当前位置: 安全纵横 > 安全公告

一周安全动态(2013年3月14日-2013年3月21日)

来源:安恒信息 日期:2013-03

2013年3月第三周(314-3.21)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 韩国多家媒体网络瘫痪 黑客组织留言称仅是开始

据中国之声《新闻纵横》报道,韩国当地时间昨天下午两点左右,韩国KBS电台、韩国文化广播公司(MBC)以及24小时电视新闻频道YTN等电视台计算机网络遭黑客袭击,新韩银行、农协等部分金融公司的计算机网络也出现全面瘫痪,人们正常生活和工作都受到影响。如此大面积的网络瘫痪事件在韩国尚属首次,当天韩国军方就将情报作战防卫级别上调了一级。3月20号下午两点左右,韩国KBS电视台撰稿人南黎明正要投入到下午的工作时,突然电脑黑屏,起初以为自己电脑出了问题,重启也不见效,随后得知同事电脑都出现的同样的状况,这才意识到公司电脑遭到了黑客袭击,全体瘫痪。南黎明:像我们KBS的,我们这些撰稿人啊、播音员啊,我们(现在)自己写的稿子都要放在一个Email里面,我们KBS的Email里面,被攻后,现在都找不着(原来的资料)了,所以他们给我们一个新的Email地址,我们都得往那儿发,以前的(资料)他们想要重新构筑肯定需要时间,在找回来,恢复的话。像这样的情况还不止KBS一家,当天,韩国文化广播公司方面表示,虽然电视节目能正常播出,但计算机网络出现瘫痪。24小时电视新闻频道YTN有关负责人说,不仅是办公室的计算机网络,电视节目编辑设备也出现死机。

南黎明:据电视台有关人士透露说,当天下午,内部网络全部麻痹,电脑不能上网,甚至录制储存的部分节目也被破坏。银行方面,韩国两大银行,新韩银行和农业协同银行的服务器受到影响。新韩银行网店的ATM提款机也已经停止服务。南黎明:几家银行则出现了银行窗口业务麻痹,自动提款机无法提款,网上银行无法使用等事故。韩国农业协同银行是韩国境内最大的银行网络。农协银行领导层怀疑,其网络瘫痪是黑客造成的。南黎明也指出,在韩国,金融网络被攻近年来已经不是新鲜事了,但电台被攻是第一次。南黎明:金融机构网络被攻的这一事件呢,近年来是经常发生。去年还出现了主要报纸媒体的网站被攻击的事件,主要电视台的网络被攻击的事故这是首次发生,与此同时,韩国的几大通讯公司的网站却安然无恙。韩国一家互联网服务供应商LG UPlus用户都可以看到一个页面,显示网络遭到一个自称为“Who is Team”黑客组织的攻击。黑客在该页面上留下三个骷髅头,并警告称这是“我们的行动”的开始。目前韩国中央和地方政府机构网络运转正常。韩国政府已经开始着手调查原因,韩国军方将情报作战防卫级别上调了一级。南黎明:鉴于这种情况,韩国警方认为这种攻击是来自于某种特定的组织的可能性极大。目前,韩国警方把调查的侧重点放在网络恐怖活动的可能性上,并开始呢对此进行紧急的调查,韩国军方表示将情报作战防卫级别上调一级。同时,政府宣布,鉴于媒体和金融机构的网络瘫痪来自外部黑客攻击的可能性极大,特发布网上危机注意警报,就此问题,政府召集了广电通信委员会、行政安全部、国防部、国家情报院等政府10个部门的主要负责人参加的紧急会议,调查事发的原因,并组织了网络危机应对中心,随时应对事态的发展。

