当前位置: 安全纵横 > 安全公告

一周安全动态(2013年8月22日-2013年8月29日)

来源:安恒信息 日期:2013-08

2013年8月第五周(8.22-8.29)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 国家.cn根域名服务器遭遇有史最大的DDOS攻击

25日凌晨,“.CN”域名经历“惊魂一夜”,多家网站及新浪微博客户端无法登录。中国互联网络信息中心(CNNIC)新浪认证微博25日10时30分许确认了这一情况。

据了解,“.CN”域名是中国国家注册的顶级域名,由中国互联网络信息中心(CNNIC)负责管理,面向普通个人开放申请。受影响较大的包括新浪微博客户端,和一批以“.CN”为域名的网站。

25日上午,中国互联网络信息中心新浪认证微博称,8月25日凌晨零时许,国家域名解析节点受到拒绝服务攻击,经中心处置,至2时许服务器恢复正常。但凌晨4时许,国家域名解析节点再次受到有史以来最大规模的拒绝服务攻击,部分网站解析受到影响,导致访问缓慢或中断。

经研判,初步认为攻击系利用僵尸网络向.cn顶级域名系统持续发起大量针对某游戏私服网站域名的查询请求,峰值流量较平常激增近1000倍,造成互联网出口带宽短期内严重拥塞。工信部要求采取综合措施确保系统正常运行。

中文域名运营黄道科技的首席执行官庄振宏说,根域名服务器是互联网域名解析系统中最高级别的域名服务器,全球仅有13台根服务器,多数集中在美国。而每一台根域名服务器有一组解析服务器。“在全球范围内,针对服务器的攻击已经发生多次。从这次事件来看,黑客的攻击能力正在提升。

1.2 24岁黑客因叫卖美国能源部超级计算机账户被捕

一位24岁的黑客将面临18个月的牢狱之灾,不久前他在销售美国能源部超级计算机的账户时被FBI钓鱼执法了。
根据法庭文件,Miller声称能进入多家企业的系统,包括美国运通、Adobe、Google等,他通过键盘记录器入侵这些企业的员工电脑并窃取他们的账号密码。

Miller靠这挣了不少钱,直到有便衣FBI探员通过内线联系上了他。Miller试图销售能源部自然能源研究科学计算中心的两台超级计算机的根权限,要价5万美元。

据Miller交代,他是通过入侵一所日本大学的网络获得了必要的登录凭证。

1.3 Google巴勒斯坦网站被黑

日前,谷歌公司在巴勒斯坦的Google网站遭到了黑客的袭击。黑客在页面下方提交了以下留言:uncle google we say hi from palestine to remember you that the country in google map not called israel. its called Palestine。

今年早些时候,谷歌更新了其在巴勒斯坦的搜索引擎,将原先的"Palestinian Territories(巴勒斯坦领土)"改成了"Palestine(巴勒斯坦)"。据悉,谷歌这是为了响应联合国授予巴勒斯坦非会员观察国的举动。

谷歌一位发言人对这次黑客事件进行了说明:“当用户访问google.ps之后,他们会被直接带到另外一个不同的网站。谷歌提供的google.ps域名并没有遭到攻击。我们正在跟负责该域名管理的组织取得联系,这样我们就可以帮助解决这一问题。”

1.4 Twitter和纽约时报被黑真相 DNS服务商被钓鱼

近日Twitter和《纽约时报》官方网站被黑客恶意攻击致服务中断的起因已被找到——此两家公司共同使用的DNS服务商MelbourneIT昨日收到 了一封发自叙利亚电子战军队的钓鱼邮件,而该邮件成功骗取到MelbourneIT旗下某位经销商的登录信息,于是黑客有机会串改上述两个网站的服务器指 向IP。

《洛杉矶时报》周三早晨最先揭露了上述消息,但网络服务商Cloudflare随后公布了更为详细的内情。据悉,《纽约时报》公司在受到攻击后曾恳请谷歌、Cloudflare以及OpenDNS等公司予以帮助。

Cloudflare表示,黑客在MelbourneIT服务器上串改的IP指向地址很快地被上传到了更高级的域名服务器上,即NYTimes.com的顶级域名注册商Verisign的服务器。随后,这迅速导致了大规模的服务中断现象。较为奇怪的是,MelbourneIT本身无法修复错误IP地址的问题,于是抢修团队不得不从数个连接MelbourneIT和Verisign的顶级服务器中逐个进行修复。

