当前位置: 安全纵横 > 安全公告

一周安全动态(2013年8月15日-2013年8月22日)

来源:安恒信息 日期:2013-08

2013年8月第四周(8.15-8.22)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 国内盗网银,境外兑现金

近日,上海警方宣布“1·2”特大跨境网银盗窃案告破,在公安部指挥下,警方已抓获5名犯罪嫌疑人,并于周一从泰国曼谷押送回国,还追缴了部分涉案赃款300余万元。

去年年底,全国几十个省市均有人报案称,网上交易时被人利用木马程序窃走网银内所有的钱。犯罪分子通过为游戏账号充值的方法转移资金,因此本案引起了社会强烈关注。

警方发现,这起案件与一种专门针对网银U盾的木马程序有关。去年,作案人员雇人制作了一种木马程序,并通过设立钓鱼网站等方式,让木马广泛植入到各地的电脑中去。受害人在这些电脑上进行网上交易,就会触发木马,收款方的链接地址被篡改为游戏中的账号。该木马的另一个特点是,一旦触发,会一次性将受害人网银(银行卡)上的资金悉数卷走。

犯罪嫌疑人事先注册了大量游戏账号,获取资金后购买游戏里的点卡或虚拟资产(装备),再将装备折价倒卖给装备商换现金。之后,他们通过倒卖联通手机充值卡、利用其他网络游戏套现等方式先后4次转移资金,把钱换成泰铢,最终在泰国兑取现金。

1.2 国内黑客论坛已出现自动攻击已知Struts漏洞的工具

中国黑客现在正是用一个自动工具利用Apache Struts中的已知漏洞,目的是在用这个框架开发的用于托管应用的服务器上安装后门。

Apache Struts是一个非常常见的开源框架,可用于开发基于Java的Web应用,这个框架由Apache Softwware Foundation维护。

研究员透露,黑客现在正非常积极地利用这些漏洞。而研究员们在一个隐秘的中国论坛上发现了一款工具,此工具可针对有漏洞的Struts发起自动攻击。

这款工具利用以下Struts漏洞来损坏服务器:S2-016 (CNNVD-201307-308), 在7月16号发布的 Struts 2.3.15.1 中已得到修复; S2-013 (CNNVD-201305-493), 在5月22号发布的Struts 2.3.14.1 中已得到修复; S2-009 (CNNVD-201202-031), 在2012年1月的Struts 2.3.1.2 已被修复; 还有S2-005 (CNNVD-201008-173), 在2010年8月16号发布的Struts 2.2.1 中已被修复。

一旦有黑客用Struts工具进入了Linux或Windows服务器,他们可以执行预配置命令,这样就可以提取服务器操作系统,目录结构,活跃用户和网络配置的相关信息。

这款工具还可以让攻击者植入所谓的Web Shell充当后门,使他们可以持续访问服务器执行其他命令。该工具安装的Web Shell被称为JspWebShell,是用JavaServer Pages编码。功能更强大的Web Shell在黑客论坛上也是可以轻易获取的,黑客可以利用这些工具从已被侵入的服务器上搜寻并窃取信息。

Struts 2.3.15.1,目前是最安全的版本,此版本去除了若干有漏洞的特性,如“DefaultActionMapper类的redirect:”和“redirectAction:”前缀。Struts程序员警告称,升级到此版本或许会影响到一些依赖这些特性的应用,所以他们推荐用修补后的导航规则替换已被弃用的前缀。

1.3 新型Web劫持技术现身,专攻搜索引擎

近期,安全机构截获了一例利用script脚本进行Web劫持的攻击案例,在该案例中,黑客利用一批新闻页面重置了搜索引擎页面,并将搜索结果替换为自己制作的假页面,以达到恶意推广的目的。专家表示,这种Web劫持在国内尚属首例,同时也非常危险,用户稍不留神就可能进入黑客制作的钓鱼页面,从而被骗取钱财及隐私信息。因此,广大用户在上网时应随时保持警惕,一旦发现页面内容出现异常,应马上核对所在页面的网址,以免上当受骗。

