当前位置: 安全纵横 > 安全公告

一周安全动态(2013年1月17日-2013年1月25日)

来源:安恒信息 日期:2013-01

2013年1月第四周(1.17-1.25)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 甲骨文针对Java 7发布零日漏洞更新

甲骨文公司昨日发布了两个针对Java零日(zero day)漏洞的带外(out-of-band)安全更新,其中漏洞CVE-2013-0422在发现当天就已被攻击,并已经添加到了Blackhole和Nuclear Pack开发套件两款软件当中。

安全专家建议用户在安装补丁程序之前停用Java,该漏洞使得黑客能够在系统中远程登录并执行任意代码。

另外一个漏洞是CVE-2012-3174,通过远程攻击,黑客能够将用户导向一个恶意站点。

在官方博客中,甲骨文公司称这两个漏洞只影响Web浏览器下的Java 7用户,而对于服务器端、桌面应用端以及嵌入式设备的Java用户则没有影响。甲骨文官方建议用户尽快安装补丁更新程序。

除CVE-2013-0422和CVE-2012-3174漏洞更新之外,甲骨文还将Java的默认安全级别设置为“高”,也就是说用户需要对任何自签名和未签名的应用程序进行授权才能够运行。

甲骨文官方称,这样做的目的是,在应用程序运行之前,受信任用户访问恶意网站的行为都会得到提示。与此同时,系统对恶意程序也将拒绝执行。

作为最受欢迎的编程语言,Java的各种插件也是黑客最泛滥的领域,他们往往通过恶意网站来进行偷渡式下载攻击(drive-by download attack)。而根据最新的调查显示,偷渡式下载攻击在2013年仍然是最常用的黑客攻击手段。

甲骨文公司的季度安全补丁更新将在北京时间1月16日发布,而本次的带外安全更新是在季度安全补丁更新之前发布。据悉,本次更新将包含86个补丁程序,涵盖大量的Oracle软件产品。其中MySQL数据库更新共18个,有2个MySQL漏洞能够让黑客在无需用户名和密码的情况下进行远程攻击。更多关于Oracle安全更新的信息,敬请关注后续报道。

1.2 是谁为“黑客产业链”提供了滋生环境?

中国互联网络信息中心15日发布的《第31次中国互联网络发展状况统计报告》显示,2012年我国网购用户达到2.42亿人,增长4807万,增长率高达24.8%。但与此同时,网购消费欺诈等问题却日益严重。(1月16日《经济参考报》)

随着网购市场的快速发展,各种黑客欺诈犯罪层出不穷,诈骗类型不断翻新,并逐渐形成了技术完备的“黑客产业链”。据专家估算,这一“黑客产业链”各环节涉及的诈骗金额目前已超过百亿元。“百亿元”不是一个小数目。自从有了网络,自从产生了网购,防黑客便成了有关部门以及广大网民常抓不懈的工作,然而为何黑客屡禁不止,而且越来越猖獗呢?是谁为他们提供了滋生的环境?据悉,黑客需求渠道有:商业公司,他们可能需要去攻击打击它的竞争对手,或者窃取对手的一些用户资料,一些商业机密数据等。安全团队,他们为了推销自己的安全服务,通过DDOS攻击或者入侵的手段,向对手收保护费。还有就是黑客自身盈利,为了满足自己谋取暴利,通过黑客技术窃取游戏和网银帐号等。正因为有了这些“客户”,才使黑客产业链有了赚钱的市场,并使黑客日益“壮大”。总有一些企业或个人,在市场竞争中,为了个人利益,不择手段。因此我们说打击黑客不仅要从制度法规上加以完善,对于为黑客提供市场环境的公司或个人,也必须严肃处罚。

1.3 俄发现国际网络间谍组织“红色十月”

据俄新社报道,俄罗斯国际信息安全软件提供商卡巴斯基实验室日前发布报告称,过去5年间,一伙名为“红色十月”的不明身份网络犯罪分子主要针对前苏联地区、东欧国家的计算机、手机和企业网络用户实施了网络犯罪。本报记者就此致电卡巴斯基实验室的新闻官,他表示对于犯罪分子的所在地及报告的详细内容尚无法透露。

但实验室称,根据犯罪分子发出攻击命令所使用的服务器注册数据以及包含恶意软件的可执行文件信息判断,该网络很有可能发源于俄语地区。

2012年10月,卡巴斯基实验室的专家开始调查一系列针对多个外交使团、代表处的网络攻击事件。调查中,专家发现了一个大规模的间谍网络。通 过分析该网络的活动情况,发现自2007年以来这个名为“红色十月”的间谍网络就活跃在互联网上,致力于猎获机要信息。据研究人员介绍,该大型间谍网络主 要攻击目标是世界各地的外交和政府机构,还包括科研院所、核能和空间研究机构、能源业务公司以及商贸公司等。