此次攻击显然是一个不祥的预兆,因为MelbourneIT曾以提供最安全可靠的企业级DNS服务而称著,因此获得了包括《纽约时报》等大企业的信赖。正如Cloudflare所指出的,“此次攻击是令人毛骨悚然的。”。如果MelbourneIT都可以轻易被钓鱼的方式攻击,那么任何基于DNS的服务都将成为易攻击目标,这也包括了电子邮件传送等。MelbourneIT对此提出建议,在未来更多使用不常被启用的“注册加锁”服务。该服务能防止已注册DNS信息被自动更新。但服务商们通常不愿意使用该功能,因为这会导致后期大量繁重的后勤工作。不过经历此次事件后,DNS服务商或许会重新评估这一问题。

1.5 纳斯达克遭黑色3小时:一条数据专线引发的血案

继A股光大“8?16”事件后,《每日经济新闻》记者获悉,上周四(8月22日),纳斯达克数千档交易同时暂停3个多小时,包括苹果、谷歌等超过3000家美国上市公司无法交易,出现了世纪大停摆,开创了美股乌龙事件的又一个里程碑。纳斯达克交易所在给交易员的通知中表示,问题出在一条数据传输专线上,这条专线负责提供纳斯达克挂牌证券的市场数据。

科技研发公司Gartner的尼尔?麦当劳称,从社交网络到高频交易,目前都通过私人网络来传输巨量数据,企业级数据有了爆炸式增长,已经超出正常人类的理解范畴,如果一次失控,就会发生上述事故。

数千只股票暂停交易

美国时间上周四下午12时14分3秒,纳斯达克证券交易突然中断,瞬间造成大部分美国股市陷入瘫痪,直至下午3点,第一只股票才恢复交易。

这起事故造成的冲击前所未有,导致在纳斯达克上市的数千只股票、交易所交易基金(ETF)和期权报价皆暂停更新,诸如黑池(BLACKPOOL)及其他电子交易所也被迫暂停了纳斯达克挂牌证券的交易。

一时间,华尔街银行的客户慌乱一团,这起事故可以与2010年道琼斯(15010.51, 46.77, 0.31%)“闪电崩盘”相提并论。当时一家交易公司的程序出错,直接令道琼斯工业指数暴跌近千点,多家上市公司受到冲击。

纳斯达克交易所承载着美国最繁重的交易任务。据BATSGlobalMarkets的数据显示,8月以来,纳斯达克挂牌股票的成交量占美国股市总成交量的接近三成。截至上周五收盘,纳斯达克综合指数上涨0.52%,至3657.79点。

纳斯达克交易所在给交易员的通知中称,问题出在一条数据传输专线上,这条专线负责提供纳斯达克挂牌证券的市场数据。稍晚时间,纳斯达克OMX集团声明称,其为美国市场提供纳斯达克上市股票相关信息的数据供应系统,与一家交易所参与者发生了连接方面的问题。

机构驾驭数据能力待加强

《华尔街日报》援引知情人士称,纽约泛欧交易所集团(NYSEEuronext)旗下的Arca市场,就是上述声明中的匿名交易所。

纽约泛欧交易所官网显示,在Arca市场挂牌的均是高增长型企业,一旦这些公司符合条件,将无缝地转至纽交所主板市场。

然而问题是,交易所与交易所之间的连接怎么会轻易出现问题?为华尔街提供风险可视化技术的CAST软件数据专家LevLesokhin表示,“无论是骑士资本的交易故障,高盛上周的乌龙指或者纳斯达克停摆,它们都有一个共同点,即交易系统作出了令人难以预测的指令,而系统本身并没有处理复杂环境的能力。”

Lesokhin解释称,高盛或者纳斯达克的交易系统都包含了巨量数据,且有多个成员(交易所)可以对这些数据产生巨大影响。假设成员A计划更新一个公司报价,但成员B反应快了点,整个系统就可能崩溃。拿纳斯达克事件为例,其系统升级了数次,意味着系统可能很老了,但对接的Arca市场系统非常新,当两者开始连接时,就可能发生难以预料的结果。

近期,从A股市场光大“8?16”事件到纳斯达克停摆等一系列交易故障,凸显出了机构驾驭数据的不确定性。尼尔?麦当劳称,“现在企业级数据有了爆炸式增长,而设计用于支撑这类大数据的系统之复杂,已经超出正常人类的理解范畴,它们同时也可能以超出预期的方式崩溃。”

从社交网络到高频交易,目前都通过私人网络来传输巨量数据,如股票交易所等,会对公共互联网和相关连接网络施加巨大压力。麦当劳表示,“很多高频交易算法是超出正常人理解的,其每秒可以交易上万次,但如果失败一次就会失控,这就会看到纳斯达克停摆事件。”

 

2 本周关注病毒

2.1 Trojan.Agent.gco(木马病毒)

警惕程度 ★★

该病毒通过U盘,局域网,DLL劫持多种常用软件,感染压缩包格式的文件等手段传播;并利用不同手段关闭不同的杀毒软件。病毒具有一个生成器,可以随意定制下载地址和功能。

