当前位置: 安全纵横 > 安全公告

一周安全动态(2013年5月16日-2013年5月23日)

来源:安恒信息 日期:2013-05

2013年5月第三周(5.16-5.23)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 香港奥委会网站疑遭黑客入侵 三千人资料或被泄露

据香港《文汇报》报道,香港警方商业罪案调查科正调查“中国香港体育协会暨奥林匹克委员会”网页疑遭“黑客”入侵,将近3000名市民的个人资料外泄事件,暂无人被捕。案件列作“有犯罪或不诚实意图而取用计算机”处理。

香港商罪科科技罪案组人员前日(20日)发现,怀疑载于“中国香港体育协会暨奥林匹克委员会”网页(www.hkolympic.org/)数据库内2800多名市民的个人资料,被转载于另一网站,相信是因其网页早前被非法入侵所致。

警方初步调查显示,外泄的数据为“2011香港杰出运动员选举”网上公众投票人士及候选运动员的个人资料,包括姓名、身份证号码、出生日期、电话号码、电邮地址及住址。

1.2 Java漏洞被利用进行大规模攻击

安全研究人员警告说,最近修补的Java远程执行代码漏洞已经被网络犯罪分子利用,通过恐吓软件进行大规模的攻击。
据国外媒体报道,一个标识为CVE-2013-2423的漏洞已经成为网络犯罪分子攻击的目标,而它正是甲骨文4月16日公布的Java 7 Update 21 修复的42个问题之一。

但甲骨文声称该漏洞仅影响客户端,而不是服务器。对于该漏洞造成的影响,甲骨文根据常见漏洞评分系统(CVSS)给出一个4.3的分数(满分为 10分),并且甲骨文还补充说:“只有不受信任的Java Web Start程序和不受信任的Java applet才可能利用该漏洞。”

一个网名为Kafeine的独立恶意软件研究员周二在博客文章中说到,似乎较低的CVSS评分并不能阻止针对该漏洞的网络罪犯。漏洞CVE- 2013-2423被集成到一个称为Cool Exploit Kit的高端Web攻击工具包,用于安装一个称为Reveton恶意软件。
Reveton是一类叫做勒索软件的恶意程序,用于向受害者勒索钱财。特别是,Reveton锁定受感染计算机上的操作系统要求受害者支付一个虚构的罚款,非法下载和存储文件。

芬兰反病毒厂商F-Secure公司的安全研究人员证实了CVE-2013-2423被广为利用。其中新一轮攻击从4月21日开始,直至周二仍然活跃。

F-Secure的研究人员透露,在该漏洞被添加到Metasploit(一个常用的开源渗透测试工具)一天后,针对该漏洞大规模攻击便开始。这不是网络犯罪分子第一次利用Metasploit攻击模块适应他们的恶意攻击工具包。

需要使用Java的用户(尤其是浏览器)应当尽快升级他们手中Java安装程序——Java 7 Update 21 。这个版本还改变了网站加载Web Java程序时的安全提示,以便更好地区分不同类型的应用程序运行的风险。

用户应当只允许他们信任的网站加载运行Java applet。像谷歌Chrome和Mozilla Firefox这样的浏览器也有一个特点,被称为点击播放,可以用来阻止插件的内容在未经同意的情况下执行。

安恒信息目前已经升级相关产品策略,能够及时发现并防护该漏洞。

1.3 荷兰黑客被指控发起史上最大规模网络攻击

英国《卫报》网络版近日撰文称,今年3月份,国际反垃圾邮件组织(Spamhaus)及其合作伙伴遭遇了被称为史上最大规模的网络攻击事件,攻击所 产生的数据流高达3000亿字节每秒。目前这起攻击事件的嫌疑人、荷兰黑客斯文·奥拉夫·坎普赫伊斯(Sven Olaf Kamphuis)已经被逮捕,正在等待检方起诉。以下为文章概要:

当斯文·奥拉夫·坎普赫伊斯(Sven Olaf Kamphuis)把他的那辆橘黄色梅赛德斯面包车停在西班牙格兰诺莱斯(Granollers)小镇上的贾维斯酒吧(Bar Javis)时,酒吧老板的儿子飞快地用手机拍下了这辆车的照片。

“这个小镇平时没发生过什么大事,”酒吧老板玛利亚·科鲁兹(Maria Cruz)说。“而这辆车太大了,车顶还安装了很多奇怪的天线和太阳能电池板。它甚至遮住了酒吧的光线。”

