当前位置: 安全纵横 > 安全公告

一周安全动态(2013年10月10日-2013年10月17日)

来源:安恒信息 日期:2013-10

2013年10月第三周(10.10-10.17)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 台一高中生2个月骇入1237家网站 全球黑客排名第19

中国台湾网10月17日消息 据台湾《中国时报》报道,台湾云林县17岁许姓男高中生自行研读黑客书籍,无师自通,以昵称“Xerl9MeI”在2个月内骇入金门县政府教育处及民间1237网站,在全球被黑站点统计排名第19名。这名高二学生也曾骇入他就读的学校网站写下:“Idon’t like to go to school。”警方昨(16)日循IP位置追到云林将其逮捕,讯后移送云林地检署侦办。

称黑客不是犯法的

警方调查,许男就读云林县某高中,父母离异,由爷爷抚养长大,因隔代教养问题,他长期都窝在房间打电动,平时不喜欢说话,是个名符其实的宅男。许男购买多本黑客书籍,无师自通在家中学习黑客功力,慢慢骇入其它网站,成为成就感来源。

许男曾经在2个月内入侵了1237家网站,被入侵网站遍及台湾、大陆、美国等地,多以教育相关网站为攻击目标。今年9月他成功骇入金门县政府教育处网站,他在网页中写下“黑客不是犯法的”、“这个网站太过脆弱,请修正”等文字,有网友在网站回应“看得出来你很痛恨教育界”。

入侵教育网站居多

许男手法与大多数黑客相似,会先破解网站,取得管理权限后窜改网站内容,再大胆留下“yougot hacked byXerL9MeI”文字,以彰显他的黑客功力,并会将成功入侵的网站资料填入“全球被黑站点统计”的网站中,累积数量争取在黑客圈的排名。

10日“双十庆”当天,他成功骇入许多官方网站且多以教育类居多。除了官方单位外,台湾民间网站如“彩虹轩”、“皇家贵族派”、“七嘴八舌(卤味)”等,都遭受他的攻击,许多企业不堪其扰,纷纷报警处理。

新北市刑大科技犯罪侦查专责组获报,经追查IP来源过滤其入侵所留的讯息后,循线在云林县将许男逮捕归案。

爷爷:孙子并不坏

警讯时,他并不否认骇入其它网站,但都只愿意回答“是”或“否”等简单字眼,警讯后依刑法妨害计算机使用罪嫌将他移送云林地检署侦办。

许男的爷爷向警方供称,孙子老是喜欢待在房内,不喜欢念书、上课,时常因为打计算机太晚,导致旷课连连,见警方来访,才得知孙子是名黑客,强调他平常很乖,不是个坏小孩。

1.2 黑客频“黑”政府网站背后有条“黑金”利益链

日前,湖北省公安县计生局网站被网民发现涉黄,官方回应为“黑客攻击”,这一事件引发网民热议。原本是政府形象和信息公开的窗口,政府网站缘何越来越受黑客青睐?“中国网事”记者调查发现,政府网站已经不仅是黑客炫耀技术的舞台,利用网站漏洞进行“非法勾当”,竟催生出了一条分工明确、衔接紧密的黑色利益链。

政府网站,成了黑客重点“标靶”

10月9日,有网民举报湖北省公安县人口和计划生育局网站上有黄色信息。根据截图,可以清晰地看到网站“访问统计”一栏下方赫然写着“一夜情”等字样,打开链接进入的网站充斥着黄色图片,不堪入目。

这已经不是近期发生的首个政府部门网站被“黑”的案例了。2013年7月19日,湖南临武政府网遭黑客攻击,黑客在临武县政府网上留言:“多行不义必自毙,致抢尸县长!”此前,湖南省临武县多名城管人员与一卖西瓜村民邓正加发生肢体冲突,村民邓正加当场死亡。

2013年7月25日,咸阳市城管局官方网站遭到黑客攻击,网页被完全篡改。网页上显示“咸阳市城市管理综合行政执法局,正式更名为咸阳市黑社会。”

记者搜索今年以来发生的网站被“黑”案例,发现政府网站已经成了黑客攻击的重点“标靶”。湖北、陕西、贵州、湖南、海南多地都发生了政府网站被黑客攻击、篡改、植入“黑链”的情况,而相关政府部门都没有在第一时间发现网站被攻击。

根据中国国家互联网应急中心公布的2012年互联网网络安全报告,该年遭到黑客攻击的网站超过5万个,其中有3000余家政府网站,比上年分别增长213.7%和93.1%。