该犯罪网络主要通过欺诈性的“钓鱼”邮件向特定用户传播病毒,植入的木马程序会利用计算机软件中的漏洞进行攻击。专家称,攻击行为可在受害者毫不知情的情况下窃取数万亿字节的信息且不受文件扩展名的限制,甚至可获取欧盟和北约的加密文件。

1.4 墨西哥国防部网站遭黑客攻击 服务中断两小时

中新网1月17日电 据外电报道,墨西哥国防部网站16日遭到黑客攻击,网站被贴上了该国反政府组织的宣言。

入侵国防部网站的黑客署名“墨西哥匿名者”,该组织的一个分支事后在社交网站上宣称成功入侵并破坏国防部网站。

据悉,被贴上网站的宣言来自该国1994年成立的一个反政府组织,该组织要求捍卫墨西哥南部本土墨西哥人的权益。宣言称要成立一个没有腐败和罪恶的墨西哥国。

墨西哥国防部事后发表声明,称网站服务暂时关闭,但是没有公布原因。网站的服务中断了两个小时。

同日,该国海军网站也曾短暂遭到入侵,导致服务中断。

1.5 韩国官方称总统交接委疑遭朝鲜黑客攻击

国际在线专稿:据韩国《京乡新闻》1月17日报道,一名韩国总统交接委员会官员17日称,韩国总统交接委员会记者室的计算机被查出有遭到黑客攻击的迹象。据该名官员透露,总统交接委员会的计算机遭到黑客攻击,目前被推测为是朝鲜黑客所为。

该名官员同时表示,已经向有关部门提出要求更换记者室的密码等强化安保的要求。此外,这名官员拒绝透露如总统交接委员会核心部门的计算机是否遭到黑客攻击、是否造成任何损失等问题。

另外,韩国总统交接委员会预计将于当地时间17日下午就此事召开记者招待会。

1.6 美国两家发电厂感染了恶意软件 U盘是祸首

最新一份来自美国"工业控制系统-网络应急反应小组"(ICS-CERT)的季度报告(PDF)表明,美国去年有两家发电站的控制系统被发现感染了恶意软件。该小组并未透露出发电厂的具体名称,也没有迹象表明任何由感染所造成的设备损坏或人身伤害。恶意软件是通过插入到关键发电设备上的传统型USB驱动器传播的。事实上,感染还是因为某个员工因USB端口的问题,并呼叫了IT援助后才发现的。

请来的IT雇员在系统上运行了升级后的病毒扫描后,发现了三处"命中"。样本中有一个是被报道过的已知复杂恶意软件。

文章的措辞听起来像是该控制系统没有使用任何的杀毒软件。ICS-CERT注意到了在控制系统的环境下,防病毒解决方案实施上的一些挑战(有效识别常见的和复杂的恶意软件)。此外,该控制工作站未使用任何形式的备份解决方案,这意味着事情一旦变得糟糕,就需要采取很长的时间来清理系统并恢复其状态。

另一起感染蔓延到了10个控制不同涡轮机的系统。该报告指出,感染导致了这家电厂的系统停机了三个星期的时间。

 

2 本周关注病毒

2.1 Trojan.Spy.Win32.Hijclpk.d(木马病毒)

警惕程度 ★★★

该病毒运行后,施放一个盗号木马,并进行自我复制,在本地硬盘大范围传播。同时,感染部分html文件,添加恶意代码,使其指向黑客指定的挂马网站。最后,将恶意代码注入windows进程中,以实现监听用户电脑的目的。用户一旦中毒,将“被下载”大量木马病毒,还要面临虚拟财产被盗、隐私信息泄露等威胁。

2.2 Trojan.Win32.Fednu.umo(木马病毒)

警惕程度 ★★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.3 (‘支付大盗’木马病毒)

警惕程度 ★★★★★

该病毒由四个病毒组合而成,并使用第三方支付平台的标志作为图标,让用户误认其为支付平台提供的应用程序。该病毒运行后替换正常的网银页面及支付平台页面,并记录用户的键盘信息,监听用户电脑。同时,该病毒还会在后台偷偷打开黑客指定的恶意页面。用户一旦中毒,将面临银行卡内钱款被盗、隐私信息泄露和虚拟财产被盗的威胁。

3 安全漏洞公告

3.1 Oracle Java Runtime Environment远程代码执行漏洞

Oracle Java Runtime Environment远程代码执行漏洞

发布时间:

2013-01-15

漏洞号:

BUGTRAQ ID: 57312
CVE(CAN) ID: CVE-2012-3174

漏洞描述:

Oracle Java Runtime Environment (JRE)是一款为JAVA应用程序提供可靠运行环境的解决方案。
Oracle Java 7 Update 11之前版本在实现上存在安全漏洞,可允许远程攻击者执行任意代码。此漏洞可能与MBeanInstantiator类内的findClass方法、反射API的循环使用等有关。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.oracle.com/technetwork/topics/security/

