当前位置: 安全纵横 > 安全公告

一周安全动态(2013年3月28日-2013年4月04日)

来源:安恒信息 日期:2013-04

2013年4月第一周(3.28-4.04)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 黑客也开愚人节玩笑:数以百万计的用户密码被改为“password”

愚人节了,没想到黑客们也跟大家开了个大玩笑。安全公司F-Secure在其官方博客宣布,在愚人节的前夕,超过300万来自新闻、零售及Web 2.0网站的用户账户的密码被悄然改为“password”,而有62%的用户完全不知道此次攻击。 一些受影响的网站事后宣称他们正积极采取措施来保护受到影响的账户,此外,很多网站已经禁止使用“password”作为密码。

黑客组织“Obvious”宣布为此次攻击负责,数千个被黑掉的Twitter和Facebook账户发出了这样一条相同的信息:"We are all Obvious! Don't Expect Us".

一个1.9G大小、包含这300万账户及同一个密码“password”的文件已在“海盗湾”上公布,可以通过torrent来获取。

F-Secure强烈建议大家为避免以后再出现类似问题,最好将所有密码改为“password1”,这显然安全多了。

1.2 调查:全球不安全嵌入式设备中存在42万个节点的僵尸网络

现在,大量的嵌入式设备都具备了连接网络的功能。就在人们以为只有电脑、平板以及智能手机才能连接到网络的同时,他们却不曾想过,其实在很多情况下,大量的嵌入式设备同样也具备了连接网络的功能--从路由器到打印机再到恒温器,它们则都在已经暴露在网络中。对于这一点,商家们则都得对此负起责任来。

近日,一位网络安全“研究者”就利用在线的嵌入式设备的漏洞,绘制出了一幅互联网IPv4地址空间图。另外,通过使用Nmap脚本引擎,这位研究人员还往易受感染的系统中推送攻击代码,然后再通过映射确定这些设备的所在地。

全球僵尸网络感染图

其中,美国是全球唯一一个只有一个红点的国家(红点代表了该地区有超过2000多暴露在网络中的设备)。而印度和中国等国家则拥有相对比较多的红点。

全球有4.6亿个IP地址都对ICMP ping请求或者端口扫描作出回应

该名“研究者”表示,自己绘制这样的地图并不是出于什么恶意。据悉,在他定位这些设备之后,他并没有对它们做任何的改变或者限制这些设备所能连接电脑的数量、也没有扫描这些设备所连接的内部网络的流量。

1.3 BIND软件曝出严重缺陷 或致DNS服务器受到DDoS攻击

广泛使用的"BIND"域名系统软件中存在一个严重的缺陷,可被远程攻击者利用,导致DNS服务器的崩溃并影响在相同机器上运行的其它程序。 漏洞源于BIND software distribution里,由libdns库处理的"正则表达式"(regular expressions)部分。根据开发和维护该软件的一家非营利性组织——互联网系统协会(ISC)——周二公布的一份安全公告,类UNIX系统上的BIND 9.7.x、9.8.0-9.8.5b1和9.9.0-9.9.3b1会受到影响。Windows版的BIND不受影响。

ISC给出了一个变通的解决方案——编译不支持正则表达式的BIND(compile BIND without support for regular expressions)——这需要根据其指导,手动编辑"config.h"文件。

该组织也已发布了默认禁用正则表达式的BIND 9.8.4-P2和9.9.2-P2版本。BIND 9.7.x不再支持,因此不会收到更新。鉴于BIND 10的功能"并不齐全",这可能不是一个替代BIND 9的合适版本。

参考资料 - WiKi:[传送门]

20世纪80年代,柏克莱加州大学计算机系统研究小组的四个研究生Douglas B Terry、Mark Painter、David W. Riggle和周松年(Songnian Zhou)一同编写了BIND的第一个版本,并随4.3BSD发布。