这类新型Web劫持是利用script脚本实现的。在已知的案例中,黑客入侵了某地方门户网站,篡改了该网站的新闻页面,并向这些页面植入自己的广告、新闻及恶意代码。一旦用户从搜索结果页面点击进入被篡改过的新闻页面,script脚本就会用假页面置换原搜索结果页面。因为该黑客使用了与原搜索引擎极其相似的域名,并阻止浏览器的后退功能退回原页面,所以一般用户很难察觉自己打开的网站已经被调包了。

这种新型Web劫持非常危险,今后还有可能有更多网站遭遇劫持,其中搜索引擎、金融、电商以及票务等网站可能成为高危攻击目标。它能够悄无声息地替换用户打开的任意页面,在用户以为自己仍在浏览常用网站时,却落入了黑客的圈套,受害的用户将在毫不知情的情况下被套取钱财及个人隐私信息。因此,安全专家再次提醒广大用户,浏览网站时,页面出现任何不同寻常的变化都要警惕,同时仔细核对页面地址,以免遭受不必要的损失。

1.4 中国超过1600个网站遭土耳其黑客入侵

据统计,近段时间,土耳其黑客组织Turk Hack Team在网络上入侵了中国超过1600个网站,很多被入侵的网站上都放了如下一段话:

Hacked By Black-SpyWe Turks are people who, throughout our history, have been the very embodiment of freedom and independence.As a result of turkhackteam's protest operations against the Chinese repression in east Turkestan!

被入侵的网站中,其中政府、医院、学校居多,被黑客入侵的站点列表如下:

http://pastebin.com/Jz327S43

我们搜索了下关于Turk Hack Team的信息,发现该组织每次黑站都是成百上千的黑,比如在7月份的时候,就公布了入侵了大约430个网站,大多数都是由ID为Black-Spy的同学所为。随后不久,由公布了大约入侵了220个网站,可以点击这里查看

1.5 《卫报》被迫销毁斯诺登机密资料

在英国官员监督下销毁硬盘

拉斯布里杰在《卫报》官网发表一篇文章说,英国情报机构政府通信总部两名“安全官员”某日到访《卫报》伦敦办公室,并在地下室监督他销毁存储机密资料的电脑硬盘。

拉斯布里杰暗示事件发生在之前大约一个月内,但没有说明具体时间。《卫报》发言人根纳季·科尔克拒绝进一步回应。
文章写道,政府先前发出威胁,称如果不销毁或将资料转交当局,将起诉《卫报》。一名官员一个月前劝告拉斯布里杰:“你们已经得到乐趣,现在我们希望要回资料。”

销毁资料前,拉斯布里杰告诉官员,如果顺从政府,将不能履行新闻工作职责,而一名官员回答,《卫报》已经达到激发议论的目的,无需更多报道。

拉斯布里杰说,《卫报》根据斯诺登提供的资料发布报道后不久,一名高级政府官员同他接触,称首相戴维·卡梅伦要求返还或销毁斯诺登的资料。随后一些官员纷纷与他会面,敦促《卫报》落实。最后一次,两名安全官员威胁将诉诸法律,拉斯布里杰随后带他们进入地下室并销毁资料。

他说,因持续数周的压力达到顶点而销毁资料,销毁过程是《卫报》历史上“最匪夷所思的时刻之一”。

卡梅伦的发言人拒绝回应拉斯布里杰的说法。

暗示其他地方掌握资料副本

拉斯布里杰说,资料销毁不会阻止《卫报》继续从事相关报道,暗示其他地方掌握资料副本,可能在境外继续揭秘。

尽管硬盘在伦敦销毁,拉斯布里杰告知官员,由于记者间的“全球合作”,媒体组织可能“利用最宽松的法律环境”报道,《卫报》无需从伦敦报道。

一名熟悉事件的消息人士说,这意味着《卫报》可能在英国政府权限外报道。

《卫报》是斯诺登主要泄密渠道,最早有关美国“棱镜”监视项目以及英国相关活动的报道由美籍记者、专栏作家格伦·格林沃尔德撰写。英国警方18日拘押格林沃尔德的同性伴侣戴维·米兰达,没收其携带的笔记本电脑和手机等设备。拉斯布里杰说,没收不会影响格林沃尔德的工作。

