当前位置: 安全纵横 > 安全公告

一周安全动态(2012年12月06日-2012年12月13日)

来源:安恒信息 日期:2012-12

2012年12月第二周(12.06-12.13)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 黑客攻击10余次 深圳一公司网站瘫痪损失500万

深圳南山警方成功破获一宗特大非法侵入计算机信息系统案,四名涉嫌破坏计算机信息系统的犯罪嫌疑人以及“黑客”幕后的两名黑手已被刑事拘留。

7个多月攻击10余次

今年4月中旬,位于深圳南山区的深圳市环球数码媒体科技研究有限公司(下称“环球数码”)到辖区高新派出所报案称,自去年9月起,其公司培训业务板块的招生网站,持续受到“黑客”恶意攻击10余次,致使其公司的运营网络服务器瘫痪,公司网站无法登录,经公司初步测算给其公司造成约500万元人民币的经济损失。

专案组经过侦查后,初步掌握了这个团伙人员组成活动规律、地点等情况,确定该团伙主要有四名骨干成员,全部在河南省平顶山市,通过网络作案。

跨省抓获四名“黑客”

据介绍,专案组获取到这一重要线索后,于上月初远赴千里之外的河南省平顶山市准备开展抓捕工作,并将涉案的程某丹、申某滨、胡某迅、高某源四名犯罪嫌疑人抓获,当场缴获作案用电脑3台,U盘1个,在缴获的电脑和U盘内发现大量的黑客攻击软件、服务器端口漏洞扫描软件和木马植入工具。

经初审,该四名“黑客”利用黑客软件和服务器IP号段,在互联网上扫描破解环球数码的服务器,获取服务器的管理员权限,将木马程序植入相关服务器,并操作和设置木马程序对目标网站进行攻击,使得目标网站超过限定流量,导致他人无法访问。

为打击对手铤而走险

专案组民警审讯时发现,该四名“黑客”与深圳环球数码公司并无结怨,也无利益冲突,不可能无缘无故自发攻击该公司网站。专案组民警随后加强了审讯的力度,“黑客”们面对警察如实交代了事实:该批“黑客”是受雇佣于北京一家网络培训公司,并交待了两名雇佣男子的情况。

专案组根据“黑客”提供的线索,马不停蹄地赶赴北京对两名雇主实施抓捕。经摸查,专案组最终在北京市海淀区,将两名雇佣“黑客”攻击深圳环球数码网站的两名涉案主犯王某刚、兰某炎抓获归案。经审讯,两名涉案主犯都在北京一媒体公司内身居要职。在铁证面前,两名犯罪嫌疑人交代了雇请“黑客”跨省对深圳环球数码网站进行攻击的犯罪事实。

据嫌疑人交代:涉案主犯王某刚、兰某炎二人所在公司由于与深圳环球数码存在相互竞争关系,所以心生歹念,雇佣“黑客”对其进行恶意攻击,致使该网站瘫痪后无法运作以求本公司获利。

1.2 黑客攻击政府网站被诉 梦想做网络警察

梦想当“网络警察”,学得一身功夫,不想却做起了“网络黑客”,攻击政府网站。记者昨日从怀远检察院获悉,这名天才少年因涉嫌非法侵入计算机信息系统罪,被公诉至法院。

被告人张某, 1993年12月出生,从小就有长大当一名“网络警察”的梦想, 13岁时便学得一手硬功夫,可惜没有用在正道上,却做起了网络“黑客”。据检察机关查明,他先后攻击过河南省、辽宁省、广西壮族自治区政府网站和一些公司网站。

今年5月份,张某在网上发现一幅帖子,要悬赏1500元人民币取得安徽省某网站的权限。张某为利所诱,和同乡王某(1991年出生)一起,通过一系列非法操作,果然得手,非法侵入安徽省某政府网站服务器,恶意篡改网站首页,致使该网站长时间无法正常运行,导致该政府信息公开、对外宣传、招商引资、政务服务、政民互动等各项工作受到严重干扰,给该政府形象造成了不可挽回的影响。