BIND(Berkeley Internet Name Daemon)是现今互联网上最常使用的DNS服务器软件,使用BIND作为服务器软件的DNS服务器约占所有DNS服务器的九成。BIND现在由互联网 系统协会(Internet Systems Consortium)负责开发与维护。

1.4 黑客攻击程序黑市繁荣:一套可卖50万美元

全球迈入网络战时代,计算机网络一旦遭黑客攻击后果惨重。但英国《经济学人》杂志报道称,黑客攻击使用的软件其实在黑市就可买卖。这些俗称“攻击程序”(exploits)因需求带动买气,价格近十年翻了五倍,单套甚至要价五十万美元。

美国马里兰大学专家苏布拉马尼安指出,犯罪集团与恐怖组织有的经由非法在线论坛、有的透过违法掮客牵线买到攻击程序,这类交易形同“卖枪给罪犯”。
十多年前,交易非法攻击程序很罕见,如今黑市买卖已相当普遍。《经济学人》指出,攻击程序本身合法,也有合法企业开发贩卖。美国Netragard去年卖掉逾五十套攻击程序给政府机关和公司,要价从2万至25万美元以上。

欧洲议会荷兰代表沙珂女士一直鼓吹禁止交易攻击程序,不过要禁止知易行难,美国安局前计算机科学家艾特尔说,攻击软件是知识,不可能阻止人们创造并散播知识;法律专家认为,程序代码应受言论自由保障。再者,黑客把攻击程序隐藏妥当,难以追踪并修补。

曾任法军计算机情报中校的网络安全专家菲利欧说,几乎所有情报单位都购买攻击程序。他的实验室就获得法国国防部资金,他们则提供对方攻击程序。菲利欧说,攻击程序价码近十年来暴涨超过五倍,但价格落差甚大。一套可让管理者操纵远程微软XP计算机的软件只需四千美金。如果攻击对象是微软IE浏览器,要耗费五十万美元。

软硬件公司也是攻击程序的买家,它们想辨识并修理产品漏洞。但这种小儿科赏金不够塞住开发商的牙缝。去年谷歌提供法国企业Vupen六万美元,想买下入侵Chrome的攻击程序,但遭对方拒绝,因为“有人出更高价”。业界人士称,美国特工最乐意花大钱买攻击软件。由于网络被视为新战场,攻击程序价码居高不下,该公司产品最高可卖到20万美金。

美国国防部网络司令部司令亚历山大上月警告,由政府支持的团体纷纷使用从非法在线市场购入的网络工具,窃取摧毁数据;五角大厦官员也称,购买攻击程序的政府,根本就是在建设黑市。基于此考虑,越来越多政府开始自行开发攻击程序,如此可省去不少风险,也不必担心卖家把程序再出售给第三者。

1.5 军科院学者:政府网站安全不容忽视

国家互联网应急中心日前发布的报告显示,去年我国境内被篡改网站数量为16388个,其中政府网站1802个,分别同比增长6.1%和21.4%。联想到近期有专家呼吁要借鉴美国经验,建设“网上超级政府”,笔者认为,若不能首先解决政府网站的安全问题,这个想法恐怕难以实现。

当前,随着世界各国电子政务的加快推进,政府网站成为敌对势力、恐怖组织、反政府人员和网络犯罪分子觊觎的对象。近几年来,韩国、爱沙尼亚和格鲁吉亚等国的政府网站,先后多次遭到大规模攻击,造成最长达数星期之久的网络瘫痪。我国政府网站的网络安全状况也极不乐观。近几年来,政府网站被“网页挂马”、网页内容被篡改、数据被删除或窃取等网络入侵案件时有发生。2009年7月,公安部网络安全保卫局对全国6000余家政府网站抽样检测显示,37%的政府网站存在漏洞。

政府网站频频成为网络入侵对象,主要是因为其“利用价值”很大。对国外敌对势力而言,政府网站是谍报人员通过漏洞利用或“摆渡攻击”,窃取他国机密的重要渠道,也是制造舆论、散布谣言,发动心理战和舆论战的重要阵地。对唯利是图的黑客而言,政府网站又是访问量大、安全性较差的攻击对象,可以成为通过“网页挂马”等手段牟取利益的重要工具。政府网站频频被攻击,轻则破坏政府的形象和公信力,重则造成社会混乱,甚至危及国家安全,因此政府网站的安全问题不容忽视。

