当前位置: 安全纵横 > 安全公告

一周安全动态(2013年9月19日-2013年9月26日)

来源:安恒信息 日期:2013-09

2013年9月第四周(9.19-9.26)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 美国安局曾向国际通用加密技术植入后门

北京时间9月23日早间消息,据《纽约时报》网络版报道,几年前,美国国家安全局(以下简称“NSA”)曾秘密地给一项国际性加密技术植入后门系统,让美国联邦特工可以破译任何采用该技术加密的数据。

报道称,2006年美国国家标准技术局帮助开发了一项国际性加密技术,协助各国和各行各业防止其电脑系统遭到黑客攻击。但美国另外一家联邦机构——NSA——在众多用户不知情的情况下,秘密地向这套技术植入了“后门系统”(back door),让联邦特工可以破译任何采用该技术加密的数据。

根据NSA前承包商爱德华·斯诺登(Edward Snowden)泄露的文件,NSA曾试图对每一套加密系统进行渗透,而且往往尝试以最轻松的手段来实现这一目的。由于现代加密技术破译的难度非常大,即便是使用该机构功能强大的超级计算机,常常也无功而返,因此,NSA更喜欢与大型软件开发商和加密技术授权者合作,秘密获得系统的访问权限。

据《纽约时报》、《卫报》和新闻网站ProPublica最近披露的消息,NSA如今可以访问原本用以保护商业银行系统、商业秘密、医疗记录以及电子邮件和互联网聊天信息的代码,其中就包括虚拟私人网络。有时,NSA还迫使一些公司给予其访问权限。

据《卫报》今年早些时候报道,微软向NSA提供了Hotmail、Outlook.com、SkyDrive和Skype的访问权限。根据德国《明镜周刊》获得的部分泄密文件,NSA还可以访问用于保护iPhone、Android手机和黑莓手机数据的加密系统。

这些后门系统和特别访问权限是美国情报界越权的另一例证。如今,越来越多的企业和个人将最隐秘的数据保存在云端存储服务上,因此需要获得这些服务有关其数据安全的保证,但这种关系更多是基于一种信任。一旦用户知道加密系统被蓄意破坏,将会动摇他们对这些系统的信心,对商业活动带来不利影响。

人们原本以为,个人、企业和政府机关在普通通信中的隐私会得到保障,但NSA植入后门系统的曝光可能会令这种幻想彻底破灭。有人可能不禁要问,如果NSA向系统植入了后门系统,其他国家的情报机构难道就不会发现吗?这的确是一个值得思考的问题。

NSA往往会向美国政府保证,只会破译那些被怀疑违法的个人或企业的通信或数据。但削弱公民使用加密技术能力的行为,显然是越权的做法,正如NSA违规搜集普通公民的通信记录,而不是将重点放在真正的嫌犯身上一样。

新泽西民主党众议员拉什·霍尔特(Rush Holt)已经提出了一个议案,明令禁止政府要求软件开发商植入可绕过加密设置的系统。外界认为,该议案应该会获得美国国会的全票支持。与此同时,包括谷歌和Facebook在内的多家互联网公司,正在开发新的加密系统,让NSA更难以渗透,这些公司试图以此向用户表明一种态度,即他们并不是情报机构的秘密伙伴。

1.2 美“棱镜”计划再掀波澜 欧欲终止与美共享数据

多名欧洲议会议员9月24日在此间表示,将寻求终止欧美金融数据共享协议,以作为对美国“棱镜”计划窃取部分欧洲国家情报的回应。有三位欧洲议会议员指出,斯诺登爆料的“棱镜”计划显示,美国通过不正当渠道“窃取”环球同业金融电信网络(SWIFT)的数据资料,欧美金融数据共享的协议理应自动失效。

欧美金融数据共享协议在欧洲议会内部的争论一致存在。该协议在2010年“艰难”通过。欧盟委员会当时认为,与美国共享金融数据有利于加强打击恐怖主义。

欧盟委员会主管内部事务的委员马姆斯特罗姆透露,她已经向美方提出申请,希望美方就“窃取”行为给予合理解释。但时至今日,马姆斯特罗姆仍未从美国方面得到满意的答复。

马姆斯特罗姆说:“我们与美国方面共享金融数据的协议中有保护个人信息的条款。我们已经清楚地表明了立场,如果外界指控属实,美方的行为就违反了当初的协议,相关协议就有可能终止。”

