当前位置: 安全纵横 > 安全公告

一周安全动态(2013年2月14日-2013年2月21日)

来源:安恒信息 日期:2013-02

2013年2月第三周(2.14-2.21)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 维护网络安全 需要合作而非“抹黑”

连日来,有关“中国黑客”攻击西方媒体和公司的报道在美国媒体频繁出现,甚至还煞有介事地表明和中国军方有关。美国媒体精心炮制的“黑客新闻”,看似是噱头十足,其实却是漏洞百出。

首先,中国致力于维护互联网安全,在法律上禁止黑客攻击。

为维护互联网安全,中国在一系列的法律法规作出了相关规定,维护国家安全和社会公共利益,保护个人、法人和其他组织的合法权益。《全国人大常委会关于维护互联网安全的决定》中明确指出,“故意制作、传播计算机病毒等破坏性程序,攻击计算机系统及通信网络,致使计算机系统及通信网络遭受损害”构成犯罪的,依照刑法有关规定追究刑事责任。正如中国国防部新闻事务局指出的,中国法律禁止黑客攻击等任何破坏互联网安全的行为,中国政府始终坚决打击相关犯罪活动,中国军队从未支持过任何黑客活动。西方媒体炮制“黑客新闻”,甚至声称中国官方在幕后组织,如此说法实在是站不住脚。

其次,仅凭技术手段断定黑客攻击来自中国有失偏颇。

按照美国媒体的所谓“证据”,通过IP地址的通联关系,显示攻击源来自中国。但实际上,通过盗用IP地址进行黑客攻击在网上屡见不鲜,不少黑客都具备很强的反侦查手段,善于隐藏自己的信息。根据中国国家互联网应急中心发表的报告,2012年,对中国网络主机和网站的攻击中,IP地址显示源自美国的网络攻击数量名列第一。如果按照美方的说法,是不是也可以认定这些黑客攻击都是美国方面做的呢?况且,如今的黑客攻击在网络上非常常见,把个人行为的黑客攻击,草率地认定为官方的或者是军方的黑客攻击,只能说是强词夺理,无端指责。

再次,美国一方面渲染黑客威胁,另一方面却具备最强大的“黑客实力”。

近年来,美国媒体不断对“中国黑客”大肆炒作,从所谓的“中国黑客大本营”、“网络民兵组织”和“黑客高手”等等,但是实际上,美国却拥有全球首屈一指的“黑客实力”。如今,全球最强大的黑客组织在美国,美国政府和美国军方还不断招募“黑客高手”,为其服务。同时,美国还大力加强“网军”力量,在全球率先成立了网络战司令部,并计划将其人员将从目前的900人增至4900人,研发收集各种计算机病毒,建立网络战武器库。美国还谋求在网络上进行“先发制人”的攻击。从这个意义上说,对全球互联网安全构成最大潜在威胁的,不是别人,就是叫嚷着“狼来的”的美国自己。

建设和平、安全、合作的网络空间,是国际社会的共同期待。美国方面以冲突和对抗的角度看待互联网安全,无端指责和蓄意抹黑,只能是适得其反,导致网络安全风险持续升高。要保证网络安全,加强对话合作,谋求共同安全才是正确出路。

1.2 美国军队黑客 在干什么?

美国军队有黑客吗?答案显然是肯定的。早在2010年美军网络战司令部成立之前,美国战略司令部的高级将领在2005年4月参加参议院武装力量委员会的听证会时,就承认了一个所谓“网络战功能单元联合司令部”(JFCCNW)黑客机构的存在。这个组织,可能是当时世界上最可怕和强大的黑客组织。

在公开层面,JFCCNW负责守卫国防部网络的安全,但该部门还要承担高度机密的电脑网络攻击任务。由于该部门冠以“联合司令部”的称谓,因此实际该机构的黑客部队不但有军方成员,还会有美国中央情报局、国家安全局、联邦调查局的黑客人员,甚至包括从民间雇佣的黑客和来自盟国的军事代表。

