当前位置: 安全纵横 > 安全公告

一周安全动态(2013年9月05日-2013年9月12日)

来源:安恒信息 日期:2013-09

2013年9月第二周(9.05-9.12)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 哪些大电商被黑客攻陷过:京东凡客淘宝

9日CNNIC正式就.CN域名遭遇攻击事件进行了回应,黑客袭击一直是行业性的问题,互联网发展至今从未间断过。上月还有一家名为哇嘎商城的小型电商网站遭遇黑客攻击,导致用户数据丢失,未免造成进一步损失,致使该网站不得不关闭数天,至今仍不能正常登陆交易。

事件回顾

就在CNNIC被袭之前的8月初,社交软件Cihi(嗨聊)与本地一家电商网站合作做活动,为用户提供限时抢购活动,为了让活动更具吸引 力,Cihi(嗨聊)提出了每天1元赚的活动玩法。然而由于活动提供的商品数量有限,而活动参与人数又多,导致活动当日部分用户未能如愿以偿,其中一位干 脆为表达自己的不满不惜采用黑客手段,于是上演了此次黑客攻击电商的事件。

本来黑客攻击电商是常有的事,但哇嘎商城毕竟是一家规模不大整体技术实力不强的小电商,结果黑客不仅入侵了网站后台,还对网站代码进行恶意更改,最终哇嘎商城被迫关闭,无奈之下选择向公安机关报案。近日刚得到最新消息,公安机关已经立案并进入了侦查阶段。

本来是一个普通的商业活动,结果导致了合作电商网站被“愤怒”的黑客干掉,对于嗨聊来讲也算是“躺枪”了,目前嗨聊已经停止了与该商城的合作。

黑客攻击电商的历史事件

其实,黑客攻击电商的事情从未停过,只是大部分攻击都未能获得成功,这次哇嘎哇嘎商城很不幸的被攻陷。回翻过去事件,我们可以找到很多关于黑客攻击电商的报道。

今年4月,美国第二大团购网站LivingSocial遭遇黑客攻击,致使5000万用户资料外泄,但值得庆幸的是并未造成财务损失。不过LivingSocial正处在经营困难期,黑客攻击造成客户资料泄露让其颇感雪上加霜。

再往前看,今年3月国内化妆品电商聚美优品在进行三周年庆活动时遭遇网站瘫痪尴尬,随后有好事者指出聚美的竞争对手乐蜂网同时间也推出了促销活 动“桃花劫”,其正是聚美网站瘫痪最大受益者,而聚美网站瘫痪很有可能是乐蜂网的战略合作伙伴360的背后袭击。但此事最后也没有定论,360不幸躺枪, 此事件遂演变成一次公关战。其实,乐蜂与聚美之间的黑客攻防战不止这些,早在去年6月,乐蜂网创始人李静就曾在微博上炮轰乐蜂网遭遇黑客攻击已持续一段时 间,而矛头正是指向其竞争对手聚美优品。黑客攻击一般很难抓到元凶,最后的结果一般也都是不了了之,两家电商更像是利用黑客攻击的话题发动了公关战役。

再说更大的电商企业,国内电商巨头阿里集团旗下的小额外贸平台“速卖通”在2010年4月也遭遇过大规模的黑客攻击,阿里方面称上线速卖通的目 的在于“把中国物美价廉的商品批发到美国去”,也因此该事件普遍被怀疑是境外贸易保护组织发动的黑客攻击。事后阿里并没有公布最终结果,当然也不能排除是 阿里上线速卖通的一次公关秀。

我们再把时间再往前推移10年到2012年,当时电子商务在国际市场才刚刚兴起,而英国一家电商网站CloudNine却遭受了黑客的攻击,结 果导致该电商网站一直无法恢复运营,最后宣布破产并由其竞争对手Zetnet接管剩余事务。此CloudNine也成为英国第一家因黑客攻击而破产的电子 商务公司。

在国内2009~2011年电商行业爆发初期阶段,如今的很多大型电商都曾不同程度的被黑客攻陷过。不过随着行业快速发展,各大电商都非常重视 网站的后台保护建设,投入巨大资金增强系统安全,前几日阿里更是开出技术类应届毕业生年薪60万的标准招揽人才。目前各大电商的技术系统越来越完善,今年 大型电商被黑客攻陷的消息几乎没有,当然也不能排除有被攻陷而未对外报道的情况。


被黑客攻击过的大型电商

小电商无利可图 黑客更愿意攻击大型电商

黑客攻击电商的的相关报道并不多见,一是攻击成功造成大范围影响的不多,二是攻击小电商们无利可图,黑客们更愿意攻击大型电商,而大型电商就算被攻陷,但未造成实质影响根本不愿意对外公布,以免引起企业负面报道,除非有公关目的可能会借用黑客攻击事件为来做宣传。

