当前位置: 安全纵横 > 安全公告

一周安全动态(2013年6月27日-2013年7月04日)

来源:安恒信息 日期:2013-07

2013年7月第一周(6.27-7.04)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 研究人员将在Blackhat 2013上讲解如何30秒破解SSL

Salesforce和Square工程师Angelo Prado和Neal Harris将在Blackhat USA 2013上发表《SSL,30秒破解-超越CRIME》的议题。他们将演示一个工具,在不破坏用户通信的基础上,通过旁信道漏洞在30秒内获取SSL中的全部信息,包括会话标识、CSRF和OAuth令牌以及ViewState隐藏值。如上所述,具体的攻击实现方法将在今年的Black Hat会议上讲解。

Angelo Prado说:

“这是一个非常强大的工具,如果你了解工具的利用条件并且清楚你的攻击目标,你可以在不被受害者发现的情况下(不会有任何证书报错信息)破解SSL。”

如Prado所述,Salesforce和Square所做的一切建立在不久之前研究人员Juliano Rizzo和Thai Duong披的CRIME(Compression Ratio Info-leak Made Easy )漏洞基础之上。

“当你在设计安全协议时,你可以实现正确的加密。但你不能够总是保持完全的机密性。当很多协议堆栈时,就可能在栈的某些层出现漏洞,从而破坏整个信任体系。”

1.2 欧盟通过新规:将提高网络犯罪活动处罚力度

欧盟立法者7月4日同意加强整个欧盟内部针对网络攻击活动的刑事处罚措施,尤其是对国家基础设施造成损害以及劫持电脑以窃取敏感数据的网络攻击活动。就目前而言,欧盟28个成员国对网络犯罪活动的处罚措施各不相同。根据欧盟立法者一致达成的决定,对于试图非法存取信息系统的犯罪分子来说,各国的最高刑罚为入狱至少两年。而对于针对电厂、交通设施或政府网络等基础设施发起的网络攻击活动,最高刑罚为入狱至少五年,高于大多数欧盟成员国目前的刑罚。

另外,欧盟立法者还决定提高针对拦截通信或生产及出售相关工具等网络犯罪活动的处罚力度。网络犯罪分子经常都会用含有恶意链接和附件的流氓电子邮件感染电脑,并利用电脑病毒感染合法网站,从而组建所谓的“僵尸网络”大军。有些“僵尸网络”创造者会在黑市上向其他网络犯罪分子出租或出售受感染的电脑,这些犯罪分子会从事一系列广泛的违法活动,如窃取信用卡和攻击政府网站等。

今年6月,微软帮助攻破了全球最大的“僵尸网络”之一,这个网络据称已从银行账户中窃取了5亿多美元的资金。

根据新的欧盟规则,得益于“僵尸网络”或聘用黑客窃取秘密的公司将需为代表它们所从事的任何犯罪行为负责。这项新规则是由欧盟委员会提出的,欧洲议会以541票赞成、91票反对和9票弃权的投票结果通过了该提议。但是,丹麦已选择不受这项新规则的约束,将继续保留自己的处罚体系。

1.3 《华盛顿邮报》曝“棱镜”细节 微软首个参与

据科技博客AllThingsD的报道,据美国科技博客AllThingsD报道,《华盛顿邮报》日前通过幻灯片的形式披露了美国国家安全局(NSA)“棱镜”秘密窃听项目的细节,而在参与该项目的科技公司达到了9家,其中微软是首个参与“棱镜”项目的公司。

一个月前,前NSA雇员爱德华·斯诺登(Edward Snowden)通过媒体披露了美国政府的“棱镜”秘密监控项目,而《华盛顿邮报》则在新幻灯片中对“棱镜”项目的内部运作机制进行了深度剖析,其中涉及一名NSA分析师向一家特殊公司征询信息的细节,包括“棱镜”项目的数据库中的活跃监督目标的数量,以及各大互联网公司参与“棱镜”项目的日期。

