当前位置: 安全纵横 > 安全公告

一周安全动态(2013年8月30日-2013年9月06日)

来源:安恒信息 日期:2013-09

2013年9月第一周(8.30-9.06)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 百万网络设备存在安全隐患 中国产占56%

今年三月,一位匿名研究人员利用僵尸网络绘制了全球活跃的IPv4地址地图,发布了互联网普查报告,公布了9TB的完整扫描数据。另一位研究人员Parth Shukla利用这位匿名研究员提供的数据分析了所有存在安全隐患的联网设备(报告发表在Google docs上),发现中兴的设备独占鳌头。

这些有安全隐患的联网设备使用了默认或硬编码的用户名密码,如admin/admin,admin/password, root/root等。在他所发现的128万存在安全隐患的设备中,中兴设备占了28%,即353436台;中国产设备占了56%。

1.2 Android WebView挂马漏洞--各大厂商纷纷落马

一、漏洞描述

近期,微信等多款安卓流行应用曝出高危挂马漏洞:只要点击好友消息或朋友圈中的一条网址,手机就会自动执行黑客指令,出现被安装恶意扣费软件、向好友发送欺诈短信、通讯录和短信被窃取等严重后果。在乌云漏洞平台上,包括安卓版微信、QQ、腾讯微博、QQ浏览器、快播、百度浏览器、金山浏览器等大批应用均被曝光同类型漏洞。

二、影响版本

Android系统版本低于4.2

三、漏洞原理

漏洞点:WebView.addJavascriptInterface(Object obj, String interfaceName) ;

漏洞触发条件:

1、使用WebView.addJavascriptInterface方法注册可供javascript调用的java对象。

2、使用WebView加载外部网页。

3、Android系统版本低于4.2

漏洞原因:

Android系统通过WebView.addJavascriptInterface方法注册可供javascript调用的java对象,以用于增强javascript的功能。但是系统并没有对注册JAVA类的方法调用的限制。导致攻击者可以利用反射机制调用未注册的其它任何JAVA类,最终导致javascript能力的无限增强。攻击者利用该漏洞可以根据客户端能力为所欲为。

出于安全考虑,为了防止Java层的函数被随便调用,Google在4.2版本之后,规定允许被调用的函数必须以@JavascriptInterface进行注解,所以如果某应用依赖的API Level为17或者以上,就不会受该问题的影响(注:Android 4.2中API Level小于17的应用也会受影响)。在各应用厂商修复该问题期间,我们建议用户暂时使用系统自带的浏览器访问网页,并且不要访问社交应用中陌生人发来的链接。

1.3 英国科学家研发出“不可破解的”量子密码

一个英国科学家团队已经找到一种方式,使用一种比以前更大规模的量子密码建造通信网络,能够使电子信息以完全保密的方式传送。研究人员称,量子密码技术有 可能改变我们保护敏感数据的方式。这个密码系统是建立在一个通信系统的基础上,信息是通过单个光子进行传递的,它们也不会遗留下可追踪的痕迹,无法被窃听 者截获。

目前为止,建造一个量子密码网络需要一种新的光纤和一种精致的光子探测器,才能让额外的单个用户连接到网络,造价相当昂贵。这个团队称,他们现在已经研发出发送无法被破解的保密信息的方式,也就是所谓的“量子密匙分配”(QKD)。

东芝公司剑桥研究实验室的Andrew Shields和同事们,已经演示了多达64位用户能够共享同一个光纤连接和探测器。这个网络使用标准光纤组建,能够使多位用户连接并通过单根光纤传递信息。Shields博士说道:“单个光子的编码信息拥有独特的优点,它能使通信的保密性经得住考验。现在我们能够让多位用户连接到单根光纤上,而且让他们共享量子网络的连接。它的优势在于我们能够建造一个连接更多用户的量子网络,这也会减少每位用户的成本。”

研究团队声称他们的研究能够使QKD技术更加实用,而且更接近于成为被商业、银行业和政府机关所广泛使用的技术。瑞典斯德哥尔摩大学的Hannes Huebel称,这项研究是一项突破性的发现。Huevel博士解释道:“目前这项技术仍然主要是非常专业的人员在实验室使用。我们的目标是使它更适合于用户而且更廉价。这项新研究是一大进步,这也是终端用户和常态网络之间的最后一步。”然而有人并不赞同量子密码技术能够实现全面防护。维也纳技术大学的理论物理学家Karl Svozil说道,目前研究所使用的协议并不能屏蔽所有的窃听方法,量子密码学的使用必须遵守某些规则,只有那样才是完全安全的。

1.4 美海军陆战队网站遭叙黑客攻击

叙利亚电子军(Syrian Electronic Army)是支持叙利亚领导人巴沙尔·阿萨德的黑客组织。据英国《每日邮报》9月2日报道,当地时间2日,叙利亚电子军对美国海军陆战队网站实施电子攻击,并在其网站上贴出一些虚假照片。

照片中,身着美国海军军官服的男子手持“我们不是为了支持叙利亚‘基地’组织而战斗”等字样的牌子,谴责美国支持叙利亚反对派。受到黑客袭击的美国海军陆战队网站很快恢复正常,但叙利亚电子军贴出的照片迅速引发网民的关注,被数千网友转发、分享。

据悉,此次袭击事件是由于奥巴马干涉叙利亚内政,支持叙反对派。然而,这并不是叙利亚电子军对美发动的第一次电子攻击。8月27日,其对美国多家网站实施攻击,造成社交网站“推特”(Twitter)以及《纽约时报》、《赫芬顿邮报》等网站宕机。



1.5 美国政府利用Anonymous和Lulzsec等黑客组织对其他国家进行攻击

前LulzSec首领Hecktor Xavier Monsegur(网名Sabu)再次被捕,他将面临最高长达124年的牢狱之灾。而此时另一个LuzlSec黑客成员Jeremy Hammond日前揭露:FBI利用Sabu以及Anonymous黑客组织对其他国家政府进行网络攻击。

本周三Jeremy Hammond发表了一个声明,指控美国政府利诱Monsegur攻击其他国家政府组织。

“为什么美国政府利用我们潜入渗透其他国家的私有网络?他们会怎么样使用我们之前盗窃的信息?我们的政府中有人会为这种犯罪行为负责吗?”