一夜过去,新的一个工作日已经开始,那么,现在这些电视台和银行的计算机是否都已经恢复正常?连线《人民日报》驻韩国记者马菲。记者:从昨天下午2点开始,韩国主要电视台和金融机构出现了全面的瘫痪,瘫痪的具体症状均为计算机突然死机无法重启,KBS总部大楼的门禁系统也无法使用。不过因为电视节目播放使用了独立的网络系统,所以电视台没有出现播放中断的事故。但是内部计算机系统处于中断状态,所以节目面临无法更新的危险。电视台的人员人在采取所有的措施,甚至利用网吧和手机短信发回报道,金融机构的网络于昨天下午恢复正常,但是电视台的计算机网络昨天晚上仍然处于瘫痪状态,今天早上我是再次点击了KBS电视台官方网站,仍然是处于不能打开的状态。韩国政府成立了联合的调查组,初步分析认为计算机中植入的恶性代码破坏了系统的主引导记录,也就是MBR导致了网络瘫痪。韩国广播通信委员会在昨天第二次新闻发布会上表示,这个恶意代码是从某企业升级管理系统中散播出来的,但没有公布传播的具体地点。调查组表示他们在破坏的主引导记录中发现了两个字符串反复出现,在拉丁文中这两个字符串分别是军团的第一列和首次的意思,所以据此推测还有可能出现新一轮的攻击。

1.2 境外网络攻击严重威胁 16388个境内网站遭篡改

国家互联网应急中心19日发布《2012年我国互联网网络安全态势综述》,该报告显示:去年我国网络基础设施运行总体平稳,但安全形势不容乐观,面临的境外攻击威胁依然严重。据监测,去年我国境内被篡改网站数量为16388个,据监测,其中政府网站1802个,分别同比增长6.1%和21.4%。

隐蔽性攻击增多

去年3016个政府网站被植入后门,安卓平台成恶意程序攻击重灾区

报告显示,我国网站被植入后门等隐蔽性攻击事件呈增长态势,网站用户信息成为黑客窃取重点。2012年,国家互联网应急中心共监测发现我国境内52324个网站被植入后门,其中政府网站3016个,较2011年月均分别增长213.7%和93.1%。

网络钓鱼日渐猖獗,严重影响在线金融服务和电子商务的发展,危害公众利益。2012年,国家互联网应急中心共监测发现针对我国境内网站的钓鱼页面22308个,接收到网络钓鱼类事件投诉9463起,约占总接收事件数量的一半。

移动互联网恶意程序数量急剧增长,安卓平台成为重灾区。2012年,国家互联网应急中心监测和网络安全企业通报的移动互联网恶意程序样本有162981个,较2011年增长25倍,其中约有82.5%针对安卓平台。

据国家互联网应急中心监测,2012年,我国境内日均发生攻击流量超过1G的较大规模拒绝攻击事件1022起,约为2011年的3倍,但常见虚假源地址攻击事件所占比例由2011年的70%下降至49%。

利用病毒实施的高级可持续攻击活动频现,对国家和企业的数据安全造成严重威胁。2012年,我国境内至少有4.1万余台主机感染了此类特征的木马程序。

报告显示,2012年,国家信息安全漏洞共享平台每月新增收集发布的漏洞数量平均超过550个。同时,多种原因导致漏洞修复的周期较长、进程缓慢。日益增多的存量漏洞和每日新增漏洞是基础信息网络和重要信息系统的主要安全隐患。

网络安全威胁升级

大数据和云平台技术发展将引入新安全风险,美国成境外网络攻击主要来源地

我国面临的境外攻击威胁依然严重,经抽样监测,去年境外约有7.3万个木马或僵尸网络控制服务器参与控制我国境内1419.7万余台主机。从控制服务器数量、控制境内主机数量、钓鱼网站托管地来看,美国均居首位。“匿名者”等黑客组织活动频繁,多次声称或实施针对我国政府网站的网络攻击。2012年,国家互联网应急中心监测发现我国某高校、某高新技术科研院所、某上市公司等的邮件服务器被境外入侵并植入后门,3000多个用户的邮件账号与密码哈希值以及大量数据被通过加密方式上传至境外服务器。