从网站技术结构上来看,小电商一般比较容易被攻陷,但对黑客来讲,攻击小电商不能带来收益又花费大量时间得不偿失,上述的哇嘎商城的例子是因活 动问题惹恼了有黑客能力的用户才造成网站被挂掉的事件。所以相对来讲小电商还比较安全,虽然小电商没有强大的技术体系,但通常情况下并不是黑客主要的攻击 目标,而大型电商则不同了,对于黑客来讲,他们是一头头默不作声的金牛。

大型电商一般不愿意对黑客攻击进行回应,一来一般的黑客攻击根本不足以对大型电商的构成实质威胁,二来黑客攻击是常有之事也不值一提。就算被攻陷而未引 起大事件,大型电商网站也基本会选择掩盖事件,因为此类事件一旦被放大,很容易招来舆论拷问,用户恐慌,投资者质疑,对品牌形象造成巨大影响,所以一般都 会选择大事化小小事化了。对于那些比较难缠的黑客花些小钱交些保护费也就破财消灾了,以免造成不必要的大麻烦。

其实,黑客攻击电商并是最赚钱的途径,一些游戏私服才是黑客的主要目标,由于私服本身就是互联网界的灰色地带,黑客袭击私服向开服者收取保护费更安全,而且收益更大。电商只能算黑客们的业余小菜了。

结语

黑客能力也分档次,攻击的目的也不尽相同,有盗号窃取用户余额的,也有盗取网站数据库的,有求财的,也有泄愤的。整体来讲,今年国内还未出现过 大型电商因黑客攻击而瘫痪的正式报到,而黑客一般也懒得攻击小电商。前文所述的哇嘎哇嘎商城只有对自己不小心惹恼黑客造成损失而悔恨的机会了。其他初创型 电商可以以此为例,做活动时小心行事,避免引起不必要的麻烦,进而造成致命的影响。

1.2 CNNIC正式回应.CN域名遭攻击:雇佣性商业攻击

9日,中国互联网络信息中心(CNNIC)正式就.CN域名遭遇攻击事件进行了回应。此前的8月25日,国家域名解析节点受到拒绝服务攻击,影响了以.CN为根域名的部分网站的正常访问。这是国家域名遭遇的近年最大网络攻击事件。

顶级域名遭攻击为商业利益导致

CNNIC执行主任李晓东介绍,此次攻击系某黑客团伙因商业利益采用僵尸网络向国家域名系统持续发起大量针对某游戏私服网站域名的查询请求,并针对国家域名系统的6个地址直接进行攻击。

“峰值流量在攻击初期约两个小时较平常激增近千倍,造成国家域名系统国内多个服务节点的互联网出口带宽短期内严重拥塞,导致国家域名解析在局部区域内的部分查询出现访问缓慢或失效,少量网站在某些区域内无法正常服务,但未出现长时间大面积瘫痪的现象。”李晓东说。

李晓东表示,对国家域名系统这类国家网络基础设施的攻击属于刑事犯罪行为,一般黑客不会尝试对国家域名发起攻击。
“现在黑客产业链的经济性非常明显,多为雇佣性商业攻击,而针对顶级域名的攻击显然没有必要。”瑞星公司安全专家唐威说。

域名安全问题多发,超大攻击或引发互联网瘫痪

随着域名系统作为互联网中枢神经系统的重要作用日益凸显和互联网应用的日益广泛,域名安全事件也呈现多发趋势。

2007年6月10日晚,完美时空公司总部遭遇黑客攻击,网站瘫痪无法打开。2010年1月12日,百度因域名注册商的注册系统被黑客攻破,导致北京、辽宁等地区的百度首页出现故障长达5个小时。2012年2月7日15时左右,湖南电信DNS遭受间歇性异常流量攻击,导致全省用户遭遇6小时上网缓慢。

据介绍,黑客一般是通过制作僵尸网络的方式攻击域名,即在计算机中植入特定的恶意程序控制大量“肉鸡”(指可以被黑客远程控制的机器),然后通过相对集中的若干计算机向相对分散的大量“肉鸡”发送攻击指令,引发短时间内流量剧增。

“尽管CNNIC已经按国际标准的上百倍容量来配备资源,但面对超大规模的攻击仍然力不从心。”李晓东说,“如果这次攻击流量足够大,持续时间足够长,或将引发互联网的瘫痪。”

专家建议定期模拟演练,加大基础设施建设

李晓东介绍,日益频发的域名系统安全事件,除了暴露出域名系统相关技术还不够成熟、需要持续提升完善外,还反映了两方面的问题。

一是域名系统安全意识问题。在我国,对于网络安全风险的严重性和连锁反应,连一线运营者都不清楚,政府官员和普通百姓的认识就更为缺乏。二是域名系统安全联动机制需进一步完善。除了扩充国家域名的绝对数量外,各相关方的配合联动同样非常重要。

