当前位置: 安全纵横 > 安全公告

一周安全动态(2013年2月1日-2013年2月7日)

来源:安恒信息 日期:2013-02

2013年2月第一周(2.1-2.7)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 UPnP漏洞爆发 数千万个人设备受威胁

网络安全软件厂商Rapid7在即将于周二发布的一份白皮书中表示,目前市场上广泛使用的网络技术存在很多漏洞,而这些漏洞使数千万台个人电脑、打印机和存储设备在常规网络环境中就非常容易受到黑客的攻击。计算机路由器和其他网络设备是导致用户个人设备极易受到攻击的根源,因为它们都普遍采用了即插即用(Universal Plug and Play, UPnP)技术。该技术能够让网络更加便捷地识别外部设备并与之进行通讯,这大大节省了网络调试时间。

Rapid7在这份白皮书中指出,该公司研究人员已经从即插即用技术标准中发现了三种相互独立的漏洞,而正是这些漏洞导致全球4,000万到5,000万台设备极易受到攻击。这些设备的名单中包括数家全球知名网络设备生产商的产品,比如Belkin、D-Link以及思科旗下的Linksys和Netgear。

业内广泛关注

安全软件厂商Veracode的首席技术官克里斯?维索普尔(Chris Wysopal)表示,他认为Rapid7公开发布的调查结果将引起业内对即插即用技术安全性的广泛关注,而该技术仍处于新兴发展阶段,同时还会促使其他安全研究人员继续挖出即插即用技术存在的更多漏洞。

在提前阅读过Rapid7调查结果的维索普尔指出:“这一结果绝对可以说是令人恐慌的。陆续还会有这方面的更多研究,今后的研究结果可能会引起更大的恐慌。”

Rapid7 曾经通过美国计算机网络安全监测机构“计算机应急反应小组协调中心”(CERT Coordination Center)向电子设备厂商通报过上述漏洞,该中心由政府出资与卡耐基梅隆大学软件工程学院联合建设,旨在帮助研究人员报告可能会影响企业网络安全的潜在漏洞。

Rapid7首席技术官莫尔(HD Moore)表示:“这是我所见过的涉及范围最广的安全漏洞。”莫尔曾经建设了一个用途广泛的平台,取名Metasploit,安全专家可以在该平台上进行模拟网络攻击测试。莫尔指出,他估计CERT将在本周二向公众发布网络漏洞安全预警。而CERT的一位发言人拒绝对此事发表任何评论。

据来自一家网络设备生产商的消息源确认称,该公司已经提前被通知,CERT将在本周二发布相关报告。

多数受试设备存漏洞

根据Rapid7的调查显示,黑客可以利用这批安全漏洞获取绝密文件、窃取密码、获得个人电脑的完全控制权以及针对网络摄像头、打印机和安全系统进行远程遥控。

莫尔指出,在他进行过测试的设备中,大多数都存在各种各样的漏洞。他还指出,设备厂商则需要发布软件更新才能够解决这些问题,而这在短期内似乎很难实现。

与此同时,莫尔还建议电脑用户迅速运行由Rapid7发布的一款免费工具来查找漏洞,然后在存在漏洞的设备中关闭即插即用功能。

莫尔表示,网络黑客尚未大规模利用即插即用漏洞实施攻击,但莫尔和Veracode的维索普尔均预计,一旦结果公布以后,黑客们可能会开始发起大规模攻击。为了敦促设备生产商修补这些漏洞,莫尔表示,他决定公布这些漏洞。

使用带有即插即用功能设备的用户可能根本意识不到潜在漏洞带来的风险,因为新款路由器、打印机、媒体服务器、网络摄像头、存储设备以及智能电视和互联网电视等设备在出厂时就默认开启了即插即用功能。

莫尔指出:“遇到这种事情,你不能置之不理。这些产品和设备似乎数十年以来就一直执行着相同的核心安全标准。似乎没有人真正关心这些产品。”

维索普尔表示,有些黑客似乎已经开始利用这些漏洞来发起攻击了,不过数量还相当小,而且他们每次只选择一个攻击对象。他指出:“如果黑客要追踪公司高管和政府官员的话,他们很可能会通过后者的家庭网络并利用这些漏洞实施攻击。”

