当前位置: 安全纵横 > 安全公告

一周安全动态(2013年4月18日-2013年4月25日)

来源:安恒信息 日期:2013-04

2013年4月第四周(4.18-4.25)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 成龙慈善基金会官网连遭黑客攻击3天

自4月21日起,北京成龙慈善基金会官网连续遭到黑客攻击,页面无法显示。直至昨天凌晨,该官网恢复正常。

据一名网友称,官网遭到攻击应该是在21日,搜索并点击该组织网站,就会显示“警告,该页面可能已被非法篡改”的字样,同时页面还会跳转到其他网页。而在此期间,打算为芦山地震灾民捐款的李先生在看到网站被攻击后,暂时也放弃了捐款。

前天下午3点,成龙在个人认证的微博上,发布消息称,“正值雅安需要救灾款,我正在组织行动,而成龙基金会的网站却连续遭到攻击和篡改”。之后,其在微博中公布了一个手机号,让想捐款的影迷发送邮箱到此手机号,“基金会将向邮箱发捐赠协议”。

昨天下午,基金会秘书长党群介绍,这次长时间大规模的攻击导致基金会的正常工作受到严重影响,基金会也接到很多咨询电话,表示不敢捐款。直至昨天凌晨,基金会的官网恢复了正常。

1.2 “黑客”攻陷美联微博“炸毁”白宫诈坏股市

一个“黑客”团体23日“劫持”美联社微博账户,发布白宫遭炸弹袭击、总统贝拉克·奥巴马受伤的假消息,吓坏投资人,美国股市一度下跌超过100点。

微博影响力与日俱增,因而网络安全专家和券商呼吁网络服务提供商、新闻和证券监管机构采取措施,防止类似事件重现,确保信息安全和投资者利益。

侵微博“炸”白宫

23日13时刚过,一条信息出现在美联社“推特”微博账户中,写道:“快讯:白宫发生两起爆炸,贝拉克·奥巴马受伤。”

美联社立即关闭微博账户并通过企业通信线路告知用户,微博账号遭“黑”,白宫遇袭是假消息。数分钟后,白宫发言人杰伊·卡尼辟谣,否认白宫遇袭、奥巴马受伤。“总统没事,”他在新闻发布会上说,“我刚才和他在一起。”

美联社说,“黑客”入侵微博前,多次用网络钓鱼方式攻击美联社企业网络。美联社正与微博服务提供商推特公司共同调查这一事件。美国联邦调查局也启动调查。

“叙利亚电子军”所为

名为“叙利亚电子军”的团体宣布,他们发动这次“黑客”攻击并发布假消息。这一团体自身“推特”微博账户发帖:噢,叙利亚电子军接管美联社微博账户。拜拜,奥巴马。

“叙利亚电子军”支持叙利亚总统巴沙尔·阿萨德政权。美国则支持叙利亚反对派,主张巴沙尔下台。

“叙利亚电子军”先前“认领”多次针对新闻机构网站和微博账户的攻击,包括法新社、路透社、天空新闻频道阿拉伯台、卡塔尔半岛电视台、美国哥伦比亚广播公司、英国广播公司和美国全国公共广播电台。

20日,哥伦比亚广播公司《60分钟》新闻节目和《48小时》纪录片节目微博账户遭“叙利亚电子军”入侵。一条帖子写道:独家消息:美国遭恐怖袭击,奥巴马正无耻地与“基地”组织躺在一张床上。哥伦比亚广播公司删除帖子并向公众发表致歉声明。

“叙利亚电子军”还侵入国际足球联合会主席约瑟夫·布拉特的微博账户,发布假消息,称布拉特因受到腐败罪名指控辞职。

震动证券市场

“白宫遇袭”消息立即震动证券市场。路透社报道,假消息发布后,标准普尔500种股票指数5秒内下跌14点,市值一度蒸发1365亿美元。纽约股市道琼斯工业平均指数应声下跌143.5点,跌幅为0.98%。

数分钟内,股指回到原先水平。一名股票交易员描述,当时场面“一片混乱”。

美国证券交易委员会启动调查。证交委委员丹尼尔·加拉格尔告诉路透社记者:“我现在无法告诉你到底发生了什么或者我们正在调查什么。不过,可以肯定,我们想知道(股价)这样剧烈波动的原因,无论持续时间多短。”

