当前位置: 安全纵横 > 安全公告

一周安全动态(2013年11月07日-2013年11月14日)

来源:安恒信息 日期:2013-11

2013年11月第二周(11.07-11.14)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 CVE格式即将改变

CVE 的英文全称是“Common Vulnerabilities & Exposures”公共漏洞和暴露。CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个共同的名 字,可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据,虽然这些工具很难整合在一起。这样就使得CVE成为了安全信息共享的“关键 字”。如果在一个漏洞报告中指明的一个漏洞,如果有CVE名称,你就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息,解决安全问题。

过去的CVE-id通常是CVE-YYYY(年份4个数字)-NNNN(id4个数字)比如CVE-2013-0169,由于漏洞数量在急剧上升,当前的4位数最多能到9999,这显然不能应付目前的需求,从明年1月份开始的格式改成CVE-YYYY(4个数字)-id(至少4个数字,可以递增到无限)比如CVE-2014-1984或者CVE-2014-3921002,从"old good hacking day"到"This is cyber, sir"的范式的转移影响了安全领域的各个方面。

1.2 朝鲜黑客部队达1700人,金正恩称其是尚方宝剑

韩国国家情报院4日在国会情报委员会上透露,朝鲜建立了一支共约1700人的黑客组成的专门部队,加强网络战能力。

报道称,金正恩最近说过“网络战能力是与核武器和导弹共同保障我军打击能力的尚方宝剑”的话。据出席国会情报委员会的韩国议员称,朝鲜这支专门部队 被配置于朝鲜劳动党和国防委员会旗下。朝鲜还设立了以对外工作部门“侦察总局”为中心的“网络司令部”。韩国国家情报院分析认为,约4200名工作于朝鲜 计算机中心(KCC)、对外身份为软件开发的相关技术人员将成为网络战的支援力量,“朝鲜已经建立起一个防止事态发生的网络攻击组织。”

朝鲜设立以网络研究所为主的网络司令部,并设置了7个由国防委员会和朝鲜劳动党内共约1700名重要工作人员组成的黑客组织。

朝鲜正动用劳动党统战部、宣传部、国防部和国家安全保卫部等部门展开对韩网络宣传战攻势,225个部门在对韩实施心理战。

1.3 新加坡总理警告匿名黑客组织:不要惹我们!

在上周五,美国著名黑客组织匿名者(Anonymous)在Youtube上发表视频,宣布为新闻自由对新加坡政府发动网络攻击。带着面具的发言者称,每次新加坡政府剥夺公民的知情权,匿名组织将通过网络攻击给政府在经济上造成损失。

近日,新加坡总理李显龙在一份声明中表示,新加坡政府将不遗余力的追查扬言要袭击该国基础设施的黑客。

但是匿名黑客似乎并不买账,在李总理发布声明之后,随后入侵了总理的网站,如在首页涂鸦如下:

Anonymous SG was here Biatch! Its great to be a Singaporean Today.

随后总理府网络人员紧急维护,一段时间该网站无法打开,如下图:

1.4 英国举行大规模网络攻防演习,代号“醒鲨2”

周二晚上,数十名银行人士、监管机构和政府官员将聚集在伦敦市中心的Plaisterers大厅,评估伦敦如何应对一系列网络破坏活动,如对证券交易所和社交媒体电脑系统的大规模攻击。这次“网络军演”旨在测试伦敦金融市场对网络破坏者的防御能力。
除了Plaisterers大厅外,数百位其他人士也将在自己的办公室里参加这次代号为醒鲨2(Waking Shark II)的测试。一位消息人士称,模拟演习将关注于证券市场,以及银行和企业与政府的沟通和协调,和他们之间相互的沟通和协调。此前纽约也曾搞过一次代号为量子黎明2的演习。这2次演习都是世界上同类中规模最大的。

毕马威信息保护及业务弹性小组合作伙伴史蒂芬·邦纳(Stephen Bonner)表示:“现在黑客攻击普遍存在,攻击者包括从高智商个人到尖端复杂的国家政权,目标包括从安全要求高的处理系统到价格敏感的交易数据。这次 演习是在我们的网络防御遭到真正攻击前消除漏洞的好机会。”这次在伦敦的演习由英格兰银行、财政部和金融市场行为监管局联合举行。

参与这次测试的机构还包括巴克莱银行、法国巴黎银行、美国银行、瑞士信贷、德意志银行、高盛、汇丰银行、摩根大通、伦敦证券交易所、摩根士丹利、野村、苏格兰皇家银行、瑞士联合银行等。

据英国安全机构称,几年来伦敦上市公司因网络攻击而损失了8亿英镑(约合12.9亿美元)。伦敦律师事务所SJ Berwin的合伙人安德鲁·温菲尔德(Andrew Wingfield)称,醒鲨2的结果将影响英国未来的监管法规。他表示:“更直接的结果是,将确认或拷问英国作为投资安全地和金融服务全球领先者的地 位。”