斯诺登爆料的“棱镜”计划在欧洲掀起了巨浪,多数国家对美国的行为表示不满。9月16日,比利时首相迪吕波、内政大臣米尔凯和司法大臣特特尔博姆发表联合声明,对比利时电信公司可能遭美国情报机构入侵一事做出明确而强硬的回应。

1.3 我科学家解决量子黑客隐患

最近,由中国科学技术大学潘建伟院士及其同事张强、陈腾云与清华大学马雄峰等组成的联合研究小组,利用与美国斯坦福大学联合开发的高效低噪声上转换单光子探测器,在国际上首次实现了测量器件无关的量子密钥分发,成功解决了现实环境中单光子探测系统易被黑客攻击的安全隐患,大大提高了现实量子密钥分发系统的安全性。

该研究成果发表在9月24日出版的国际权威物理学期刊《物理评论快报》上。

量子密钥分发以量子物理与信息学为基础,被认为是安全性最高的加密方式。然而,尽管量子密钥分发在理论上具有无条件安全性,但由于原始方案要求使用理想的单光子源和单光子探测器,在现实条件下很难实现,导致现实的量子密钥分发系统可能存在各种各样的安全隐患。那么是否有一个量子密钥分发系统可以从根本上完美解决所有已知和未知的针对探测系统的攻击呢?

基于这一构想,潘建伟小组发展了独立激光光源的干涉技术,并与美国斯坦福大学联合开发了国际上迄今为止最先进的室温通信波段单光子探测器—基于周期极化铌酸锂波导的上转换探测器。在此基础上,结合清华大学马雄峰教授的理论分析,在世界上首次实现了测量设备无关的安全量子密钥分发,该实验先天免疫于任何针对探测系统的攻击,完美地解决了探测系统的安全隐患问题。另外,该实验系统兼顾采用诱骗态方案,同时保证了非理想光源系统的安全性。

1.4 日本政府举行首次反网络攻击训练 出动模拟黑客

据日本《东京新闻》9月25日报道,为提高各级政府机关和大型企业应对网络攻击的能力,日本政府25日在东京举行了首次反网络攻击训练。

据报道,该训练由总务省、防卫省等5个省厅联合举行,各省厅的网络信息安全工作人员等约30人参加。

训练模拟黑客伪装已知联系人,向政府工作人员发送电子邮件,传播电脑病毒。网络安全人员在收到感染病毒的警告通知后,立即锁定中毒电脑,将其与网络隔离,并调查机密情报是否发生泄漏。

1.5 RSA建议用户停止使用RSA产品

安全公司RSA向使用其产品BSAFE和 Data Protection Manager的客户发出警告,建议用户停止使用被怀疑NSA植入了后门的加密组件。RSA的这两款产品默认使用Dual EC_DRBG随机数生成算法创建密钥,Dual EC_DRBG是基于椭圆曲线加密技术的随机数字生成算法,早在2007年学术界就怀疑NSA在其中植入了后门。

RSA强烈建议用户停止使用Dual EC_DRBG,改用其它的伪随机数生成算法,它指出产品文档含有更换默认伪随机数生成算法的技术指导文件。

 

2 本周关注病毒

2.1 Trojan.Win32.Sexxy.a(木马病毒)

警惕程度 ★★

该病毒运行后将在桌面释放一个exe的文件,将其属性设置为只读文件、存档文件、系统文件、隐藏文件。同时病毒将查找并结束安全软件进程,利用注册表做镜像劫持,使电脑的所有程序都不能正常使用。同时病毒还会反向连接黑客指定网址,向黑客开启后门。用户电脑一旦中毒,将遭到严重破坏,并成为黑客的肉鸡。

2.2 Backdoor.Agent.ezc(后门病毒)

警惕程度 ★★

该病毒运行后获取系统最高权限,发送邮件,并发动大规模网络攻击,同时,链接黑客指定服务器,收集中毒电脑全部信息。

2.3 Trojan.DL.Win32.Wapomi.a(‘病毒下载器’木马病毒)

警惕程度 ★★★

该病毒运行后首先关闭windows系统文件保护,并向explorer.exe发送消息运行木马。病毒将查找杀毒软件进程并尝试将其关闭,删除注册表中安全模式相关项,使电脑无法进入安全模式。同时病毒还将后台下载其他恶意程序,并向黑客指定网址发送系统配置信息。用户电脑一旦中毒将面临隐私信息泄露,网银账密被盗等风险。

