当前位置: 安全纵横 > 安全公告

一周安全动态(2013年9月12日-2013年9月19日)

来源:安恒信息 日期:2013-09

2013年9月第三周(9.12-9.19)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 巴西黑客报复美国安局闹乌龙 错黑NASA网站

据英国《每日电讯报》9月18日报道,为了抗议美国的监控行径,巴西黑客打算攻击美国国家安全局(NSA)的官网。不过,由于字母缩写相似,美国航空航天局(NASA)不幸成了替罪羊。

“一些黑客决定抗议美国对巴西的监控,但似乎把攻击对象搞错了,”巴西一位媒体人士表示。“他们黑了NASA的主页,还留言称‘别再监控我们’。”此外,黑客的留言还包括呼吁美国勿攻打叙利亚等内容。

NASA一名发言人证实有巴西黑客团体上周在NASA多个网站上留言。

1.2 NSA从法国安全公司VUPEN购买0day漏洞

美国国家安全局(NSA)通常被视为拥有先进的网络攻击能力,但这并不意味着它不会从外界寻求一点帮助。MuckRock成员根据信息自由法案向NSA递交了信息披露申请,NSA公开的合同文件显示,它在2012年9月14日订阅了法国安全公司VUPEN一年的0day服务。


VUPEN是一家知名的安全公司,其业务是出售软件漏洞细节。CEO Chaouki Bekrar去年接受采访时表示,该公司遵守国际法规,只向信任的民主国家出售0day漏洞,绝不会将这些信息出售给专制国家。

1.3 美国被指入侵比利时电信

比利时政府16日谴责“他国”为收集战略性信息,入侵比利时主要电信运营商的计算机系统,当地媒体把矛头直指身陷“棱镜”情报监控丑闻的美国国家安全局。按比利时电信公司的说法,这家电信运营商近期检查内部计算机系统时发现“入侵痕迹”,随后起草投诉文件并递交比利时联邦检察院。

检察机构推测,入侵比利时电信公司计算机系统的组织必定“拥有强大财力和物力”,疑为“跨国间谍”行为。

比利时首相埃利奥·迪吕波16日在一份声明中说,初步信息显示,入侵行为复杂,目的在于“收集战略性信息”,有“他国高度参与”的迹象。

声明对美国情报机构通过“棱镜”计划窃听比利时电信的国际电话予以谴责。

声明说,如果证实他国政府参与其中,比利时政府将采取“恰当行动”。

比利时《旗帜报》当天报道直指美国国家安全局,称后者对比利时电信公司的最近一次入侵始于2011年。这家报纸没有说明作出这一指称的依据。

比利时电信是在美国前防务承包商雇员斯诺登爆料“棱镜”计划后对其信息系统进行深入排查,发现其通信设施被植入“恶意软件”而被黑客远程控制。调查显示,美国情报机构窃听比利时电信至少有两年时间。

比利时电信公司说,遭入侵系统上周末已经恢复正常,目前没有迹象表明用户信息受到影响。

比利时政府在声明中说,这是网络间谍行为,比利时严厉谴责此类入侵、侵犯比利时企业权益的行为,并将就此事“进行相应交涉”。

斯诺登曾经披露,美国情报机构利用设在比利时首都布鲁塞尔的北约总部,对欧盟机构以及欧盟重要成员国驻欧盟代表处长期进行窃听。

1.4 安全研究人员研制出无法检测的硬件木马

来自美国和欧洲的一组安全研究人员发布了一份文件表明,通过在晶体管层面几乎无法察觉的变化,计算机、军事装备和其他关键系统中的集成电路在制造过程中可能遭受恶意感染。为了证明这种方法的有效性,这份文件还描述了如何使用这种方法来修改和削弱英特尔的Ivy Bridge处理器上的硬件随机号码生成器,以及智能卡上的加密保护,而不会有任何人检测到变化。

德国鲁尔大学电气工程与信息技术系嵌入式安全主席Christof Paar表示,这份研究报告非常重要,因为这个文件第一次让我们了解到,攻击者如何可以插入硬件木马到微芯片中,而无需任何额外的电路、晶体管或者其他逻辑资源。