1.5 俄罗斯核电站和国际空间站曾感染Stuxnet蠕虫

卡巴斯基创始人Eugene Kaspersky透露,俄罗斯的一座核电站曾感染Stuxnet蠕虫。 Stuxnet是至今创造最复杂的恶意程序之一,设计感染和破坏伊朗Natanz核工厂的铀浓缩设施,幕后作者被认为是美国和以色列。Stuxnet被认为是通过U盘感染了Natanz核工厂的计算机系统,该工厂的计算机网络不与外界连接。俄罗斯的这个未指明的核电站也没有与外网连接,推测可能也经由U盘感染。卡巴斯基认为,开发Stuxnet、 Gauss、Flame和Red October等恶意程序的成本可能高达千万美元。他还指出,中国恶意程序作者不怎么关心安全,会在托管恶意程序的服务器上储存社交帐号和个人照片。

卡巴斯基还提及国际空间站运行Windows XP的笔记本曾感染了W32.Gammima.AG蠕虫。国际空间站笔记本系统目前已经切换到了Debian 6。

 

2 本周关注病毒

2.1 Worm.Script.VBS.Agent.ca(蠕虫病毒)

警惕程度 ★★

病毒运行后查找主流杀毒软件进程,并尝试将其结束。同时病毒还将修改用户的注册表,以便实现开机自启动。除此之外,该病毒还在后台连接黑客指定网址,并为恶意网址刷流量,占用大量网络资源。用户一旦中毒,有可能出现网络拥堵等现象。

2.2 Trojan.Win32.Fednu.upu(木马病毒)

警惕程度 ★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.3 Backdoor.Win32.SRat.add(‘SRat’木马病毒)

警惕程度 ★★★

病毒运行后将自身设置为开启自启动,查找电脑内安装的安全软件,并模拟鼠标点击允许按钮,以规避安全软件的扫描。同时,病毒将连接黑客指定网址,上传电脑信息,并向黑客开放后门。用户电脑一旦中毒,将沦为肉鸡,成为黑客攻击他人的工具,同时还将面临隐私信息泄露、网银账密被窃等风险。

 

3 安全漏洞公告

3.1 IBM WebSphere Portal URL操作信息泄露漏洞

IBM WebSphere Portal URL操作信息泄露漏洞

发布时间:

2013-11-14

漏洞编号:

CVE ID: CVE-2013-5454
BUGTRAQ ID: 63643

漏洞描述:

IBM WebSphere Portal提供了一个组合应用程序或业务mashup框架,并且提供了一种高级工具来构造灵活的,基于SOA的解决方案。
IBM WebSphere Portal存在一个URL操作漏洞,允许远程攻击者利用漏洞提交特殊URL,查看任意文件和目录内容,获得系统敏感信息。

安全建议:

用户可参考如下厂商提供的安全公告获得补丁信息:
http://www-01.ibm.com/support/docview.wss?uid=swg21655656

3.2 IBM WebSphere Portal跨站脚本漏洞

IBM WebSphere Portal跨站脚本漏洞

发布时间:

2013-11-14

漏洞编号:

CVE ID: CVE-2013-5378
BUGTRAQ ID: 63641

漏洞描述:

IBM WebSphere Portal提供了一个组合应用程序或业务mashup框架,并且提供了一种高级工具来构造灵活的,基于SOA的解决方案。
IBM WebSphere Portal存在一个未明跨站脚本漏洞,允许通过验证的远程攻击者利用漏洞注入恶意脚本或HTML代码,当恶意数据被查看时可获取敏感信息或者劫持用户会话。

安全建议:

用户可参考如下厂商提供的安全公告获得补丁信息:
http://www-01.ibm.com/support/docview.wss?uid=swg24034497

3.3 lighttpd远程拒绝服务漏洞

lighttpd远程拒绝服务漏洞

发布时间:

2013-11-15

漏洞编号:

CNVD ID: CVE-2013-4560
BUGTRAQ ID: 63686

漏洞描述:

lighttpd是一款HTTP服务程序。
lighttpd存在远程拒绝服务漏洞。成功利用此漏洞可能允许攻击者会导致应用程序崩溃,从而导致拒绝服务。

安全建议:

请安装厂商已发布的最新版本或补丁:
http://www.lighttpd.net/

3.4 IBM Java存在未明任意代码执行漏洞

IBM Java存在未明任意代码执行漏洞

发布时间:

2013-11-12

漏洞编号:

CVE ID: CVE-2013-5458
BUGTRAQ ID: 63620

漏洞描述:

IBM Java是所有IBM计算平台上使用的应用开发Java编程语言。
IBM Java存在一个未明安全漏洞,允许远程攻击者利用漏洞执行任意代码。

安全建议:

IBM Java 6 SR15, 6.0.1 SR7, 7 SR6已经修复该漏洞,建议用户下载更新:
http://www.ibm.com/us/en/

3.5 多个Android Superuser软件包任意命令执行漏洞

多个Android Superuser软件包任意命令执行漏洞

发布时间:

2013-11-13

漏洞编号:

BUGTRAQ ID: 63712
CVE(CAN) ID: CVE-2013-6769

漏洞描述:

Superuser是管理设备超级用户访问权限的应用。
CyanogenMod Superuser 1.0.2.1、ClockWorkMod Superuser 1.0.2.1、Koush Superuser 1.0.2.1等多个Android Superuser软件包存在任意命令执行漏洞,攻击者可利用此漏洞以root权限执行任意命令。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.google.com
https://play.google.com/store/apps/details?id=com.noshufou.android.su&hl=zh_CN