当前位置: 安全纵横 > 安全公告

一周安全动态(2013年11月14日-2013年11月21日)

来源:安恒信息 日期:2013-11

2013年11月第三周(11.14-11.21)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 少年黑客制木马控制上千家网站

近日,淮南市田家庵区法院开庭审理我省首例未成年人非法控制计算机信息系统案,几名在校学生利用木马病毒非法牟利最终将受到法律惩处。

公诉机关指控,被告人荣某(未成年)自2012年6月以来利用木马程序非法控制网站1600余家、非法控制计算机系统22台;刘某(已成年)非法控制网站1000余家、非法控制计算机系统21台。

2012年5月24日,省公安厅网安总队通报淮南市公安局称,有群众举报有人在QQ群中大肆兜售该市等20多家政府网站控制权限。后淮南市公安局又接到淮南市地震局等网站被入侵的线索,随即展开相关调查工作。通过多方侦查将犯罪嫌疑人荣某和刘某抓获。

经查,荣某系浙江资阳人,现为浙江省嘉兴市秀水职业技术学院在校学生。荣某交代,他将写好的带有自己设置好后门的木马程序放在QQ群或论坛中供网友免费下载使用,其QQ好友帮助其制作SHELL箱子和修改木马程序,当有网站控制权限的计算机在网站上下载了含有木马病毒的文件,木马程序即会盗取网站管理员的账号及密码发送至SHELL箱子内。这样,荣某便获得了网站的管理权限,并将这些网站的控制权限卖给需要做网站优化和推广的人员,从中获取利益3000余元。

荣某将获取的部分网站的控制权限送给了一位网友,网友又以每个控制权限5毛钱的价格卖给了刘某。刘某在获得这些网站的控制权限后,篡改管理后台,在网站上挂设私服网站链接、悬挂广告、骗取网站点击率等,以此获利近5000元。其他涉及本案的人员因未达到追刑标准未被公诉。

在庭审过程中,两被告人均对自己的犯罪行为供认不讳,且有悔罪表现,本案当庭未宣判。

1.2 Nginx爆发超级漏洞,已修复

近日,Nginx官方更新邮件列表,对外通报Nginx0.8.41-1.5.6版本存在两类高危漏洞,经过安全机构研究团队确认,漏洞确实存在。

使用受影响版本Nginx的网站主要面临以下风险:

(1)通过Nginx规则限制后台地址访问IP、数据库等敏感地址访问的网站如果使用受影响版本,可能会造成限制失效。

(2)网站存在上传功能,攻击者可以上传存在恶意代码的图片、txt、html文件即可向网站植入后门。

据官网提供的信息,该问题已经在Nginx 1.5.7和1.4.4版本中修复。

1.3 遭JBoss漏洞破坏,23000台服务器“中招”

十月初,安全研究员Andrea MIcalizzi在多家厂商(包括惠普,McAfee,赛门铁克和IBM)使用4.X和5.X JBoss的产品中发现了一个漏洞并将之发布。黑客可以利用该漏洞(CNNVD-201309-198)在EJBInvokerServlet或JMXInvokerServlet的JBoss部署上安装一个任意应用。

Micalizzi利用该漏洞安装了一个名为pwn.jsp的Web Shell应用,该应用可通过HTTP请求在操作系统上执行Shell命令。可以通过OS的用户身份许可从而运行JBoss,而在一些JBoss部署案例中,甚至可以拥有较高的权限,如管理员。

来自安全公司Imperva的研究员最近检测到针对JBoss服务器的攻击有所增加,这些攻击利用Micalizzi所说的漏洞安装了原始的pwn.jsp shell,不仅如此还有更复杂的名为JspSpy的 Web Shell。在JBoss服务器上运行的200多个站点,包括那些隶属于政府和大学的站点,都被这些Web Shell应用入侵和感染。

实际情况更为严重,因为Micalizzi所说的漏洞源自不安全的默认配置,这些配置使得JBoss管理界面和调用程序暴露在未经验证的攻击之下,这一问题已经存在多年了。

2011年,在一份关于JBoss因安装不当被黑的报告中,Matasano Security的安全研究员在谷歌搜索的基础上估计约有7300台有潜在漏洞服务器。

据Shteiman透露,管理界面暴露到互联网的JBoss数量翻了三倍,达到了23000。这种增长的原因之一或许是人们完全了解与此问题相关的风险,不过却一直以不安全的方式部署安装JBoss。而且,有些厂商推出产品的时候,本身就使用了不安全的JBoss配置,如不能抵挡Micalizzi漏洞利用的产品。

存在CNNVD-201309-198漏洞的产品包括McAfee Web Reporter 5.2.1,惠普ProCurve Manager 3.20和4.0,惠普PCM+ 3.20和4.0,惠普 Identity Driven Manager 4.0,Symantec Workspace Streaming 7.5.0.493和IBM TRIRiGA。 还未发现有其他厂商的产品上有此漏洞。

JBoss由Red Hat开发,最近更名为WildFly。最新的版本是7.1.1,不过据Shteiman透露,许多企业因兼容性的问题而仍使用JBoss 4.X和5.X版本,因为他们要运行的应用是为旧版的JBoss而研发。这些企业应该到JBoss社区网站查询确保JBoss的安全安装。

IBM也对此漏洞做出响应,提供了安全安装JMX Console和EJBInvoker的信息。

1.4 新的Linux后门隐藏通信协议

日前,赛门铁克发布博客称,在五月的一次安全事件中,发现一名黑客入侵了一个大型物联网托管服务商,并且在内部管理系统上使用了一个有意思的Linux后门 – Fokirtor。