非法侵人计算机信息系统罪,是指违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为。 《刑法》规定,构成此罪的,处三年以下有期徒刑或者拘役。

1.3 信息安全:强化基础网络 堵截安全漏洞

大数据分析与安全技术的融合发展,或将给我国信息安全技术和产业发展带来机遇。

下半年工业和信息化走势分析与总结

2012年上半年,我国重要信息系统安全事件多发,整体信息安全形势并不乐观,主要原因包括信息技术产品高度依赖进口、安全防护措施不足、对信息安全威胁变化缺乏有效应对等。下半年,高级可持续性等针对性攻击、移动智能终端恶意软件,将给我国信息安全带来不小的挑战,但与此同时,大数据分析与安全技术的融合发展,或将给我国信息安全技术和产业发展带来机遇。

上半年综述

总体运行平稳 安全隐患犹存

1.基础信息网络运行总体平稳。

上半年,我国基础信息网络运行总体平稳,互联网骨干网各项监测指标正常,未发生造成较大影响的基础网络运行故障,未发生重大网络安全事件。作为基础网络的重要组成,域名系统发生了几起安全事件,虽未造成大的影响,但事件对基础网络安全构成威胁,值得关注。例如,1月30日,因域名系统服务器故障,新浪网在部分地区出现短暂访问故障;2月7日,因游戏私服推广网站之间的争斗,我国国际出入口以及湖南、吉林、江苏、广东、浙江等多个省份的域名服务器流量出现异常激增。

2.重要信息系统频遭攻击。

上半年,我国商业、金融和政府等网站频遭攻击,网站被入侵、被篡改和被挂马等安全事件多发。据国家互联网应急中心(CNCERT)监测,2012年1月~4月,我国境内被篡改网站数量分别为1888个、1853个、2035个、1957个,其中商业类和政府类网站占多数;据中国国家信息安全漏洞库(CNNVD)监测,2012年1月-4月,我国境内被挂马网站分别为5106个、9608个、6683个、3715个,其中商业类网站占多数;2012年1月-4月,中国反钓鱼网站联盟认定并处理钓鱼网站8451个,其中支付交易类、金融证券类钓鱼网站占近90%的份额。

在针对我国重要信息系统的攻击中,有两个动向值得关注:一是出于政治动机的攻击。今年上半年,针对我国的、出于政治动机的黑客活动较频繁。例如,3月以来,名为“匿名者中国”的黑客组织入侵了我国近500多个网站,目的是摧毁“中国的大防火墙”;4月,因黄岩岛之争菲律宾黑客攻击了我国多家网站。二是高级可持续性攻击(APT)。3月,趋势科技在中国区监测到一起针对金融行业的APT,该病毒主要针对证券、基金和银行等金融行业用户,在用户环境中已经存在一年或更久时间。

3.移动智能终端恶意程序迅猛增长。

随着智能手机的快速普及,移动安全问题日益凸显。据腾讯移动安全实验室数据,2012年1月-5月,其截获的手机病毒软件包逐月增长,5月份达到了8089个。其中,针对安卓平台的恶意程序增长迅猛,4月~5月份增幅达到70%,5月份安卓平台恶意程序占到总量的近80%。恶意程序给用户造成恶意扣费、窃取隐私、恶意传播、诱骗欺诈、资费消耗等损害。例如,“食人鱼”可伪装成60多款热门应用,通过接收联网指令来恶意吸费;“游戏幽灵”可伪装成热门游戏,私自下载软件,已令200万用户受害。

4.信息和数据泄露事件多发。

当前谋取经济利益仍是黑客攻击的主要目标之一。今年上半年,我国电子商务、金融等机构发生多起信息泄露事件,引发了社会广泛关注。例如,京东商城、当当网、1号店等电子商务网站被曝账户信息泄露,给用户造成了不同程度的损失;中国电信网络被名为Swagg Sec的黑客组织攻破,包括900个网络管理员的用户名和密码信息被窃取。除此外,还发生了一些内部人员的泄密事件。例如,招商、工商等银行员工低价向第三方出售客户征信报告和银行卡信息,导致客户资金被盗。

