当前位置: 安全纵横 > 安全公告

一周安全动态(2013年1月3日-2013年1月10日)

来源:安恒信息 日期:2013-1

2013年1月第二周(1.3-1.10)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 2013年14大网络安全挑战 安全漏洞将频发

2013年网络犯罪、间谍、直接网络攻击的频率和强度都会增加,以下是2013年将出现的14大全球网络安全挑战。

1、安全漏洞将会经常发生。日本农林渔业部门日前就承认遭到攻击,有超过3000份文件被盗,这些文件的内容包括了农林渔业部的一些磋商策略。

2、基本上每位用户至少有一个登陆“凭证”落入坏人手中。在过去一年中有大量用户身份验证数据库被盗,2013年这种被盗现象会加重,很多大型的用 户身份验证数据库信息可能被罪犯窃取。

3、2013年密码将会“死掉”。由于罪犯能够获得关于“人们如何设置密码”的如此多信息,因此基于密码的安全措施实质上会变得没什么用。

4、2013年将成为“多因素验证”之年。由于密码变得越来越不安全,因此大部分服务提供商可能通过更复杂的工具或移动手机,提供“多因素验证”。

5、移动市场会变得非常混乱。智能手机在2013年将变成“移动噩梦”,iOS手机还相对比较安全,而用Android手机下载时可能就会完全遭到破坏。使用 这些设备的人仅掌握很少的技术,很多人基本上不会注意安全问题。

6、日常办公用户会转向平板电脑以求安全。为应对安全问题,日常办公用户会转向平板电脑如iPad、Surface RT,因为这些设备安全性更高并且维修保 养更容易,尤其是那些仅需使用互联网、电邮、Office应用的用户将会使用平板电脑。

7、云失败将导致大量数据丢失。由于云储存了大量的关键业务数据,即便是遭遇一次或两次云失败,也不仅会导致安全漏洞问题,还可能导致用户数据 遭遇毁灭性丢失。

8、黑客组织演变。即便执行国际法规对黑客组织成员有所影响,但像Anonymous等黑客组织仍然很强大。另外,那些个人黑客仍会继续对那些惹恼他们的 组织暴虐破坏。

9、医疗保健相关的诈骗呈指数增长。由于越来越多的医疗保健组织及医生网上办公,并且医疗保健服务越来越昂贵,医疗保健诈骗可能会达到“令人震 惊”的水平。

10、“安全即服务(security-as-a-service)”将成为一个新的云市场。随着安全问题变得越来越受关注,并且复杂性在加大,2013年将会出现很多基于云的安全服务。

11、企业仍然不愿意为“良好的网络安全”付出。即使经济形势有所好转,也不会出现大幅增长,资深高管仍然不会完全理解安全漏洞的严重性而去为“良好的网络安全”付出很多。

12、民族—国家层次的网络战升级。网络攻击将被用于充实“地面”间谍及破坏者队伍,因为网络战可持续的时间更长并且风险更低。

13、流氓国家将利用网络犯罪来筹资。虽然很多朝鲜人甚至连电灯泡都没有,但是该国将网络犯罪作为一种筹资方式,这种现象可能还会增多。

14、国会仍会不顾宪法和公众的隐私权。

1.2 Oracle Java超越Adobe Reader成为最常被漏洞攻击的软件

近期公告显示:Oracle Java成为今年最常被网络罪犯进行漏洞攻击的软件,而Adobe Reader和Adobe Flash Player分列第二位和第三位。

根据信息安全数据,2011年,针对Adobe Reader安全漏洞攻击发起的攻击占所有漏洞利用相关攻击事件的35%;针对Java的漏洞攻击比例为25% ,居第二位;针对不同版本微软Windows系统漏洞的攻击占所有漏洞相关攻击事件的11%。2012年,针对Adobe Reader漏洞的攻击事件比重为25%,而针对Java安全漏洞造成的感染则占所有相关攻击的50%,Windows组件和Internet Explorer仅造成了3%的相关漏洞攻击。

虽然Adobe Reader仍然是2012年排名第二位的最容易遭受基于网页的漏洞攻击的应用程序,但值得注意的是,Adobe公司在最新版的Adobe Reader中,已开始着重解决其安全漏洞问题。在新版本中采取了新的安全措施,例如部署了Adobe沙盒功能,使得该应用程序能够对抗漏洞利用程序攻击。这些安全措施,使得网络罪犯不容易创建能够有效利用该软件的漏洞进行攻击的漏洞利用程序。

利用软件漏洞发动攻击,是网络罪犯在被入侵计算机上安装恶意软件的主要手段之一。网络罪犯会利用未修补安全漏洞的应用程序或软件进行攻击。而这些漏洞造成的安全隐患之所以存在,是由于个人用户或企业用户未及时安装软件厂商发布的最新安全更新,造成这些应用程序中的安全漏洞没有修补。而利用常见软件中的多种漏洞感染计算机,则是基于网页的攻击中所使用的主要工具。个人及企业用户及时更新并安装程序补丁是降低网络攻击的有效手段。当然,选择专业、可靠的信息安全保护方案更是确保隐私与在线财产安全的关键。