据介绍,出于对域名系统的战略意义的考虑,美国、德国、日本、韩国等国家都对域名系统给予了高度重视。

唐威表示,由于网络安全和黑客之间存在不断博弈,安全意识和信息安全体系建设问题最为关键。他认为,要定期进行黑客攻击模拟演练,聘请专业的安全人员协助相关运营方进行漏洞查明和修补。

李晓东还建议,要从国家战略高度进一步提升对域名系统的重视程度。面对日益严峻的国际政治形势和网络安全态势,亟须进一步从国家层面加大投入,强化国家域名系统基础设施的建设,在网络带宽、机房环境、运行保障、应急协调等方面确保充足的资源支撑。

1.3 《卫报》再爆猛料--NSA跟以色列存在数据分享合作关系

今日,英国《卫报》又发布了一篇根据斯诺登提供的NSA内部文件编写的报道。此次,《卫报》曝出了NSA跟以色列之间存在原始监听数据分享这一事实。文件显示,NSA分享给以色列的数据很有可能包括了美国公民的邮件和其他数据。

另外,该篇报道还披露了NSA跟以色列之间的这种数据分享是不受任何限制的。这一信息的曝光预示着NSA的的确确已经跟外国建立了情报分享合作关系。

而根据美国总统奥巴马早前的说法是,美国情报机构不会把监控目标锁定在美国公民身上,即便有,那也是极少数极少数的。《卫报》这次的曝光则完全否认了奥巴马的这一解释。

除此之外,虽然文件中显示以色列不会使用这些数据来对付美国公民,但不可否认的是,以色列如何使用这些数据并不会受到任何的法律约束力。

1.4 巴西电视台Globo曝料称美国监控过谷歌网络

据巴西最大电视网络Globo报道,美国政府监控过谷歌和巴西国营石油公司Petroleo Brasileiro的公司网络。Globo一周前刚刚曝料称,美国国家安全局(以下简称“NSA”)对巴西总统罗塞夫和墨西哥总统涅托的电邮、电话和短信都进行了监控。该报道是基于NSA承包商前雇员爱德华·斯诺登(Edward Snowden)所泄露的文件。

最新的报告同样基于斯诺登泄露的NSA的幻灯片,文件日期为2012年5月,文件内容是显示新代理如何监控私有计算机网络。

报道称,除了监控谷歌和Petroleo Brasileiro的计算机网络,文件还显示美国政府还监控过法国外交部和全球银行间金融电讯协会(SWIFT)的网络。

针对美国政府的窃听,巴西和墨西哥总统表示强烈不满。罗塞夫暂停了对美国国事访问的准备工作,而墨西哥则要求对此事进行调查。

在20国峰会上,美国总统奥巴马向巴西总统罗塞夫和墨西哥总统涅托承诺,美国将与两国政府合作,解决两国对美国监听拉美领导人的关切。

1.5 曝NSA曾长时间盗取iPhone用户定理位置数据

据德国Der Spiegel杂志曝光,苹果的iOS、谷歌的Android、黑莓的操作系统曾都沦为NSA监控目标的“阶下囚”。文章称,NSA分析师非常热衷于从智能手机和软件中获取用户的地理位置信息,这样他们就能掌控民众的去向。

另外,文章指出,NSA还曾一度具备了获取用户在某一时间段的地理位置信息的能力,这种情况则一致持续到苹果推送了iOS 4.3.3之后。据介绍,2011年4月,研究人员Alasdair Allan和Pete Warden曾曝出了iOS中的一个漏洞,即用户地理位置数据被实时储存在一个极易被第三方读取的文件中。当时,苹果公司对此予以了否认,不过这家公司在漏洞曝光的一个月后就推送了iOS 4.3.3。据维基百科的描述,iOS 4.3.3带来了包括减少众包地理数据库库存量、不再为iTunes提供备份以及在地理位置功能关闭状态下删除所有地理位置数据等功能。

虽然苹果公司的这一更新看似把NSA的监控者们拒之于门外了,然后事实绝非如此。Warden表示,虽然iOS 4.3.3的确关闭了早前他们发现的漏洞,但地理位置数据缓存仍然为情报机构提供了获取信息的机会。Spiegel在发表的文章中指出,NSA则认为获取用户地理位置数据绝非难事,他们最怕面对的就是用户不再使用互联网。

 

2 本周关注病毒

2.1 Backdoor.IRC.Boter.a(后门病毒)

警惕程度 ★★

病毒运行后记录中毒电脑的用户名、密码等信息,通过http协议对网络发动攻击,利用关键字检测中毒机器正在打开的网页,发送不同的垃圾消息,获取中毒电脑的ip地址、正在访问网站及ip地址,并将获取到的信息发送到黑客指定地址。

