当前位置: 安全纵横 > 安全公告

一周安全动态(2013年4月25日-2013年5月02日)

来源:安恒信息 日期:2013-04

2013年4月第五周(4.25-5.02)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 “白宫爆炸”呼唤全球网络新秩序

与预期的所谓得到政府力量支持的黑客部队不同,美网络空间的真正威胁来自于黑客组织“白宫爆炸”呼唤全球网络新秩序。

美联社遭遇黑客攻击事件造成的网络威胁非常特殊:黑客仅仅入侵通讯社网站,通过发布特定内容信息,就足以让金融市场发生波动。此次波动因为信息及时披露,没有造成显著的直接损失,但其中揭示的安全风险足以引起世人警惕:由计算机程序控制的电子交易系统对风险信号异常灵敏,但其判别信息真伪的能力难以与其灵敏程度相匹配,微小的信息扰动足以引发巨大的金融动荡。显然,这需要从国家安全的高度认真对待。

这一事件对美国国家网络安全战略来说,是一个非常特别的挑战:2013年2月开始,美国政府明确将网络空间面临的主要威胁,锁定为所谓得到政府力量支持的黑客,尤其是所谓来自中国的网军/黑客部队。在诸如曼迪亚特网络安全公司出具的诸多报告中,大量的资源和精力被用于搜集、分析和揣测中国对美国网络安全构成威胁的严重程度。但相比那些主要依靠主观揣测和拼凑材料支撑起来的冗长报告,黑客袭击美联社账号事件以毋庸置疑的事实,指出了美国网络安全面临的真正威胁所在:与美国政府预期的方向截然不同,真正威胁来自于网络空间的黑客组织。

除了威胁的来源与方向,能够有效应对此类威胁的方式与手段,也和美国网络安全战略设计的发展、外交、防御存在明显的不相适应:因为美国网络安全战略设计的主导思想是谋求实现美国的国家安全,在面对其他国家行为体时,美国能够凭借其综合力量的优势,选择性推行双重标准。但是在面对完全不接受美国行为规范的黑客组织,而且还是主要位于美国境外的黑客组织时,美国就面临比较尴尬的选择:美国不可能将所有的信息系统建成铜墙铁壁,类似新闻通讯社账号这种没有列入关键基础设施名单的薄弱环节被突破,就足以引发巨大的负面效果。美国也很难用常规武器、远程精确制导导弹对黑客组织进行定点清除。出动美国网军与黑客打一场对攻战,结果可能导致网络空间遍地狼烟。有效的方式之一是得到黑客组织活动所在地主权国家政府的合作,对此类行为进行管控。但在此次黑客袭击事件中,叙利亚阿萨德政府正是美国试图推翻的政权。

此次黑客袭击事件虽指向美国,但对世界各国提出了以下课题:必须通过维护全球网络空间的安全,来实现国家网络安全。网络空间安全必须作为一个整体,而非服务于某个单一国家的碎片来进行考量。整体推进建立在合作与对话基础上的网络空间治理合作,以治理求安全,而非凭借自身或者部分盟友的实力优势以霸权求安全。

这一事件也凸显了中国倡导的新型大国关系的必要性与迫切性:一个密集互联的网络化世界,需要大国负起责任,超越传统的自我中心的狭隘利益认识,从全球视角出发,推行建立在包容、多元基础上的新型大国关系,从而在网络空间建立全球网络新秩序,让所有行为体都能安全、舒适地享用网络空间带来的便利。

1.2 史上最大流量DDOS攻击者被捕

据报道,上周四,一名荷兰男子因涉嫌有史以来最大的网络攻击案件而被捕。目前只知道该男子的英文缩写为“SK”,年为35岁,以及他的籍贯。

据上周五荷兰检察官服务的一份新闻稿,SK是在上周四于巴塞罗纳被西班牙当局逮捕的。根据新闻稿所述,这位“无名氏”男子被控告对非营利组织Spamhaus(国际反垃圾邮件组织)进行了前所未有的猛烈攻击。