境外攻击增多 黑客活动频繁

1.境外网络攻击仍是我国面临的主要威胁之一

由于安全防护不足、信息安全意识淡薄等原因,我国境内大量主机被国外木马或僵尸网络控制。据CNCERT统计,2011年境外有近4.7万个IP地址作为木马或僵尸网络控制服务器参与控制我国境内近890万个主机;2012年1月-4月,境外木马或僵尸网络控制服务器IP数量分别为10287个、8213个、10711个、9005个。目前美国、日本和韩国是境外网络攻击的主要来源国。境外网络攻击在使境内主机受害的同时,还通过控制境内主机发动针对其他国家的攻击,从而使我国事实上成为这些攻击的“替罪羊”,对我国危害很大。

2.信息技术产品漏洞隐患多、被渗透利用的风险高

当前,我国基础信息网络和重要信息系统使用的信息技术产品很多是国外产品,这些产品不可避免地存在安全漏洞。据CNNVD监测,2012年1月-5月,我国新增安全漏洞2619个,其中危急和高危漏洞1071个,占到漏洞总量的41%。产品安全漏洞一旦被利用,将严重威胁我国信息安全。例如,2012年3月发现的Google Chrome任意代码执行漏洞,攻击者可以利用该漏洞执行任意代码;又如,英国研究人员发现在波音787和一些军用电子系统中应用的芯片存在严重安全漏洞,黑客可以利用该漏洞侵入上述系统,并对系统进行遥控操纵。

3.基础信息网络和重要信息系统的安全防护存在不足

一方面,当前全球网络安全威胁日益复杂,国家等政治组织成为网络攻击的主体,攻击的目的可能是破坏关键基础设施。面对新的安全威胁,传统的安全防护措施不能有效发挥作用,必须要建立基于风险的、动态的防御体系,但我国在网络态势感知等应对新威胁的技术研发上还较落后。另一方面,当前我国基础信息网络和重要信息系统在安全技术和管理上有不到位的地方。例如,多家电子商务网站曾采用明文方式存储密码;中国电信将网络管理员的重要信息存储在一个不安全的SQL服务器上。

下半年分析总结

严防“针对性攻击”

1.西方国家对我国的网络遏制将持续加强

一直以来,西方国家都在炒作“中国黑客威胁”,试图将我国树为国际社会在网络安全领域的公敌,遏制我国发展。今年上半年,英国媒体称“中国黑客为套取情报,伪造北约将军‘脸谱’账号”;澳大利亚政府以担心来自中国的网络攻击为由,拒绝华为公司竞标澳国家宽带网项目。当前,现实世界中的双重标准、意识形态和战略竞争等问题正在延伸至网络空间,美国等大国正在加强网络空间的“合纵连横”,致力于构建网络战略同盟。例如,欧洲和日本等发达国家力争与美国合作控制网络空间;北约提出要在北约框架内进行网络“集体防御和攻击”等。下半年,美国等大国势必会加强伙伴关系建设、主导国际规则制定等,在增强其在网络空间影响的同时,进一步实施对我国的网络遏制。

2.针对性攻击将给我国信息安全防护带来更大挑战

当前,全球网络安全威胁正在发生新的变化,目标性更强、更具针对性的网络攻击持续增长。下半年,我国将面临针对性攻击的挑战。一是高级可持续性威胁使关键数据泄露的风险加大。今年上半年,一种比“震网”病毒更复杂的“超级火焰”病毒席卷中东地区,该病毒具有十分强大的网络间谍能力,以收集各行业的敏感信息为目的,具有记录用户账户密码、自动保存电脑截屏、随时进行秘密录音等功能。据监测,该病毒已感染我国,这将给我国政府、企业等重要部门的数据保护带来严重威胁。二是黑客组织出于政治动机将可能对我国发动更猛烈的攻击。2011年以来,政治因素成为黑客发动攻击的原因之一,“匿名者”(Anonymous)、“卢尔兹安全”(LulzSec)等黑客组织都曾发动此类攻击。今年上半年 “匿名者中国”发动对我国的攻击,并声称将针对更多网站。尽管目前该组织没有进一步行动,但不排除下半年行动的可能性,其将可能选定我国一些网站,发动针对性的攻击。三是针对网上银行、证券机构和第三方支付等的攻击将持续增多,攻击将更加复杂、更具威胁。