2.2 Trojan.Win32.Generic.144EE02D(木马病毒)

警惕程度 ★★

该病毒规避安全软件的查杀,当安装程序加载恶意DLL后,病毒将远程连接黑客指定服务器,下载并运行后门病毒,等待黑客发出指令。同时,该病毒还将修改注册表,实现开机自启动,并将本地数据上传至黑客指定地址,中毒电脑将面临隐私信息泄露等一系列问题。

2.3 Trojan.DL.Win32.MyDown.cmg(木马病毒)

警惕程度 ★★★★

病毒运行后尝试关闭杀毒软件进程,关闭windows自带防火墙,修改windows系统注册表,实现开机自启动,并使电脑无法进入安全模式。同时,该病毒将尝试后台连接98个黑客指定网址,下载大量病毒,用户电脑一旦中毒,将面临网银被盗、隐私信息泄露等风险。

 

3 安全漏洞公告

3.1 Spring Framework多个XML实体引用信息泄露漏洞

Spring Framework多个XML实体引用信息泄露漏洞

发布时间:

2013-08-27

漏洞编号:

CVE(CAN) ID: CVE-2013-4152

漏洞描述:

Spring Framework是一个开源的Java/Java EE全功能栈(full-stack)的应用程序框架,以Apache许可证形式发布,也有.NET平台上的移植版本。
Spring Framework 3.0.0-3.2.3处理包含外部实体引用的特制XML数据时出错,可被远程攻击者利用泄露某些本地文件的内容。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://support.springsource.com/security/

3.2 Spring Framework多个XML外部实体注入漏洞

Spring Framework多个XML外部实体注入漏洞

发布时间:

2013-08-22

漏洞编号:

BUGTRAQ ID: 61951
CVE(CAN) ID: CVE-2013-4152

漏洞描述:

Spring Framework是一个开源的Java/Java EE全功能栈(full-stack)的应用程序框架, 以Apache许可证形式发布,也有.NET平台上的移植版本。
Spring OXM 3.0.0-3.2.3、4.0.0.M1,Spring MVC 3.0.0-3.2.3、4.0.0.M1、4.0.0.M2存在多个XML外部实体注入漏洞,攻击者可利用这些漏洞获取敏感信息。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://support.springsource.com/security/cve-2012-1833

3.3 Apache HBase RPC身份验证中间人安全措施绕过漏洞

Apache HBase RPC身份验证中间人安全措施绕过漏洞

发布时间:

2013-08-23

漏洞编号:

BUGTRAQ ID: 61984
CVE(CAN) ID: CVE-2013-2192

漏洞描述:

HBase是一个分布式、版本化、构建在Apache Hadoop和Apache ZooKeeper上的列数据库。
HBase 2.x、0.23.x、1.x版本在实现上存在安全绕过漏洞,从客户端到Region服务器的RPC流量可能会被具有任务运行权限的恶意用户及集群容器截获。Apache HBase RPC协议用来提供客户端和服务器之间的双向身份验证。但是恶意服务器或网络攻击者可以单方面禁用这些身份验证检查。这可导致绕过RPC流量保护机制。如果通过RPC传递身份验证凭证,也可导致权限提升。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.apache.org/dyn/closer.cgi/hbase/

3.4 多个VMware产品本地权限提升漏洞

多个VMware产品本地权限提升漏洞

发布时间:

2013-08-22

漏洞编号:

BUGTRAQ ID: 61966
CVE(CAN) ID: CVE-2013-1662

漏洞描述:

VMWare是一个“虚拟PC”软件,可以在一台机器上同时运行二个或更多Windows、DOS、LINUX系统。
Debian GNU/Linux系统上的VMware Workstation 8.x、9.x,VMware Player 4.x,5.x的vmware-mount存在本地安全漏洞,主机OS用户通过PATH某个目录内的特制lsb_release二进制文件,利用此漏洞可获取主机OS权限。

安全建议:

VMWare已经为此发布了一个安全公告(VMSA-2013-0010)以及相应补丁:
VMSA-2013-0010:VMware Workstation host privilege escalation vulnerability
链接:http://www.vmware.com/security/advisories/VMSA-2013-0010.html
补丁下载:VMware Workstation 9.x, 8.x
---------------------------
https://www.vmware.com/go/downloadworkstation

3.5 PHP OpenID XML外部实体注入漏洞

PHP OpenID XML外部实体注入漏洞

发布时间:

2013-08-21

漏洞编号:

BUGTRAQ ID: 61898
CVE(CAN) ID: CVE-2013-4701

漏洞描述:

OpenID是PHP5的库。
PHP OpenID 2.2.2在解析XRDS数据内的XML外部实体时出错,可被利用泄露本地资源或耗尽过量服务器资源。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://janrain.com/openid-enabled/