当前位置: 安全纵横 > 安全公告

一周安全动态(2013年7月18日-2013年7月25日)

来源:安恒信息 日期:2013-07

2013年7月第四周(7.18-7.25)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 工信部内部调研棱镜门 或加速信息系统国产化

当新闻还在关心斯诺登人在何方之时,国内信息安全的问题再次被提升日程。据一些国内IT企业相关人士透露,工信部等部门已就此事召开座谈会了解情况,这或将影响到国内信息系统市场的国产化进程。虽然相关部委还没有做出一些具体的要求,但在近年内数次信息安全的事件中,这是最重视的一次。

业内人士透露,信息系统采购有年限的规律,这次事件可能不会导致很快的改进,但有可能加速相关技术国产化、增加规范甚至立法对行业的约束。

棱镜门计划披露巨大安全隐患

英国《卫报》和美国《华盛顿邮报》2013年6月6日报道,美国国家安全局和联邦调查局于2007年启动了一个代号为“棱镜”的秘密监控项目,直接进入美国网际网路公司的中心服务器里挖掘数据、收集情报,包括微软、雅虎、谷歌、苹果等在内的9家国际网络巨头皆参与其中。

虽然此事发生在美国,但中国相关部门都开始了调查。据了解,此事工信部和负责安全的一些部门快速做出了响应,通过一些行业的座谈会讨论做技术探讨了解情况。

即使在美国,各个公司开始陆续否认此事,国内也没有相关证据认定国内数据遭到泄露,但影响依然空前。

重灾区是网络设备、服务器和存储等,这些信息设备是棱镜门事件中的最先受到重视的产品。

在行业上,金融、政府、军工等核心领域都开始重视此事。除了厂商感受到的触动外,最新的一些采购都有一些敏感。

信息安全危机敲响警钟

此事出台后各界一片哗然。中国工程院院士、曙光公司董事长李国杰上周在一次公开露面上针对此事额外做了30多分钟的主题报告。

李国杰表示,对信息系统的可控是国家安全的重大隐患,而现阶段在这个国外企业主导的市场,需要建立严格的审查机制和市场准入制度,而政府应该对国产厂商自主可控的信息系统加大支持力度。

工程院院士倪光南也建议,要从根本上提升中国网络空间的防护能力,一个关键的举措就是提升自助可控的国产软硬件和服务占有率。

中国国家网络信息安全技术研究所所长杜跃进则认为,现在主要操作系统和芯片、数据库、路由器等核心技术都在美国手中,信息安全威胁不容小视。

还有专家认为,在于国家利益相关的数据流动中,一定要有相关的法律作保障,这对及时立法有要求。

短期内格局难改 长期来说利好国产厂商

呼声就能马上改变信息系统国产化的速度?国内网络设备商锐捷网络产品和解决方案市场部总经理杨红飞透露,由于信息系统设备采购有固定的周期,短期内影响不会非常明显。但长期来看,这次事件无疑利好国产厂商。

以网络设备为例,去年F5、安奈特等多个国外设备商因后门问题遭到封杀,棱镜门事件中泄密矛头也直指网络设备。

网络设备国内年规模在五百亿左右的规模,不少外资品牌的占有率在一半以上,虽然短期看呼声很难一夜间转化为国产化的速度,但从不少行业的国产化进程来看,国产网络设备厂商会迎来一个难得的发展机遇。

锐捷网络副总裁刘弘瑜表示:“国内厂商生产的设备,无论是技术、质量还是价格,基本可以替代国外的产品,甚至是替代国外的高端产品。”

不只是网络设备,包括服务器、存储都是重点领域。IBM、思科、EMC等国外企业在国内市场也将面临挑战。有传闻称,最近国内金融行业正在实行去“IOE”策略(IBM,Oracle,EMC),准备在三到五年内逐步淘汰这些国外厂商的产品和服务。

而长期看来,要对信息系统做到安全可控,国家相关部门就要对使用的信息系统产品做底层的了解和备份,比如操作系统厂商需要提供一部分源代码,而硬件厂商需要向有关部门提供必要的核心技术。但在目前的市场中,国外厂商很少做到了充足的备份,要实现安全,加大国内厂商的扶持相当必要。