美国这个司令部对其行动和成果几乎只字不提。而美国国防部通常只宣扬其一年抵御了多少次网络攻击,却从来不承认发动过网络攻击。

在该军事黑客组织曝光后,一些媒体纷纷向战略司令部询问详细情况。当时战略司令部的一位发言人是这样表述的:美国国防部有能力实施网络攻击行动,但出于安全和保密的原因,我们不能讨论细节问题。由于军队越来越依赖电脑网络系统,因此任何防御或者进攻电脑网络的能力都是值得拥有的。

毫无疑问,大量有关美军“网络攻击”的“黑色项目”正在进行中。早在2002年,小布什就签署了16号国家安全总统令,下令有关机构制定一项国家层面的、针对敌对国计算机网络的网络战计划。一位前美国空军少校约翰·布莱德利在参加2002年一次会议时就表示,美国花在网络攻击上的研究比网络防御上要多得多,因为高层人员对前者更感兴趣。美军实施网络攻击的时间可能比我们想象的要早得多。一位美国空军前上校劳伦斯迪亚兹就透露其在上世纪90年代末就领导了北约代号为“I-战争”的针对当时南联盟的网络攻击行动,这也被认为是美国首次实战网络攻击行动。

上述很多网络攻击活动,距今已有10年以上时间。今天已经拥有网络战司令部的美军将拥有怎样的网络攻击水平,每个人都有自己的判断。2011年美国匿名高官透露称,在发动对卡扎菲部队展开空袭的军事行动前,美国曾考虑向利比亚发动网络战,潜入卡扎菲政府的计算机系统,切断其早期预警雷达与地对空导弹的联系。但该选项最后遭到否决。原因有很多种,但肯定不是美国要“洁身自好”。美军背靠美国在网络技术上近似垄断的技术地位,其网络攻击能力无疑是世界最强大的。而美国大量游走在法律边缘的黑客组织,例如“LulzSec”和“Anonymous”,则为美军提供了源源不断的后背“黑客”储备。

只做不说,是美军黑客部队严格的行为规则。在网络化日益影响世界的前提下,美国军队和黑客联手只是一个时间的问题。在网络安全领域,如何不被美国媒体舆论战争所左右而保持我们的“虚拟空间防卫能力”,是一个长期存在的斗争过程。

(新华军事评论员 郑文浩) 据新华网

1.3 调查发现苹果所受网络攻击来自东欧而非中国

据知情人士称,前段时间针对苹果、Facebook、Twitter和其他公司的网络攻击是由东欧地区的一群黑客发动的,他们的目的是窃取目标公司的情报。

报道称,调查人员怀疑那些黑客是俄罗斯或东欧地区的一个犯罪团体,他们已经追踪到至少一台被黑客组织使用的服务器,那台服务器是由乌克兰的一家主机托管公司托管的。此外,网络攻击中所使用的恶意软件也表明那些攻击是由黑客组织发动的,而不是中国政府赞助的间谍行为。

《纽约时报》之前报道称,近期许多公司如Facebook受到的一系列网络攻击与中国军方有关。该报道还称,几乎可以肯定的是,针对美国公司、组织和政府部门的大部分网络攻击都来自于驻扎在上海郊区的一支编号为61398的解放军部队。

苹果周三宣布,部分员工的笔记本电脑已经被黑客入侵过,黑客是利用浏览器Java插件中的一个漏洞发动攻击的。苹果还说,针对其他公司的许多网络攻击也使用了相同的恶意软件,但它没有指明那些攻击来自于哪个国家。

苹果在声明中称:“我们在苹果内部发行了少量被入侵过的系统并将它们与我们的网络隔离开来,现在尚未发现能够表明黑客从苹果窃取过数据的证据。我们正与执法机关密切合作,调查恶意软件的来源。”