幻灯片的内容显示,微软是首家参与“棱镜”项目的公司,参与日期为2007年9月,而在随后的几年里,Facebook、谷歌和雅虎等公司也相继参与该项目。

“棱镜”项目被曝光之后,在国际社会掀起轩然大波,各大科技公司都竞相发表声明表示他们的做法只是为了响应政府对特定用户信息的合理要求,希望以此来抚慰民众。

由于难以向民众证实自己的清白,Facebook、谷歌和微软等公司都要求政府提升该项目的信息透明度,允许他们公布政府曾向其征求用户数据的更多细节。

1.4 地球村已无处可藏 “黑客沙皇”掌控“窃听帝国”

基思·亚历山大在出席国会听证会时回答议员质询,为“棱镜门”辩护

近来,美国国家安全局局长兼网络司令部司令基思·亚历山大上将频频露面,在各种场合为最近饱受指责的秘密网络监视项目辩护,竭力渲染此类项目对美国国家安全的重要性。其实,作为主管美国军队乃至国家网络安全的“黑客沙皇”,亚历山大并不喜欢出风头,如果不是一个名叫爱德华·斯诺登的小人物揭了美国军方和情报机构利用网络监视全球活动的“冰山一角”,他才不会主动抛头露面呢!

“地球村”已无处可藏

按照斯诺登所公开的美国国家安全局实施“棱镜”计划的内幕,美国政府乃至军方通过公权力,促使千余家信息企业与之合作,构筑起一张能够截获地球上几乎所有通信数据的监视网。据已公开的信息,美国国家安全局要求电信巨头威瑞森公司必须每天上交数百万用户的通话记录。而且,至少从2007年开始,包括微软、雅虎、谷歌、Facebook、美国在线、Skype、You Tube、苹果等在内的9家著名美国网络公司,都成为“棱镜”项目的合作者,而这远不是全部真相。美国彭博新闻社称,上千家科技、金融和制造业公司正与美国国家安全部门合作,向其提供敏感信息,同时获得机密情报。

如果身在美国,个人隐私被“棱镜”窃取,这很好理解,然而,“棱镜”如何窥视其他国家人们的隐私呢?其实,在信息化高度发达的时代,地球已经变成“地球村”,只要你使用电脑、手机等信息化设备,就不可避免地与外界建立联系,从而变成全球网络的一部分。分析人士指出,美国之所以能建立起如此庞大的监控系统,除了技术上先进、舍得砸钱之外,一个得天独厚的优势在于,大部分网络通信都会经过美国。

事实上,电子邮件和各种信息在网络上传播时,并不总是选择最直接的路径,而是由服务商选择最便宜的路径。由于美国的网络基础设施发达,通信成本低,许多服务商会通过在美国“借道”的方式降低成本。也就是说,尽管两个通信方均与美国没有任何关联,通信地点也远离美国,但他们的通信内容却有可能在美国中转。这样美国的“棱镜”自然便能轻松地进行偷窥和窃听。另外,信息传输离不开交换机、芯片、系统软件等设备,而大部分主流软硬件厂商均是美国企业。据美国媒体披露,许多美国的软硬件厂商、互联网和电信公司等都自愿向美国情报机构提供额外数据。

情报官爱搞“透明秀”

现年62岁的基思·亚历山大,1951年12月2日生于纽约州锡拉丘兹市,1974年毕业于西点军校。他曾计划只服役5年,却因为喜欢自己在驻德美军服役时所做的工作而欲罢不能——他当时的工作就是通过无线电系统“紧盯”附近华约国家的一举一动。回国后,他担任了一系列级别越来越高的情报职位,并在海湾战争期间出任美军驻沙特高级情报官。在这段时间里,他还相继获得电子战、物理学、商学和国家安全研究等专业的四个硕士学位。

2005年,在担任两年陆军首席情报官后,基思·亚历山大奉命接任国家安全局局长一职。在这个职位上,他继续负责管理一项“9·11”事件后启动的未授权的监视计划,该计划绕开了负责授权在国内展开窃听的联邦法院。在他的领导下,美国国家安全局经历了其历史上最繁忙的时期——从帮助发现本·拉登藏匿场所的手机通话跟踪,到唤起全国范围对网络安全的关注。