提高政府网站的网络安全水平是一项系统工程,需要多管齐下,综合施策,当前尤其要重点抓好以下几项工作。

一是大力加强网络安全管理。公安网监部门应严查、严惩攻击政府网站的犯罪行为;各级政府应加大对因管理失职导致政府网站入侵的领导人员和管理人员的责任追究力度。

二是要大幅精简整合政府网站。纵向上不同级别的同类政府业务部门网站,以及横向上同一级别的不同政府业务部门网站,都要尽量实行整合,减少数量,集中人才和技术资源进行集中管理,改变点多面广、难以防范的被动局面。

三是要加强网络安全设施建设。逐步建立系统配套、统一完善的网络监管中心、测评认证中心、应急处理中心、病毒防治中心、数字证书认证中心等,为政府网站网络安全提供强有力的技术支撑。

1.6 钓鱼巧借漏洞寄生官网 小心被盗号

当网站存有漏洞,黑客们就会利用该漏洞进行恶意钓鱼,知名大网站也可能存在这样的漏洞。近日,腾讯电脑管家发现,很多知名站点上存在的漏洞被钓鱼者利用, 用以大规模传播钓鱼盗号网站,目前已有至少478个站点被利用,如CCTV养生频道官网、7天连锁酒店官网、阿里巴巴外贸圈官网等多家熟知的站点成为钓鱼 网站的“宿主”。

据腾讯电脑管家反钓鱼专家邵付东介绍,此种钓鱼手法比较高阶,他们通过利用这些网站的漏洞,来获得知名网站的“掩护”,类似于“寄生”关系。有了这 种关系,钓鱼者就可以在该网站的域名下构造出合乎网站规矩的跳转逻辑,进而将中招者引入到事先准备好的钓鱼页面。也有些站点,钓鱼者甚至可以利用漏洞实现 远程控制,直接把钓鱼模版放置到该站点的服务器上。

截至目前,腾讯电脑管家监测到被利用的网址达到478个,且仍在以每天十几个的速度增长。

盗号者利用这种“有身份”的网站作为保护伞,很容易迷惑广大用户,导致账号被盗甚至经济损失。目前,电脑管家对问题网址的拦截已经达到了60万次/日。

(钓鱼者骗取信任的伎俩)

(点击进入后多数伪装成QQ空间,要求你输入QQ账号密码)

提醒各位站长注意自己站点安全,勤查补漏,防止被黑客利用;同时也提醒广大用户加强安全防范意识,不要轻易输入任何账号和密码,谨慎辨别后再操作。若发现有可疑URL,可登陆电脑管家官方举报平台(http://guanjia.qq.com/report_url.html )举报,电脑管家安全团队在接 到举报后将立即进行核实,一旦检测到该站点的漏洞被恶意利用,会第一时间更新至官方论坛中公告出来。目前管家发现漏洞被利用的部分站点:

 

2 本周关注病毒

2.1 Trojan.Win32.KillAV.csw(‘AV终结者’木马病毒)

警惕程度 ★★★

病毒运行后通过内核接口向内核读写数据,修改重要的监控函数,迫使杀毒软件监控瘫痪,并通过释放恶意程序,将恶意代码插入资源管理器的进程中。除此之外,病毒还将后台下载各种恶意软件,并连接远程服务器,等待黑客的后续指令。受到该病毒攻击的用户将面临硬盘数据丢失、隐私信息被盗等威胁。

2.2 Worm.Win32.Autorun.txo(蠕虫病毒)

警惕程度 ★★★

该病毒通过U盘等可移动存储设备传播,病毒会双进程守护的功能,下载大量木马病毒,给用户造成很大安全隐患。

2.3 Worm.Win32.Agent.ayi(蠕虫病毒)

警惕程度 ★★★

该病毒通过U盘,局域网,DLL劫持多种常用软件,感染压缩包格式的文件等手段传播;并利用不同手段关闭不同的杀毒软件。病毒具有一个生成器,可以随意定制下载地址和功能。