在网络钓鱼攻击方面,针对我国的钓鱼站点有96.2%位于境外,其中位于美国的2062台主机承载了18230个针对境内网站的钓鱼页面,位于美国的钓鱼站点数量在全部位于境外的钓鱼站点中占比高达83.2%,位居第一。

与以往通过明显篡改网页内容以表达诉求或炫耀技术不同的是,2012年,黑客倾向于通过隐蔽的危害更大的后门程序,获得经济利益和窃取网站内存储的信息。据不完全统计,2012年,约有50余个我国网站用户信息数据库在互联网上公开流传或通过地下黑色产业链进行售卖,其中已证实确为真实信息的数据近5000万条。

报告预测了今年值得关注的网络安全热点问题,包括:恶意代码和漏洞技术不断演进,针对“高价值”目标的高级可持续攻击风险持续加深,严重威胁我国网络空间安全;信息窃取和网络欺诈将继续成为黑客攻击的重点;移动互联网恶意程序数量将持续增加并更加复杂;大数据和云平台技术的发展引入新的安全风险,面临数据安全和运行安全双重考验。

针对当前我国面临的网络安全威胁和热点问题,报告提出了相关对策建议:要加强网络空间立法,加大网络违法犯罪打击力度;要构建国家网络空间安全综合防御体系,形成安全保障合力;要加强对新型网络安全威胁和应对措施的研究和投入,提高网络安全保障技术水平等。

1.3 17岁少年当网络打手俩月挣10万 自建钓鱼网站诈骗

制作“特价机票”钓鱼网站,招募亲信成立诈骗集团,运用电脑、手机、U盾等步步设套,诱导被害人走向ATM机按照指令转账,骗得钱财后大肆挥霍享受……近日,浙江嘉善警方成功侦破一起特大网络诈骗案,抓获犯罪嫌疑人5名,涉案价值近100万元。

“网络打手”:两月赚十余万元

此案的主要犯罪嫌疑人阿强现年17岁,嘉善县陶庄人。初中还未毕业的他喜欢研究网络技术,一次偶然的机会,阿强接触到了黑客技术,通过自学成为一名电脑黑客。2012年初,他在某网站宣称承接网络入侵攻击业务,很快便被钓鱼网站雇佣,短短两个月便赚得10余万元。精明的阿强很快发现,网上那些雇主大多是一些“山寨”、钓鱼网站,而被攻击的目标往往也是同类网站,双方存在竞争关系。为了达到非法目的,双方互相恶意攻击。而他这样的黑客便是“网络打手”,谁出价高,就为谁服务。
2012年6月,一家在海南出售“特价机票”的钓鱼网站通过QQ找到了阿强,表示愿意出每小时800元的高价雇佣他攻击另一家网站。阿强欣然应允。

钓鱼网站:第一笔骗得四万余元

2012年9月,阿强准备和海南人波仔“自立门户”。他开始建造假机票网站,提供维护网站正常运行的一切软硬件条件,并负责招募人员成立诈骗团队。

阿强将工作室放在一间出租房内,购买了5台电脑和5部手机,在网上注册了多个域名,然后以每月240余元的价钱租用北京的一个服务器。接着,他又申请开通了4006833×××的客服电话,并将手机逐一绑定这个号码。为了减少被“同行”攻击造成的麻烦,阿强先后建成了“特价机票网”、“某某航空”等7个钓鱼网站。随后,他在网上买来20余张银行卡和6张身份证,开通了网上银行服务功能。2012年12月初,阿强开始招募人员。阿东、钱某等相继加入诈骗集团。

2012年12月27日,第一笔骗得4万余元钱款后,阿强等人吃夜宵庆祝。阿强酒后驾车撞人,事故赔偿金达20余万元。这场车祸,加速了阿强疯狂攫取钱财的脚步。

嘉善警方:出手制止“一本万利”

正当阿强等人做着发财美梦的同时,嘉善警方也加紧了对其犯罪证据的搜集工作。2013年2月21日,收网时机成熟,专案组民警在洗浴中心内将阿强等人抓获。随着审讯的深入,阿强等人的诈骗伎俩被逐渐揭开。