曙光公司总裁历军认为:“在绝大多数情况下,中国企业的产品已经完全可以满足中国社会经济发展的需要了,华为交换机卖到全球,曙光的超级计算机全球排在前列了。”

长期看来,国内政府、金融、安全、企业的采购中,国产设备权重将有所增加。

信息安全问题短期难彻底解决

从技术上来说,由于技术全球化,国产化并不能彻底断绝信息安全问题的隐患,而提升国内行业整体技术水平才是根本解决办法。

目前在大量的技术交流下,配件和各单位的组件均来自全球,无论国内厂商还是国外厂商,很多设备都是拼接而成,加上美国等国家技术有着不小的领先优势,信息系统采购以国外品牌为主并不意外。

也有人士认为,国内厂商一部分产品还没有足够成熟,如果盲目以国产化解决这个问题可能会到导致信息系统性能上出现问题。但另一方面,技术本身需要根据市场需求不断改进,有策略地支持国内厂商才会根本上提升行业技术,最终解决信息安全的问题。

1.2 美特工潜入中国重要目标人物家中装间谍软件

“当美国国家安全局不能进入你的电脑,这些人(中情局特工)就闯入你的家中。”据美国《外交政策》日前报道,美国中情局实施“黑袋”行动,破门而入以人工方式入侵美国国家安全局难以遥控攻击的电脑,完成“棱镜”项目和其他电子窃听不能完成的工作。过去10年间,“黑袋”行动已经在东亚(特别是中国)、中东、南亚展开。

美国政府的监听项目自曝光以来一直受到世人的关注,然而外界批评声音不断并没有阻止美国继续实行这个计划。一项到期的电话监控项目,最近获得了美国一家秘密情报法庭的再次批准。根据这项秘密法令,美国电信巨头韦里孙公司被要求每天向美国政府提交数亿份电话记录,用于搜索国外恐怖分子和间谍。

“黑袋”小组 神不知鬼不觉闯入家中

美国中情局在实施“黑袋”行动中,“黑袋”小组往往是神不知鬼不觉地闯入目标家中,不留痕迹地在对方电脑上安装间谍软件,在电话上安装窃听器,甚至攻击数据交换中心、或者拷贝备份文件和硬盘。

过去10年间,经过专门训练的中情局特工已经实施了100多次这种行动,其目标范围甚广,既包括外国政府和军队的通信和电脑系统、也指向跨国公司的电脑网络、以及与恐怖组织有染的个人。从地区来看,这种行动已经在东亚(特别是中国)、中东、南亚展开。

美国情报消息人士称,中情局近10余年来的“黑袋”行动收获颇丰,使得美国国家安全局得以进入世界许多重要目标,特别是“中国和东亚其他国家,以及中东、近东和南亚”。例如,美国驻中东国家的每个大使馆基本都设有信号监听站,一天24小时监控使馆周围方圆100英里内的所有电子通讯。目前这种信号监听方式的最大的问题是在美国与伊朗和朝鲜没有外交关系,没有大使馆,无法以这种方式进行监听。

“黑箱”手段 可以轻易获取电话记录

在南亚一个冲突不断的国家,中情局在一个交换中心的光纤电缆上安装窃听设备,使得美国国家情报局在过去数年来一直实时监听该国军方高官高度机密的通讯。

9·11袭击后,中情局开发了一系列能够迅速破解电脑密码,突破商用电脑安全软件以及克隆手机的所谓的“黑箱”。在世界许多国家,特别是发展中国家,中情局特工现在可以轻易地获取电话数据记录,诸如所有长途或国际电话的细节。

中情局为美国国家安全局开展“黑袋”行动,后者也投桃报李,为中情局无人机在巴基斯坦、也门和其他地区的轰炸提供信号支持。

监控项目 授权到期再度续上

今年6月,美国情报部门承包商前雇员爱德华·斯诺登向外界披露了美国两个秘密监控项目的细节,其中包括主要监视网络活动的“棱镜”监控项目,另一项,就是涉及韦里孙等公司的通讯监控项目。这个通讯监控项目由美国外国情报监视法庭批准,已经实施多年,韦里孙等公司向美国政府提供了大量用户的通话号码和时长。