利益催生“黑客帝国”:把中毒计算机当“肉鸡”

记者采访的多名网络安全专家和网络维护工程师表示,现在的黑客群体,不再是为了展现技术、表达个性而攻击网站,更多的时候是有经济利益渗入其中。而且在网络上,雇佣黑客攻击,购买攻击工具非常容易。

记者在淘宝上搜索“黑客链接”,竟有2686件“宝贝”,这些“宝贝”以友情交换为名,公开出售,价格从1元到10元不等。搜索“黑客远程控制软件”也有1578件“宝贝”,记者和一淘宝卖家“慧霞书城”联系,店主表示,只要是Windows操作系统,就存在漏洞,可以通过技术远程控制。

北京邮电大学教授刘德良曾公开表示,现在黑客越来越多地利用木马程序非法控制他人的电脑,获取被控制电脑或服务器上的信息,通过利用或出售这些信息而获得经济利益。而随之衍生的制作编写恶意程序和代码教程、窃取特定目标的信息、对攻击目标的勒索、敲诈、利用第三方进行洗钱、销赃已经形成了一条黑色利益链,这条链上的每个环节都有利可图,违法成本低,非法所得却很高。

从事网络维护工作近20年的网络工程师王威说,政府网站常被公众认为是安全的,不法分子就委托黑客将木马挂到政府网上,这样一旦有人点击,就可以让该计算机中毒。委托者则通过盗取中毒电脑用户信息,比如游戏账号、银行密码等等,从中获利。或者直接把中毒计算机当成“肉鸡”,专门帮人发动商业攻击,让一些带宽较小的网站瞬间瘫痪。黑客也从中获得一定报酬,访问挂有木马的IP越多,收费就越贵。

政府网站为何成“僵尸”?重建设轻维护所致

记者了解到,公安部近年来对黑客攻击破坏活动进行了专项打击,取得了显著效果,但是为何政府网站被攻击的次数仍呈上升趋势?专家表示,大部分政府网站重建设轻维护,主动抵御攻击的能力还很脆弱。

王威说,出现这样的问题,说到底还是政府网站维护不足,一些部门认为自己的网站不起眼,没人会看,往往疏于管理。他自己曾为一个市级政府做网站维护,一整套的网站、服务器维护大概在20万元左右,他们以为交了这个钱就行了,想着做一锤子买卖。“实际上根本不是这回事,网站维护是一个长期动态过程,需要有人不间断的进行‘保养’”。

王威说,考虑到运营成本等问题,很多网站在建设后基本没有更新过,成了“僵尸网站”。“我们有时监测到针对一个网站的多起攻击行为,但是相关部门却一起都没发现。”

1.3 网贷平台脆弱频遭黑客攻击 或引入“安全系数”评级

据《新闻晚报》报道,受上海自贸区建立促进金融创新的利好,网络贷款行业又迎来一轮爆发式增长。据行业第三方网站网贷之家的创始人徐红伟介绍,迅猛发展的网贷平台也引来黑客的注意,已有多家平台遭遇黑客攻击,造成许多平台出现挤兑的现象。对此,徐红伟透露,行业内或将引入“安全系数”评级,一方面警示网贷平台提升自己的防护能力,另一方面也给投资人提供甄别平台的依据。

不少网贷平台防护能力为零

“目前许多互联网金融公司以业务为重,没有太多的互联网技术精英进行系统维护,在系统的技术和安全性方面存在很多问题。”在本次信息安全技能竞赛专家组的成员看来,目前以网络贷款为代表的一批互联网金融公司呈现遍地开花的态势,然而,这些公司由于投入有限,许多公司仅花费几万、十几万搭建了一个简单的平台就投入运营,对黑客的防护能力几乎为零。

专家表示,互联网金融领域的一些小公司,会涉及敏感信息,比如涉及投资者等隐私的资料,多数互联网金融做的数据保护无法像银行的第三方支付做得相对完善,一旦被黑客攻破了之后,造成的影响难以想象。“在本次信息安全技能竞赛上,黑客攻击是一个重点话题,很多大公司都非常重视,但这些初创的小公司根本无力投入。”专家提醒,网络贷款平台每天有大额现金地流入流出,一旦投资人的提现账户被修改,或者网贷平台的数据库被攻击,所有资料被抹掉的话,投资人很可能血本无归。