1.3 黑客“逼停”荷兰 千万数字身份证

荷兰内政部官员24日说,由于受到网络攻击,超过1000万荷兰人无法使用官方数字身份证明支付账单或纳税。

内政部发言人弗兰克·弗兰克在一份声明中说,由于受到分布式拒绝服务(DDoS)网络攻击,国家数字身份证明系统自23日晚无法使用。

分布式拒绝服务攻击又称洪水攻击,是一种反复访问网站的攻击方式,可制造虚假流量,制造网站访问带宽的流量拥堵,进而使受攻击网站陷入瘫痪。

弗兰克说,数字身份证明系统用户的个人资料没有受到威胁。“似乎警报不断响起,(系统)大门依旧关闭……幸好小偷待在(系统)外面。不幸的是,普通访客同样无法进入系统。”

数字身份证明系统用于在线确认荷兰公民身份,包括一个用户名和一组密码。超过1000万荷兰民众使用数字身份证明系统纳税、支付账单、改变住址或索取官方文件。

弗兰克说,警方网络犯罪部门正在调查这一事件。

荷兰多家银行和荷兰皇家航空公司最近几周多次遭到分布式拒绝服务(DDoS)网络攻击,包括网站遭黑或者是在线银行服务无法使用,通常一次持续几小时。

1.4 美国政府最擅长从微软处获得用户数据

去年全年,微软共从全球各地执法机关处收到了总计70655次要求提供用户数据的命令;并且,这其中超过80%的情况都以公司至少移交部分信息而告 终。事实证明,美国政府机关尤其擅长从微软处获得更为丰富的信息——用户的电子邮件、照片以及联络人地址簿信息——他们的成功率接近14%,远高于仅为 2.2%的全球平均水平。

这是微软第一年发布此种形式的透明度报告,具体内容包括有公司在2012全年中收到来自执法机关要求提供原始数据的命令以及法庭指令。这里涉及到的 数据来自于微软在线以及云服务、Hotmail/Outlook.com电子信箱、SkyDrive网络硬盘、Xbox Live游戏在线、微软账户、即时通讯工具以及Office 365云办公服务等项目。

按照微软首席法律顾问布拉德·史密斯的解释,由于“Skype收集与保留的某些数据与微软其它部门使用的格式不一致”,因此相关披露数据只能以单独 形式列出来。不过,“展望未来,为确保Skype之类的例外情况也可以被包括进来,我们将会对报告格式进行全面整合,最终实现所有服务都以同样形式显示在 今后报告之中的目标”。

在这份报告中,微软以按国家与地区分类排列的形式列出了去年一年中从全球各地收到的所有要求提供数据的命令;公司有多少次遵循要求提供了“实质信 息”(这其中包括有用户电子邮件、保存在SkyDrive里的图片以及日程数据等项目);与此同时,还提供了多少次“仅限于事务性或服务器订阅的非实质信 息”(这里面包括有用户名、地址信息以及IP历史记录等类型)。

总体而言,微软在全球范围内总共收到了针对122015名具体用户或者账户的70665次要求。微软选择向要求机关提供用户实质信息(电子邮件、照 片或者地址簿信息)的比例为2.2%,在剩下79.8%的时间里,该公司选择了交出事务性或服务器订阅类数据。在16.8%的情况下,微软无法找到所要求 的数据。还有1.2%的要求被该公司拒绝的原因是不符合法律要求。

在2012年,美国执法机关共提交了11073次要求,仅次于土耳其的11434次而位居次席。在13.9%的美国案件(1544起)中,微软选择 了提供用户实质信息,这一比例在42个国家的排名中是最高的。在65%的情况中,该公司提供的仅仅属于事务性或服务器订阅类数据,这在该部分中则属于最低 的比率。在刚刚超过14%的情况中,微软无法找到所要求的数据。还有6.9%的要求被该公司拒绝,则是因为它们不符合法律要求。

现在,我们就来看一下数据比较的情况。下表列出的就是前十位国家提交给微软的绝大部分数据披露要求的答复结果:

国家与地区 要求总数 要求实质内容披露
方面的成功率
要求非实质内容披露
方面的成功率
被拒绝要求
的比率
土耳其 11,434 0.0% 78.7% 0.0%
美国 11,073 13.9% 65.0% 6.9%
英国 9,226 0.0% 76.5% 0.5%
法国 8,603 0.0% 85.7% 0.0%
德国 8,419 0.0% 74.2% 0.1%
中国台湾 4,381 0.0% 86.3% 0.0%
澳大利亚 2,238 0.0% 84.9% 1.0%
巴西 2,214 0.3% 84.1% 0.1%
西班牙 1,981 0.0% 84.2% 0.1%
意大利 1,519 0.0% 83.0% 0.0%
全球合计 70,655 2.2% 79.8% 1.2%