不过这个项目的法令必须得到美国秘密情报法庭的批准,每次获得批准后,只有三个月的授权。最近的一次项目授权,原定于本月19日到期。目前美国国家情报办公室主任克拉珀已经证实,美国政府大规模收集电话通讯资料的项目再次得到了秘密情报法庭的授权。据了解,其他美国电信公司也接到过,将客户电话记录交给美国国家安全局的类似指令。

美国政府对电话记录监控的项目曝光以后,引发了外界的广泛质疑和极大的愤怒。而此次法令再次获得批准,表明奥巴马政府以及秘密情报法庭的11名联邦法官,都支持继续实施该法令,无意停止监控项目。

1.3 Ubuntu论坛,纳斯达克交易所网站遭黑客入侵

7月21日消息,Ubuntu官方论坛发布维护公告,由于遭到黑客攻击,论坛用户的用户、密码、邮箱地址全被窃取,超过182万注册用户受影响。

虽说密码并非明文存储的,但Ubuntu论坛还是强烈建议用户修改电子邮箱等服务中所使用的密码,特别是那些密码和Ubuntu论坛相同的服务。

差不多同时,纳斯达克交易所网站论坛美国当地时间上周二遭遇黑客袭击,造成大批用户邮箱账户和密码等信息被窃取,具体遭泄密用户人数不详。

在周二遭遇袭击之后,纳斯达克网站论坛一度被关停,直至周四才重新开放。纳斯达克发言人约瑟夫·克里斯蒂奈特(Joseph Christinat)表示,无法确定黑客窃取了多少用户的信息。他同时警告用户,一定要及时更改论坛密码,如果其他账户的密码与论坛密码相同,也要进行更换。

周四,在证券产业和金融市场联合会的组织下,华尔街金融公司、证券交易所、证券监管部门三方联合举办了一场名为“量子开端2”(Quantum Dawn 2)的黑客入侵紧急应对演戏。

《路透社》称,纳斯达克论坛遭遇黑客袭击的时机十分有意思,因为不久之前有媒体发布了一份统计报告,该报告显示,去年全球一半证券交易都遭到了黑客的监视或袭击。

此次并非纳斯达克第一次遭遇黑客袭击。2010年,纳斯达克交易所计算机网络遭黑客入侵,网络被植入了监视上市公司高管的软件。

1.4 部分SIM卡被曝存安全漏洞:7.5亿部手机受牵连

7月22日消息,据国外媒体报道,一安全研究人员发现部分移动SIM卡所使用的加密方式存在一个安全漏洞,可能会导致手机被黑客远程控制。该漏洞涉及使用DES数据加密标准的SIM卡——DES是一种较旧的标准,目前正被部分厂商逐步淘汰,但仍有数亿张SIM卡使用。

德国安全研究公司Security Research Labs创始人卡斯滕·诺尔(Karsten Nohl)发现,向手机发送假冒的运营商信息,促使25%的DES SIM卡自动回复暴露它们的56位安全密钥的信息。有了该安全密钥,诺尔能够通过短信向SIM卡发送病毒。该病毒可让他假冒机主,拦截短信,甚至进行运营商支付。《纽约时报》援引诺尔的话称,用普通的PC采取整个行动大约需要两分钟。

在过去的两年里,诺尔在北美和欧洲约1000张SIM卡上对其方法进行了测试。DES为全球约30亿张移动SIM卡所使用,诺尔估计其中7.5亿张容易受到攻击。很多运营商都在使用采用更加强劲的三重DES加密方法的SIM卡,这种卡不易受到诺尔的上述攻击。DES则正逐步被淘汰,以利于高级加密标准(AES)的推行。

诺尔已经向全球移动通信协会(GSMA)披露上述漏洞。GSMA也已向所涉的SIM卡厂商和其它公司发出通知,这些公司均在分析寻找解决该漏洞的最佳方案。诺尔将在8月1日的Black Hat安全大会上详述他的攻击方法。他还计划在12月发布一份详细介绍各家移动运营商SIM卡安全性的“比较表”。