Rapid7建议,如果企业和消费者怀疑自己的设备可能容易受到攻击,那么就关闭设备的即插即用功能。Rapid7已经在该公司网址上发布了一款工具,以帮助用户查找到存在安全漏洞的设备和产品。

1.2 JetDirect存漏洞,打印机安全问题再升温

打印机并不是网络罪犯入侵企业网络的典型路径。但是最近,该设备却成为安全专家们关注的焦点,他们认为打印机是网络防御中一个被忽略的薄弱环节。

最近,英国移动app开发者Andrew Howard爆料,谷歌发现86800台HP公共打印机可能促使网络罪犯渗透到企业网络或窃取敏感文件,这让打印机安全话题进一步升温。Howard表示,许多型号的打印机漏洞是已知的,这些漏洞可能会用作私人网络的入口。

本月早些时候,viaForensics研究人员Sebastian Guerrero发现了JetDirect中的漏洞,它可能被用于入侵HP打印机。JetDirect技术用于将打印机添加到本地网络,因此很多人能进到设备中。Guerrero表示,这些漏洞能使人检索到之前打印过的文件。

HP建议用户将打印机置于防火墙之后,并只为那些可信的合作方提供认证。

打印机安全漏洞之前曾经被报告过,由于这种风险经常被忽视,专家们多年前就提出了警告。打印机并非黑客们的首要目标。但是,“网络罪犯就像水一样,他们会向那些最薄弱的环节渗透。”viaForensics首席研究专家Andrew Hoog表示。今天,企业传统的安全防御已经做得比较好了,打印机就引起了攻击者更多关注。由于打印机安全经常被忽视,它可能更容易成为秘密攻击的目标。

1.3 美国防部批准扩编网络安全部队

据美国《华盛顿邮报》1月27日报道,美国国防部已经批准,未来几年内将大幅扩编其网络安全部队,以增强能力,应对关系国家安全、经济命脉等基础设施的计算机系统可能面临的境外威胁。

从现在的900名扩增至4900名

据国防部一名官员透露,国防部网络司令部最早提出了扩编请求,2012年底国防部高级官员做出决定,未来几年内将网络司令部增员4倍多,从现在的900名扩增至4900名。该官员称,国防部已经意识到,来自网络领域的威胁逐年增加,必须予以重视。

国防部长帕内塔去年11月发表演讲,称网络安全部门需要更多的财政和人力资源。他说:“我们吸纳了很多优秀人才参与(网络安全)。面对正在发生的变化,如果想一直保持前沿地位,我们必须在这个领域投入更多。”

应对“网络珍珠港”的可能性

据称,去年8月沙特阿拉伯的网络遇袭事件令帕内塔十分担心。当时沙特阿拉伯国有石油企业阿拉伯石油公司电脑网络遇袭,超过30万台计算机受损,耗费半个月才恢复主要内部网络。去年10月帕内塔警告称,美国正面临着一个“网络珍珠港”的可能性。来自情报部门的担心更加推进了这一扩编进程。据《纽约时报》报道,美国情报部门认为沙特的网络攻击是由伊朗发起的,情报部门还声称,“美国和伊朗在网络领域的影子战争已经在路上了。”

美国国防部前副部长威廉姆?林恩说,“威胁是真实存在的,我们必须采取应对之策。”

因此,尽管目前国防部正在大幅削减开支,包括削减对传统地面武装人员的投入,却仍旧做出了扩充网络安全部队的决定。这反应出美国对网络安全战争日益重视的态度。(高美)

■部署

增员可能面临“招人难”

据国防部官员透露,扩编后的网络司令部将成立三支部队。

“国家任务部队”,用于保护关系国家安全和经济命脉的关键电网、发电厂和其他基础设施的计算机系统,《华盛顿邮报》援引一名高级国防官员的话称,“国家任务部队”将主要集中精力对来自美国境外的威胁采取行动。“作战任务部队”,将用于协助指挥海外项目、发起攻击或其他进攻任务,比如可以在发起地面攻击之前,就破坏对方的作战指挥系统。而“网络保护部队”则重点用于保护国防部自己的网络。

不过如此大规模的扩编计划,显然并非易事,如何找到、培训、并且留住如此多合格的网络安全人员,将是美国国防部面临的挑战之一。同时,扩大后的网络安全部队如何保持自己的独立性也是一个问题。国防部官员们担心,国家安全局将会利用扩展后网络安全部队进行情报搜集监测,而非主要用于打击和扰乱对手的网络。(高美)

我们是像现在这样,提前采取措施以防止袭击,还是在袭击发生之后,读着那些调查报告,讨论着我们本应该采取的措施?