加强移动终端防范

1.终端恶意软件等移动互联网安全问题将更加突出

随着移动互联网的快速发展,移动智能终端成为恶意攻击的主要目标,安卓平台由于开放性更易受到攻击。据趋势科技公司的报告,在黑莓、苹果iOS、微软Windows Phone 7和安卓操作系统中,安卓系统的安全性最差。目前,国内基于安卓平台的智能手机已经占据60%以上的份额,安卓平台的用户量大幅增长,应用也以惊人的速度增长。今年上半年,我国针对安卓平台的手机病毒翻了两番,预计下半年仍将大幅增长。恶意软件将可能会窃取手机设备中数据,并利用位置服务跟踪用户等,给用户个人信息安全带来隐患。同时,移动设备办公正在被越来越多企业所接受。员工使用自己的移动设备办公,进一步增加了企业敏感信息被泄露的风险。主要原因是:多数企业对移动设备登录企业内网未采取必要的安全控制手段,据调查显示,全球仅有三分之一左右的企业采取了措施;员工安全意识不足,移动设备会存在安全防护不足等问题;一些员工可能会在企业不知情的情况下,私自窃取企业数据和信息。下半年,预计将有更多中国企业考虑对员工自带移动设备建立安全管理方案。

2.大数据分析或将带来网络安全防护技术的变革

当前,全球数据量正在以疯狂的速度增长。据称,目前存在的90%数据来自于过去的两年间,这些数据来自传感器、交易记录、图像和视频、社交媒体、日志等。数据显示,2015年全世界的数据存储量将达到800万PB。机构或组织一旦发生大规模的数据泄露,造成的损失将十分巨大。可以说,大数据对网络安全防护能力提出了挑战。但同时,如果能够正确使用大数据,从中挖掘出有用的信息,就可以保护机构或组织免受高级持续性威胁和恶意软件攻击。

多项举措保障信息安全

1.强化基础信息网络和重要信息系统的安全防护

强化基础信息网络和重要信息系统的安全防护和管理。坚持重要信息系统和基础信息网络与安全防护设施同步规划、同步建设、同步运行。加强对全球网络安全威胁的监测分析,加快建立具有发现和阻止威胁态势感知能力的新的信息安全防御体系。

2.加大对国家基础数据和用户个人信息的保护力度

强化企业、机构在网络经济活动中保护国家基础数据的责任。加快推动个人信息保护法律法规的出台,严格界定掌握大量用户信息和数据的企业或机构对于相关信息的使用权限及范围,以及泄露后应当承担的责任等内容,并推动相关标准规范的落实。

3.加快国产信息技术产品对国外产品的替代

加大对信息安全保障基础技术研发的资金投入,加强高端通用芯片、操作系统、数据库、中间件等基础技术攻关,提高我国信息安全技术产品水平。

4.加强我国移动互联网的安全防护能力建设

组织进行核心芯片、操作系统、软件平台等技术开发,对网络、终端、应用软件等领域的安全技术进行重点攻关,集中力量突破技术瓶颈,提高我国评估、发现和处置其所提供业务的信息安全风险的能力。

5.深化与国际社会的合作交流

建立与国际社会的信息安全重大威胁沟通机制,探索建立国家间、地区间应对重大突发事件的信息通报、快速处理的机制,加强信息安全事件应急处理中的交流合作。

1.4 IT人员三大任务 阻止网络罪犯入侵居首

企业基础设施安全所面临的各种问题之中,最为重要的是阻止对企业网络的未授权入侵,保护企业机密信息。这一结论来自于2012年7月由B2B International进行的一次全球IT安全风险调查。