1.3 黑客组织Anonymous扬言将在2013年发动攻击

据CNet报道,著名黑客组织Anonymous发布了一份“新年声明”,扬言将在2013年“坚持不懈地”发动各种攻击。

声明中,匿名者炫耀了自己在2012年对美国、叙利亚和以色列的部分政府机构网站成功地发动了一系列攻击,同时还制作了一段“总结视频”,其中详细介绍了对美国司法部、联邦调查局(FBI)、环球音乐(Universal Music)和全美电影协会网站进行的攻击,并声称这一系列都是为了抗议美国政府查封文件共享网站 MegaUpload 这个“愚蠢的行为”。

视频内容还包括匿名者攻击以色列政府网站的“战果”,抗议以色列政府军对加沙地带进行的攻击。
匿名者“放出豪言”:“视频中的这些行动只是部分‘案例’而已,还有很多不为人知的行动,其中一些行动仍在继续继续进行,比

针对叙利亚行动。我们仍在这里( We are still here )。”

尽管匿名者如此猖獗,但依然有人“不信邪”——互联网安全公司McAfee在上周发布的“2013 威胁预测”中表示“匿名者已走入了下坡路”。McAfee认为,匿名者缺乏严密有效的组织结构,而其“只为而发动攻击”的行为模式已经影响到该组织的声誉。

1.4 黑客破坏数据安全后居然大肆炫耀

网络黑客数量越多,一直被认为处于灰色地带,阴暗面的黑客最近越来越猖獗,竟有黑客在破坏了数据安全后自行炫耀的,但是下场也是可想而知的。

专业是汽修,却对计算机编程极其感兴趣,可是具有一流的技术,却当起了“黑客”,还将自己的犯罪证据当做成绩在网上炫耀。 12月24日,记者从当涂县公安局获悉,一起省公安厅挂牌督办、6000多个网站被非法侵入的案件被成功侦破,犯罪嫌疑人王某已被警方移送检察院提请公诉。

今年5月份,当涂县公安局网监民警看到有人在网上炫耀自己的黑客技术。经过搜寻,民警吃惊地发现,此人已经多次发帖上传其入侵控制服务器的经历,并配有截图证明,且每一篇帖子都有着极高的点击率,粉丝众多。据粗略统计,被其非法侵入的网站多达上千。

案情上报后,省公安厅立即将其列为挂牌督办案件。专案组迅速展开侦查工作,9月25日下午,在当涂县经济开发区一小区内成功将犯罪嫌疑人王某抓获,并当场扣押了其用于攻击的计算机。

落网后,王某交待,自今年以来,其利用自学的计算机网络知识,通过黑客软件非法探测扫描互联网上各类网站存在的漏洞,盗取网站管理员的账号和密码,再通过网站漏洞或非法盗取的管理账号将木马程序上传至网站服务器,非法控制计算机系统管理权限。由于王某攻击网站数量多、范围广,“十一”长假期间,专案组民警放弃休息,连续辗转多个省、市,对被王某攻击的网站逐一取证。经过十多天的艰苦工作,专案组累计刻录证据光盘27张。

等待王某的将是法律的严惩。通过该案,民警也想告诫那些掌握一定网络技术的网民,“网络入侵就像是非法入侵他人没有关闭好的房间一样,尽管别人的房间没有锁好,但是你在别人的房间胡作非为,就是违法犯罪。

1.5 “网络武器”回顾:肆虐伊朗的三个超级病毒

超级病毒又来了!近日,伊朗南部的一位国防官员表示,该地区的一家大型发电厂以及多家工业厂家再次遭到了超级病毒“Stuxnet”的袭击。

此前媒体已经多次报道伊朗遭受网络攻击。伊朗是三个超级病毒“震网(Stuxnet)”、“毒区(Duqu)”和“火焰(Flame)”攻击的重灾区。众所周知,超级病毒结构十分复杂,非一般人和组织能制作出来;另外,超级病毒的攻击目标非常明确,如伊朗的核电站核心设施,这样的攻击不像是一般黑客所为。或许我们可以大胆预测,地区之间的网络战争已经打响。

超级病毒究竟有多厉害?真的能担当网络战争的重任吗?下面我们来简要了解一下上述三个超级病毒。

“震网”(Stuxnet)病毒,是一种蠕虫程序,于2010年被发现,是世界上首个网络“超级武器”。“震网”病毒专门针对德国西门子公司的工业控制系统,如此明确的攻击目标使其获得“世界首枚数字弹头”的称号。

“震网”曾经感染了全球超过45000个网络,伊朗遭到的攻击最为严重。伊朗基础设施大量使用西门子公司的工业控制系统,由此招致60%的个人电脑遭受攻击:大约3万个互联网终端和布什尔核电站员工个人电脑遭感染,并且“震网”试图破坏伊朗进行铀浓缩的离心机。