在2005年美国国防部公开表示担忧军队对集成电路制造板的依赖所带来的安全问题,自那时以来,硬件木马成为研究的主题。

通常情况下,单个微芯片上的各个电路块是由不同供应商生产,再由另外的公司制造、包装和分发。芯片制造的这种外包和全球化带来了信任和安全问题。

多年来,大家越来越专注于想办法检测和抵御硬件木马,特别是在制造过程中恶意植入的木马,毕竟很多这些芯片都用于军事和其他关键应用中。

此前的研究报告表明,硬件木马由小型到中型集成电路组成,这些电路在制造工艺的硬件描述语言层被添加到芯片中。

相比之下,最新的研究则描述了如何在涉及过程的后一阶段通过改变芯片上的晶体管的“参杂”来植入硬件木马。

参杂(doping)是这样一个过程,通过引入微小杂质(例如磷、硼和镓)到晶体硅来改变芯片的电力属性。通过切换几个晶体管上的参杂,集成电路的部件不再会按原来的方式工作。因为这种变化发生在原子水平,因此很难被检测到,可以说,这种木马很难被大多数检测技术检测出。

对这种技术“最具破坏性”的使用是修改该芯片的随机数生成器,例如,这种技术可以修改英特尔的随机数生成器的熵数,从128减少到32位。

用户认为随机数生成器在使用强大的128位加密密钥,而实际上,它在生成很容易被攻破的32位密钥。
还有其他一些情况,集成电路可以被修改,使其以意想不到的方式运作。想要检测出这种修改,可能需要额外的电路测试。

1.5 研究人员用心跳做密码防止黑客入侵

美国莱斯大学推出的一款新系统选择在允许植入装置以前先查看综合数据,既要掌握患者的心跳情况,也要了解医护机构接触病人之后提供的数据,用这样的综合结果作为给移植装置放行的密码。

一款新设备将病患本人的心跳读数与外部观察数据作比较,只有结果一致,才会允许待移植装置植入人体内。

和手机与电脑一样,人体内的移植装置也可能被黑客入侵,而一旦这些装置被“黑”,后果可能会危及生命。尽管这并不是常见的现象,但研究人员现在依然选择主动采取防范措施,不愿等到事发后再亡羊补牢。

美国莱斯大学(Rice University)推出的一款新系统选择在允许植入装置以前先查看综合数据,既要掌握患者的心跳情况,也要了解医护机构接触病人之后提供的数据,用这样的综合结果作为给移植装置放行的密码。

发布报告的一位研究者、莱斯大学研究生Masoud Rostami介绍:“如果你体内有一部装置,有人可能在和你擦身而过的时候按下一个按钮,侵犯你(植入装置的)隐私,甚至给你一击。他或许有能力给你注入胰岛素或者升级你的起搏器软件。但我们提出的解决方法会强迫任何想读取你体内装置信息的人先和你本人接触。”

这套系统通过比对病人体内的心跳读数和医护提供方外部接触病人得到的读数,如果两种结果一致,提供医护服务的一方才能接触移植装置。即使附近有人截获了心跳读数,但因为心跳会经常变化,所以一分钟后,黑客窃取的心跳数据就再也派不上用场。

研究人员称,该系统会与现有的移植装置配合使用,也会允许急救人员在紧急情况下迅速得到移植的许可。

Rostami将心跳称为“随即数字发生器”。不过,莱斯大学的研究者不是唯一意识到心跳能扮演这种角色的科研工作者。多伦多的Bionym公司近来发布了一款名为Nymi的产品。它像手表带一样,能用佩戴者的心跳为电脑和车门等设备解码。Nymi将在2014年年初上市。

 

2 本周关注病毒

2.1 Trojan.Script.Conf.a(木马病毒)

警惕程度 ★★

该病毒运行后会释放一个dll文件,在每个磁盘下创建快捷方式,使中毒电脑在打开硬盘的时候会先运行一遍这个dll。同时,连接黑客指定网址,下载并运行其他文件、自我升级更新,达到窃取中毒电脑中操作系统信息、IP地址、硬盘信息、用户权限等信息的目的。