在反垃圾邮件组织Spamhaus遭受了一系列的大规模分布式拒绝服务攻击(DDoS),攻击流量超过了300Gbps,欧州发出了逮捕令,当局逮捕了SK,并且捕获到了SK的电脑和手机。

在三月底,报道了一系列的异常强大的DDoS攻击。他们的目标Spamhaus,是一家向互联网服务供应商出售垃圾邮件网站的黑名单。在高峰期,攻击达到每秒300吉比特,并导致了欧洲的某些局部地区互联网速度变慢。

虽然没有透露SK的身份,网络安全记者Brian Krebs引用了Sven Olaf Kamphuis 的“复合源”说法,z主机托管公司Cyberbunker的缩写就是SK。当然了我们无法证实Krebs的说法。纽约时报也进行了报道,称Kamphuis是这次攻击中的探测中心。

在三月份接受Daily Beast(野兽日报)记者采访时,Kamphuis自己告诉出版社:“很多人对这次的“攻击”感到愤怒,而我们是第一个对此事进行披露并进行挽救的。”还有,Cyberbunker在Spamhaus的黑名单中。

一位Spamhaus的会员告诉Spamhaus是,因为Cyberbunker主办了“制药和僵尸网络控制器”, Spamhaus才开始将其列入垃圾邮件来源黑名单。Kamphuis给了他们一个“粗鲁的回答”。他甚至在Facebook上声称自己拥有外交豁免权。

1.3 联合国:已有46个国家组建网络战部队

联合国裁军研究所相关人士27日透露,最新调查结果显示已有46个国家组建了网络战部队。这一数量约相当于全球国家数量的1/4。2011年上次调查时有33个组建网络战部队的国家。本次新增了包括日本在内的13个国家。

这一结果显示出网络空间内国家间的对抗正趋激烈,各国纷纷在军事国防领域加速了应对措施。

在上次调查中,日本被划为在非军事领域展开应对的国家。日本防卫省去年9月公布了应对网络攻击的指针,计划在2013年度内组建“网络空间防卫队”,因而在此次调查中被重新归类。

除该研究所外,美国智库“战略与国际问题研究中心”(CSIS)、德国汉堡大学和平研究与安全政策研究所也参与了调查。三家研究所正在撰写报告,预计将于近期公布。

已组建网络战部队的国家中包括拥有核武器的联合国安理会常任理事国美国、中国、俄罗斯、英国和法国,印度和以色列也在其中。关于越来越多的国家在军事防卫领域采取应对措施的原因,上述人士表示“网络安全已被视为国家安全问题”。

1.4 美国政府工作小组酝酿网络监控法案

新华网华盛顿4月29日电(记者 林小春)美国一个政府工作小组正在酝酿法案,以方便美国联邦调查局对社交网络等直接进行监控,并对不合作的网络公司给予处罚。

据《华盛顿邮报》29日报道,美国联邦调查局总顾问安德鲁·韦斯曼上月在一个有关新技术带来的法律挑战研讨会上说:“我们相当清楚实施网络监控的重要性,目前我们需要法庭下令才能批准某些监控。”韦斯曼表示,网络监控立法问题是美国联邦调查局今年的最优先事项。

报道还援引匿名消息源的话说,依据起草中的法案,一旦网络公司不与美国联邦调查局合作,将可能面临罚款等处罚。90天后若罚款还未支付,其金额将每天翻一番。

报道称,这一法案的目的是监控恐怖分子和其他犯罪嫌疑人的在线活动。如果获得国会通过并经总统奥巴马签字批准,该法案可能成为美国1968年制定的《综合控制犯罪和街道安全法》的补充条款。

1.5 荷兰警察或可用黑客手段打击网络犯罪

据英国广播公司(BBC)5月2日报道,根据荷兰新法案,调查人员或可用黑客手段攻击其它电脑,并在里面安装病毒码,阅读邮件或销毁文件。调查人员还有权通过黑客攻击进入国外的服务器。