在报告中,微软还对公司向执法机关披露客户信息的策略进行了说明:“微软与Skype都需要一份依据当地法律法规正式签署过的官方文件,并递交给位 于美国的合规与爱尔兰的微软数据以及卢森堡的Skype部门……只有在看到一份有效的传票或具有同等效力的文件之后,公司才会考虑提供非实质内容类数据; 至于实质内容信息,公司仅仅在看到法庭指令或者手令的情况下才有可能提供”。

按照电子前沿基金会国际言论自由表达协调员伊娃·加尔佩林的观点,美国机关之所以会在获取用户信息方面拥有较高的成功率,是因为他们拥有精通信息内容方面政策并能够以书面形式要求公司披露具体内容的专门人员。

此外,微软还披露了自从2009年以来总共收到了多少份国家安全信函(NSL);最近,谷歌也开始这么做了。所谓国家安全信函,指的就是联邦调查局 用来确认一名或者多名用户的信息——名称或者地址之类的情况——的要求。不过,微软与谷歌的NSL报告内容都相当含糊:该公司在报告声称,2009年总共 收到的NSL数量在0到999之间。2010年与2011年,这一数字是在1000到1999之间。至于去年,它收到的信函则介于0与999之间。

1.5 网络攻击是全球问题 美发中国黑客报告不负责

美国威瑞森公司23日发表《数据窃取调查年度报告》,首次将“有政府背景的网络间谍行为”单独列出,称其分析的2012年可确定的120起政府网络间谍案中,96%源自中国,其他4%来源不明。美国“政治”网站称,该报告的发表将为美国政界呼吁白宫采取更强硬措施反击“中国黑客”添加燃料。

据《华盛顿邮报》23日报道,威瑞森公司自2008年起每年都发表一次年度报告,今年首次单独对“政治关联网络间谍活动”进行分析,也是合作伙伴最多的一次。该公司对去年被报道的4.7万例网攻进行分析发现,其中621起为完全数据入侵,而其3/4是“经济利益驱使”,1/5为“政府关联”。报告指出,黑客出于经济利益进行数据盗窃在全球最为常见,零售企业是最常见的受害者,为赚钱而实施的黑客行为通常来自罗马尼亚、美国、保加利亚和俄罗斯,而中国则是“世界范围内与政府相关的知识产权网络窃取案的主角”。“由于入侵案例较多,中国的网络入侵行为容易被识别,因为固定的黑客群体使用的战术都是相似的。”

福布斯新闻网称,威瑞森公司报告的基础是公司取证小组和18个“合作机构”的调查,包括澳大利亚联邦警察局、欧洲网络犯罪中心、美国计算机紧急响应小组、特勤局等。“即便如此,被发现的网络间谍行为也只是冰山一角”,报道称,“中国黑客究竟对美国企业造成多大的伤害并不可知”。“政治”网站称,该报告的发表正值美国国会为“中国黑客”问题炒成一团,美国众院几天前通过了“帮助美国政府和企业分享网攻威胁”的提案,但在参院遭到质疑,还可能面临美国总统奥巴马的否决。

美国网络安全公司Mandiant今年2月也曾发布报告,称“与中国军方有关的黑客”多次攻击美国网站。对此,中国外交部表示,中国政府一贯坚决反对并依法打击网络攻击行为,中国是网络攻击的主要受害国之一。外交部发言人称,网络攻击是一个全球性问题,应在相互信任和尊重的基础上通过建设性的国际合作加以解决。出于各种目的,就黑客攻击进行无端猜测和指责,既不专业,也不负责,无助于解决该问题。

《华尔街日报》23日引述消息人士的话报道称,在多年同中国交涉网络黑客问题无果后,美国政府正在考虑采取更强硬的措施,贸易制裁、外交施压、在美国控告中国相关人员和网络反制等,都在考虑之列。

 

2 本周关注病毒

2.1 Trojan.FakeWord.b(木马病毒) 警惕程度 ★★

该病毒通过伪装成Word文档欺骗用户,病毒运行后会修改注册表,以实现开机自启动。同时病毒会打开名为Schedule的服务,通过对比参数的方式判断病毒运行方式,并释放Skype盗号软件。一旦截取到相关信息,病毒会将用户的Skype帐号及密码发送至黑客指定地址,中毒电脑将面临账号被盗及隐私信息被窃等风险。

2.2 Trojan.Win32.StartPage.qhx(木马病毒)警惕程度 ★★

该病毒会在桌面上生成一个和原来的IE图标完全相同的图标,用户打开这个假的IE图标就会访问黑客指定的网站。病毒还会劫持浏览器的搜索引擎和多种第三方浏览器软件,到达提高网站点击率的目的,并且还会在后台下载安装流氓软件。