拉斯布里杰说,“(政府)间谍”发展迅速,不久以后,记者将不可能掌握机密消息。

1.6 日本举办黑客大赛比拼网络攻击技能 数名警察参赛

据日本媒体8月23日报道,日本国内最大规模的黑客大赛“SECCON 2013”8月22日在神奈川县横浜市鸣金开锣。该比赛由东京的非营利机构(NPO)“日本网络安全协会”主办,并获得了日本总务省和警察厅的支持。主办方称:“近两年针对日本政府部门和企业的网络攻击越发频繁,网络诈骗活动猖獗。在此背景下,该项比赛是就保护信息不受网络攻击的技术展开竞争的比赛,旨在提高技术人员能力及培养人才。”

不过,尽管组织方声称要培养精通应对网络攻击的“正义黑客”,但从比赛内容来看,参赛者比拼的确是网络攻击技术。比赛规则是:参赛者对服务器实际发起攻击,比拼入侵成功的速度和技术。名列前茅者将晋级决赛。

关东地区的预赛时间为2天,第一天进行电脑解析技术及网站安全相关问题的问答,选拔出40名晋级者。第2天的比赛难度提高,根据解答数量及速度等评分,筛选出10名以下出线者。

横浜预赛之后,还将在日本全国9个地区陆续进行预赛,持续至12月。明年1月还将举行网上预赛。预赛出线者参加的日本全国大赛将于明年3月举行。

截至去年,该项比赛一直分学生组及社会人士组分别进行比赛。今年为了吸引更多的参赛者,首次对参赛者不设职业和年龄限制。担任网络犯罪应对工作的警察厅员工也将以个人身份参加。主办方预测参赛者有可能超过400人,而明年春季的全国大赛参赛者将超过90人。

1.7 社交网络成受黑客攻击重灾区

据报道,随着社交媒体在人们生活中作用的迅速提升,网络黑客已经利用电脑技术开发并出售虚假用户评价,比如“好评”(likes)和“追随者”(followers)。而Facebook、照片分享应用Instagram、Twitter、谷歌(微博)YouTube、职业社交网站 LinkedIn以及其他热门社交网站都不幸成为黑客制造僵尸粉的重点攻击对象。

网络安全专家表示,最近一款名为Zeus的专门盗取信用卡数据的电脑木马病毒已经变体成能够制造虚假Instagram“好评”的僵尸病毒。

在互联网黑客论坛上,这些僵尸粉被打包成每份1000个进行出售,黑客还在论坛上兜售信用卡账号和从用户个人电脑上窃取来的其他信息。根据RSA的统计,在黑客论坛上,1000个Instagram虚假“追随者”售价为15美元,而1000个Instagram虚假“好评”的售价则高达30美元。与此形成鲜明对比的是,1000个信用卡账号的售价则低至6美元。虚假社交媒体账户比真实的信用卡账号更值钱,这似乎有些不可思议。但互联网营销专家则表示,出于自身原因或业务需要,有些人愿意在互联网上投资以便制造轰动效应,比如让一款新产品看起来颇受消费者欢迎。

数据分析师维克多·潘(Victor Pan)指出:“人们认识到了趋势的重要性。这就是所谓的‘从众效应’(bandwagon effect)”。

Facebook在去年斥资10亿美元收购了Instagram,并表示该公司正在对Instagram的安全系统进行升级。Instagram的新闻发言人迈克尔·科克兰德(Michael Kirkland)也表示,Instagram将拥有与Facebook同等级别的安全系统。Facebook的全球用户已经接近12亿,而Instagram的活跃用户也接近1.3亿。他还指出:“我们一直在努力减少服务中包含的垃圾邮件,并禁止通过非授权或自动方式新建用户账户。”他还鼓励用户通过Facebook网站和应用里的链接报告可疑的网络行为。