2.2 Trojan.Win32.Fednu.upo(木马病毒)

警惕程度 ★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.3 Trojan.Win32.Generic.157BDEB7(木马病毒)

警惕程度 ★★

病毒运行后连接黑客指定服务器,下载大量其他病毒至用户电脑。除此之外,病毒还将获取电脑权限,接受黑客指令,利用用户电脑对黑客指定地址进行洪水攻击。中毒电脑将成为黑客的“肉鸡”,并面临隐私信息泄露、网络账密被窃等风险。

 

3 安全漏洞公告

3.1 Microsoft Access内存破坏漏洞

Microsoft Access内存破坏漏洞

发布时间:

2013-09-10

漏洞编号:

BUGTRAQ? ID: 62230
CVE(CAN) ID: CVE-2013-3156

漏洞描述:

Microsoft Access是微软Office套件中的关系数据库管理系统。

Microsoft Access 分析 Access 文件内容的方式中存在远程执行代码漏洞。这些漏洞源于处理ACCDB文件时的错误。通过特制的ACCDB文件,成功利用这些漏洞的攻击者可以完全控制受影响的系统。

安全建议:

Microsoft已经为此发布了一个安全公告(MS13-074)以及相应补丁:
MS13-074:Vulnerabilities in Microsoft Access Could Allow Remote Code Execution (2848637)
链接:

http://technet.microsoft.com/security/bulletin/MS13-074

3.2 Microsoft Windows Kernel 'Win32k.sys' 本地权限提升漏洞

Microsoft Windows Kernel 'Win32k.sys' 本地权限提升漏洞

发布时间:

2013-09-10

漏洞编号:

BUGTRAQ? ID: 62180
CVE(CAN) ID: CVE-2013-1341

漏洞描述:

Windows是一款由美国微软公司开发的窗口化操作系统。
如果 Windows 内核模式驱动程序不正确地处理内存中的对象,多次提取操作导致错误,则存在特权提升漏洞。成功利用这些漏洞的攻击者可以获得更高的特权和读取任意多次内核内存。

安全建议:

Microsoft已经为此发布了一个安全公告(MS13-076)以及相应补丁:
MS13-076:Vulnerabilities in Kernel-Mode Drivers Could Allow Elevation of Privilege? (2876315)
链接:

http://technet.microsoft.com/security/bulletin/MS13-076

3.3 Microsoft Windows 对象链接和嵌入(OLE)远程代码执行漏洞

Microsoft Windows 对象链接和嵌入(OLE)远程代码执行漏洞

发布时间:

2013-09-10

漏洞编号:

BUGTRAQ? ID: 62178
CVE(CAN) ID: CVE-2013-3863

漏洞描述:

OLE(Object Linking and Embedding,对象连接与嵌入)。是一种面向对象的技术,利用这种技术可开发可重复使用的软件组件(COM)。

Microsoft Windows Object Linking and Embedding (OLE)在处理OLE对象时出错,如果用户打开包含特制 OLE 对象的文件,则该漏洞可能允许远程执行代码。

安全建议:

Microsoft已经为此发布了一个安全公告(MS13-070)以及相应补丁:
MS13-070:Vulnerability in OLE Could Allow Remote Code Execution (2876217)
链接:

http://technet.microsoft.com/security/bulletin/MS13-070

3.4 Microsoft Windows主题文件远程代码执行漏洞

Microsoft Windows主题文件远程代码执行漏洞

发布时间:

2013-09-10

漏洞编号:

BUGTRAQ? ID: 62176
CVE(CAN) ID: CVE-2013-0810

漏洞描述:

Windows是一款由美国微软公司开发的窗口化操作系统。


受影响的 Microsoft Windows 版本处理某些特制 Windows 主题文件的方式中存在一个远程执行代码漏洞。如果攻击者诱使用户应用特制 Windows 主题,则此漏洞可能允许攻击者执行任意代码。

安全建议:

Microsoft已经为此发布了一个安全公告(MS13-071)以及相应补丁:
MS13-071:Vulnerability in Windows Theme File Could Allow Remote Code Execution (2864063)
链接:

http://technet.microsoft.com/security/bulletin/MS13-071

3.5 phpMyAdmin存在多个SQL注入漏洞

phpMyAdmin存在多个SQL注入漏洞

发布时间:

2013-09-10

漏洞编号:

CVE(CAN) ID: CVE-2013-5003

漏洞描述:

phpMyAdmin是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具。
phpMyAdmin存在多个SQL注入漏洞。由于程序未能正确过滤用户提供的输入,攻击者可以利用漏洞危及应用程序,访问或修改数据,或利用底层数据库中潜在的漏洞。

安全建议:

用户可联系供应商获得补丁信息:

http://www.phpmyadmin.net/home_page/index.php