当前位置: 安全纵横 > 安全公告

一周安全动态(2013年1月24日-2013年1月31日)

来源:安恒信息 日期:2013-01

2013年1月第五周(1.24-1.31)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 荆州一政务网站遭黑客侵入 领导开会照片被窜改

昨天,有网友发现,荆州市国土资源局市直地矿分局网站被“黑”,领导开会照片被换成一名年轻陌生男子照片,照片旁有不雅语言。记者将此情况反馈后,该局立即修改,到昨晚记者再次登录访问时,该网页恢复正常。

昨日中午12时许接到网友报料后,记者登录该网站看到,网站左边是一张戴黑框眼镜的年轻男子照片,该男子右手比出“V”型手势,微笑面对镜头,旁边配上“我是2Bhelen”的文字。除了照片被换掉外,并未出现文字被窜改、发布其他信息等现象。

下午2时30分左右,记者将此事反映给荆州市国土资源局市直地矿分局。一名雷姓工作人员表示,被窜改处挂的是领导开会时的照片,他上周四登录时未发现异常。他透露,自己并不认识照片中的年轻男子,疑为网友恶搞。他随即将此情况报告。

该工作人员介绍,网站为一家网页制作公司开发,已上线四五年,平时有技术人员维护,此前未发现任何异常。

昨晚6时30分许,记者再次登录该网站发现,年轻男子的照片已被删除,网页恢复正常。

近年来,政务网站被黑客侵入的现象时有发生,2008年,荆州市商务局网站被黑客入侵,领导照片被换成性感女子照片。

荆州市公安局网安支队管理大队负责人介绍,目前全市已有300多个政务网站,有些存在安全隐患,用黑客软件就能较低门槛入侵。

他分析,政务网站一般不具备研发能力,多是找网页制作公司制作,准备时间较短,缺乏科学规划。此外,有些受委托的公司不具备资质,也会留下安全隐患。

该负责人说,一些政府网站除发布信息外,还承担着网上咨询、办理业务等事宜,一旦被黑客入侵发布虚假信息,就可能让群众受骗。此类案件隐蔽性高,侦破难度较大。

他建议,政务部门要重视网站建设,找有资质的网页制作公司合作,平时还要加强资金、技术投入,以防此类现象再度发生。

1.2 非法入侵多家网站 丰城“黑客”获利十余万元

仅有初中学历的丰城人范某,靠自学成为电脑高手。他利用职务之便非法入侵多家网站盗取数据牟利。日前,范某在老家丰城被警方抓获。

2012年12月17日,丰城市公安局河西分局接到江苏海门警方的协查通知,将涉嫌盗取网站数据牟利十余万元的范某抓获。

经查,范某案发前在江苏省海门市某网络公司担任网络管理员。2012年4月,范某朋友透露,愿意重金购买有价值的网络数据。范某经不住诱惑,连续入侵十多家大型网站,牟利十余万元。他的这一举动,很快被海门市警方发现。范某自知不妙立即逃回老家,直到被警方抓获。

1.3 穆斯林黑客打造—DDoS黑暗云笼罩美国银行

伊朗政府支持的穆斯林黑客开创的以服务器为攻击源的DDoS攻击手段,阶段性改写DDoS历史!依托云主机服务(如Amazon等)打造黑暗云(Dark Cloud)更使得DDoS攻击如虎添翼。管理1万台服务器的开销远远小于10万台PC,DDoS进入大流量、高持续性的混合攻击阶段。

去年9月开始,包括Wells Fargo,the Bank of America, Citigroup和HSBC在内的世界上最大银行遭受攻击。攻击者并没有窃取个人资料或进行诈骗,而是使用云服务器进行DDoS攻击,因为在那里他们可以使用更先进性能更好的“火炮”。

“这些攻击流量让人吃惊”Radware公司安全专家Herberger告诉American Banker“他们的服务器、处理器和负载设备基本上解决不了这个问题”

1.4 智能木马隐藏伪装使用的通讯协议

日前,趋势科技发布一篇木马报告,发现一些木马能将通信协议模仿一些常见的协议,如伪装成Windows Live Messenger或雅虎Messenger的即时消息协议。报告中称该木马为“Fakem RATs”,是一款远程控制程序。它拥有常见的远控功能,能远程截图、文件获取、控制摄像头、麦克风等。

该报告称,自2009年以来,在一些恶意软件中发现使用了该伪装协议,能模仿一些已知的即时通信协议,来逃避检测,隐藏通信数据特征,这些木马程序复制及时通信协议的包头,剩下的payload部分进行木马加密通信。