调查人员相信那些网络攻击是通过一个iPhone开发者社区网站发动的,黑客利用Java零时漏洞侵入了苹果、Facebook、Twitter和其他公司的电脑。

据称,黑客们使用的攻击方法一种名为“水坑攻击”的方法,即黑客先需要攻破一个许多人访问和信任的流行网站,然后再通过该网站向目标电脑发起攻击。

苹果周二发布了一个适用于所有版本OS X系统的升级补丁,以修复该漏洞;同时,它还移除了Java Web插件。

1.4 俄官员称俄政府机构网站每日遭黑客攻击1万次

据俄新网报道,俄联邦国家安全委员会秘书尼古拉·帕特鲁舍夫表示,俄安全委员会记录到国家政府机构网站遭受攻击次数频增,俄罗斯总统、国家杜马以及俄联邦委员会的网站每日遭受攻击的次数达到1万次。

报道称,帕特鲁舍夫在接受《俄罗斯报》采访时表示,“目前俄罗斯信息基础设施各网站遭受攻击的次数激增。我们相关机构每日不得不应对大量的黑客攻击”。

他表示,据俄罗斯联邦安全局掌握消息,仅俄罗斯总统、国家杜马以及联邦委员会网站每日遭受攻击的次数就达到1万次。帕特鲁舍夫解释道,“攻击的主要目的是破坏这些网站信息系统的工作能力”。

1.5 科技公司纷纷被黑 重大嫌疑网站浮出水面

据国外媒体报道,在过去几周时间里,包括苹果、Facebook和Twitter在内的科技公司网站纷纷遭遇了黑客入侵事 件,而且有迹象显示更多网站可能在未来遭遇相同的命运。而在这一连串黑客攻击的背后,人们发现竟然存在着一个惊人的共同点,那就是这些公司员工都曾访问过 一个颇受欢迎的移动开发者信息共享网站。

据Facebook针对被黑事件调查公布的信息显示,这个具备“重大作案嫌疑”的网站名为 iPhoneDevSdk,许多专注于自身移动平台发展的公司都将这一网站视为进行信息交流、分享的重要平台。而在Facebook一名员工浏览了这个网 站后,该网站HTML中内嵌的木马代码便利用甲骨文Java漏洞侵入了这名员工的笔记本电脑。

Facebook方面均拒绝就此发表置评。

对此,美国知名科技媒体AllThingsD建议人们不要继续访问这一网站,因为该网站HTML中内嵌的木马代码可能仍然存在。AllThingsD认为, 该网站也极有可能同日前苹果Mac电脑遭遇Facebook相同的黑客攻击有关。苹果公司当地时间周二透露,部分苹果员工的Mac电脑在访问一家软件开发 者网站时被感染恶意程序,黑客通过利用浏览器内的Java漏洞感染Mac电脑,而该恶意程序与用于攻击Facebook的相同。在被黑之后,苹果为很快旗 下OS X系统发布了更新。

苹果方面拒绝就公司是否认为黑客攻击同这一网站有关发表置评。

需要指出的是,社交网站 Twitter日前也遭遇了黑客攻击,受影响的用户帐号多达25万个。在发现这一情况后,Twitter已经在第一时间敦促这些用户更改登录密码。该公司 在电子邮件和博客中发布声明称,黑客可能窃取了用户的个人资料,包括用户名、电子邮件地址和加密口令等信息。Twitter信息安全主管鲍勃-洛德 (Bob Lord)随后在官方博客中提醒用户,关闭浏览器内可能存在问题的Java组件。 这就意味着,尽管这些公司都未言明,但这几次黑客袭击之间显然存在着关联。

Twitter方面同样拒绝就此发表置评。

形式新颖

有分析认为,此次大规模的黑客攻击同针对个人用户和公司的攻击手法有所不同。此次黑客采用了一种名为“水坑”(watering hole)的攻击模式,即首先攻击一个流行的、并在不同领域公司之间都拥有较高访问量的网站服务器。