 

3 安全漏洞公告

3.1 Cisco Unified Computing System远程命令执行漏洞

Cisco Unified Computing System远程命令执行漏洞

发布时间:

2013-09-23

漏洞编号:

BUGTRAQ ID: 62608
CVE(CAN) ID: CVE-2012-4086

漏洞描述:

Cisco Unified Computing System是一个集计算、虚拟化和网络于一体的平台。
Cisco Unified Computing System结构互联设备的初始设置脚本存在远程命令执行漏洞,未经身份验证的远程攻击者在初始设置内输入无效参数,利用此漏洞可以以后台程序用户权限在操作系统上执行任意命令。此漏洞源于初始配置脚本内未过滤的输入。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.cisco.com/go/psirt

3.2 Cisco Unified Computing System本地命令注入漏洞

Cisco Unified Computing System本地命令注入漏洞

发布时间:

2013-09-23

漏洞编号:

BUGTRAQ ID: 62619
CVE(CAN) ID: CVE-2012-4089

漏洞描述:

Cisco Unified Computing System是一个集计算、虚拟化和网络于一体的平台。Cisco Unified Computing System结构互联设备存在本地命令执行漏洞,经过身份验证的本地攻击者通过获取FI上下层操作系统的本地、shell级别、debug级别访问权限,并注入命令到要发送到BMC的MCTOOLS命令,利用此漏洞在BMC上以提升的权限执行任意命令。此漏洞源于FI软件上MCTOOLS命令内的不正确输入验证。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.cisco.com/go/psirt

3.3 HP XP P9000 Command View Advanced Edition跨站脚本执行漏洞

HP XP P9000 Command View Advanced Edition跨站脚本执行漏洞

发布时间:

2013-09-23

漏洞编号:

CVE(CAN) ID: CVE-2013-4814

漏洞描述:

HP XP P9000 Command View Advanced Edition是HP XP P9500、XP Disk Array产品的多功能设备管理器。
HP XP P9000 Command View Advanced Edition 7.5.0-02之前版本没有正确过滤某些输入,可导致在受影响用户浏览器中执行任意HTML和脚本代码。

安全建议:

HP已经为此发布了一个安全公告(HPSBST02919)以及相应补丁:
HPSBST02919:HP XP P9000 Command View Advanced Edition Suite Software, Remote Cross Site Scripting (XSS)
链接:
https://h20564.www2.hp.com/portal/site/hpsc/public/kb/ docDisplay?docId=emr_na-c03898171

3.4 Apache Struts 远程代码执行漏洞

Apache Struts 远程代码执行漏洞

发布时间:

2013-09-21

漏洞编号:

BUGTRAQ ID: 62587
CVE(CAN) ID: CVE-2013-4316

漏洞描述:

Struts2 是第二代基于Model-View-Controller (MVC)模型的java企业级web应用框架。
Apache Struts 2.3.15.2之前版本的“Dynamic Method Invocation”机制是默认开启的,仅提醒用户如果可能的情况下关闭此机制,这样就存在远程代码执行漏洞,远程攻击者可利用此漏洞在受影响应用上下文中执行任意代码。

安全建议:

Apache Group已经为此发布了一个安全公告(s2-019)以及相应补丁:
s2-019:S2-019
链接:
http://struts.apache.org/release/2.3.x/docs/s2-019.html

3.5 Ajax File and Image Manager任意文件上传漏洞

Ajax File and Image Manager任意文件上传漏洞

发布时间:

2013-09-19

漏洞编号:

 

漏洞描述:

Ajax File and Image Manager是开源文件管理器,采用了Ajax及PHP。可用作单机Web应用以及TinyMCE/FCKeditor插件。
Ajax File and Image Manager 1.1的ajaxfilemanager/ajax_file_upload.php脚本允许将任意扩展名的文件上传的Webroot内的文件夹中,远程攻击者通过上传恶意PHP脚本,利用此漏洞可执行任意PHP代码。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.phpletter.com/DOWNLOAD/