报告中指出,恶意软件利用微软Office漏洞(CVE-2009-3129CVE-2010-3333CVE-2012-0158等),制作特定的Word和Excel文件,再通过电子邮件、社会工程学、聊天系统等传播木马。

1.5 黑客利用安全更新心态大肆散播虚假Java更新包

想必最近对于Oracle来说简直就是焦头烂额,自去年在苹果上爆发Flashback病毒之后就一发不可收拾,接连爆出多个O-Day漏洞,迫使 Oracle亡羊补牢的推出各种补丁。最新的更新补丁为“JavaUpdate 11”,而黑客则抓住用户升级更新的漏洞,开始大肆散播自己制作的虚假Java更新包,这款恶意程序被隐藏在"javaupdate11.jar"的压缩 包内,然后有"up1.exe" 和"up2.exe." 两个恶意进程,用户一旦安装之后就为黑客提供了后门并获取了相关的命令和控制权限。
这款恶意程序其实并未真正的修复Java漏洞,而是抓住用户迫切希望更新获取相关的安全支持的心态,然后诱骗消费者进行安装然后进一步获取相关的权限。目前这款恶意程序只出现在Windows平台。

1.6 四招防范网银安全漏洞

辛苦工作了一年,临近春节的时候,怎能不对亮闪闪的年终奖金望穿秋水?面对各种节日促销,怎能不食指大动?当人民币在我们手中通过数字化网络辞旧迎新的时候,千万不要忘记保护自己网银账户的安全,网银安全专家给大家支招。

1.警惕钓鱼网站:现在利用假冒的银行官网钓鱼诈骗网银余额的案例层出不穷,但每家银行的官方网站只有一个,只要准确记住银行网站的网址,所有钓鱼网站都是“浮云”。

2.个人电脑要“清洁”:安装并及时更新杀毒软件,定期对电脑进行安全扫描,以有效的防止木马等病毒入侵,防止网银账户资料被黑客窃取。不打开来历不明的电子邮件,不随意接收或下载不明文件,以有效降低木马等病毒感染电脑的可能。

3.不要使用“国民密码”:姓名拼音、生日等密码极易被黑客破击。所以千万不要再把设置密码当成小事一桩,使用复杂密码也不能掉以轻心,最好定期更换复杂密码。

4.使用网银后及时拔下USBkey:一直将USBKey插在电脑上,就好比钥匙一直插在门上,此时黑客用木马程序就可以远程控制别人的电脑,进行非法操作。

2 本周关注病毒

2.1 Trojan.Win32.Fednu.umr(木马病毒)

警惕程度 ★★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.2 Trojan.Spy.Win32.Hijclpk.d(木马病毒)

警惕程度 ★★★

该病毒运行后,施放一个盗号木马,并进行自我复制,在本地硬盘大范围传播。同时,感染部分html文件,添加恶意代码,使其指向黑客指定的挂马网站。最后,将恶意代码注入windows进程中,以实现监听用户电脑的目的。用户一旦中毒,将“被下载”大量木马病毒,还要面临虚拟财产被盗、隐私信息泄露等威胁。

2.3 Dropper.Win32.Fednu.cf (QQ群儒虫)

警惕程度 ★★★★★

该病毒运行后,向所有磁盘分区释放自动运行文件,并修改注册表,实现病毒的自启动。同时,病毒会查找QQ进程,如果存在,将会通过远程注入和挂钩相关函数的方式,随意访问用户QQ空间、邮箱等有关服务。一旦病毒得到用户的群列表,就会向所有群上传病毒文件。同时,该病毒还通过遍历进程查找wow.exe(魔兽世界),如果存在,病毒注入dll的方式,搜索特征码的方式得到用户信息,并发送到黑客服务器中。

3 安全漏洞公告

3.1 IBM WebSphere Application Server 跨站脚本执行漏洞(CVE-2013-0459)

IBM WebSphere Application Server 跨站脚本执行漏洞(CVE-2013-0459)

发布时间:

2013-01-24

漏洞号:

BUGTRAQ ID: 57512
CVE(CAN) ID: CVE-2013-0459

漏洞描述:

WebSphere是IBM的集成软件平台。它包含了编写、运行和监视全天候的工业强度的随需应变Web应用程序和跨平台、跨产品解决方案所需要的整个中间件基础设施,如服务器、服务和工具。
IBM WebSphere Application Server v6.1, 7, 8, 8.5没有正确过滤管理控制台(Administrative console)的相关输入,可被利用在受影响站点用户浏览器中执行任意HTML和脚本代码。

安全建议:

IBM已经为此发布了一个安全公告(swg21622444)以及相应补丁:
swg21622444:Security Vulnerabilities fixed in IBM WebSphere Application Server 7.0.0.27
链接:
http://www-01.ibm.com/support/docview.wss?uid=swg21622444

3.2 IBM WebSphere Application Server 跨站脚本执行漏洞(CVE-2013-0458)

IBM WebSphere Application Server 跨站脚本执行漏洞(CVE-2013-0458)

发布时间:

2013-01-24

漏洞号:

BUGTRAQ ID: 57508
CVE(CAN) ID: CVE-2013-0458

漏洞描述:

WebSphere是IBM的集成软件平台。它包含了编写、运行和监视全天候的工业强度的随需应变Web应用程序和跨平台、跨产品解决方案所需要的整个中间件基础设施,如服务器、服务和工具。
IBM WebSphere Application Server v6.1, 7, 8, 8.5没有正确过滤虚拟成员管理器的管理控制台输入,可被利用在受影响站点用户浏览器中执行任意HTML和脚本代码。

安全建议:

IBM已经为此发布了一个安全公告(swg21622444)以及相应补丁:
swg21622444:Security Vulnerabilities fixed in IBM WebSphere Application Server 7.0.0.27
链接:
http://www-01.ibm.com/support/docview.wss?uid=swg21622444

3.3 IBM WebSphere Application Server 跨站脚本执行漏洞(CVE-2013-0461)

IBM WebSphere Application Server 跨站脚本执行漏洞(CVE-2013-0461)

发布时间:

2013-01-24

漏洞号:

BUGTRAQ ID: 57509
CVE(CAN) ID: CVE-2013-0461

漏洞描述:

WebSphere是IBM的集成软件平台。它包含了编写、运行和监视全天候的工业强度的随需应变Web应用程序和跨平台、跨产品解决方案所需要的整个中间件基础设施,如服务器、服务和工具。
IBM WebSphere Application Server v6.1, 7, 8, 8.5的管理控制台在进行虚拟成员管理(VMM)时没有正确的验证输入,本地攻击者可利用该漏洞向错误信息中插入脚本代码。

安全建议:

IBM已经为此发布了一个安全公告(swg21622444)以及相应补丁:
swg21622444:Security Vulnerabilities fixed in IBM WebSphere Application Server 7.0.0.27
链接:
http://www-01.ibm.com/support/docview.wss?uid=swg21622444

3.4 F5 BIG-IP SQL注入漏洞

F5 BIG-IP SQL注入漏洞

发布时间:

2013-01-23

漏洞号:

BUGTRAQ ID: 57500
CVE(CAN) ID: CVE-2012-3000

漏洞描述:

F5 BIG-IP产品可为企业提供集成的应用交付服务,如加速、安全、访问控制与高可用性。
F5 BIG-IP 11.2.0之前版本没有有效过滤用户输入,在实现上存在SQL注入漏洞,成功利用后可允许攻击者破坏应用、执行未授权操作。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.f5.com/bigip

3.5 F5 BIG-IP XML外部实体注入漏洞

F5 BIG-IP XML外部实体注入漏洞

发布时间:

2013-01-16

漏洞号:

BUGTRAQ ID: 57496
CVE(CAN) ID: CVE-2012-2997

漏洞描述:

F5 BIG-IP产品可为企业提供集成的应用交付服务,如加速、安全、访问控制与高可用性。
F5 BIG-IP在实现上存在XML外部实体注入漏洞,成功利用后可允许攻击者获取本地文件内容。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.f5.com/bigip

3.6 Cisco Nexus 7000 系列交换机NX-OS远程拒绝服务漏洞

Cisco Nexus 7000 系列交换机NX-OS远程拒绝服务漏洞

发布时间:

2013-01-22

漏洞号:

BUGTRAQ ID: 57482
CVE(CAN) ID: CVE-2012-6396

漏洞描述:

Cisco NX-OS是一个数据中心级的操作系统,该操作系统体现了模块化设计、永续性和可维护性。
运行NX-OS的Cisco Nexus 7000系列交换机没有正确处理某些line-card的替换事件而存在拒绝服务漏洞。远程通过认证的攻击者通过构造配置使受影响模块来引用新卡上不存在的接口,造成受影响设备的内存和系统资源的大量消耗,导致拒绝服务。

安全建议:

Cisco已经为此发布了一个安全公告(CVE-2012-6396)以及相应补丁:
CVE-2012-6396:Cisco Nexus 7000 Denial of Service Vulnerability
链接:
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2012-6396