 

2 本周关注病毒

2.1 Trojan.Win32.Generic.157BDEB7(木马病毒)

警惕程度 ★★

病毒运行后连接黑客指定服务器,下载大量其他病毒至用户电脑。除此之外,病毒还将获取电脑权限,接受黑客指令,利用用户电脑对黑客指定地址进行洪水攻击。中毒电脑将成为黑客的“肉鸡”,并面临隐私信息泄露、网络账密被窃等风险。

2.2 Trojan.Win32.Fednu.upn(木马病毒)

警惕程度 ★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.3 Trojan.Win32.Lapka.a(木马病毒)

警惕程度 ★★★★

病毒运行后病毒会代码远程注入到Svhost.exe进程中,结束自身进程,达到“隐身”的目的,同时病毒将创建新进程,调用CMD中的Del命令删除原病毒文件,以规避杀毒软件查杀。除此之外,病毒还会后台连接黑客指定地址,接收黑客发出的指令,中毒电脑将感染更多病毒,严重影响用户的资料安全和隐私安全。

 

3 安全漏洞公告

3.1 Palo Alto Networks PAN-OS远程任意命令执行漏洞

Palo Alto Networks PAN-OS远程任意命令执行漏洞

发布时间:

2013-04-27

漏洞编号:

BUGTRAQ ID: 62128 62131
CVE(CAN) ID: CVE-2012-6594CVE-2012-6595

漏洞描述:

PAN-OS用于控制 Palo Alto Networks 新一代防火墙的作业系统,它提供丰富的防火墙、管理及网路的功能。
Palo Alto Networks PAN-OS 4.1.0、Palo Alto Networks PAN-OS 4.0.7的设备管理命令行接口存在远程命令注入漏洞,经过身份验证的远程攻击者可利用此漏洞用管理员权限在受影响应用上下文中执行任意shell命令。

安全建议:

Palo Alto Network已经为此发布了一个安全公告(34299)以及相应补丁:
34299:A vulnerability exists whereby an authenticated user can inject arbitrary shell commands using the device management command line interface.
链接:
https://securityadvisories.paloaltonetworks.com/Home/Detail/5

3.2 IBM WebSphere Commerce 拒绝服务漏洞

IBM WebSphere Commerce 拒绝服务漏洞

发布时间:

2013-08-30

漏洞编号:

BUGTRAQ ID: 62093
CVE(CAN) ID: CVE-2013-2992

漏洞描述:

IBM WebSphere Commerce是业界领先的下一代电子商务解决方案。
IBM WebSphere Commerce 7.0在"search"功能的实现上存在拒绝服务漏洞,根据搜索条目关联配置情况,远程攻击者通过特制的查询,利用此漏洞可造成服务停止影响。

安全建议:

IBM已经为此发布了一个安全公告(21648644)以及相应补丁:
21648644:Potential DoS vulnerability related to WebSphere Commerce Search functionality (CVE-2013-2992)
链接:
http://www-01.ibm.com/support/docview.wss?uid=swg21648644

3.3 多个Cisco产品跨站脚本漏洞

多个Cisco产品跨站脚本漏洞

发布时间:

2013-09-05

漏洞编号:

BUGTRAQ ID:62143
CVE ID:CVE-2012-5990

漏洞描述:

Cisco Prime Network Control System是一款可融合用户,访问和身份管理功能,及帮助了解端点连接情况的管理平台。Cisco Wireless Control System无线控制系统是支持高性能的应用程序和关键任务的解决方案。
Cisco Prime Network Control System (NCS)和Wireless Control System (WCS)存在跨站脚本漏洞。攻击者可以利用漏洞在受影响的站点上下文的信任用户浏览器中执行任意脚本代码,窃取基于cookie的身份验证凭据并发动其他攻击。

安全建议:

目前没有详细解决方案提供:
http://www.cisco.com/

3.4 DISCUZ存在未明跨站脚本漏洞

DISCUZ存在未明跨站脚本漏洞

发布时间:

2013-09-03

漏洞编号:

CNVD-2013-12787

漏洞描述:

DISCUZ是一款国内非常流行的建站系统。
DISCUZ存在一个未明跨站脚本漏洞,允许远程攻击者利用漏洞获取敏感信息或劫持用户会话。

安全建议:

目前没有详细解决方案提供:
http://www.discuz.net/

3.5 Destoon存在未明SQL注入漏洞

Destoon存在未明SQL注入漏洞

发布时间:

2013-08-21

漏洞编号:

CNVD-2013-12788

漏洞描述:

Destoon基于PHP+MySQL的开源B2B(电子商务)行业门户的解决方案。
Destoon存在一个由某变量逻辑问题引起的SQL注入漏洞,允许远程攻击者利用漏洞提交SQL注入,可获取或操作数据库数据。

安全建议:

目前没有详细解决方案提供:
http://www.destoon.com/