长期追踪网络犯罪行为的专业人士指出,变体后的Zeus病毒是截至目前发现的第一款专门在社交网络上制造僵尸粉的恶意软件。使用自动软件程序制造虚假“好评”成为黑客普遍采用的方式。变体后的Zeus病毒可以通过中央服务器控制受感染电脑,迫使电脑向具体用户发送“好评”。根据RSA的调查,经过精心设计的Zeus病毒还可以介入其它网络活动或下载其它类型的恶意软件。

目前,变体后的病毒已经开始把攻击目标锁定在Instagram。这进一步突显出社交媒体在市场营销过程中不断上升的重要性,而黑客也在不断提升利用这种趋势进行牟利的复杂性。

专家们同时指出,操纵社交网络的行为很难自动消失。创建虚假社交媒体账户的目的比制造僵尸粉更加邪恶,比如窃取用户的身份信息。

加州大学伯克利分校的电脑安全专家克里斯·格里尔(Chris Grier)指出:“这些虚假账户仅仅是接触终端用户的一种途径而已。网络罪犯总是希望借此来牟利。”格里尔领导的团队已经花费了一年时间来调查Twitter上的虚假账户情况。

 

2 本周关注病毒

2.1 Trojan.Win32.Fednu.upm(木马病毒)

警惕程度 ★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.2 Backdoor.Win32.Hupigon.cs(后门病毒)

警惕程度 ★★

该病毒通过网络传播,病毒会偷窃用户隐私信息,还可能远程控制用户计算机,给用户计算机安全带来极大危害。

2.3 Backdoor.Win32.ldr.a(后门病毒)

警惕程度 ★★★

该病毒将自身图标修改成图片图标,引诱用户点击。病毒运行后,释放一张图片迷惑用户,同时病毒还将释放update.dll文件,对病毒加载的动态库进行解密。一旦病毒完成解密,将立刻连接黑客指定服务器,接收并执行黑客发送的指令。届时用户电脑将沦为黑客的肉鸡,同时还将面临隐私信息泄露、网银账密被窃等威胁。

 

3 安全漏洞公告

3.1 HP Service Manager身份验证绕过漏洞

HP Service Manager身份验证绕过漏洞

发布时间:

2013-08-15

漏洞编号:

BUGTRAQ ID: 61789
CVE(CAN) ID: CVE-2013-4808

漏洞描述:

HP Service Manager是ITSM的核心软件。
HP Service Manager v9.31, v9.30, v9.21, v7.11存在允许未经身份验证访问和权限提升漏洞,攻击者可利用此漏洞在未经身份验证的情况下访问受影响应用并以提升的权限执行未授权操作。

安全建议:

HP已经为此发布了一个安全公告(HPSBMU02915)以及相应补丁:
HPSBMU02915:HP Service Manager, Remote Unauthenticated Access and Elevation of Privilege
链接:
https://h20564.www2.hp.com/portal/site/hpsc/public/kb/ docDisplay?docId=emr_na-c03888320
补丁下载:

SM 9.31P2 Server platform
Patch URL

Windows Server 9.31.2004 p2
http://support.openview.hp.com/selfsolve/document/FID/DOCUMENTUM_HPSM_00423
HP Itanium Server 9.31.2004 p2
http://support.openview.hp.com/selfsolve/document/FID/DOCUMENTUM_HPSM_00420

Linux Server 9.31.2004 p2
http://support.openview.hp.com/selfsolve/document/FID/DOCUMENTUM_HPSM_00421

Solaris Server 9.31.2004 p2
http://support.openview.hp.com/selfsolve/document/FID/DOCUMENTUM_HPSM_00422

AIX Server 9.31.2004 p2
http://support.openview.hp.com/selfsolve/document/FID/DOCUMENTUM_HPSM_00419