——美国国防部前副部长威廉姆?林恩。

1.4 黑客袭击"源自中国"难定论

美大报连续被黑,安全专家称——黑客袭击"源自中国"难定论

【法新社华盛顿2月2日电】《纽约时报》等美国主要媒体受到的一连串网络袭击已经加剧了人们对中国黑客的担忧。分析人士称.这些黑客很可能与中国政府有牵连。

这些袭击被追踪至与过去几次黑客入侵有关的中国服务器。专家们认为,这一事实凸显了华盛顿迫切需要向北京施压,以便让北京约束其数字战士。

另外一些安全专业人士则声称,难以确定这些袭击源自中国:或者这些黑客是在政府的授意下采取行动的。

美国智库战略与国际问题研究中心的网络安全专家詹姆斯·刘易斯说,有证据支持中国政府与黑客袭击有关的指控。来自中国的黑客过去曾被认为发动了对美国防务巨头洛克希德一马丁公司以及谷歌、可口可乐等公司的袭击。另外的报道称,中国黑客曾试图侵入五角大楼及美国议员的计算机。

2月1日卸任国务卿的希拉里在1月31日表示,对国家机构和私营公司的黑客袭击都出现了增长。她说: “我们不得不明确表示--不仅仅是针对中国--美国将不得不采取行动,以保护我们的政府和私营部门免遭此类非法入侵。”

信息安全企业迈克菲公司研究人员瑞安·舍尔斯托比托夫说,黑客袭击的“源头是很难精准定位的”,因为计算机通信可以通过不同的路径加以传递。

但是他表示,绝大多数的计算机入侵事件是因为雇员错误地打开了被植入恶意软件的电子邮件附件,这些邮件往往被伪装成是由某位同事发来的。这项技术就是所谓的“钓鱼”,使黑客可以浏览或控制数据。

【英国广播公司网站月2日报道】美国《华盛顿邮报》透露该报遭到网络攻击,并怀疑是中国黑客所为。

《华盛顿邮报》是继美国《纽约时报》、《华尔街日报》之后,最新一家宣称遭到中国黑客网络攻击的美国重要媒体。

该报2日在头版发表文章说,网络攻击发生在年年底,但没有说明网络攻击的情况、时间和来源。

据报道, 《纽约时报》和《华盛顿邮报》使用同一家网络安全公司的电脑网络安全系统,而这家公司拒绝透露系统遭到入侵的细节。

中国国防部回应有关询问时曾表示: “网络攻击具有跨国性和匿名性等特点。

没有充分证据就指责中国军队进行网络攻击,是不专业和没有根据的。”。

1.5 中国向泄露和贩卖个人信息行为“亮剑”

中国向泄露和贩卖个人信息的幕后黑手“亮剑”。日前,中国公安部统一部署指挥,在北京、上海、湖北、重庆等21个省区市开展打击非法获取和交易公民个人信息行动。

官方统计,共有1100多名嫌疑人落网,包括8名泄露公民个人信息的犯罪嫌疑人,200多名非法买卖公民个人信息的犯罪嫌疑人,以及一批利用个人信息从事诈骗犯罪的嫌疑人。

“获取和贩卖个人信息犯罪成本低、市场需求大。犯罪分子通过互联网联系,逐渐形成个人信息买卖的黑色利益链。”参与办案的武汉市公安局刑侦处一位负责人说。

“私家侦探”是武汉市警方本次打击重点。中国的“私家侦探”往往以调查公司、信息咨询公司为掩护,多采用非法手段获取并出售个人信息。

嫌疑人徐某原是武汉一家咨询公司老板。利益面前,他铤而走险,以婚姻调查、清债、商务调查、查人找址、员工诚信等为由,做起非法“私家侦探”。

徐某落网后交代说:“每条信息视齐全程度售价不等。通话记录和个人行踪等信息购入价格约300元,以1000元左右的价格出售,最高可买至4000元。”