据警方查证,阿强等人根本没有飞机票,其诈骗行为纯属空手套白狼。在行骗过程中,他们诡计多端、谎话连篇。

据阿强交代,他们专门对那些急于出票、防范意识差的客户下手。那些客户付钱后,阿强等人会以系统出错为由声称无法出票,诱骗他们去ATM机上退款。一些人急切想退钱的心理也被阿强等人利用,他们设下圈套让受害人往里钻,作案手段极为老练。

1.4 青岛人事考试网疑被黑客入侵 考生信息遭泄露

半岛网3月19日消息“谁动了我的信息?”近日,青岛王先生反映,去年他通过人力资源部门官方网站报名职称英语考试,不料自己的联系方式随即被泄露,天天接到莫名其妙的推销电话,从考试答案到考前辅导,甚至有北京打来的“包过”电话,让他不胜其烦。

考生:网上报考职称英语 个人信息遭泄露

据王先生反映,2012年12月底单位要求员工报名职称英语考试,他和同事通过青岛市人力资源和社会保障局人事考试中心官方网站青岛人事考试网进行报名后,就开始不断接到莫名的骚扰电话及短信。“刚开始的时候一天能收十来条,现在一天平均3条左右吧。”王先生说,短信有11位的手机号,也有1065开头的广告信息,多是推销各种职称英语考前辅导,甚至有电话声称可以提供考试答案,还有北京的公司打来后称只要交一部分钱就可以“包过”。

怀疑:考试中心泄露考生信息

记者随后进入青岛人事考试网发现,市人事考试中心已经对此进行了友情提示。“近期,我们陆续接到部分职称外语考试考生反映,收到培训机构的骚扰信息。在此,提醒广大考生,切勿轻信诈骗信息,以免上当受骗。”通告中说已经向公安机关报案,公安机关正在进行调查。考生也可选择自行向公安机关报案。

虽然考试中心已经出面澄清,但考生并不“买账”。王先生告诉记者,由于自己初来青岛工作,报名前几天才刚换手机号,未使用新号在网上填写任何各人信息,但通过人事考试网报名并留下联系方式后,就开始收到这种骚扰垃圾短信。“我不得不怀疑是考试中心泄露了我的信息。”王先生说,也可能是为网站提供技术支持的相关公司将考生的个人信息打包出售给了不法机构。

青岛市考试中心:公安机关已介入调查

记者查询发现,为青岛人事考试网提供技术支持和维护的是青岛高校信息产业有限公司,而为网上报名系统提供技术支持的则是山东旗帜软件有限公司。记者随后分别联系两家公司后被告知,技术支持和维护并不能直接接触到考生的信息,有关报考类的信息是直接存放在考试中心的机房内的。内容都看不到,也就不存在泄密的可能性。

随后记者联系到青岛市考试中心,工作人员介绍,目前公安机关仍在进行调查。至于王先生提出的是否“自己人”泄密,工作人员予以否认,“早就已经排除了是内部人员泄露考生信息的可能性。”

专家:信息泄露或为黑客所为

记者查询发现,通过网上报名系统报名参加考试而导致考生信息泄露的事情并非少数。执业医师考试、建筑师考试、司法考试……各种“泄露门”层出不穷。不是维护公司、不是内部捣鬼,那到底是谁泄露了考生的个人信息?采访中青岛某公司技术人员认为,这种情况不排除是黑客所为,非法窃取考生的私人信息后有偿卖给一些不法机构以牟取暴利。

考生个人信息泄露可能真的冤枉了考试中心,但这是否代表考试中心就没有一点责任?在考生交了报名费后考试中心是否有义务替考生做好保密工作?采访中青岛元鼎律师事务所李瑞敏认为,如果考试中心有直接证据证明考生个人信息泄露是他人所为,那在泄露事件中就没有责任。当然如果考生能提供证据证明泄露是由于考生中心硬件、软件等管理中存在的漏洞引起的,那么考试中心就有一定的责任。

