当前位置: 安全纵横 > 安全公告

一周安全动态(2013年5月30日-2013年6月06日)

来源:安恒信息 日期:2013-06

2013年6月第一周(5.30-6.06)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 八成超级网银被曝不安全

近期全国连续出现多起各大银行客户被骗案件,一位客户在24秒内被骗子卷走10万元资金,许多超级网银使用者惴惴不安。专家认为,造成客户资金被骗的重要原因在于超级网银授权规则过于简单,而这一安全隐患在行业内部普遍存在。据一家机构对105家商业银行超级网银授权功能的验证,85家超级网银授权风险较大,占比超八成。

不久前,陈女士在某购物网站选中了一款200元的服装。商家表示,要先向厂家订货,之后再由陈女士来进行支付,并向陈女士提供了一个“代付链接”。

陈女士在代付链接上进行了支付,却无法像往常一样查到交易记录,于是向店家咨询。店家表示:“系统出现异常,请您现在抓紧时间联系异常订单处理中心客服签约为您解冻”,并发给陈女士一个QQ号。

陈女士按照客服QQ的提示进行了“签约授权”操作,但随后便立即发现自己网银账户的资金有异常。等到她拨通银行客服时,账户中的资金余额仅剩40.38元。从银行账单记录来看,两笔金额各为5万元的转账操作时间间隔仅为24秒。

自去年开始,各大银行纷纷力推超级网银业务。但仅在一夜之间,超级网银就跌至谷底。

在本轮超级网银安全风波中,最核心的问题在于授权规则。超级网银授权并不会对双方身份和关系进行验证,网银用户可以授权任何人对自己的账户进行查询和转账操作。其次,授权操作的过程比较简单,只需将授权页面的链接复制下来,通过聊天软件发送给他人“签约”,就可以在不同电脑上实现授权。

另外,部分银行没有在授权界面中提醒用户设置额度,获得授权的账户可以无限制转账。在此过程中,并不需要授权账户进行二次确认,因此也无法阻止账户余额被转走。

国内一家机构对国内105家商业银行超级网银签约的安全性进行了简单评估,评估指标包括:超级网银的签约网址是否仅限本机操作;超级网银的签约网址是否限制访问次数;超级网银的签约网址是否有时效性限制;超级网银的签约网址是否允许复制。

该机构认为,以上四点,有三项安全措施的,可视为“安全性高”。在105家银行中符合这一标准的,仅有两家;只要有一项限制,为“安全性中等”,有8家商业银行符合。任何一条限制都没有的,视为“安全性低”,共有85家商业银行符合。另外几家商业银行的超级网银签约网址无法打开,骗子自然也无法访问。

随着网上支付规模的快速增长,黑客攻击也开始抬头,安全防范关键在于用户提高安全意识。

专家建议,在线购物时,如果对方要求单独加QQ聊天发送链接,要求远程控制客户电脑操作的,100%是骗子无疑。一旦网络交易出现异常,应当首先通过官方渠道联系客服,而不要轻信店家发来的客服聊天号码;不要相信所谓的卡单、掉单、解冻资金等说法,这些都是网络诈骗专用术语;绝对不能将自己的账户授权给陌生人。

另外,目前央行规定超级网银的转账限额为单笔5万元,每日限额则由各家银行自行决定。普通客户应当在网银账户设置单日最高转账限额,避免资金严重受损。

1.2 破解加气站充值卡“黑客”非法牟利被逮捕

2013.5.31 多云周五小店区检察院

张如果将本事用在正道上,没准会有不错的前途。

今年1月,省城某加气站核查账务发现,一些充值卡没有充值记录却持续消费,出现问题的加气卡初始充值金额均为800元,怀疑公司内部有人偷偷给卡充值。经询问,这些出租车司机的充值卡都是在王村南街、许坦西街的几个面馆里充的值,确实没有到加气网点交钱。

民警装扮成出租车司机,从店老板口中弄清了代办充值卡业务的来龙去脉。原来,今年1月初,该削面馆的一位常客郭对店老板说,自己有个加气站的朋友,可以代办加气卡充值业务,让店老板帮忙宣传,给出租车司机的优惠是充值一次白吃3碗面,面钱由郭直接付给店老板。店老板欣然答应,立即在餐桌上张贴了郭的宣传名片,但一直是问的人多,办的人少。后来,郭干脆将优惠条件调整为“充800元,优惠50元”,前来充值的司机渐渐多了起来。

警方经过调查发现,改写IC卡的黑客是男子张,为郭的朋友。张,33岁,中专学历,计算机爱好者,在工作之余经常花费大量时间钻研黑客技术,并长期活跃于国内若干黑客论坛。去年,张在研究门禁卡、银行卡等的破解技术过程中发现,公交卡、加气卡等一些旧的IC卡充值系统有漏洞,通过IC卡解密软件和写卡器,可随意写入余额信息,欺骗读卡系统,便萌生了以此牟利的念头。