1.5 Blackhat2013黑帽大会:五款值得一看的黑客工具

2013年的黑帽大会将于7月27日到8月1日期间在拉斯维加斯召开。在即将到来的2013黑帽安全大会上,安全研究者们将会介绍一些黑客工具。

这些工具可以解决的问题从恶意软件分析到漏洞查找利用不等。但是其中只有少数工具可以帮助安全专家们做钓鱼攻击的培训,在没有电子表或重量级监控风险服从的情况下管理日常风险活动或是帮助企业获得更多优势。这些工具将会在今年的黑帽大会上亮相。下面是五款值得一看的黑客工具。

1. Ice-Hole

Ice-Hole是一款新型钓鱼培训工具,安全分析师和系统管理员可利用这款工具测试用户和日程表钓鱼邮件。当用户点击到用于训练的钓鱼邮件时,该工具可进行追踪。如果追踪的链接被用户点击,那么用户会被导向一个训练页面。它会注册训练所用的IP地址,邮件和钓鱼模板。这款工具由DarrenManners创建,作为SyCom科技公司的渗透测试骨干,他认为,第三方开源工具可以增强Ice-Hole的功能。

2. HyperText Access Exploit

HyperText Access Exploit是一款开源工具,可用于绕开限制,并在Web应用服务器上寻找额外的漏洞。它会利用。htaccess文件(可通过验证进程保护Web目录的配置文件)的弱点。该工具会列出受保护目录的内容。此工具由MatiasKatz和Maximilliano Soler共同开发,前者是MkitArgentina渗透测试员及创立者,后者是一家国际银行的安全分析师。

3.Smartphone Pentest Framework

Smartphone Pentest Framework是利用Defense Advanced Research Projects Agency的Cyber FastTrack专款开发的工具。这款开源工具旨在让渗透测试员对所在环境中的设备执行远程或社工攻击来掌握智能手机的安全态势。该工具由Bulb
Security CEO Georgia Weidman制作,且已经得到扩展,可以支持其他的攻击技巧和其他第三方渗透工具。

4. SocialKlepto

企业借助SocialKlepto可以用虚拟社交账号,自动化的公共数据库搜索和数据分析监控竞争对手的社交活动,从而收集对方的商业情报。这款工具套在2013年度的RSA大会上首次亮相过,当时是由梭子鱼网络公司的JasonDing推荐的。此系统可帮助企业创造诱饵或是虚假的LinkedIn账户或是欺骗性质的Facebook账户,目的是监控竞争对手的社交关系。

Ding还将介绍如何防止窃听的方法,包括为管理LinkedIn隐私设置而新创建的Chrome插件。

5. SimpleRisk

SimpleRisk是一款开源工具,它可以帮助安全专家们管控存在风险的管理行为。适合那些没钱购买监控,风险和服从软件的公司使用。它可以取代那些常被用于组织数据和做风险决策的电子表格。SimpleRisk向用户呈现了一个风险管理控制面板,上面显示了系统,团队和安全技术的状态以及正在进行中的风险化解项目。一个开放风险的屏幕会按照安全策略和其他要素对风险进行分类。这款工具由安全研究员JoshSokol制作,他是National Instruments信息安全项目的所有者。

 

2 本周关注病毒

2.1 Trojan.Win32.FakeSoft.a(木马病毒)

警惕程度 ★★

病毒运行后,通过使用正常软件的数字签名,规避杀毒软件的查杀。同时修改注册表,实现开机自启动,并连接黑客指定服务器,上传用户系统信息,同时等待黑客的进一步指令。

2.2 Trojan.Win32.VBCode.fvo(木马病毒)

警惕程度 ★★

病毒获得运行后,首先会关闭网络共享和Windows防火墙,导致电脑变得十分脆弱,很容易被黑客和木马入侵。随后病毒访问黑客指定网址下载大量流氓软件。病毒完成这些操作,用户看不到任何通知,随后,病毒进行自删除,整个过程十分隐蔽。除此以外,病毒具有很强的修改空间,病毒作者只要稍作修改,病毒的危害性便大大增加,比如更改网址指向其他的病毒木马。