2.3 Backdoor.Win32.Depyot.a(‘Depyot’后门病毒)警惕程度 ★★★★

该病毒运行后,后台链接挂马网址,下载恶意程序,并修改注册表,以实现开机自启动。同时病毒还将通过解密,得到远程控制程序PoisonIvy RAT,远程连接黑客指定网址。中毒电脑将被远程控制,黑客可随意翻阅硬盘上的数据,并控制摄像头等电脑外接设备,届时用户的个人文件及私密信息都将面临巨大风险。

 

3 安全漏洞公告

3.1 nginx 'ngx_http_close_connection()'远程整数溢出漏洞

nginx 'ngx_http_close_connection()'远程整数溢出漏洞

发布时间:

2013-04-25

信息来源:

BUGTRAQ ID: 59496

漏洞描述:

nginx是HTTP及反向代理服务器,同时也用作邮件代理服务器,由Igor Sysoev编写。
nginx在实现上存在远程整数溢出漏洞,当 r->count 小于0或大于255时,Nginx
ngx_http_close_connection函数会存在整数溢出错误,远程攻击者通过恶意http请求利用此漏洞,可以在应用上下文中执行任意代码。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://nginx.org/en/download.html

3.2 Apache CloudStack 哈希信息泄露漏洞

Apache CloudStack 哈希信息泄露漏洞

发布时间:

2013-04-26

漏洞号:

BUGTRAQ ID: 59464
CVE(CAN) ID: CVE-2013-2758

漏洞描述:

Apache CloudStack是部署和管理大型虚拟机网络的开源软件。
Apache CloudStack 4.0.2之前版本在生成虚拟机控制台URL时,使用了弱算法生成可预测的哈希序列,可导致未授权访问任意用户的控制台。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://httpd.apache.org/

3.3 Apache CloudStack 身份验证绕过漏洞

Apache CloudStack 身份验证绕过漏洞

发布时间:

2013-04-26

漏洞号:

BUGTRAQ ID: 59463
CVE(CAN) ID: CVE-2013-2756

漏洞描述:

Apache CloudStack是部署和管理大型虚拟机网络的开源软件。
Apache CloudStack 4.0.2之前版本存在安全绕过漏洞,熟悉Apache CloudStack源代码的攻击者可以未经授权访问另一个租户VM的控制台。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://httpd.apache.org/

3.4 Cisco Unified Computing System LDAP用户远程身份验证绕过漏洞

Cisco Unified Computing System LDAP用户远程身份验证绕过漏洞

发布时间:

2013-04-25

漏洞号:

BUGTRAQ ID: 59451
CVE(CAN) ID: CVE-2013-1182

漏洞描述:

Cisco Unified Computing System是一个集计算、虚拟化和网络于一体的平台。Cisco UCS Manager存在LDAP身份验证绕过漏洞,未经身份验证的远程攻击者可利用此漏洞通过特定用户的身份验证,而无需提供有效的身份验证凭证。要利用此漏洞攻击者需要提交恶意请求到Cisco UCS Manager登录页面。此漏洞仅影响配置了直接LDAP集成和启用了LDAP选项的UCS系统,不影响其他身份验证方法,如:AAA或TACACS+。

安全建议:

Cisco已经为此发布了一个安全公告(cisco-sa-20130424-ucsmulti)以及相应补丁:
cisco-sa-20130424-ucsmulti:Multiple Vulnerabilities in Cisco Unified Computing System
链接:
http://www.cisco.com/en/US/products/csa/cisco-sa-20130424-ucsmulti.html

3.5 Cisco Device Manager多个远程命令执行漏洞

Cisco Device Manager多个远程命令执行漏洞

发布时间:

2013-04-25

漏洞号:

BUGTRAQ ID: 59449
CVE(CAN) ID: CVE-2013-1192

漏洞描述:

Cisco Device Manager是思科路由器基于Web的设备管理工具。
Cisco Device Manager 5.2.8之前版本存在安全漏洞,可使未经身份验证的远程攻击者在目标系统上执行任意代码。使用JNLP协议从Cisco MDS 9000 Series或Cisco Nexus 5000 Series Switches上下载的JAR可执行文件存在漏洞,此漏洞源于element-manager.jnlp文件传递并由受影响JAR文件执行的某些参数没有经过有效的验证。攻击者可以通过重定向用户下载特制的element-manager.jnlp并执行该文件利用此漏洞,如果用户具有提升的权限,那么攻击者将可能完全控制系统。

安全建议:

Cisco已经为此发布了一个安全公告(cisco-sa-20130424-fmdm)以及相应补丁:
cisco-sa-20130424-fmdm:Cisco Device Manager Command Execution Vulnerability
链接:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130424-fmdm