在武汉,有10家非法调查公司依附于徐某。他们从徐某那里购得个人信息,从事非法调查婚外恋、催款、以及商业竞争对手情况。这10家调查公司在行动中被摧毁。

武汉警方介绍,公民个人信息泄露轻则会招来垃圾短信和电话,重则引发诈骗、敲诈、勒索、暴力讨债等刑事案件。个人信息泄露引发的案件有逐年上升趋势。

为加大非法获取和出售个人信息犯罪惩治力度,中国在2009年将出售、非法提供公民个人信息罪与非法获取公民个人信息罪两个罪名写入新修订的刑法。

但一些办案民警反映,刑法对此类犯罪的制裁有局限性。“一信息经多次修改很难找到源头。犯罪未造成严重后果的,无法按刑法入刑。”武汉市公安局一位姓杨的警官透露。

武汉大学法学院教授陈家林认为,中国公安部门此次在全国专项行动,将加强人们对个人信息的保护意识。他认为,打击此类犯罪,不仅要靠公安机关行政手段,还要完善相关民事法律。

“同很多西方国家一样,中国社会对私家侦探也有需求。约束私家侦探在法律范围内活动。对于非法获取和出售他人信息的私家侦探,应明确民事赔偿方法,加大处罚力度。”陈家林说。

2 本周关注病毒

2.1 Trojan.Win32.ECode.yw(木马病毒)

警惕程度 ★★★

木马运行后会篡改注册表启动项,实现开机启动。当用户登陆QQ时,木马就会盗取用户的账号密码发送到黑客指定邮箱,并将用户的个人隐私、机密资料均暴露在黑客的掌控之下,十分危险。

2.2 Trojan.Win32.VBCode.fvl(木马病毒)

警惕程度 ★★★

病毒获得运行后,首先会关闭网络共享和Windows防火墙,导致电脑变得十分脆弱,很容易被黑客和木马入侵。随后病毒访问黑客指定网址下载大量流氓软件。病毒完成这些操作,用户看不到任何通知,随后,病毒进行自删除,整个过程十分隐蔽。除此以外,病毒具有很强的修改空间,病毒作者只要稍作修改,病毒的危害性便大大增加,比如更改网址指向其他的病毒木马。

2.3 Trojan.Win32.Generic.13F6AD21 (‘Svchost劫持者’木马病毒)

警惕程度 ★★★★★

该病毒运行后释放一个dll到C盘根目录下,并劫持Svchost.exe进程。同时查找主流杀毒软件进程,并将其关闭。除此之外,该病毒还会反向链接黑客指定地址,用户一旦中毒,计算机将遭到黑客全面监控,用户的隐私信息、网银账户内的钱款、虚拟财产以及计算机中的涉密文件都将面临被盗风险。

3 安全漏洞公告

3.1 IBM Information Server Metadata Workbench 跨站脚本漏洞

IBM Information Server Metadata Workbench 跨站脚本漏洞

发布时间:

2013-01-31

漏洞号:

BUGTRAQ ID: 57635
CVE(CAN) ID: CVE-2012-0203

漏洞描述:

IBM InfoSphere Information Server可以帮助企业从分散在其系统内的复杂信息中获得价值。
IBM Information Server Metadata Workbench 8.1, 8.5, 8.7 在实现上存在跨站脚本漏洞,可导致未授权访问。

安全建议:

IBM已经为此发布了一个安全公告(swg21623501)以及相应补丁:
swg21623501:Multiple security vulnerabilities in the IBM InfoSphere Information Server Suite
链接:
https://www-304.ibm.com/connections/blogs/PSIRT/entry/security_bulletin_multiple_security_vulnerabil

3.2 IBM InfoSphere Information Server Import Export Manager 跨站脚本漏洞

IBM InfoSphere Information Server Import Export Manager 跨站脚本漏洞

发布时间:

2013-01-31

漏洞号:

BUGTRAQ ID: 57635
CVE(CAN) ID: CVE-2012-4819

漏洞描述:

IBM InfoSphere Information Server可以帮助企业从分散在其系统内的复杂信息中获得价值。
IBM InfoSphere Information Server Import Export Manager的多个接口(IBM InfoSphere Business Glossary, IBM InfoSphere DataStage Operation Console, IBM InfoSphere Administration, Reporting, Repository Management Web Console)在实现上存在跨站脚本漏洞,可导致攻击者获取受害者cookie等。

安全建议:

IBM已经为此发布了一个安全公告(swg21623501)以及相应补丁:
swg21623501:Multiple security vulnerabilities in the IBM InfoSphere Information Server Suite
链接:
https://www-304.ibm.com/connections/blogs/PSIRT/entry/security_bulletin_multiple_security_vulnerabil

3.3 IBM InfoSphere Information Server Import Export Manager DLL 预加载攻击漏洞

IBM InfoSphere Information Server Import Export Manager DLL 预加载攻击漏洞

发布时间:

2013-01-31

漏洞号:

BUGTRAQ ID: 57635
CVE(CAN) ID: CVE-2012-0204

漏洞描述:

IBM InfoSphere Information Server是可以帮助企业从分散在其系统内的复杂信息中获得信息的一款软件。
IBM InfoSphere Information Server Import Export Manager在实现上存在DLL预加载攻击漏洞,可导致执行任意命令。

安全建议:

IBM已经为此发布了一个安全公告(swg21623501)以及相应补丁:
swg21623501:Multiple security vulnerabilities in the IBM InfoSphere Information Server Suite
链接:
https://www-304.ibm.com/connections/blogs/PSIRT/entry/security_bulletin_multiple_security_vulnerabil

3.4 IBM InfoSphere Information Server 功能未授权访问漏洞

IBM InfoSphere Information Server 功能未授权访问漏洞

发布时间:

2013-01-31

漏洞号:

BUGTRAQ ID: 57635
CVE(CAN) ID: CVE-2012-0700

漏洞描述:

IBM InfoSphere Information Server是可以帮助企业从分散在其系统内的复杂信息中获得信息的一款软件。
IBM Information Server Metadata Workbench 8.1, 8.5, 8.7 在实现上存在未授权访问漏洞,IBM InfoSphere Information Server FastTrack客户端内存储用户凭证的方式不安全,可导致未授权访问IBM InfoSphere Information Server功能。

安全建议:

IBM已经为此发布了一个安全公告(swg21623501)以及相应补丁:
swg21623501:Multiple security vulnerabilities in the IBM InfoSphere Information Server Suite
链接:
https://www-304.ibm.com/connections/blogs/PSIRT/entry/security_bulletin_multiple_security_vulnerabil

3.5 JBoss Enterprise Application Platform JMX Invoker安全绕过漏洞

JBoss Enterprise Application Platform JMX Invoker安全绕过漏洞

发布时间:

2013-01-28

漏洞号:

BUGTRAQ ID: 57551
CVE(CAN) ID: CVE-2012-5478

漏洞描述:

JBoss企业应用平台(JBoss Enterprise Application Platform,EAP)是J2EE应用的中间件平台。
JMX通过给用户分配不同角色来做访问限制,但是该安全策略并没有真正实现访问限制,允许具有valid JMX Invoker credentials的远程攻击者可以进行其它角色的操作。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.jboss.org/

3.6 JBoss Enterprise Application Platform side-channel 数据泄露漏洞

JBoss Enterprise Application Platform side-channel 数据泄露漏洞

发布时间:

2013-01-28

漏洞号:

BUGTRAQ ID: 57549
CVE(CAN) ID: CVE-2011-2487

漏洞描述:

JBoss企业应用平台(JBoss Enterprise Application Platform,EAP)是J2EE应用的中间件平台。
JBoss Web Services在分配对称密钥时会泄露side-channel数据,可允许远程攻击者恢复完整的对称密钥纯文本表。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.jboss.org/