 

3 安全漏洞公告

3.1 PHP 'ext/soap/php_xml.c' 多个任意文件泄露漏洞

PHP 'ext/soap/php_xml.c' 多个任意文件泄露漏洞

发布时间:

2013-03-29

信息来源:

BUGTRAQ ID: 58766
CVE(CAN) ID: CVE-2013-1643

漏洞描述:

PHP 是一种 HTML 内嵌式的语言。
PHP 5.3.22、5.4.12之前版本内的SOAP解析程序存在安全漏洞,允许远程攻击者通过构造的SOAP WSDL文件读取任意文件。此文件包含XML外部实体声明和实体索引,问题所在处理流程与 soap_xmlParseFile 和 soap_xmlParseMemory 函数内的 XML External Entity(XXE)问题相关。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.php.net

3.2 IBM Lotus Domino Java Console身份验证绕过漏洞

IBM Lotus Domino Java Console身份验证绕过漏洞

发布时间:

2013-04-01

漏洞号:

BUGTRAQ ID: 58652
CVE(CAN) ID: CVE-2013-0487

漏洞描述:

IBM Lotus Domino 是一款服务器产品,可提供企业级电子邮件、协作功能和自定义应用程序平台。
IBM Domino 8.5.x内的Java控制台在配置细节的实现上存在安全漏洞,允许经过身份验证的远程攻击者劫持临时证书。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.ibm.com/support/fixcentral/

3.3 EMC Smarts IP Manager等多个设备跨站脚本漏洞

EMC Smarts IP Manager等多个设备跨站脚本漏洞

发布时间:

2013-04-01

漏洞号:

CVE(CAN) ID: CVE-2013-0936

漏洞描述:

EMC Smarts IP Manager是高级监控软件。
EMC Smarts IP Manager, Smarts Service Assurance Manager, Smarts Server Manager, Smarts VoIP Availability Manager, Smarts Network Protocol Manager, Smarts MPLS Manager 9.2之前版本存在跨站脚本漏洞,允许远程攻击者通过精心构造的URL注入任意Web脚本或HTML。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://china.emc.com/it-management/smarts/ip-availability-manager.htm

3.4 HP System Management Homepage 'iprange'参数远程代码执行漏洞

HP System Management Homepage 'iprange'参数远程代码执行漏洞

发布时间:

2013-04-02

漏洞号:

BUGTRAQ ID: 58817

漏洞描述:

HP System Management Homepage (HP SMH) 是一个基于 Web 的界面,可整合和简化对运行 HP-UX、Linux 和 Microsoft Windows 操作系统的 HP 服务器的单系统管理过程。
HP System Management Homepage 7.1.1及之前版本在实现上存在远程代码执行漏洞(栈溢出),该漏洞是由于受影响产品对发往/proxy/DataValidation的请求中的iprange参数处理不当而导致。成功利用后可允许攻击者在受影响应用的上下文中执行任意代码。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://itrc.hp.com

3.5 Cisco Security Monitoring Analysis and Response System信息泄露漏洞

Cisco Security Monitoring Analysis and Response System信息泄露漏洞

发布时间:

2013-04-03

漏洞号:

BUGTRAQ ID: 58809
CVE(CAN) ID: CVE-2013-1140

漏洞描述:

Cisco Security Monitoring, Analysis, and Response System是基于设备的全方位解决方案,可使您获得对现有安全部署的无与伦比的洞察力和控制力。
Cisco Security Monitoring, Analysis and Response System (MARS)内的XML解析程序存在安全漏洞,远程攻击者通过相关XML外部实体问题的外部实体声明和实体参考,利用此漏洞可读取任意文件。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.cisco.com/en/US/products/ps6241/index.html