去年下半年,张网购了IC卡读写设备和一些IC卡数据解密软件,成功给自己的公交卡充值。由于公交卡充值数额少,很难获利,他又将目光转向了出租车司机的加气卡。之后,张先后在阳泉某燃气公司非法充值30余次,获利10余万元。今年年初,不满足于阳泉市场的张将目标转至省城太原。目前,张已被批准逮捕。

1.3 匿名者黑客组织发动土耳其行动,袭击土总统和政府网站

据俄罗斯RT电视台报道,黑客组织“匿名者”近日发动了“土耳其行动”,入侵了土耳其总统和执政党网站,以支持反政府抗议者。

报道称,土耳其总统阿卜杜拉·居尔(Abdullah Gul)的网站断线。此外,土耳其执政党正义与发展党(AKP)、伊斯坦布尔安全理事会以及伊斯坦布尔州长办公室网站都遭到袭击。此前,梅尔辛(Mersin)和伊兹密尔(Izmir)市政府网站也都遭袭。

“匿名者”的行动是为了响应土耳其反政府抗议者。有传闻称,土耳其政府欲限制“匿名者”向虚拟私人网络(VPN)发微博密码以允许用户信息共享。“匿名者”组织还称,入侵政府的黑客正袭击土耳其新闻网站。

“匿名者”称,土耳其政府镇压抗议的行为如同“小独裁者”,他们呼吁全球行动,迫使土耳其政府屈服。该组织计划对土耳其政府的每个网站和通讯设施发动袭击。

尽管土耳其政府封杀Twitter、Facebook以及其他社交网站的传闻还未得到证实,但土耳其总理埃尔多安(Recep Tayyip Erdogan)毫不隐瞒自己对通信中介的不满。他谴责社交媒体帮助组织和协调抗议集会,并称Twitter等社交媒体是社会最严重威胁,谎言无处不在。

1.4 中国解放军电子战演习即将登场

日前,中国军队宣布将于6月首次进行数字化部队的演习。这是解放军首次进行包括数字化部队、特种作战部队、陆军航空兵和电子对抗部队在内的新型作战力量的联合演练。

代号“联教-2013·朱日和”军演的目的是测试在应对信息化战争时,使用数字化技术的新型作战力量的应战能力。

中国宣布将举行数字化部队演习的消息正值美国频繁发出针对中国“网络间谍”的指控之际。《华盛顿邮报》援引五角大楼的情报指出,美国重大武器系统设计遭中国“黑客”窃密,涉及美迄今最昂贵的F-35战机等重要项目。

解放军将首次举行有网络战部队、特种作战部队、陆军航空兵和电子对抗部队参与的联合作战演练,以检验其地面和空中部队的一体化程度和协同能力。军事专家说,这次令人瞩目的演练旨在向世人显示,中国在现代战争战略方面已成功缩小与西方国家的差距。

演练将在内地最大的合同战术训练基地、位于内蒙古的朱日和基地进行。北京军区第38集团军和第65集团军的一些部队以及石家庄陆军指挥学院、特种作战学院、国防信息学院、空军预警学院、陆军航空兵学院、电子工程学院、空军指挥学院和空军石家庄飞行学院将参演。这是解放军首次有多种新型作战力量参与在现代战争中使用数字技术的演练。

1.5 “中国黑客”频躺枪 俄媒称北约欲让网络战合法化

在扩充网军的同时,西方对于“中国黑客攻击”的指责一浪高过一浪。英国《金融时报》3日称,华盛顿愤怒了,真的愤怒了,只是不确定怎么办。美国官员指责中国黑客自2005年以来窃取企业贸易机密,过去数月达到政治引爆点。网络安全已成美中关系首要议题。奥巴马政府、美国国会议员和智库正寻求惩罚中国和其他地方黑客的方式。华盛顿正考虑对中国实体和个人采取单边贸易和其他制裁。加拿大通讯社说,加拿大防长麦凯3日就网络袭击向中方施压,希望中国根据互联网“规则框架”行事。

“针对中国黑客攻击的指责多,一方面是有些国家蓄意而为,另一方面是中国缺乏网络空间战略,没有公开建立自己的网络国防力量。”中国网络空间战略研究所所长秦安4日在接受《环球时报》记者采访时说。他表示,事实上,中国饱受网络攻击,中国国家互联网应急中心的数据显示,中国遭受境外网络攻击的情况日趋严重。2013年前两个月,位于美国的2194台控制服务器控制了中国境内128.7万台主机,无论是按照控制服务器数量还是按照控制中国主机数量排名,美国都名列第一。西方国家指责中国网络威胁站不住脚。美国科技资讯网站公布的一项网络防御能力排行显示,被不少西方人视为“网络空间入侵者”的中国,自身网络防御能力并不高,在上榜的23个国家中仅排中下游。主要原因是中国缺乏统一的网络安全战略。