更加奇怪的是,这名35岁的荷兰人在这个距离巴塞罗那15英里的不知名小镇上安顿了下来,在镇上较为偏僻的街区租了一套不大的阁楼公寓。

即便是在炎热的初夏季节,坎普赫伊斯也总是带着一顶毛绒帽子。他不会说西班牙语,不管邻居们和他说什么,他都只会用英语回答“yes,yes”。

坎普赫伊斯,现年35岁,是全球垃圾邮件和黑客领域最具争议性的人之一。他被一些人称为“互联网头号公敌”,但也有人认为这个称呼只是他的敌人给他扣的大帽子而已。

坎 普赫伊斯精通计算机,几乎能入侵任何地方的复杂计算机系统。他被指责是今年3月份的一起互联网攻击事件的主谋。据网络安全公司CloudFlare称,这 起攻击事件“几乎使整个互联网瘫痪”,差点让全世界陷入数字黑暗。当西班牙和荷兰警方逮捕他时,他们发现他的公寓里到处都是线缆和计算机设备。在凌乱的床 上,还放着一本科幻作家尼尔·斯蒂芬森(Neal Stephenson)的小说《水银》(Quicksilver)。

在被逮捕时,坎普赫伊斯的表情像是拿破仑一样骄傲而庄严。“他声称他拥有外交豁免权,”一名参与逮捕行动的西班牙警官称。“他声称自己是网络碉堡共和国(CyberBunker Republic)电信和外交部长,而且看起来不像是开玩笑。”

“逮捕坎普赫伊斯的命令来自荷兰,”这位不愿透露姓名的巴塞罗那网络犯罪部门负责人称。“但英国、美国和德国都受到了他发起的这次大规模DDoS(分布式拒绝服务)攻击的影响。”

“那辆面包车里拥有齐全的计算机装备,是他发起攻击时的移动办公室。除此之外,我们还发现了他的攻击目标的IP地址,这些证据都将被提交给荷兰方面。”

坎普赫伊斯还没有机会发起第二次攻击,但西班牙警方相信,他们已经识破了他的作案手法。“他纠集了来自世界各地的黑客,共同发起攻击。很明显这一切尚未结束,因为最近几天荷兰再一次遭遇了攻击--这可能是他的朋友们发起的报复性攻击。

“这些黑客拥有庞大的僵尸电脑网络,这些电脑被植入了病毒,从而使黑客可以远程控制。这些电脑在同一时间发起攻击,同时向服务器发送数以百万次的请求。”

在 这次始于3月中旬的攻击事件中,攻击所产生的数据流多达3000亿字节每秒。《纽约时报》将其称为“前所未有的大规模网络攻击”。这些攻击的目标是位于英 国和瑞士的国际反垃圾邮件组织(Spamhaus)及其合作伙伴。这使得坎普赫伊斯的CB3ROB和Cyberbunker公司被列入了垃圾邮件的黑名 单。坎普赫伊斯曾宣称,此次攻击的目的,是为了惩罚国际反垃圾邮件组织“滥用影响力”的行为。

“国际反垃圾邮件组织没有得到任何人的授权, 却有权力决定哪些信息可以通过互联网,哪些信息不可以通过互联网,”坎普赫伊斯在一封写给《纽约时报》的信中愤怒地说。但他随后却否认参与攻击事件。“我们希望在此澄清,这起DDoS攻击事件与CB3ROB或CyberBunker没有任何关联,该事件也并非由斯文主导,”他在自己的Facebook主页 上称。

本案中仍有一些疑点。如果他是历史上最为成功的垃圾邮件制造者之一,那么他又为什么会住在如此简陋的公寓和房车里呢?

“如果每封垃圾邮件能够获得几美分报酬,然后你每天发出上百万封,你就可以赚很多钱,”这名西班牙警官说。

坎普赫伊斯的行为举止也不像是逃亡的罪犯。“他看起来太放松了,根本不像诈骗犯,”科鲁兹说。“他也根本没有试图躲藏。他甚至把自己的名字写在信箱上。”

“他并没有真正试图躲藏,”这名西班牙警官说。“我觉得,他可能以为我们无法从攻击中追溯到他,或者他以为由于他没有攻击西班牙目标,我们就不会逮捕他。”

此前多家媒体报道称,坎普赫伊斯的攻击导致整个互联网的速度被拖慢,但据专门监控全球互联网速度的机构互联网流量报告(Internet Traffic Report)称,攻击期间的全球互联网并未出现异常。