行业良莠不齐网贷评级发布

行业第三方网站网贷之家的创始人徐红伟网名“谨明”,是中国最资深的一批投资人代表。徐红伟表示,由于行业目前处于一个无门槛、无监管的状态,所以在快速发展的同时,伴随的是平台良莠不齐、乱象丛生,一些平台已逐渐偏离了P2P的本质,一些平台蕴含着不小的道德风险甚至法律风险,还有一些平台则在行欺诈投资人之事。而另一方面,许多刚刚接触到网贷行业的投资人面对上百家各式各样的网贷平台,往往会觉得迷茫而不知从何下手。

近日,网贷之家发布了首份针对网贷平台的评级报告。目前,网贷之家通过技术手段,每天抓取行业内最有代表性的平台的交易数据,并对这些数据进行分析。此次评级基于网贷之家采集的75家网贷平台公开信息和成交数据,根据这些数据,得出成交量、营收、人气、收益、杠杆、流动性、分散度、透明度、品牌等9项指标的评分,并加权得出各个网贷平台的综合指数。评级力求给投资人提供更多通过数据看平台的方法。

徐红伟透露,针对投资人最关心的平台是否安全,会否发生跑路风险等问题,网贷之家近期还会结合数据和实际调查,推出网贷平台的“安全系数”评级。届时,平台的技术支撑,防范黑客攻击能力等都是考量标准。

1.4 2003年,有人企图在Linux中植入后门

普林斯顿大学计算机科学教授Ed Felten回顾了2003年的一次企图在Linux内核中植入后门的事件。2003年,Linux内核使用BitKeeper作为源码管理系统。如果开发者想要修改Linux代码,他们需要先递交修改提议,然后由一个审批程序决定在源码原拷贝中是否接受这些改动。有些人不喜欢BitKeeper,所以第二份源码拷贝用CVS系统管理。

2003年11月5日,Larry McAvoy(开发BitKeeper的BitMover公司总裁)注意到CVS拷贝中的一个代码变动没有审批记录。调查发现,这一代码变动根本没有经过审批,也没有出现在BitKeeper管理的源码中。进一步调查发现,有人入侵了CVS服务器,在内核源码中插入了一个小改动

wait4: 'if ((options == (__WCLONE|__WALL)) && (current->uid = 0)) ...

‘它看起来似乎是一个无害的错误检查代码,但细心的读者会注意到,第一行最后是uid = 0而不是== 0,它实际上给予任何以某种本来被认为无效调用wait4的软件以root权限。换句话说,它是一个典型的后门程序。

没人知道是谁企图植入后门,至于是否是NSA所为也不得而知。

1.5 美国安局(NSA)最高机密的内容收集计划曝光

NSA标注为最高机密的内容收集计划(Contect Acquisition Optimization)曝光。该计划目标是包括美国公民在内的全球用户。读取你的邮件地址薄,爬取你的即时通讯软件的好友列表,每年收集2.5亿个电子邮件地址和即时通讯账号。

美国国安局(NSA)在世界范围内收集了上亿联系人信息,包括email地址、信息账号等,其中很多位美国公民。此为NSA最高机密。

在最近的一年里,NSA有关部门收集了yahoo 444,743,Hotmail 105,068,Facebook 82,857,Gmail 33,697条电子邮箱地址信息,而这可能只是冰山一角。

图片是华盛顿邮报披露的PPT截图


 

2 本周关注病毒

2.1 Trojan.Agent.gcm(木马病毒)

警惕程度 ★★

该病毒通过U盘,局域网,DLL劫持多种常用软件,感染压缩包格式的文件等手段传播;并利用不同手段关闭不同的杀毒软件。病毒具有一个生成器,可以随意定制下载地址和功能。

2.2 Trojan.Agent.gcl(木马病毒)

警惕程度 ★★

该病毒通过U盘,局域网,DLL劫持多种常用软件,感染压缩包格式的文件等手段传播;并利用不同手段关闭不同的杀毒软件。病毒具有一个生成器,可以随意定制下载地址和功能。

2.3 Backdoor.Win32.Farfli.af(‘Farfli’后门病毒)

警惕程度 ★★★★

该病毒运行后将将自我复制到%AllUsersProfile%目录下,并把自身重命名为svchost.exe。同时病毒会修改注册表,实现开机自启动。电脑一旦中毒,黑客即可对用户实行远程控制,包括监控用户显示屏、键盘、鼠标及摄像头,并向用户发送音频信息,控制电脑后台访问黑客指定地址并下载其他恶意程序。届时,用户将面临隐私信息泄露,网银账密被窃等风险。

 

3 安全漏洞公告

3.1 Oracle MySQL Server远程安全漏洞

Oracle MySQL Server远程安全漏洞

发布时间:

2013-10-15

漏洞编号:

BUGTRAQ ID: 63125
CVE(CAN) ID: CVE-2013-2750 CVE-2013-5793

漏洞描述:

Oracle MySQL Server是一个轻量的关系型数据库系统。
Oracle MySQL Server 5.1.70之前版本、5.5.32之前版本、5.6.12之前版本存在远程安全漏洞,此漏洞可通过MySQL协议利用,Optimizer子组件受到影响。远程攻击者可利用此漏洞造成拒绝服务。

安全建议:

Oracle已经为此发布了一个安全公告(cpuoct2013-1899837)以及相应补丁:
cpuoct2013-1899837:Oracle Critical Patch Update Advisory - October 2013
链接:
http://www.oracle.com/technetwork/topics/security/cpuoct2013-1899837.html

3.2 Oracle Database Server "Core RDBMS"组件远程安全漏洞

Oracle Database Server "Core RDBMS"组件远程安全漏洞

发布时间:

2013-10-15

漏洞编号:

BUGTRAQ ID: 63046
CVE(CAN) ID: CVE-2013-3826

漏洞描述:

Oracle Database Server是一个对象一关系数据库管理系统。它提供开放的、全面的、和集成的信息管理方法。
Oracle Database Server在Core RDBMS组件的实现上存在远程安全漏洞,此漏洞可通过Oracle Net协议利用,未经身份验证的远程攻击者可利用此漏洞影响下列版本的机密性、可用性:11.1.0.7, 11.2.0.2, 11.2.0.3, 12.1.0.1

安全建议:

Oracle已经为此发布了一个安全公告(cpuoct2013-1899837)以及相应补丁:
cpuoct2013-1899837:Oracle Critical Patch Update Advisory - October 2013
链接:
http://www.oracle.com/technetwork/topics/security/cpuoct2013-1899837.html

3.3 Oracle Database Server "XML Parser"组件远程安全漏洞

Oracle Database Server "XML Parser"组件远程安全漏洞

发布时间:

2013-10-15

漏洞编号:

BUGTRAQ ID: 63044
CVE(CAN) ID: CVE-2013-5771

漏洞描述:

Oracle Database Server是一个对象一关系数据库管理系统。它提供开放的、全面的、和集成的信息管理方法。
Oracle Database Server在XML Parser组件的实现上存在远程安全漏洞,此漏洞可通过Oracle Net协议利用,未经身份验证的远程攻击者可利用此漏洞影响所有受支持版本的机密性、可用性。

安全建议:

Oracle已经为此发布了一个安全公告(cpuoct2013-1899837)以及相应补丁:
cpuoct2013-1899837:Oracle Critical Patch Update Advisory - October 2013
链接:http://www.oracle.com/technetwork/topics/security/cpuoct2013-1899837.html

3.4 IBM SPSS Collaboration和Deployment Services存在未明任意代码执行漏洞

IBM SPSS Collaboration和Deployment Services存在未明任意代码执行漏洞

发布时间:

2013-10-13

漏洞编号:

 

漏洞描述:

D-Link DIR-100是集成了防火墙功能的小型宽带路由器。
DIR-100、DI-524、DI-524UP、DI-604S、DI-604UP、DI-604+、TM-G5240及几款Planex路由器BRL-04UR和BRL-04CW,所使用的固件v1.13版本中存在后门漏洞,如果浏览器的用户代理字符串为“xmlset_roodkcableoj28840ybtide”(没有引号),则无需身份验证即可访问路由器的Web接口,查看或者更改受影响设备设置。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.dlink.com/

3.5 Cisco Firewall Services Module本地权限提升漏洞

Cisco Firewall Services Module本地权限提升漏洞

发布时间:

2013-10-09

漏洞编号:

BUGTRAQ ID: 62918
CVE(CAN) ID: CVE-2013-5506

漏洞描述:

CISCO FWSM是CISCO设备上的防火墙服务模块。
Cisco Firewall Services Module的授权代码存在安全漏洞,经过身份验证但尚未授权的本地攻击者利用此漏洞可删除、修改、查看受影响系统任何上下文内的配置。此漏洞源于受影响系统配置为多个上下文模式后,对用户上下文内的某些管理命令没有进行有效的授权保护。

安全建议:

Cisco已经为此发布了一个安全公告(cisco-sa-20131009-fwsm)以及相应补丁:
cisco-sa-20131009-fwsm:Multiple Vulnerabilities in Cisco Firewall Services Module Software
链接:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20131009-fwsm