SM 9.31P2 Web Tier
Patch URL

Web Tier 9.31.2004 p2
http://support.openview.hp.com/selfsolve/document/FID/DOCUMENTUM_HPSM_00424

SM 9.30P5 Server platform
Patch URL

Windows Server 9.30.511 p5
http://support.openview.hp.com/selfsolve/document/FID/DOCUMENTUM_HPSM_00351

HP Itanium Server 9.30.511 p5
http://support.openview.hp.com/selfsolve/document/FID/DOCUMENTUM_HPSM_00348

Linux Server 9.30.511 p5
http://support.openview.hp.com/selfsolve/document/FID/DOCUMENTUM_HPSM_00349

Solaris Server 9.30.511 p5
http://support.openview.hp.com/selfsolve/document/FID/DOCUMENTUM_HPSM_00350

AIX Server 9.30.511 p5
http://support.openview.hp.com/selfsolve/document/FID/DOCUMENTUM_HPSM_00347

SM 9.30P5 Web Tier
Patch URL

Web Tier 9.30.511 p5
http://support.openview.hp.com/selfsolve/document/FID/DOCUMENTUM_HPSM_00352

SM 9.30AP3 Applications
Patch URL

Applications 9.30 ap3
http://support.openview.hp.com/selfsolve/document/FID/DOCUMENTUM_HPSM_00367

SM 9.21P7 Server platform
Patch URL

Windows Server 9.21.624 p7
http://support.openview.hp.com/selfsolve/document/FID/DOCUMENTUM_HPSM_00434

HP Itanium Server 9.21.624 p7
http://support.openview.hp.com/selfsolve/document/FID/DOCUMENTUM_HPSM_00430

HP Parisc Server 9.21.624 p7
http://support.openview.hp.com/selfsolve/document/FID/DOCUMENTUM_HPSM_00431

Linux Server 9.21.624 p7
http://support.openview.hp.com/selfsolve/document/FID/DOCUMENTUM_HPSM_00432

Solaris Server 9.21.624 p7
http://support.openview.hp.com/selfsolve/document/FID/DOCUMENTUM_HPSM_00433

AIX Server 9.21.624 p7
http://support.openview.hp.com/selfsolve/document/FID/DOCUMENTUM_HPSM_00429

SM 9.21P7 Web Tier
Patch URL

Web Tier 9.21.624 p7
http://support.openview.hp.com/selfsolve/document/FID/DOCUMENTUM_HPSM_00435

SM 9.21AP3 Applications
Patch URL

Applications 9.21 ap3
http://support.openview.hp.com/selfsolve/document/FID/DOCUMENTUM_HPSM_00393

SM 7.11P20 Server platform
Patch URL

Windows Server 7.11.604 p20
http://support.openview.hp.com/selfsolve/document/FID/DOCUMENTUM_HPSM_00408

HP Itanium Server 7.11.604 p20
http://support.openview.hp.com/selfsolve/document/FID/DOCUMENTUM_HPSM_00404

HP Parisc Server 7.11.604 p20
http://support.openview.hp.com/selfsolve/document/FID/DOCUMENTUM_HPSM_00405

Linux Server 7.11.604 p20
http://support.openview.hp.com/selfsolve/document/FID/DOCUMENTUM_HPSM_00406

Solaris Server 7.11.604 p20
http://support.openview.hp.com/selfsolve/document/FID/DOCUMENTUM_HPSM_00407

AIX Server 7.11.604 p20
http://support.openview.hp.com/selfsolve/document/FID/DOCUMENTUM_HPSM_00403

SM 7.11P20 Web Tier
Patch URL

Web Tier 7.11.604 p20
http://support.openview.hp.com/selfsolve/document/FID/DOCUMENTUM_HPSM_00409

SM 7.11AP3 Applications
Patch URL

Applications 7.11 ap3
http://support.openview.hp.com/selfsolve/document/FID/DOCUMENTUM_HPSM_00383