1.5 黑客入侵消费卡公司转款百万

人从未到过上海,网络黑客却轻易地从沪上某电子商务有限公司电子预付费卡安全系统内卷走百万元巨款。记者昨日从市公安局刑侦总队获悉,经过专案组两个多月的连续侦查,公安徐汇分局摧毁了一个利用互联网黑客技术盗窃商家电子预付卡内资金的犯罪团伙,包括两名黑客在内的7名犯罪嫌疑人日前被抓捕归案,其中一人更是在黑客圈内有着“十大90后黑客”之称。

“黄牛”网上9.6折收入

去年11月,某电子商务有限公司向徐汇警方报案称,公司向企业客户发行的500多张电子预付费卡内的金额全部被转走,损失126万余元。

警方侦查发现这些被转移的金额中绝大部分流向了徐家汇商圈的“黄牛”手中。而其中一名“黄牛”肖某与辽宁营口某账号间存在可疑交易记录。案发时,受害单位也曾监控到一个来自辽宁营口的异常IP地址。警方随后锁定该账户进行重点追查,并将肖某带回协助调查。

肖某交代,有人在网上与其商定,通过持有的电子预付费卡套现,并将套现钱款按约定比例汇入该人指定的银行账户。据办案警官周骏介绍,肖某等人以9.6折的价格从网络卖家处收购消费卡金额,随后以98折的价格卖出赚取差价。“因为这个卡具有网上卡卡转账功能,所以不需实体卡交易。嫌疑人通过盗取的预付卡卡号、密码将卡内金额转入肖某持有的卡中,肖某确认收到后,将钱款转入其银行账户。”

“十大90后黑客”落网

根据以上线索,专案组逐步查实了一个以郑某为首,专门通过互联网黑客技术盗窃商家电子预付费卡内资金,并在互联网上寻人套现的犯罪团伙的全部情况。同时,为防止被盗资金继续受到损失,相关电子商务有限公司也迅速冻结了该批资金的转账功能。

警方随即展开抓捕行动,5个抓捕小组同时奔赴福建南平、辽宁盖州、江苏涟水等地,将郑某等7名犯罪嫌疑人抓获归案。“案发地和最终的销赃地均在上海,但犯罪嫌疑人却一直在外省市。”警方表示,本案件是一起新颖却又典型的互联网黑客盗窃案件。“其中一名黑客王某还在圈内小有名气,号称‘国内十大90后黑客’。”据嫌疑人到案后交代,他们在作案时,通常选择发卡规模较小的公司,因为这些公司的系统漏洞一般偏大,容易入侵盗取预付卡数据。

目前,警方已查实涉案资金80余万元,还追回了包括一辆轿车在内的30余万元损失。目前,郑某等7人已被检察机关批准逮捕。

 

2 本周关注病毒

2.1 Trojan.Win32.Fednu.una(木马病毒)

警惕程度 ★★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.2 Worm.Win32.FakeFolder.cb(蠕虫病毒)

警惕程度 ★★★

该病毒运行后为躲避杀毒软件查杀,会试图结束当前运行的安全软件进程,通过创建注册表劫持项阻止杀毒软件再次启动,甚至还会删除安全软件图标并使其隐藏。病毒作者为避免病毒被手工删除,会破坏操作系统的安全模式,并让用户无法打开注册表编辑器。最终,病毒会在桌面上创建多个钓鱼网站的快捷方式,使用户进入黑客指定网站,为其带来巨大经济利益。

2.3 Backdoor.Win32.Tenpeq.a(‘Tenpeq’后门病毒)

警惕程度 ★★★★

病毒运行后将自我复制到C盘的“Program Files\Common Files\Microsoft Shared\MSInfo”及“Documents and Settings\Administrator\Local Settings\Temp”两个目录下,修改注册表,以实现开机自启动。同时,该病毒收集用户当前的系统信息及硬盘上的私密文件,并监听用户电脑,将用户的隐私信息发送至黑客指定服务器。除此之外,该病毒还会远程连接黑客指定网址,后台下载恶意程序并在本地执行。中毒用户将面临隐私信息泄露、机密文件失窃等风险。