2.3 Dropper.Win32.NineDay.a(后门病毒)

警惕程度 ★★

该病毒运行后修改注册表,以实现开机自启动,并释放多个病毒程序,盗取用户的网银帐密以及浏览器中存储的各类电子帐号信息。同时,病毒还将后台连接黑客制定地址,进一步等待黑客发出的指令。用户电脑一旦中毒,将面临网银、微博、电子邮件等帐号被盗,电脑沦为黑客肉鸡等威胁。

 

3 安全漏洞公告

3.1 Dell OpenManage Server Administrator 'file'参数开放重定向漏洞

Dell OpenManage Server Administrator 'file'参数开放重定向漏洞

发布时间:

2013-07-22

漏洞编号:

BUGTRAQ ID: 61383
CVE(CAN) ID: CVE-2013-0740

漏洞描述:

Dell OpenManage Server Administrator (OMSA)可帮助管理员有效地管理他们的服务器。
Dell OpenManage Server Administrator 7.2.0存在开放重定向漏洞,此漏洞源于/HelpViewer 的"file" GET参数没有被正确过滤即用于重定向用户,当用户点击特制链接时,会被转向到可信域内存储的受影响脚本。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.dell.com/learn/us/en/555/solutions/openmanage-server-administrator

3.2 Cisco Unified Operations Manager SQL注入漏洞

Cisco Unified Operations Manager SQL注入漏洞

发布时间:

2013-07-19

漏洞编号:

BUGTRAQ ID: 61380
CVE(CAN) ID: CVE-2013-3437

漏洞描述:

Cisco Unified Operations Manager 是思科统一通信管理套件的一个组成部分,为整个思科统一通信系统提供了实时的服务状态视图,可显示每个组件的当前运行状态。Cisco Unified Operations Manager 8.6存在SQL注入漏洞,此漏洞源于传递到管理应用的某些输入没有被正确过滤即被用在SQL查询中,通过注入任意SQL代码,攻击者可执行未授权操作。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.cisco.com/go/psirt

3.3 Dell packetTrap PSA多个HTML注入漏洞

Dell packetTrap PSA多个HTML注入漏洞

发布时间:

2013-07-18

漏洞编号:

BUGTRAQ ID: 61318

漏洞描述:

Dell packetTrap PSA是IT管理和网络监控软件。
Dell packetTrap PSA 7.1存在多个HTML注入漏洞,成功利用后可使攻击者提供的HTML和脚本代码运行在受影响浏览器上下文中,执行未授权数据库操作。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.dell.com/support/drivers/us/en/

3.4 Sybase EAServer多个安全漏洞

Sybase EAServer多个安全漏洞

发布时间:

2013-07-19

漏洞编号:

BUGTRAQ ID: 61358

漏洞描述:

Sybase EAServer是高性能、可伸缩、安全、开放的应用服务器,适用于适用多层架构的电子门户和互联商务解决方案。
Sybase EAServer 6.3.1及更早版本存在目录遍历、XML外部实体注入、命令执行等多个安全漏洞,成功利用后可允许攻击者在受影响计算机上下载和上传任意文件,获取敏感信息并以当前用户权限执行任意命令。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.sybase.com/support

3.5 HP System Management Homepage 远程拒绝服务漏洞

HP System Management Homepage 远程拒绝服务漏洞

发布时间:

2013-07-18

漏洞编号:

BUGTRAQ ID: 61332
CVE(CAN) ID: CVE-2013-2357

漏洞描述:

HP System Management Homepage (HP SMH) 是一个基于 Web 的界面,可整合和简化对运行 HP-UX、Linux 和 Microsoft Windows 操作系统的 HP 服务器的单系统管理过程。
HP System Management Homepage 7.2.1 (for Linux and Windows)存在远程拒绝服务漏洞,利用此漏洞远程攻击者可以触发拒绝服务攻击。

安全建议:

HP已经为此发布了一个安全公告(HPSBMU02900)以及相应补丁:
HPSBMU02900:HP System Management Homepage (SMH) running on Linux and Windows, Multiple Remote and Local Vulnerabilities
链接:
https://h20564.www2.hp.com/portal/site/hpsc/public/kb/ docDisplay?docId=emr_na-c03839862