2010年5月21日,美国国防部宣布启动网络司令部,由基思·亚历山大担任网络司令部司令。至此,身兼两职的基思·亚历山大不仅能通过国家安全局“偷窥”人们的网上行为,还主管美军网络黑客部队,拥有军事进攻能力,真正成了掌控“窃听帝国”的“黑客沙皇”。

更具争议的是美国国家安全局耗资20亿美元在犹他州建造数据中心一事,这项工程激起了人们对于该局庞大窃听能力的担忧。该数据中心建筑规模比美国国会大厦大四倍,堪称“无底洞”的数据库足够存储海量电子信息,任何人的电子邮件、手机通话簿、银行账户、网络活动、谷歌搜索记录乃至停车费收据、出行路线甚至网购清单,都会被它一网打尽。一位了解该项目内情的情报官员透露,这个数据中心绝非普通的数据库,在政府以百亿美元计的庞大投资支持下,“每一个进行通讯往来的人,都是潜在目标”。

有趣的是,尽管基思·亚历山大长期主持“不透明”秘密情报工作,但他却一直试图让国家安全局“看起来比较透明”。为此,他辗转美国各地进行演讲和参加电视访谈节目,大谈网络安全。他喜欢在演讲中插入一些小笑话来调节气氛,有一次他用调侃的语气把自己的迟到归咎于市区路灯受到黑客袭击。曾任联邦调查局助理执行局长的肖恩·亨利说,基思·亚历山大最大的长处就是能与各种各样的听众套近乎。

“网络偷袭”早已展开

“棱镜门”事件发生后,基思·亚历山大及时前往国会作证,竭力用“正能量”来形容诸如“棱镜”一类互联网和电话监视项目对美国安全的重要性,并声称秘密监视活动协助安全部门防范了数十起恐怖事件。

实际上,美国收集网络情报的范围和规模早已超出华盛顿所宣扬的“反恐”范畴,而是基于一种病态的“一切皆敌”思维,以近乎鲸吞的方式对所有国家,所有人实施“信息监控”。更重要的是,这种监控从一开始就带有浓重的军事色彩。由基思·亚历山大兼管的美军网络司令部从属于美国战略司令部,是典型的美军二级司令部,具备和其他地区司令部一样的统筹指挥美军各方面力量的权限,其主要任务是保护美军内部的网络系统安全,并对攻击他国网络的能力加以整合。

由于美国对互联网的管理处于“独霸”地位,掌握着制定规则和系统运行最核心的东西。涉及网络战争的核心器材(如电子器件、高端芯片、基础软件产品)和核心技术也在很大程度上掌握在美国人手里。美国在网络战方面拥有明显的不对称优势。另外,据美国防务专家乔尔·哈丁透露,美军各部队中从事网络战的专门人员已达8.87万人,规模相当于几个师的编制。

普遍认为,网络战可分为“有限秘密行动”、“局限于网络的战争”和“使用网络战支援常规战争”等三个级别。目前被曝光的美国对其他国家的秘密网络监控就是一种“有限秘密行动”,也即是说,美国早已发动针对他国的“网络偷袭”,并已持续数年之久。虽然美国近几年来一直渲染“敌国网络威胁”,但根据不断被揭露出来的事实可以发现这只是“贼喊捉贼”的障眼法。

1.5 2012中国互联网网络安全报告 用户信息成黑客窃取重点

黑客活动日趋频繁,网站后门、网络钓鱼、移动互联网恶意程序呈大幅增长态势……7月4日发布的《2012年中国互联网网络安全报告》显示,虽然我国互联网网络安全状况保持平稳状态,但国家、企业的网络信息系统安全仍然面临严峻挑战。其中,网络用户个人信息已经成为黑客窃取的重点。

7月4日,国家计算机网络应急技术处理协调中心发布了《2012年中国互联网网络安全报告》。

报告显示,2012年,我国未发生重大网络安全事件。然而,针对我国网络基础设施的探测、渗透和攻击事件时有发生,虽尚未造成严重危害,但高水平、有组织的网络攻击给网络基础设施安全保障带来严峻挑战。

