压力,也提高了与安全防御和事件响应活动相关的成本。

内部和外部成本

Ponemon调查发现,信息盗窃和业务中断仍然是最高的外部成本,占总外部成本的44%,这比2011年上升了4%。业务中断和损失的生产力占外部成本的30%,比2011年上升了1%。在成功攻击后,内部活动也提高了阻止和清理攻击的成本。恢复和检测是最昂贵的与网络犯罪相关的活动。Ponemon报告指出,运营开支和劳动力是这些活动中的主要成本。

网络攻击增加

Ponemon研究所主席兼创始人Larry Ponemon表示,从2010年平均每周50次攻击增加到平均每周102次成功的攻击,这种攻击的增加让他感到震惊。攻击者不厌其烦地攻击企业,对于他们而言,只要存在利益,他们将继续攻击。

这项调查也列举了企业面临的攻击类型。所有这些接受调查的公司都遭遇过病毒、蠕虫和木马程序,其中95%面临着恶意软件,71%受到僵尸网络攻击。最昂贵的攻击是通过恶意代码和拒绝服务攻击来执行的攻击。

最高年度平均成本的行业是国防、公用设施和能源以及金融服务。除了美国企业的数据外,Ponemon研究所还分析了英国、德国、澳大利亚和日本的企业的行为。Ponemon发现,恢复和检测是每个国家最昂贵的两个网络犯罪内部成本。

Ponemon指出,这些国家的关键区别在于网络犯罪的外部成本。英国和澳大利亚最主要的成本是业务中断,而德国和美国则是信息丢失。业务中断和信息丢失给日本也带来相当的损失。与英国或澳大利亚的企业相比,美国和德国的企业在打一场不同的战斗。企业应该使用安全工具来缓解攻击。他表示,部署安全网络技术能够有所改进,并降低整体成本。除了工具外,企业需要良好的管理做法,“企业必须应对这个非常昂贵的问题,因为它不会那么快消失。”

2 本周关注病毒

2.1 Trojan.Win32.Delf.zdg(木马病毒)

警惕程度 ★★★

该病毒运行后关闭多种杀毒软件和安全工具,添加注册表启动项,最终会访问黑客指定网站下载大量病毒,给用户电脑安全带来隐患。

2.2 Backdoor.Win32.Fednu.re(后门病毒)

警惕程度 ★★★

病毒运行后,删除Windows自动更新的服务,将自身添加为"Microsoft Windows Uqdatemts Service",实现开机启动。随后,黑客会自动收集用户电脑的系统版本、磁盘等信息。病毒最终可实现利用IE浏览器访问黑客指定网站、下载大量盗号木马、盗取用户电脑中的隐私文件等恶意行为。

2.3 Backdoor.Win32.PcClient.ypn(Pcshare远程控制后门)

警惕程度 ★★★★

该病毒伪装成国家公务员考试资料,引诱用户点击下载。病毒运行后会在系统目录下释放一个dll程序,黑客可通过该dll,查看用户电脑上的任何文件,并可以私自打开用户的摄像头,对用户进行远程监视。

3 安全漏洞公告

3.1 Apache Axis和Axis2/Java SSL证书验证安全绕过漏洞(CVE-2012-5785)

Apache Axis和Axis2/Java SSL证书验证安全绕过漏洞(CVE-2012-5785)

发布时间:

2012-11-07

漏洞号:

CVE ID: CVE-2012-5785

漏洞描述:

Axis2是一个Web服务的核心支援引擎。
Apache Axis2/Java 1.6.2及更早版本,没有正确验证服务器主机名是否匹配X.509证书主题CN或subjectAltName字段的域名,可允许通过任一有效证书执行中间人攻击,欺骗SSL服务器。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://httpd.apache.org/

3.2 Apache Axis和Axis2/Java SSL证书验证安全绕过漏洞(CVE-2012-5784)

Apache Axis和Axis2/Java SSL证书验证安全绕过漏洞(CVE-2012-5784)

发布时间:

2012-11-07

漏洞号:

CVE ID: CVE-2012-5784

漏洞描述:

Axis2是一个Web服务的核心支援引擎。
PayPal Payments Pro、PayPal Mass Pay、PayPal Transactional Information SOAP及Apache ActiveMQ内的Java Message Service实现内使用的Apache Axis 1.4及更早版本,没有正确验证服务器主机名是否匹配X.509证书主题CN或subjectAltName字段的域名,可允许通过任一有效证书执行中间人攻击,欺骗SSL服务器。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://httpd.apache.org/

3.3 Apache Tomcat拒绝服务漏洞

Apache Tomcat拒绝服务漏洞

发布时间:

2012-11-07

漏洞号:

CVE ID: CVE-2012-2733

漏洞描述:

Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。
Apache Tomcat 7.0.0-7.0.27、6.0.0-6.0.35存在拒绝服务漏洞,在解析请求标头时,"parseHeaders()"函数(InternalNioInputBuffer.java) 没有正确验证允许的大小,可被利用触发OutOfMemoryError意外,DIGEST身份验证机制没有正确检查服务器nonces,攻击者可利用此漏洞造成拒绝服务。

安全建议:

请更新到5.5.36、6.0.36、7.0.30
Announcement2.2:Apache HTTP Server 2.2.23 Released
链接:
http://www.apache.org/dist/httpd/Announcement2.2.html

3.4 Apache Tomca DIGEST身份验证多个安全漏洞

Apache Tomca DIGEST身份验证多个安全漏洞

发布时间:

2012-11-07

漏洞号:

CVE ID: CVE-2012-3439

漏洞描述:

Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。
Apache Tomcat 7.0.0-7.0.27、6.0.0-6.0.35、5.5.0-5.5.35存在多个安全漏洞,成功利用后可允许攻击者绕过安全限制并执行非法操作。

安全建议:

请更新到5.5.36、6.0.36、7.0.30
Announcement2.2:Apache HTTP Server 2.2.23 Released
链接:
http://www.apache.org/dist/httpd/Announcement2.2.html

3.5 多个IBM WebSphere产品安全限制绕过漏洞

多个IBM WebSphere产品安全限制绕过漏洞

发布时间:

2012-11-07

漏洞号:

BUGTRAQ ID: 56396

漏洞描述:

IBM WebSphere DataPower XC10是提供160G栅格存储的设备。 IBM WebSphere eXtreme Scale是云环境下的分布式对象缓存解决方案。
IBM WebSphere DataPower XC10、IBM WebSphere eXtreme Scale使用硬编码凭证进行服务器之间的身份验证,以明文发送传送凭证,导致攻击者执行中间人攻击或模拟受信任服务器。

安全建议:

IBM已经为此发布了一个安全公告(swg1PM68296)以及相应补丁:
swg1PM68296:SRVE0260E: The server cannot use the error page specified for your application to handle the Original Exception printed below.
链接:
http://www-01.ibm.com/support/docview.wss?uid=swg1PM68296