3.2 Apache Axis2/C SSL证书验证安全绕过漏洞

Apache Axis2/C SSL证书验证安全绕过漏洞

发布时间:

2013-01-15

漏洞号:

BUGTRAQ ID: 57267
CVE(CAN) ID: CVE-2012-6107

漏洞描述:

Axis2是一个用C语言实现的Web服务引擎。
Apache Axis2/C在实现上存在安全绕过漏洞,成功利用后可允许攻击者执行中间人攻击或模拟受信任的服务器。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://httpd.apache.org/

3.3 Oracle MySQL Server 'Server'子组件远程安全漏洞(CVE-2012-1702)

Oracle MySQL Server 'Server'子组件远程安全漏洞(CVE-2012-1702)

发布时间:

2013-01-16

漏洞号:

BUGTRAQ ID: 57388
CVE(CAN) ID: CVE-2012-1702

漏洞描述:

Oracle MySQL Server是一个轻量的关系型数据库系统。
Oracle MySQL Server 5.5.28及更早版本存在远程安全漏洞,可通过'MySQL Protocol'协议利用此漏洞。'Server'子组件受到影响。通过身份验证的远程攻击者可利用此漏洞进行攻击从而影响MySQL Server的可用性。

安全建议:

Oracle已经为此发布了一个安全公告(cpujan2013-1515902)以及相应补丁:
cpujan2013-1515902:Oracle Critical Patch Update Advisory - January 2013
链接:
http://www.oracle.com/technetwork/topics/security/cpujan2013-1515902.html
补丁下载:
http://www.oracle.com/technetwork/topics/security/cpujan2013-1515902.html#PIN

3.4 Oracle MySQL Server 'InnoDB'子组件远程安全漏洞(CVE-2013-0368)

Oracle MySQL Server 'InnoDB'子组件远程安全漏洞(CVE-2013-0368)

发布时间:

2013-01-16

漏洞号:

BUGTRAQ ID: 57397
CVE(CAN) ID: CVE-2013-0368

漏洞描述:

Oracle MySQL Server是一个轻量的关系型数据库系统。
Oracle MySQL Server 5.5.28及更早版本存在远程安全漏洞,可通过'MySQL Protocol'协议利用此漏洞。'InnoDB'子组件受到影响。通过身份验证的远程攻击者可利用此漏洞进行攻击从而影响MySQL Server的可用性。

安全建议:

Oracle已经为此发布了一个安全公告(cpujan2013-1515902)以及相应补丁:
cpujan2013-1515902:Oracle Critical Patch Update Advisory - January 2013
链接:
http://www.oracle.com/technetwork/topics/security/cpujan2013-1515902.html
补丁下载:
http://www.oracle.com/technetwork/topics/security/cpujan2013-1515902.html#PIN

3.5 Oracle MySQL Server 'GIS Extension'子组件远程安全漏洞(CVE-2012-5060)

Oracle MySQL Server 'GIS Extension'子组件远程安全漏洞(CVE-2012-5060)

发布时间:

2013-01-16

漏洞号:

BUGTRAQ ID: 57411
CVE(CAN) ID: CVE-2012-5060

漏洞描述:

Oracle MySQL Server是一个轻量的关系型数据库系统。
Oracle MySQL Server 5.1.65、5.5.27及更早版本的''GIS Extension'子组件存在远程安全漏洞,未经身份验证的远程攻击者可利用'MySQL Protocol'协议影响数据库的可用性。

安全建议:

Oracle已经为此发布了一个安全公告(cpujan2013-1515902)以及相应补丁:
cpujan2013-1515902:Oracle Critical Patch Update Advisory - January 2013
链接:
http://www.oracle.com/technetwork/topics/security/cpujan2013-1515902.html
补丁下载:
http://www.oracle.com/technetwork/topics/security/cpujan2013-1515902.html#PIN

3.6 Oracle MySQL Server 'Information Schema'子组件远程安全漏洞(CVE-2013-0384)

Oracle MySQL Server 'Information Schema'子组件远程安全漏洞(CVE-2013-0384)

发布时间:

2013-01-16

漏洞号:

BUGTRAQ ID: 57416
CVE(CAN) ID: CVE-2013-0384

漏洞描述:

Oracle MySQL Server是一个轻量的关系型数据库系统。
Oracle MySQL Server 5.1.66、5.5.28及更早版本存在远程安全漏洞,此漏洞可通过'MySQL Protocol'协议加以利用,'Information Schema'子组件受到影响。通过身份验证的远程攻击者可利用此漏洞造成影响可用性。

安全建议:

Oracle已经为此发布了一个安全公告(cpujan2013-1515902)以及相应补丁:
cpujan2013-1515902:Oracle Critical Patch Update Advisory - January 2013
链接:
http://www.oracle.com/technetwork/topics/security/cpujan2013-1515902.html
补丁下载:
http://www.oracle.com/technetwork/topics/security/cpujan2013-1515902.html#PIN