俄新社5月31日发表题为“北约试图让网络战合法化”的报道称,位于爱沙尼亚的北约网络防御中心近期发布一份《塔林网络战适用国际法手册》,对导致有形损坏的网络袭击,北约可以进行武力回应。这让俄罗斯感到担心,俄国防部和外交部邀请专家举行圆桌会议讨论这一问题。俄国防部代表佩斯恰年科表示,北约这一文件的目的是让网络战合法化。

法兰西24小时电视台4日报道称,在网络攻击加剧、许多人指责中国发动攻击的背景下,北约28个成员国的防长周二开会,主要议题是网络安全问题。一名不愿透露姓名的北约高官表示:“网络安全挑战随时发生变化,变化速度或许超过我们目前面临的其他任何威胁。我们必须确保北约的应对能跟得上威胁的变化发展。”法新社称,新任美国防长哈格尔首次出席北约防长会议,他专门将网络安全作为北约讨论的优先议题。上周末,哈格尔在新加坡香格里拉对话会上批评中国针对美国搞网络间谍活动。

“北约防长首次评估网络防御,说明随着西方越来越担心基础设施和军事机密遭黑客窃取,网络安全已上升为北约面临的最重要问题之一。”路透社在解读会议所传递的信息的同时,也不忘强调一下“大背景”:美国五角大楼指责中国通过网络间谍手段推动军队现代化,北京对此则予以否认;《华盛顿邮报》近日指责中国黑客获取了二三十项美国重大武器系统的设计情报。报道称,网络攻击可破坏军用通讯和关键的基础设施,在传统军事打击中让一个国家变得更加脆弱。法国《费加罗报》报道称,在北约防长会议上,来自俄罗斯尤其是中国的“大规模网络攻击”将成为重点讨论话题。

“4月23日,美国道琼斯指数7分钟内下挫150点,原因是美联社的推特账户发出白宫发生爆炸的信息。这条消息很快被证实为假消息,是自称‘叙利亚电子军’的黑客组织所为。道琼斯指数得以恢复。不过,此事的教训非常明显,一条推特消息就能引发重大经济风波。”《华尔街日报》2日试图通过这个例子证明黑客攻击问题的严峻。文章称,时代变化真的很大,在柏林墙时期,边界两边对峙的是坦克和意识形态;在防火墙时代,边界是开放的,观念自由流动,战争虚拟化,但结果却同样具有真实的破坏性。欧洲刑警组织估算每年企业因网络犯罪活动遭受的损失高达1万亿美元。网络攻击还是恐怖分子、活动人士和特工实施大范围破坏的廉价手段。面对这样的威胁,北约的主要任务是保护自己的内部网络。

事实上,北约加强网络防御的努力近年从未停止。上世纪90年代末北约空袭科索沃期间,塞族黑客曾发动袭击,这给北约敲响警钟,此后北约对网络安全威胁的重视日益加强。2008年,北约在爱沙尼亚首都塔林设立网络防御中心。路透社称,北约2011年批准修订版网络防御政策和加强防御的行动计划。北约还将把网络防御纳入正常规划进程,让网络防御达到像战机等其他军事实力一样的地位。今年起,所有北约国家都将推出网络防御国家政策,建立网络防御国家主管机构,并形成针对网络攻击的即时响应能力。北约的重点是保护自身信息系统,而不会开发攻击实力。

“继遭到叛军袭击后,非洲岛国Boolea又爆发致命的霍乱疫情。地方当局很快被击倒。在国际联军和国际援助组织的帮助下,这个国家才没有崩溃。但致命打击接踵而至:国际联军和援助组织的电脑网络遭到袭击,反应能力大大削弱。国际联军抽调10名网络防御部队成员,命令他们在两天内击退网络进攻。危机当中,在俄罗斯军队位于波罗的海海岸的军营,一名发起网络袭击的男子离开控制室,与来访的西方外交官和军官擦肩而过……”美国《环球邮报》披露的这个“可怕剧情”实际上是北约网络防御中心今年4月的一个演习剧本,这场演习旨在考验北约网络部队的反应能力。

 

2 本周关注病毒

2.1 Backdoor.Win32.Fednu.rr(后门病毒)

警惕程度 ★★

该病毒伪装成游戏程序,引诱用户下载并运行。病毒运行后,借助游戏程序加载恶意dll文件,并在电脑安装后门程序。安装成功后,病毒会后台连接黑客指定地址,监控电脑桌面、键盘动作、网络通信情况和摄像头,并等待黑客的进一步命令。中毒电脑将面临隐私信息泄露、虚拟帐号网银账密被盗等威胁。