——由此看来,可以造成工业破坏的“震网”可以算作合格的战争武器了。

“毒区”(Duqu)是出现于2011年继“震网”蠕虫后最为恶性的一种可窃取信息的蠕虫,而且与“震网”一样,“毒区”大多数出现在工控系统中。

然而与“震网”不同,“毒区”的目的是收集与攻击目标有关的各种情报。它收集密码、截屏、盗取文件,俨然一个工业间谍。同时,“毒区”的攻击时间非常有规律,攻击行为主要集中在周三发起,这种特性又显示出军用类型恶意程序的特点。

——国内刚刚刮过的“潜伏”剧热,早已给民众普及了“间谍就是战争”的认识。

“火焰”(Flame)是最近被发现的比“震网”和“毒区”更复杂、破坏力更大的超级病毒。“火焰”于2012年5月被发现,同样是一种电脑蠕虫病毒,在中东地区大范围传播,伊朗最严重,其次是以色列。据推测,Flame病毒已在中毒各国传播了至少5年时间,世界范围内受感染电脑数量估测在1000至5000台之间。

“火焰”不会对电脑造成实质性伤害,它和“毒区”一样,主要执行间谍功能,但危害更大:分析使用者的上网规律,记录用户密码,截屏,甚至暗中使用设备上的麦克风秘密录音。“火焰”病毒更加智能,会判别自己运行的环境伪装自己,而且还能自行毁灭,不留踪迹。

——在“火焰”病毒被发现之后,一些网络分析专家认为,这似乎已形成了“网络战”攻击群。“震网”病毒攻击的是伊朗核设施,“毒区”病毒攻击的是伊朗工业控制系统数据,而“火焰”病毒攻击的则是伊朗石油部门的商业情报。

 

2 本周关注病毒

2.1 Worm.Win32.FakeFolder.ca(蠕虫病毒)

警惕程度 ★★★

该病毒运行后为躲避杀毒软件查杀,会试图结束当前运行的安全软件进程,通过创建注册表劫持项阻止杀毒软件再次启动,甚至还会删除安全软件图标并使其隐藏。病毒作者为避免病毒被手工删除,会破坏操作系统的安全模式,并让用户无法打开注册表编辑器。最终,病毒会在桌面上创建多个钓鱼网站的快捷方式,使用户进入黑客指定网站,为其带来巨大经济利益。

2.2 Trojan.Win32.Fednu.umk(木马病毒)

警惕程度 ★★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.3 Worm.Win32.FakeFolder.bz(蠕虫病毒)

警惕程度 ★★★

该病毒运行后为躲避杀毒软件查杀,会试图结束当前运行的安全软件进程,通过创建注册表劫持项阻止杀毒软件再次启动,甚至还会删除安全软件图标并使其隐藏。病毒作者为避免病毒被手工删除,会破坏操作系统的安全模式,并让用户无法打开注册表编辑器。最终,病毒会在桌面上创建多个钓鱼网站的快捷方式,使用户进入黑客指定网站,为其带来巨大经济利益。

3 安全漏洞公告

3.1 nginx 代理模块证书验证中间人攻击漏洞

nginx 代理模块证书验证中间人攻击漏洞

发布时间:

2013-01-05

漏洞号:

CVE(CAN) ID: CVE-2011-4968

漏洞描述:

nginx是一款使用非常广泛的高性能Web服务器。
nginx 1.2.6及其他版本在使用代理功能时没有正确验证服务器SSL证书,可被利用通过中间人攻击欺骗服务器并泄露敏感信息。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://nginx.net/

3.2 RPM签名验证安全绕过漏洞

RPM签名验证安全绕过漏洞

发布时间:

2013-01-03

漏洞号:

CVE(CAN) ID: CVE-2012-6088

漏洞描述:

RPM软件包管理器(RPM)是一个命令行驱动的软件包管理系统,用于安装、卸载、验证、查询和升级计算机软件包。
RPM Package Manager 4.10、4.10.1没有正确验证RPM签名,可造成绕过签名检查,从而诱使用户安装恶意软件包。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://rpm.org/wiki/Releases/4.10.2

3.3 GnuPG 远程内存破坏漏洞

GnuPG 远程内存破坏漏洞

发布时间:

2013-01-02

漏洞号:

CVE(CAN) ID: CVE-2012-6085

漏洞描述:

GnuPG是基于OpenPGP标准的PGP加密、解密、签名工具。
GnuPG 1.4.13之前版本在导入公钥时,存在内存访问破坏和公钥数据库破坏漏洞,攻击者可使用恶意构造的公钥进行攻击,从而执行任意代码或破坏数据库。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.gnupg.org/

3.4 ECShop全版本注入漏洞

ECShop全版本注入漏洞

发布时间:

2012-12-31

漏洞号:

 

漏洞描述:

ECSHOP是开源的网店系统。
ECSHOP的配送地址页面网页没有验证地区参数的有效性,存在sql注入漏洞,攻击者可利用火狐tamper data等插件修改提交到配送地址页面的post数据,造成未授权的数据库操作甚至执行任意代码。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.ecshop.com/