参与调查的人员具有企业重要经营决策权,同时包括同IT安全相关的员工。调查过程中,受调查人员需要选出他们认为企业IT工作人员目前最重要的三个任务。结果,调查者认为IT工作人员最重要的任务是阻止网络罪犯入侵企业网络。31%的受调查者持这一观点。

有27%的受调查者认为信息保护最为重要的,使得信息保护成为企业IT员工亟需解决的第二大问题。为了解决这些问题,企业采取了多种措施,其中包括数据 备份、避免员工造成数据泄漏、抵御网络攻击等。由于网络罪犯首要的目的是为了窃取机密信息,所以在保护信息安全方面,企业应该不遗余力。

需要指出的是,根据这次调查,控制移动设备的使用仅位列IT员工三大任务的第三位。只有13%的受调查者认为部署移动设备管理系统是企业目前亟需解决的 三大问题之一。这一调查结果比较惊人,因为同样是在这次调查中,有55%的企业对移动设备的安全性表示担忧。但是很明显,这种担忧并没有转化成实际的行动。

在能够访问企业信息和服务的企业设备上,对软件安装和启动进行限制非常必要。同时,这些设备还需要高质量的反恶意软件保护,尤其对 安卓设备更是如此。此外,智能手机和平板电脑还必须支持远程管理,这样一旦设备丢失和被盗,可以远程锁定设备并删除其中的数据。卡巴斯基智能手机终端安全 解决方案就能够提供高效的反恶意软件保护,同时具备远程锁定和远程删除等功能。该解决方案还能够利用集成的GPS模块,定位丢失的设备。

1.5 韩信用卡小额支付系统遭黑客攻击

韩国BC信用卡和KB国民卡30万韩元(约合人民币1700元)以下在线交易用安全支付(ISP)信息系统陆续遭黑客攻击,目前受害者的损失已达3亿多韩元(约合人民币170万元)。

据了解,韩国之前发生过盗取外部信用卡信息,重新获取ISP认证书进行犯罪的事件。但警方称,本次这种未“重新获取ISP认证书”就全套盗取包括卡号、CVC(信用卡确认码)、密码、有效期限和特设密码在内的ISP信息,在持卡人不知情的情况下成功支付还是第一次。

韩国警方3日透露称,目前正在追踪利用BC信用卡和国民卡使用的ISP系统在游戏网“Nexon”购买网游工具的嫌疑人。警方至今掌握的被害人有400余人,损失已达3亿多韩元。

受害者抗议称,信用卡公司之前一直宣传ISP,称个人电脑上的安全支付认证书不会被黑客攻击。

警方还表示,如果ISP系统本身遭黑客攻击时,两种卡持有人的受害规模会大范围地扩大。目前这两种信用卡的会员分别为4040万人和2065万人。

2 本周关注病毒

2.1 Trojan.Win32.Fednu.ume(木马病毒)

警惕程度 ★★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.2 Trojan.Win32.FakePic.mr(木马病毒)

警惕程度 ★★★

病毒运行后,通过篡改注册表实现开机自动启动,并利用系统进程svchost.exe加载使病毒运行。该病毒真正的危害在于,会释放“红狼后门”病毒,并且将其伪装成outlook。该后门对用户隐私危害极大,一旦中毒,黑客可掌握电脑中的全部信息,并且可以对用户电脑进行远程控制。

2.3 Dropper.Win32.Small.bns(释放者病毒)

警惕程度 ★★★★

该病毒将恶意代码加密后放到内存执行,以规避杀毒软件对其进行静态扫描,该恶意代码将连接黑客指定的远程服务器,并接收远程服务器上发来的任意指令。中毒的电脑将被黑客完全掌握,硬盘上的任何数据都会成为黑客的囊中之物。

3 安全漏洞公告

3.1 Oracle MySQL/MariaDB密码SALT值处理不当安全限制绕过漏洞

Oracle MySQL/MariaDB密码SALT值处理不当安全限制绕过漏洞

发布时间:

2012-12-07

漏洞号:

CVE(CAN) ID: CVE-2012-5627

漏洞描述:

Oracle MySQL Server是一个小型关系型数据库管理系统。MariaDB 是一个采用Maria存储引擎的MySQL分支版本,是免费开源的数据库服务器。
MySQL/MariaDB在处理会话用户密码SALT值时存在安全漏洞。用户尝试登录MySQL时,会生成一个SALT值,此SALT值用于整个会话。发送密码时需用SALT值,密码不正确连接即会被断掉,若要尝试新的密码,须重新连接,SALT也会重新生成,此机制可有效阻缓暴力猜解速度。然而当攻击者用一个无特权账户登录服务器后,可使用MySQL "change_user"命令尝试切换其它的账户,在此过程中SALT值不需改变,连接也不会断开,这导致可以快速暴力破解密码,导致绕过安全限制。

安全建议:

临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 配置防火墙规则或ACL, 只允许信任用户访问MySQL/MariaDB

厂商补丁:
Oracle
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.oracle.com/technetwork/topics/security/

3.2 Apache Tomcat FORM身份验证安全绕过漏洞

Apache Tomcat FORM身份验证安全绕过漏洞

发布时间:

2012-12-05

漏洞号:

CVE ID: CVE-2012-3546

漏洞描述:

Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。

Tomcat v7.0.30、6.0.36之前版本在FORM身份验证的实现上存在安全漏洞。在使用FORM验证时,若其他组件(如Single-Sign-On)在调用FormAuthenticator#authenticate()之前调用了request.setUserPrincipal(),则攻击者可以通过在URL结尾添加"/j_security_check"以绕过FORM验证。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载7.0.30和6.0.36或更高版本。

参考链接:
http://tomcat.apache.org/security.html
http://tomcat.apache.org/security-7.html
http://tomcat.apache.org/security-6.html

3.3 Apache Tomcat NIO连接器拒绝服务漏洞

Apache Tomcat NIO连接器拒绝服务漏洞

发布时间:

2012-12-05

漏洞号:

CVE ID: CVE-2012-4534

漏洞描述:

Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。

Tomcat 7.0.0-7.0.27、Tomcat 6.0.0-6.0.35在使用开启了sendfile和HTTPS的NIO连接器时,若客户端请求较大的静态文件,并在读取响应的过程中切断与服务器的连接,会在服务器端产生死循环,导致拒绝服务。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://jakarta.apache.org/tomcat/index.html

3.4 Apache Tomcat 跨站请求伪造漏洞

Apache Tomcat 跨站请求伪造漏洞

发布时间:

2012-12-05

漏洞号:

CVE ID: CVE-2012-4431

漏洞描述:

Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。

Tomcat v7.0.31、6.0.35之前版本在实现上存在跨站请求伪造漏洞,远程攻击者可利用此漏洞当前用户权限执行某些操作,访问受影响应用程序。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载更高版本。

参考链接:
http://tomcat.apache.org/security.html
http://tomcat.apache.org/security-7.html
http://tomcat.apache.org/security-6.html

3.5 Symantec Messaging Gateway任意文件下载漏洞

Symantec Messaging Gateway任意文件下载漏洞

发布时间:

2012-12-05

漏洞号:

CVE ID: CVE-2012-4347

漏洞描述:

Symantec Messaging Gateway是赛门铁克的电子邮件病毒保护软件。

Symantec Messaging Gateway 9.5.x存在多个任意文件下载漏洞,攻击者可利用这些漏洞在Web服务器上下载任意文件。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.symantec.com/business/security_response/

3.6 SSH Tectia Server非法密码更改安全绕过漏洞

SSH Tectia Server非法密码更改安全绕过漏洞

发布时间:

2012-12-04

漏洞号:

BUGTRAQ ID: 56783

漏洞描述:

SSH Tectia Server是系统管理、文件传输、应用连接网络安全解决方案。

SSH Tectia Server在SSH USERAUTH CHANGE REQUEST的代码实现中存在错误,允许攻击者在未使用密码登录的情况下向授权服务发送修改密码请求,造成授权绕过。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.ssh.com/