据报道,有批评人士称,法案中的措施没有必要,而且开了一个危险的先例。不过荷兰政府强调说,调查人员取得上述权力需要经过法官的批准。

报道称,该法案还将嫌疑人在警察调查期间拒绝破解加密文件的行为视为犯罪。该法案还将儿童色情和恐怖主义列为两个特别的领域。公布盗窃来的数据的行为也将受到惩罚。

据悉,该法案将在今年年底提交议会审议。

 

2 本周关注病毒

2.1 Trojan.FakeWord.b(木马病毒)

警惕程度 ★★

该病毒通过伪装成Word文档欺骗用户,病毒运行后会修改注册表,以实现开机自启动。同时病毒会打开名为Schedule的服务,通过对比参数的方式判断病毒运行方式,并释放Skype盗号软件。一旦截取到相关信息,病毒会将用户的Skype帐号及密码发送至黑客指定地址,中毒电脑将面临账号被盗及隐私信息被窃等风险。

2.2 Trojan.PSW.Win32.AliPay.pl(‘网银超级木马’病毒)

警惕程度 ★★★★

该病毒运行后,会查找并结束网购软件的安全进程和微软更新进程。病毒通过创建傀儡进程%systemroot%\calc.exe,运行恶意文件qqway.dsp,篡改支付订单。中毒电脑将在用户毫无察觉的情况下,购买电话充值卡,并将卡号和密码发送至黑客指定服务器。

2.3 Backdoor.Win32.Depyot.a(后门病毒)

警惕程度 ★★★★

该病毒运行后,后台链接挂马网址,下载恶意程序,并修改注册表,以实现开机自启动。同时病毒还将通过解密,得到远程控制程序PoisonIvy RAT,远程连接黑客指定网址。中毒电脑将被远程控制,黑客可随意翻阅硬盘上的数据,并控制摄像头等电脑外接设备,届时用户的个人文件及私密信息都将面临巨大风险。

 

3 安全漏洞公告

3.1 phpMyAdmin 'filename_template' 远程代码执行

phpMyAdmin 'filename_template' 远程代码执行

发布时间:

2013-04-26

信息来源:

BUGTRAQ ID: 59465
CVE(CAN) ID: CVE-2013-3239

漏洞描述:

phpmyadmin是MySQL数据库的在线管理工具,主要功能包括在线创建数据表、运行SQL语句、搜索查询数据以及导入导出数据等。
phpMyAdmin 3.5.x、4.x在配置了SaveDir目录后,通过导出文件文件名的双扩展名,经过身份验证的远程用户可以执行任意代码,导致Apache HTTP服务器将此文件解释为可执行文件。例如:.php.sql文件名。

安全建议:

phpMyAdmin已经为此发布了一个安全公告(PMASA-2013-3)以及相应补丁:
PMASA-2013-3:PMASA-2013-3
链接:
http://www.phpmyadmin.net/home_page/security/PMASA-2013-3.php
补丁下载:
https://github.com/phpmyadmin/phpmyadmin/commit/dedd542cdaf1606ca9aa3f6f8f8adb078d8ad549
https://github.com/phpmyadmin/phpmyadmin/commit/ffa720d90a79c1f33cf4c5a33403d09a67b42a66

3.2 phpMyAdmin preg_replace()远程PHP代码执行

phpMyAdmin preg_replace()远程PHP代码执行

发布时间:

2013-04-26

漏洞号:

BUGTRAQ ID: 59460
CVE(CAN) ID: CVE-2013-3238

漏洞描述:

phpmyadmin是MySQL数据库的在线管理工具,主要功能包括在线创建数据表、运行SQL语句、搜索查询数据以及导入导出数据等。
phpMyAdmin 3.5.8、4.0.0-rc2及其他版本的preg_replace()函数可被利用在服务器端执行任意PHP代码,攻击者用特制参数作为常规表达式,在此表达式内包含空字节,当phpMyAdmin使用"Replace table prefix"功能时,会错误地过滤传递到preg_replace()的特制参数。导致在Web服务器上下文中执行任意PHP代码。