一些人因此指责网络安全公司CloudFlare借机炒作。该公司为国际反垃圾邮件组织提供网络安全服务。CloudFlare声称,这次DDoS攻击几乎“使整个互联网瘫痪”。

“这 些流量创纪录的攻击最初目标是国际反垃圾邮件组织的网站、邮件服务器和域名服务器等基础设施。随后,在攻击持续的两周时间里,这些攻击扩大到了国际反垃圾 邮件组织的支持性网络和服务,其中包括多个互联网交换机,”国际反垃圾邮件组织创始人克莱夫·林福德(Clive Linford)在一篇博客中对这起始于3月中旬的攻击事件如此描述道。“尽管这次DDoS攻击对我们以及我们的托管商和合作伙伴造成了干扰,但保护着全 球超过17亿个邮箱的国际反垃圾邮件组织的反垃圾邮件数据流并未收到影响。”

坎普赫伊斯上周被引渡至荷兰--该国最近刚刚颁布法律,允许警察入侵嫌疑人位于国外的电脑,在其中安装间谍软件、阅读邮件和删除文件等。他目前已经被收监,等待检方决定以何种罪名起诉。

荷兰检方办公室发言人表示,坎普赫伊斯将于本周出席鹿特丹法庭作证,以寻求“保释”。他被控对国际反垃圾邮件组织及其位于美国、荷兰和英国的合作伙伴发起了“前所未有的攻击”。

1.4 国际某ATM厂商ATM电子锁密钥在堪培拉被盗

ITNEWS报道:上周一(5月13日)晚间,澳大利亚首度堪培拉某保安公司的一组ATM智能电子锁密码被盗,据该保安公司一位不愿透露姓名的员工说,犯罪分子能够利用这组电子锁密码打开澳洲所有该品牌ATM的保险柜。

在电子锁密码被盗的五个小时内,犯罪分子在堪培拉到昆比恩五台ATM上窃取了现金,但具体被盗金额未知。

目前这套电子锁密钥已经被锁定禁用。警方说,在禁用该密钥之前,涉案地区各个银行ATM可能都会受到影响。

警方说,堪培拉的ATM基本来源于同一ATM厂商,这些ATM配备了同样的电子锁,如未及时禁用该密钥,事态有可能会进一步扩大。

NCR和Diebold(迪堡)是目前澳大利亚两个最大的ATM供应商,NCR未对该事件做出回应。但对于公众质疑的被窃密钥能够打开堪培拉所有的ATM,迪堡公司说,一个ATM制造商占据堪培拉全部ATM市场是“极不可能”的,并且迪堡ATM在堪培拉的数量并不多。

1.5 日本政府网络安全草案出炉 欲加强自卫队防范

据日本共同社报道,日本政府“信息安全政策会议”21日上午汇总了“网络安全战略”最终草案,针对网络黑客攻击,草案提出了多项强化措施,其中包括在自卫队设立“网络防卫队”(暂定名)。

日本政府计划就最终草案进行公开意见征集,然后计划6月正式决定并加紧落实,防止政府、企业和普通网民成为网络攻击的对象。

日本首相安倍晋三在会上强调:“迅速做出应对不仅仅是国家安全和危机管理的需要,也是为了国民生活的稳定和经济发展。要努力构筑与世界最高水平的IT国家相适应的安全的网络空间。”

最终草案中列举了在2015年度前需要开展的工作。例如针对疑似外国政府参与的国家层级的网络攻击,应加强日本自卫队的应对能力和防范力度。此外还必须提升分析仪器的性能,培养高度专业性人才等。

草案还提出,2015年度结束前,要改善日本政府机构及重要基建领域的有害软件感染率。在遭受网络攻击时可开展合作的国家数量应在现有的80多个国家基础上增加三成。此外,还要在2020年底前将目前规模仅为6000亿~7000亿日元的国内信息安全市场扩大一倍。

 

2 本周关注病毒

2.1 Trojan.Win32.Fednu.uob(木马病毒)

警惕程度 ★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.2 Trojan.Win32.Fednu.uoa(木马病毒)

警惕程度 ★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.3 Worm.Agent!52E0(‘U盘杀手’蠕虫病毒)