Facebook 首席安全官乔-苏利文(Joe Sullivan)在上周接受AllThingsD采访时表示:“现在大家都知道钓鱼攻击,但是像这种攻击单个网站,并试图波及到该网站背后访问用户的想 法还是相当有趣的,因为这种方式并不需要人们打开某个邮件或者点击某一链接。”

独立安全研究员阿什坎-梭利塔尼(Ashkan Soltani)认为:“比起攻击单一开发者,这种方式就像是在给井源下毒。”

更为令人担忧的是,由于这一网站专注于iPhone的应用开发工作,所以并不是只有那些硅谷科技公司会经常访问,任何有意发展自身移动平台的公司、机构都都 可能访问这一站点。就像Facebook在上周所说的那样,“Facebook并不是此次黑客攻击中唯一受到影响的公司,可以肯定的是,其他公司也在近期 遭遇过类似的攻击。”

随着智能手机和平板电脑在近年来的风生水起,越来越多的大型公司、机构都开始注重自身移动平台的发展,并开始对自己的移动应用研发投入大量金钱与资源。因此,AllThingsD认为还有不少公司已经在不知情的情况遭遇了此次攻击。

“iPhoneDevSdk是一个任何移动应用开发者都可以访问的论坛,并在共享开发技巧、信息等方面颇具人气。”苏利文说道。

所以,现在的问题恐怕已经不再是“下一个受到类似攻击的网站会是哪一个”的问题,而是已经演化成了“哪家公司愿意站出来承认自己遭遇到了此次攻击”这一问题。

梭利塔尼表示:“我相信未来还将有不少公司承认认自己遭遇了此次攻击,而这些公司也将开始更加聪明的关注自己的系统安全。这也就是说,现在已经不再是某一公司是否遭遇过这一攻击的问题,而是其是否具备公布事实的巧妙方法。”

 

2 本周关注病毒

2.1 Dropper.Win32.Undef.cfo(木马病毒)

警惕程度 ★★★

该病毒通过网络传播,病毒会从黑客指定网站下载各种木马、病毒等恶意程序,给用户计算机安全带来威胁。

2.2 Dropper.Win32.Small.bns(后门病毒)

警惕程度 ★★★

该病毒将恶意代码加密后放到内存执行,以规避杀毒软件对其进行静态扫描,该恶意代码将连接黑客指定的远程服务器,并接收远程服务器上发来的任意指令。中毒的电脑将被黑客完全掌握,硬盘上的任何数据都会成为黑客的囊中之物。

2.3 Worm.Win32.Fednu.w(蠕虫病毒)

警惕程度 ★★★★★

该病毒运行以后将自身设置为隐藏文件,修改注册表实现开机启动,并将自身复制到各个磁盘根目录下,在用户双击磁盘时运行病毒,同时,屏蔽安全公司的网站,关闭Windows操作系统的自动更新和防火墙,并通过IE连接到黑客指定的服务器,下载其他病毒到电脑。中毒用户将面临网银账号被盗、隐私信息泄露、硬盘数据遭窃取的风险。

 

3 安全漏洞公告

3.1 Ruby nori Gem 'XML'参数远程命令执行漏洞

Ruby nori Gem 'XML'参数远程命令执行漏洞

发布时间:

2013-02-21

漏洞号:

BUGTRAQ ID: 57955
CVE(CAN) ID: CVE-2013-0285

漏洞描述:

nori可将XML转换为哈希表。
nori 2.0.2及其他版本在解析XML参数时存在错误,允许symbol和yaml类型成为请求的一部分,导致执行任意命令。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://github.com/savonrb/nori/blob/master/CHANGELOG.md#203-2013-01-10

3.2 Django拒绝服务和信息泄露漏洞

Django拒绝服务和信息泄露漏洞

发布时间:

2013-02-21

漏洞号:

BUGTRAQ ID: 58061
CVE(CAN) ID: CVE-2013-0305,CVE-2013-0306

漏洞描述:

Django是Python编程语言驱动的一个开源Web应用程序框架。
Django 1.3.6、1.4.4之前版本在实现上存在多个漏洞,可被恶意用户利用绕过某些安全限制并造成拒绝服务。
1、扩展XML实体时存在错误,通过包含恶意属性的特制XML,可消耗大量内存。
2、处理某些XML数据时存在错误,通过包含外部实体引用的特制XML数据,可泄露敏感信息。
3、在访问历史视图时,管理员界面没有正确验证访问权限,可被利用查看管理界面内的对象访问历史。
4、在处理表单提交时表单集中存在错误,通过提交特制的表单,可导致大量内存消耗并显示应用不可用。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:https://www.djangoproject.com/m/releases/1.3/Django-1.3.6.tar.gz

3.3 ECShop支持宝插件SQL注入漏洞

ECShop支持宝插件SQL注入漏洞

发布时间:

2013-02-19

漏洞号:

 

漏洞描述:

ECSHOP是开源的网店系统。
ECSHOP支付插件存在高危0day漏洞。攻击者可利用SQL注入绕过系统限制获取网站数据,进而实施“拖库”窃取网站资料。
此漏洞存在于/includes/modules/payment/alipay.php文件中,该文件是ECshop的支付宝插件。由于ECShop使用了str_replace函数做字符串替换,黑客可绕过单引号限制构造SQL注入语句。只要开启支付宝支付插件就能利用该漏洞获取网站数据,且不需要注册登入。GBK与UTF-8版本ECshop均存在此漏洞。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://bbs.ecshop.com/viewthread.php?tid=1125380&extra=page=1&orderby=replies&filter=172800

3.4 Oracle Java SE JMX子组件远程JRE漏洞

Oracle Java SE JMX子组件远程JRE漏洞

发布时间:

2013-02-19

漏洞号:

BUGTRAQ ID: 58029
CVE(CAN) ID: CVE-2013-1486

漏洞描述:

Oracle Java Runtime Environment (JRE)是一款为JAVA应用程序提供可靠运行环境的解决方案。
Java Runtime Environment组件的JMX子组件存在安全漏洞,未认证的远程攻击者通过创建特制的Java Web Start应用或Java程序并诱使目标用户加载,利用此漏洞影响目标系统的机密性、完整性、可用性。
(CVE-2013-1486)

安全建议:

Oracle已经为此发布了一个安全公告(javacpufeb2013update-1905892)以及相应补丁:
javacpufeb2013update-1905892:Updated Release of the February 2013 Oracle Java SE Critical Patch Update
链接:
http://www.oracle.com/technetwork/topics/security/javacpufeb2013update-1905892.html
补丁下载:
开发人员可从下列位置下载最新版本 http://www.oracle.com/technetwork/java/javase/downloads/index.html
浏览器内运行Java SE的用户,可从下列位置下载最新版本 http://java.com/
Windows平台上的用户也可通过自动更新获取最新版本:http://www.java.com/en/download/help/5000020700.xml

3.5 IBM Data Studio信息泄露漏洞

IBM Data Studio信息泄露漏洞

发布时间:

2013-02-19

漏洞号:

BUGTRAQ ID: 58000
CVE ID: CVE-2013-0467

漏洞描述:

IBM Data Studio是IBM DB2数据库开发和管理的集中式模块化环境。
IBM Data Studio 3.1、3.1.1 在实现上存在信息泄露漏洞,成功利用后可允许攻击者获取敏感信息。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.ibm.com/support/fixcentral/

3.6 JBoss Enterprise Application Platform side-channel 数据泄露漏洞

JBoss Enterprise Application Platform side-channel 数据泄露漏洞

发布时间:

2013-01-28

漏洞号:

BUGTRAQ ID: 57549
CVE(CAN) ID: CVE-2011-2487

漏洞描述:

JBoss企业应用平台(JBoss Enterprise Application Platform,EAP)是J2EE应用的中间件平台。
JBoss Web Services在分配对称密钥时会泄露side-channel数据,可允许远程攻击者恢复完整的对称密钥纯文本表。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.jboss.org/