2.2 Trojan.Win32.Lapka.a(木马病毒)

警惕程度 ★★

该病毒运行后结束自身进程,达到“隐身”的目的,同时将创建新进程删除原病毒文件,以规避杀毒软件查杀。除此之外,病毒还会后台连接黑客指定地址,接收黑客发出的指令,中毒电脑将感染更多病毒,严重影响用户的资料安全和隐私安全。

2.3 Trojan.Win32.Sexxy.a(木马病毒)

警惕程度 ★★★★★

该病毒伪装成电影图标引诱网友下载,病毒运行后将两个批处理分别释放到:D盘、E盘、F盘根目录下,并在桌面释放一个名为desktop.exe的文件,将其属性设置为只读文件、存档文件、系统文件、隐藏文件。同时病毒将查找并结束安全软件进程,利用注册表做镜像劫持,使电脑的所有程序都不能正常使用。同时病毒还会反向连接黑客指定网址,向黑客开启后门。用户电脑一旦中毒,将遭到严重破坏,并成为黑客的肉鸡。

 

3 安全漏洞公告

3.1 OWASP ESAPI CBC模式HMAC身份验证绕过漏洞

OWASP ESAPI CBC模式HMAC身份验证绕过漏洞

发布时间:

2013-09-18

漏洞编号:

BUGTRAQ ID: 62415
CVE ID: CVE-2013-5679

漏洞描述:

OWASP ESAPI是开源Web应用安全控件库。
ESAPI 2.0GA、2.0.1在CBC模式下使用ESAPI对称加密时,无法正确检查可信性,可使本地攻击者绕过安全限制,获取未授权访问权限。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.owasp.org/index.php/Category:OWASP_Stinger_Project
http://code.google.com/p/owasp-esapi-java/downloads/detail?name=esapi-2.1.0-dist.zip&can=2&q=#makechanges

3.2 PHP 'ext/soap/php_xml.c'不完整修复多个任意文件泄露漏洞

PHP 'ext/soap/php_xml.c'不完整修复多个任意文件泄露漏洞

发布时间:

2013-09-20

漏洞编号:

BUGTRAQ ID: 62373
CVE(CAN) ID: CVE-2013-1824

漏洞描述:

PHP是一种HTML内嵌式的语言。
PHP 5.3.22、5.4.13之前版本存在多个任意文件泄露漏洞,经过身份验证的攻击者可利用这些漏洞查看受影响应用内的任意文件。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.php.net/downloads.php

3.3 Cisco Virtualization Experience Client 6000 本地任意命令执行漏洞

Cisco Virtualization Experience Client 6000 本地任意命令执行漏洞

发布时间:

2013-09-12

漏洞编号:

BUGTRAQ ID: 62361
CVE(CAN) ID: CVE-2013-5493

漏洞描述:

Cisco Virtualization Experience Client是瘦客户端,用于集成到虚拟架构内。
Cisco Virtualization Experience Client 6000 Series的diagnostic模块存在安全漏洞,可使经过身份验证的本地攻击者在下层操作系统上执行任意命令。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.cisco.com/go/psirt

3.4 多个HP产品'GetEventsServlet'远程代码执行漏洞

多个HP产品'GetEventsServlet'远程代码执行漏洞

发布时间:

2013-09-10

漏洞编号:

BUGTRAQ ID: 62350
CVE(CAN) ID: CVE-2013-4809

漏洞描述:

惠普(HP)是面向个人用户、大中小型企业和研究机构的全球技术解决方案提供商。惠普(HP)提供的产品涵盖了IT基础设施,个人计算及接入设备,全球服务,面向个人消费者、大中小型企业的打印和成像等领域。
HP ProCurve Manager (PCM), HP PCM+, HP Identity Driven Manager (IDM)存在多个远程代码执行漏洞,可导致远程执行SQL注入、远程代码执行和会话重利用。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://itrc.hp.com
https://h20564.www2.hp.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c03897409