SC6.2.8.12 Server platform
Patch URL

Aix Server 6.2.8.12
http://support.openview.hp.com/selfsolve/document/LID/HPSC_00263

HP Itanium Server 6.2.8.12
http://support.openview.hp.com/selfsolve/document/LID/HPSC_00264

HP parisc Server 6.2.8.12
http://support.openview.hp.com/selfsolve/document/LID/HPSC_00265

Linux Server 6.2.8.12
http://support.openview.hp.com/selfsolve/document/LID/HPSC_00266

Solaris Server 6.2.8.12
http://support.openview.hp.com/selfsolve/document/LID/HPSC_00267

Windows Server 6.2.8.12
http://support.openview.hp.com/selfsolve/document/LID/HPSC_00268

SC6.2.8.12 Web Tier
Patch URL

Web Tier 6.2.8.12
http://support.openview.hp.com/selfsolve/document/LID/HPSC_00269

3.2 Juniper Junos Space 多个漏洞

Juniper Junos Space 多个漏洞

发布时间:

2013-08-15

漏洞编号:

CVE(CAN) ID:
CVE-2011-3368,CVE-2011-4317,CVE-2012-0053,CVE-2013-5095,CVE-2013-5096,CVE-2013-5097

漏洞描述:

Junos Space 是一款开放式、可扩展的网络应用平台,用于托管应用,以降低成本和复杂性,并为网络带来新的商机。
Juniper Junos Space 11.1, 11.2, 11.3, 11.3, 12.1, 12.2, 12.3受到多个漏洞的影响,这些漏洞可导致某些敏感信息的泄露,绕过某些安全限制措施,执行跨站脚本攻击等。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://kb.juniper.net/InfoCenter

3.3 Open-Xchange Server信息泄露漏洞

Open-Xchange Server信息泄露漏洞

发布时间:

2013-08-16

漏洞编号:

BUGTRAQ ID: 61814
CVE(CAN) ID: CVE-2013-5035

漏洞描述:

Open-Xchange Server是部分开源的项目,主要开发协同软件,例如电子邮件、日历等。
Open-Xchange Server 7.2.2存在竞争条件导致的信息泄露漏洞,远程攻击者可利用此漏洞获取敏感信息。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.open-xchange.com/home.html

3.4 DotNetNuke 开放重定向和HTML注入漏洞

DotNetNuke 开放重定向和HTML注入漏洞

发布时间:

2013-08-16

漏洞编号:

BUGTRAQ ID: 61809
CVE(CAN) ID: CVE-2013-3943

漏洞描述:

DotNetNuke 是免费的开源内容管理系统。
DotNetNuke 6.2.9、7.1.1存在开放重定向和HTML注入漏洞,攻击者可利用这些漏洞执行任意脚本或HTML代码,执行未授权操作。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.dotnetnuke.com/

3.5 IBM 1754 GCM16及GCM32 Global Console Managers多个命令执行漏洞

IBM 1754 GCM16及GCM32 Global Console Managers多个命令执行漏洞

发布时间:

2013-08-16

漏洞编号:

BUGTRAQ ID: 61816
CVE(CAN) ID: CVE-2013-0526

漏洞描述:

IBM 1754 GCM 系列在单一设备中提供了经由 IP 的 KVM 和串行控制台管理技术。
IBM 1754 GCM16 Global Console Manager 1.18.0.22011、IBM 1754 GCM32 Global Console Manager 1.18.0.22011存在多个命令执行漏洞,成功利用这些漏洞后可导致攻击者用root权限执行任意命令。此漏洞源于webapp变量没有被正确过滤。ping.php里的$count及$size参数允许创建特制的URL,注入文本到exec(),在嵌入KVM的Linux上执行任意命令。

安全建议:

IBM已经为此发布了一个安全公告(MIGR-5093509)以及相应补丁:
MIGR-5093509:IBM GCM16 KVM Switch Remote Command Execution (CVE-2013-0526)
链接:
http://www-947.ibm.com/support/entry/portal/docdisplay?lndocid=MIGR-5093509