 

3 安全漏洞公告

3.1 TP-Link无线路由器HTTP/TFTP后门漏洞

TP-Link无线路由器HTTP/TFTP后门漏洞

发布时间:

2013-03-13

信息来源:

http://sekurak.pl/tp-link-httptftp-backdoor/

漏洞描述:

TP-Link是知名的网络与通信设备供应商。
TP-LINK的某些型号的路由器存在一个后门功能,通过访问某个无需授权认证的特定页面,路由器会自动从攻击者控制的TFTP服务器上下载程序并执行。攻击者利用这个漏洞可以在路由器上以root身份执行任意命令,从而可完全控制路由器。
攻击者利用此漏洞需要能访问到路由器的WEB管理界面,但无需知道管理口令。
默认情况下,WEB管理界面不允许通过WAN口访问,但允许通过本地网络访问。

安全建议:

厂商已经陆续发布了相关固件的升级版本,请到厂商升级网站进行更新:
http://service.tp-link.com.cn/list_download_software_1_0.html
截至2013.03.21日,已发布下列固件升级:
TL-WDR4310V1_TL-WDR4320 V1_130319标准版
TL-WR743N_V2_130318标准版
TL-WR2041_V1_130318标准版
TL-WR941N_V6_130318标准版

3.2 Ruby on Rails 跨站脚本漏洞

Ruby on Rails 跨站脚本漏洞

发布时间:

2013-03-18

漏洞号:

BUGTRAQ ID: 58555
CVE(CAN) ID: CVE-2013-1857

漏洞描述:

Ruby on Rails简称RoR或Rails,是一个使用Ruby语言写的开源Web应用框架,它是严格按照MVC结构开发的。
Ruby on Rails的Action Pack组件内,lib/action_controller/vendor/html-scanner/html/sanitizer.rb的sanitize helper没有正确处理URL内的编码":"字符,可允许远程攻击者通过特制的scheme名称执行XSS攻击。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.rubyonrails.com/

3.3 Cisco IOS和IOS XE不安全密码哈希漏洞

Cisco IOS和IOS XE不安全密码哈希漏洞

发布时间:

2013-03-18

漏洞号:

BUGTRAQ ID: 58557

漏洞描述:

Cisco IOS是多数思科系统路由器和网络交换机上使用的互联网络操作系统。
Cisco IOS和IOS XE在实现上存在不安全密码哈希漏洞,攻击者可利用此漏洞执行暴力攻击并获取密码,进行未授权访问。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.cisco.com/go/psirt

3.4 H2 Database Engine远程安全绕过漏洞

H2 Database Engine远程安全绕过漏洞

发布时间:

2013-03-17

漏洞号:

BUGTRAQ ID: 58536

漏洞描述:

H2 Database Engine是Java SQL数据库。
H2 Database Engine 1.3.171之前版本存在安全绕过漏洞,攻击者可利用此漏洞绕过安全限制并获取未授权访问权限。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.h2database.com/html/main.html

3.5 MySQL 和 MariaDB Geometry 查询拒绝服务漏洞

MySQL 和 MariaDB Geometry 查询拒绝服务漏洞

发布时间:

2013-03-07

漏洞号:

BUGTRAQ ID: 58511
CVE(CAN) ID: CVE-2013-1861

漏洞描述:

Oracle MySQL Server是一个小型关系型数据库管理系统。MariaDB 是一个采用Maria存储引擎的MySQL分支版本,是免费开源的数据库服务器。
MySQL和MariaDB在转换原始geometry对象的二进制字符串表达式为文本表达式时,MySQL的空间函数长度检查会产生溢出,造成应用崩溃。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.mysql.com/