2.2 Trojan.Win32.Fednu.uok(木马病毒)

警惕程度 ★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.3 Trojan.Win32.Fednu.uoj(木马病毒)

警惕程度 ★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

 

3 安全漏洞公告

3.1 HP Data Protector远程代码执行漏洞

HP Data Protector远程代码执行漏洞

发布时间:

2013-06-03

信息来源:

BUGTRAQ ID: 60301
CVE(CAN) ID: CVE-2013-2326

漏洞描述:

HP Data Protector软件是企业环境中单个服务器自动备份和恢复的软件,支持磁盘存储或磁带存储目标。
HP Data Protector在实现上存在远程代码执行漏洞,可导致在受影响应用中执行任意代码。

安全建议:

HP已经为此发布了一个安全公告(HPSBMU02883)以及相应补丁:
HPSBMU02883:SSRT101227 rev.1 - HP Data Protector, Remote Increase of Privilege, Denial of Service (DoS), Execution of Arbitrary Code
链接:
http://h20565.www2.hp.com/portal/site/hpsc/template.PAGE/public/kb/docDisplay/?spf_p.tpst=kbDocDispl

3.2 IBM DB2/DB2 Connect Audit Facility 本地提权漏洞

IBM DB2/DB2 Connect Audit Facility 本地提权漏洞

发布时间:

2013-06-04

漏洞号:

BUGTRAQ ID: 60255
CVE(CAN) ID: CVE-2013-3475

漏洞描述:

IBM DB2是美国IBM公司的一套大型的商业关系数据库系统,面向电子商务、商业资讯、内容管理、客户关系管理等应用,可运行于AIX、HP-UX、Linux、Solaris、Windows等系统。
IBM DB2和DB2 Connect中存在本地提权漏洞。本地攻击者可以所有者级别的权限利用该漏洞获得DB2实例。以下产品受到影响:IBM DB2 Express Edition、IBM DB2 Workgroup Server Edition、IBM DB2 Enterprise Server Edition、IBM DB2 Advanced Enterprise Server Edition、IBM DB2 Connect Application Server Edition、IBM DB2 Connect Enterprise Edition、IBM DB2 Connect Unlimited Edition for System i、IBM DB2 Connect Unlimited Edition for System z。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www-306.ibm.com/software/data/db2/

3.3 MongoDB 空指针引用拒绝服务漏洞

MongoDB 空指针引用拒绝服务漏洞

发布时间:

2013-06-03

漏洞号:

BUGTRAQ ID: 60252
CVE(CAN) ID: CVE-2013-2132

漏洞描述:

MongoDB是美国10gen公司的一套由C++语言编写的NoSQL数据库。旨在为WEB应用提供可扩展的高性能数据存储解决方案。
MongoDB中存在拒绝服务漏洞。攻击者可利用该漏洞使受影响应用程序崩溃,拒绝服务合法用户。MongoDB 2.5.1版本中存在漏洞,其他版本也可能受到影响。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.mongodb.org/

3.4 Imperva SecureSphere Operations Manager 多个安全漏洞

Imperva SecureSphere Operations Manager 多个安全漏洞

发布时间:

2013-06-05

漏洞号:

BUGTRAQ ID: 60286

漏洞描述:

Imperva SecureSphere Operations Manager是美国Imperva公司的一套可改善使用多个MX管理服务器来管理SecureSphere部署的运营效率的多域管理解决方案。该解决方案通过整合多个SecureSphere MX管理服务器的管理、可视性和报告来满足企业和受管安全服务提供商的运营扩展性需求,并提供系统范围的健康状况指标和统计。Imperva SecureSphere Operations Manager中存在多个安全漏洞,包括:多个信息泄露漏洞,文件上传漏洞,远程命令执行漏洞。攻击者可利用这些漏洞在受影响计算机中上传任意文件,获得对敏感信息的访问权限,或在受影响应用程序上下文中执行任意命令,也可能存在其他形式的攻击。Imperva SecureSphere Operations Manager 9.0.0.5版本中存在漏洞,其他版本也可能受到影响。

安全建议:

目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.imperva.com/index.html

3.5 Lianja SQL Server 'db_netserver' 远程栈缓冲区溢出漏洞

Lianja SQL Server 'db_netserver' 远程栈缓冲区溢出漏洞

发布时间:

2013-05-22

漏洞号:

BUGTRAQ ID: 60242
CVE(CAN) ID: CVE-2013-3563

漏洞描述:

Lianja SQL Server是一个数据库服务器,可以存储数据并提供SQL服务。
Lianja SQL Server引发的db_netserver进程中存在栈缓冲区溢出,攻击者可利用此漏洞在受影响服务器上下文中执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.lianja.com/overview/lianja-sql-server