安全建议:

phpMyAdmin已经为此发布了一个安全公告(PMASA-2013-3)以及相应补丁:
PMASA-2013-3:PMASA-2013-3
链接:
http://www.phpmyadmin.net/home_page/security/PMASA-2013-3.php
补丁下载:
https://github.com/phpmyadmin/phpmyadmin/commit/dedd542cdaf1606ca9aa3f6f8f8adb078d8ad549
https://github.com/phpmyadmin/phpmyadmin/commit/ffa720d90a79c1f33cf4c5a33403d09a67b42a66

3.3 phpMyAdmin 'what'参数本地文件包含漏洞

phpMyAdmin 'what'参数本地文件包含漏洞

发布时间:

2013-04-26

漏洞号:

BUGTRAQ ID: 59462
CVE(CAN) ID: CVE-2013-3240

漏洞描述:

phpmyadmin是MySQL数据库的在线管理工具,主要功能包括在线创建数据表、运行SQL语句、搜索查询数据以及导入导出数据等。
phpMyAdmin 4.0.0-rc3之前版本的Exprot功能存在目录遍历漏洞,经过身份验证的远程用户通过指定特制导出类型的参数,利用此漏洞可以包含任意文件,导致任意代码执行。

安全建议:

phpMyAdmin已经为此发布了一个安全公告(PMASA-2013-3)以及相应补丁:
PMASA-2013-3:PMASA-2013-3
链接:
http://www.phpmyadmin.net/home_page/security/PMASA-2013-3.php
补丁下载:
https://github.com/phpmyadmin/phpmyadmin/commit/dedd542cdaf1606ca9aa3f6f8f8adb078d8ad549
https://github.com/phpmyadmin/phpmyadmin/commit/ffa720d90a79c1f33cf4c5a33403d09a67b42a66

3.4 phpMyAdmin '$GLOBALS' 数组未授权访问漏洞

phpMyAdmin '$GLOBALS' 数组未授权访问漏洞

发布时间:

2013-04-25

漏洞号:

BUGTRAQ ID: 59461
CVE(CAN) ID: CVE-2013-3241

漏洞描述:

phpmyadmin是MySQL数据库的在线管理工具,主要功能包括在线创建数据表、运行SQL语句、搜索查询数据以及导入导出数据等。
phpMyAdmin 4.0.0-rc3之前版本内的export.php根据POST超全局数组的内容覆盖了全局变量,经过身份验证的远程用户通过特制的请求利用此漏洞注入任意值。

安全建议:

phpMyAdmin已经为此发布了一个安全公告(PMASA-2013-3)以及相应补丁:
PMASA-2013-3:PMASA-2013-3
链接:
http://www.phpmyadmin.net/home_page/security/PMASA-2013-3.php
补丁下载:
https://github.com/phpmyadmin/phpmyadmin/commit/dedd542cdaf1606ca9aa3f6f8f8adb078d8ad549
https://github.com/phpmyadmin/phpmyadmin/commit/ffa720d90a79c1f33cf4c5a33403d09a67b42a66

3.5 Citrix NetScaler / Access Gateway安全绕过漏洞

Citrix NetScaler / Access Gateway安全绕过漏洞

发布时间:

2013-04-27

漏洞号:

CVE(CAN) ID: CVE-2013-2767

漏洞描述:

Citrix NetScaler是一款网络流量管理产品,Citrix Access Gateway是一款通用的SSL VPN设备。
Citrix NetScaler / Access Gateway存在安全漏洞,可使远程攻击者未经授权即可访问网络资源。

安全建议:

Citrix已经为此发布了一个安全公告(CTX137238)以及相应补丁:
CTX137238:Vulnerability in Citrix NetScaler Access Gateway Enterprise Edition Could Result in Unauthorized Access to Network Resources
链接:http://support.citrix.com/article/CTX137238
补丁下载:
https://www.citrix.com/downloads/netscaler-adc/firmware.html