5000万条用户信息被售卖

2012年,网站被植入后门等隐蔽性攻击事件呈增长态势,网站用户信息成为黑客窃取的重点。

据监测,2012年,我国境内被篡改网站数量为16388个,其中政府网站有1802个,较2011年分别增长6.1%和21.4%;被暗中植入后门的网站有52324个,其中政府网站有3016个,较2011年月均分别大幅增长213.7%和93.1%。

此外,据不完全统计,2012年有50余个我国网站用户信息数据库在互联网上公开流传或通过地下黑色产业链进行售卖,其中已证实确为真实信息的数据近5000万条。

同时,由于网民习惯在不同网站使用同样的账号和密码,受2011年年底发生的CSDN、天涯社区等网站信息泄露事件影响,2012年又有多个电商网站和论坛被披露由此导致用户个人信息泄露。网站安全尤其是网站中用户个人信息和数据的安全,仍然面临严重威胁。

窃取经济利益成为黑客攻击主要目标之一

2012年,网络钓鱼日渐猖獗,严重影响在线金融服务和电子商务的发展,危害公众利益。由于互联网用户通过网络开展的经济活动持续增多,在线销售和支付总额增长迅速,窃取经济利益成为黑客实施网络攻击的主要目标之一。

2012年,国家计算机网络应急技术处理协调中心监测发现,针对我国境内网站的钓鱼页面有22308个,涉及IP地址2576个;接收到网络钓鱼类事件举报9463起,较2011年大幅增长73.3%。

这些钓鱼网站中,仿冒网上银行的约占54.8%,进行虚假抽奖或中奖活动、虚假新奇特或低价物品销售活动的约占44.7%。钓鱼网站的主要目的是骗取用户的银行账号、密码等网上交易所需信息。

2012年,仅国家计算机网络应急技术处理协调中心监测发现被黑客骗取的用户银行卡信息就达1.8万条。

Android平台成恶意程序重灾区

2012年,我国移动用户数量稳步增长,新增智能设备数量跃居世界首位,应用程序商店下载量快速增长。同时,移动互联网恶意程序也在快速繁衍和扩散,危害用户隐私安全,或造成垃圾短信泛滥,给感染用户造成话费损失等。

2012年,监测到和网络安全企业通报的移动互联网恶意程序样本有162981个,较2011年增长25倍,其中约有82.5%的样本针对Android平台。Android平台已成为恶意程序的重灾区,这主要是缘于Android平台的用户数量快速增长和Android平台的开放性。

按照恶意程序的行为属性统计,恶意扣费类的恶意程序数量仍居第一位,占39.8%,流氓行为类占27.7%,资费消耗类占11.0%,分列第二、三位。

境外攻击威胁严重

2012年,抽样监测发现,境外约有7.3万个木马或僵尸网络控制服务器控制我国境内1419.7万余台主机,较2011年分别增长56.9%和59.6%。

其中,位于美国的12891个控制服务器(占境外控制服务器的17.6%)控制我国境内1051.2万余台主机(占受境外控制的境内主机的74.0%),控制服务器数量和所控制的我国境内主机数量均居首位。

这些受控主机因被黑客远程操控,一方面会导致用户计算机上存储的信息被窃取,另一方面则可能成为黑客借以向他人发动攻击的跳板。

在网站后门攻击方面,境外有3.2万台主机通过植入后门对境内3.8万个网站实施远程控制。其中,位于美国的7370台主机控制着境内10037个网站,居第一。

在网络钓鱼攻击方面,针对我国的钓鱼站点有96.2%位于境外,其中位于美国的2062台主机承载18230个针对境内网站的钓鱼页面。位于美国的钓鱼站点数量在全部位于境外的钓鱼站点中占比高达83.2%,位居第一。”

 

2 本周关注病毒

2.1 Trojan.Win32.Fednu.upd(木马病毒)

警惕程度 ★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.2 Backdoor.Win32.Yjdg.a(后门病毒)