警惕程度 ★★★★

用户打开txt文本文件,病毒就会自动运行,该病毒运行后,修改自己的名称为1.exe,并自我复制到system32目录下,同时每隔1分钟遍历用户磁盘,感染与电脑连接的U盘或移动硬盘。中毒电脑将向黑客开启后门,届时,用户将面临隐私信息泄露的危险。

 

3 安全漏洞公告

3.1 Apache Struts2 Showcase应用远程命令执行漏洞

Apache Struts2 Showcase应用远程命令执行漏洞

发布时间:

2013-05-22

信息来源:

CVE(CAN) ID: CVE-2013-1965

漏洞描述:

Struts2 是第二代基于Model-View-Controller (MVC)模型的java企业级web应用框架。它是WebWork和Struts社区合并后的产物。
Apache Struts2 Showcase应用 2.0.0-2.3.13存在安全漏洞,可导致任意代码执行。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://struts.apache.org/download.cgi#struts23141

3.2 Apache Struts2 includeParams属性远程命令执行漏洞

Apache Struts2 includeParams属性远程命令执行漏洞

发布时间:

2013-05-22

漏洞号:

CVE ID: CVE-2013-1966

漏洞描述:

Struts2 是第二代基于Model-View-Controller (MVC)模型的java企业级web应用框架。它是WebWork和Struts社区合并后的产物。
Apache Struts2的s:a和s:url标签都提供了一个includeParams属性。此属性允许使用的值包括none、get、all。当该属性被设置为get或all时,Apache Struts2会将用户提交的参数值作为Ognl表达式执行。攻击者可以提交带有恶意的Ongl表达式,达到执行任意Java代码的目的。只要基于Apache Struts2开发的JSP代码中使用了url/a标签并且设置了includeParams属性为all或get,远程攻击者即可利用此漏执行任意命令。

安全建议:

厂商原本宣称2.3.14.1修复了此漏洞,但经绿盟科技验证该版本并未彻底修补好这个漏洞,我们已经通报给厂商并得到确认,目前厂商已经发布2.3.14.2,已彻底修复此安全漏洞。
厂商安全公告:S2-014
链接:https://cwiki.apache.org/confluence/display/WW/S2-014

3.3 Microsoft Windows Kernel "win32k.sys" win32k!EPATHOBJ::pprFlattenRec权限

Microsoft Windows Kernel "win32k.sys" win32k!EPATHOBJ::pprFlattenRec权限

发布时间:

2013-05-21

漏洞号:

BUGTRAQ ID: 60051

漏洞描述:

Microsoft Windows是微软公司推出的一系列操作系统。
Windows 7 x86 Professional (win32k.sys v6.1.7601.18126)、Windows 8的"win32k.sys"在处理某些对象时存在错误,可导致崩溃,或以内核权限执行任意代码。此漏洞源于win32k!EPATHOBJ::pprFlattenRec内的bug,此处win32k!EPATHOBJ::newpathrec返回的PATHREC对象没有初始化下一个列表指针。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://technet.microsoft.com/security/bulletin/

3.4 Cisco WebEx未初始化内存读取漏洞

Cisco WebEx未初始化内存读取漏洞

发布时间:

2013-05-15

漏洞号:

BUGTRAQ ID: 59649
CVE(CAN) ID: CVE-2013-1232

漏洞描述:

WebEx会议服务是Cisco WebEx管理和维护的托管多媒体会议解决方案。
多个Cisco WebEx产品上的Cisco IOS处理HTTP请求时存在错误,通过发送特制的请求到Cisco WebEx节点,未经身份验证的远程攻击者可利用此漏洞读取未初始化的内存。

安全建议:

Cisco已经为此发布了一个安全公告(CVE-2013-1232)以及相应补丁:
CVE-2013-1232:Cisco WebEx Uninitialized Memory Read Vulnerability
链接:
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-1232

3.5 多个RSA产品SecurID本地信息泄露漏洞

多个RSA产品SecurID本地信息泄露漏洞

发布时间:

2013-05-16

漏洞号:

BUGTRAQ ID: 59938
CVE(CAN) ID: CVE-2013-0941

漏洞描述:

RSA SecurID使用RSA SecurID双因数验证架构提供验证和访问控制。
RSA Authentication Manager和RSA Authentication Agents使用对称密钥(node secret)保护网络通信,但是根据RSA标准,因为受影响产品使用弱密钥和过时的加密算法存储node secret,所以已经被视作无效。本地攻击者可利用此漏洞窃听网络通信,甚至修改通信内容。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:https://knowledge.rsasecurity.com