警惕程度 ★★

该病毒通过多层次注入和代码变换,躲避杀毒软件的查杀,通过创建虚拟桌面,并多次切换桌面,阻碍反病毒调试。中毒电脑将后台连接黑客指定服务器,并上传本机信息到控制端。用户将面临隐私信息泄露、网银账密被盗等危险,同时电脑还极有可能沦为黑客袭击他人的工具。

2.3 Dropper.Win32.NineDay.a(‘九天’后门病毒)

警惕程度 ★★★★★

该病毒被捆绑在恶意Word文件中,病毒运行后修改注册表,以实现开机自启动。同时,病毒将释放五个病毒程序,分别盗取用户的网银帐密以及浏览器中存储的各类电子帐号信息。除此之外,病毒还将后台连接黑客制定地址,进一步等待黑客发出的指令。用户电脑一旦中毒,将面临网银、微博、电子邮件等帐号被盗,电脑沦为黑客肉鸡等威胁。

 

3 安全漏洞公告

3.1 phpMyAdmin view_create.php 跨站脚本漏洞

phpMyAdmin view_create.php 跨站脚本漏洞

发布时间:

2013-07-04

漏洞编号:

CVE(CAN) ID: CVE-2013-3742

漏洞描述:

phpmyadmin是MySQL数据库的在线管理工具,主要功能包括在线创建数据表、运行SQL语句、搜索查询数据以及导入导出数据等。
phpMyAdmin 4.x之前版本的view_create.php存在跨站脚本漏洞,可使经过身份验证的远程攻击者通过无效的SQL CREATE VIEW语句,语句的名称是特制的,用于触发错误消息,然后利用此漏洞注入任意Web脚本或HTML。

安全建议:

phpMyAdmin已经为此发布了一个安全公告(PMASA-2013-6.php)以及相应补丁:
PMASA-2013-6.php:PMASA-2013-6
链接:
http://www.phpmyadmin.net/home_page/security/PMASA-2013-6.php


补丁下载:
https://github.com/phpmyadmin/phpmyadmin/commit/
9b3551601ce714adb5e3f428476052f0ec6093bf

3.2 Symantec Security Information Manager跨站脚本和HTML注入漏洞

Symantec Security Information Manager跨站脚本和HTML注入漏洞

发布时间:

2013-07-01

漏洞编号:

BUGTRAQ ID: 60797
CVE(CAN) ID: CVE-2013-1614

漏洞描述:

Symantec Security Information Manager是实时安全信息监控和事件管理解决方案。
Symantec Security Information Manager 4.8.1之前版本管理控制台没有有效过滤授权客户端输入和应用输出,存在跨站脚本漏洞,利用此漏洞可使经过身份验证的攻击者窃取用户cookie或劫持授权用户会话。

安全建议:

Symantec已经为此发布了一个安全公告(SYM13-006)以及相应补丁:
SYM13-006:Security Advisories Relating to Symantec Products - Symantec Security Information Manager Console Security Issues
链接:
http://www.symantec.com/security_response/securityupdates/
detail.jsp?fid=security_advisory&pvid=secu

3.3 HP多个产品信息泄露和代码执行漏洞

HP多个产品信息泄露和代码执行漏洞

发布时间:

2013-07-02

漏洞编号:

BUGTRAQ ID: 60882
CVE(CAN) ID: CVE-2013-2341CVE-2013-2340

受影响系统:

3Com Switch 3COM Switch 4800G Family
3Com Switch 3Com Switch 4200 Family
3Com Switch 3Com H3C S5100 Series Switches
3Com Switch 3Com H3C S3600 Series Switches
3Com Switch 3Com H3C S3100 Series Switches
H3C Switches H3C S9500E Core Routing Switch
H3C Switches H3C S7500E Series Switches
H3C Switches H3C S5800 Series Switches
H3C Switches H3C S5600 Series Switches
H3C Switches H3C S5500-SI Series Switches
H3C Switches H3C S5500-EI Series Switches
H3C Switches H3C S5120-SI Series Switches
H3C Switches H3C S5120-EI Series Switches
H3C Switches H3C S12500 Series Switches
H3C Routers SR8800 Series Routers
H3C Routers H3C MSR 900 Series Routers
H3C Routers H3C MSR 50 Series Routers
H3C Routers H3C MSR 30 Series Routers
H3C Routers H3C MSR 20 Series Routers
HP Switch HP MSR900 Series
HP Switch HP MSR50 Series
HP Switch HP MSR30 Series
HP Switch HP MSR20 Series
HP Switch HP Firewall Series
HP Switch HP 9500 Switch Series
HP Switch HP 8800 Switch Series
HP Switch HP 7500 Switch Series
HP Switch HP 6125G/XG Ethernet Blade Swi
HP Switch HP 5800 Switch Series
HP Switch HP 5500 SI Switch Series
HP Switch HP 5500 HI Switch Series
HP Switch HP 5500 EI Switch Series
HP Switch HP 5120 SI Switch Series
HP Switch HP 5120 EI Switch Series
HP Switch HP 4800G Switch Series
HP Switch HP 4500G Switch Series
HP Switch HP 4210G Switch Series
HP Switch HP 4210 Switch Series
HP Switch HP 4200G Switch Series
HP Switch HP 3610 Switch Series
HP Switch HP 3600 SI Switch Series
HP Switch HP 3600 EI Switch Series
HP Switch HP 3100 SI Switch Series
HP Switch HP 3100 EI Switch Series
HP Switch HP 1910 Switch Series
HP Switch HP 12500 Switch Series
HP Switch HP 10500 Switch Series
HP Switch
3Com 5000 Router Series

漏洞描述:

惠普(HP)是面向个人用户、大中小型企业和研究机构的全球技术解决方案提供商。惠普(HP)提供的产品涵盖了IT基础设施,个人计算及接入设备,全球服务,面向个人消费者、大中小型企业的打印和成像等领域。
多个HP产品存在安全漏洞,可导致泄露敏感信息以及控制受影响设备。

安全建议:

HP已经为此发布了一个安全公告(HPSBHF02888)以及相应补丁:
HPSBHF02888:HP ProCurve, H3C, 3COM Routers and Switches, Remote Information Disclosure and Code Execution
链接:
https://h20564.www2.hp.com/portal/site/hpsc/public/kb/ docDisplay?docId=emr_na-c03808969

3.4 Cisco Prime for HCS Assurance信息泄露漏洞

Cisco Prime for HCS Assurance信息泄露漏洞

发布时间:

2013-07-01

漏洞编号:

BUGTRAQ ID: 60875
CVE(CAN) ID: CVE-2013-1777

漏洞描述:

Apache Geronimo 是一个轻量级J2EE应用服务器。
Apache Geronimo 3.0, 3.0 Beta 1, 3.0 M1存在安全绕过漏洞,RMI类加载器配置错误可使攻击者通过JMX发送序列化的对象破坏应用,从而绕过安全限制执行未授权操作。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://geronimo.apache.org/

3.5 Cisco Web Security Appliance Web框架任意命令执行漏洞

Cisco Web Security Appliance Web框架任意命令执行漏洞

发布时间:

2013-06-27

漏洞编号:

CVE(CAN) ID: CVE-2013-3384

漏洞描述:

Cisco Web Security Appliance是安全的Web网关,在一个平台上集成了恶意软件防护、应用可视化控制、策略控制等。Cisco IronPort AsyncOS是电子邮件安全设备。
Cisco Web Security Appliance设备上的IronPort AsyncOS在Web框架的实现上,以及Content Security Management Appliance设备和Email Security Appliance设备存在安全漏洞,经过身份验证的远程用户通过IPv4发送的URL特制命令行,利用此漏洞可执行任意命令。

安全建议:

Cisco已经为此发布了一个安全公告(cisco-sa-20130626-wsa)以及相应补丁:
cisco-sa-20130626-wsa:Multiple Vulnerabilities in Cisco Web Security Appliance
链接:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130626-wsa