经过赛门铁克研究发现,该后门能够伪装它的通信流量,并伪装成正常的SSH通信流量。该后门支持攻击者运行常用的功能,如执行远程命令、反向链接到C&C服务器,Fokirtor能够监控SSH网络流量,如果检测到流量中存在冒号、感叹号、分号、句号(“:!;.”),一旦检测到流量存在这些字符,Fokirtor代码能够解析除这些字符之外的流量,然后提取经过Blowfish和Base64加密的命令。

当服务器感染该后门后,它从机器上收集以下信息:

1、主机名和IP地址

2、端口

3、密码

4、SSH密钥

5、用户名

收集之后对信息进行加密,并发送到攻击者的C&C服务器。

赛门铁克分析师表示,要识别网络中是否存在该后门,可以看流量中是否包含了感叹号字符,正常的SSH流量中是不会包含感叹号的。

1.5 FBI警告美国政府:“匿名者”黑客团体来了

据路透社报道,本周FBI对美国政府发出警告,“匿名者”黑客团体已经秘密侵入美国政府多个机构的电脑中窃取敏感信息,他们的行动已持续了几近一年之久。

据路透社所接触的FBI备忘录称,去年12月份起,黑客利用Adobe软件漏洞,发动数次入侵,并预留“后门”通道,以便黑客重返电脑系统。近期的一次入侵行为发生在今年10月份。

备忘录将这些攻击行径描述成“影响范围广、亟待解决的问题”,波及了美国陆军、能源部以及卫生和公众服务部,甚至其他许多机构。

政府当局相信这些入侵行为仍在持续。调查者就波及范围收集了相关信息。系统管理员可从备忘录中得知,应从何处入手进行系统排查,以判定系统是否被黑客入侵。

一名FBI发言人拒绝就此事详加说明。

据消息人士称,被窃数据包括至少10.4万名能源部员工、承包商、家属和其他相关人士的个人信息以及2万个银行账户的资料。遗失的银行资料可能导致银行盗窃,这一点颇令人担忧。

FBI表示,这些入侵行为与劳里?拉夫(Lauri Love)有关。劳里于10月28日被控侵入美政府计算机。调查者认为,劳里及其同伙利用了Adobe ColdFusion软件的安全漏洞。

Adobe发言人希瑟?埃德尔(Heather Edell)表示,她对FBI的报告并不知情。她还补充,Adobe公司查知,大多数受到攻击的软件并未使用最新的安全补丁进行更新。

黑客方面称,他们的行动目的之一是为了报复美国当局对某些黑客的不当控诉,其中包括在对亚伦?斯沃茨的审判中量刑过度。斯沃茨是一名程序员,被指控从数字图书馆JSTOR非法下载大量学术期刊文章,在审判前自杀身亡。

 

2 本周关注病毒

2.1 Worm.Script.VBS.Agent.ca(蠕虫病毒)

警惕程度 ★★

病毒运行后查找主流杀毒软件进程,并尝试将其结束。同时病毒还将修改用户的注册表,以便实现开机自启动。除此之外,该病毒还在后台连接黑客指定网址,并为恶意网址刷流量,占用大量网络资源。用户一旦中毒,有可能出现网络拥堵等现象。

2.2 Trojan.Win32.Fednu.upw(木马病毒)

警惕程度 ★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.3 Worm.Win32.Agent.vq(‘Agent’蠕虫病毒)

警惕程度 ★★★★

该病毒运行后将把自己拷贝到%system%\txomou.exe,并把属性设为隐藏,修改注册表实现开机自启动。同时,病毒还将从黑客指定网址下载其他恶意程序至用户电脑,并感染htm文件,使用户在浏览网页时打开黑客指定网址。用户电脑一旦中毒,将成为黑客为恶意网站刷流量的工具,同时还将面临隐私信息泄露,网银账密被窃等风险。

 

3 安全漏洞公告

3.1 Open Flash Chart 'get-data'参数跨站脚本漏洞

Open Flash Chart 'get-data'参数跨站脚本漏洞

发布时间:

2013-11-21

漏洞编号:

BUGTRAQ ID: 59928

漏洞描述:

OpenFlashChart是一款开源的以Flash和Javascript为技术基础的免费图表,用它能创建一些很有效果的报表分析图表。
Open Flash Chart存在跨站脚本漏洞。由于程序未能过滤用户提供的输入,攻击者可以利用这个漏洞来执行任意脚本代码。这可能帮助攻击者窃取基于cookie的身份验证凭证和发射其他攻击。

安全建议:

目前没有详细解决方案提供:
http://openflashchart.com/

3.2 ZK Framework URL跨站脚本漏洞

ZK Framework URL跨站脚本漏洞

发布时间:

2013-11-19

漏洞编号:

CVE ID: CVE-2013-5966
BUGTRAQ ID: 63747

漏洞描述:

ZK Framework是一款开源的Ajax+mobile java WEB架构,集成jQuery, Spring, JPA, Hibernate, JavaEE, Grails, Scala等。
ZK Framework未能正确过滤用户提交的URL数据,允许远程攻击者利用漏洞构建恶意URI,诱使用户解析,当恶意数据被查看时可获取敏感信息或者劫持用户会话。

安全建议:

ZK Framework 5.0.13已经修复该漏洞,建议用户下载更新:
https://github.com/zkoss/zk

3.3 nginx URI处理安全限制绕过漏洞

nginx URI处理安全限制绕过漏洞

发布时间:

2013-11-21

漏洞编号:

BUGTRAQ ID: 63814
CVE ID: CVE-2013-4547

漏洞描述:

Nginx是HTTP及反向代理服务器,同时也用作邮件代理服务器,由Igor Sysoev编写。
nginx 0.8.41-1.5.6验证包含未转义空间字符的URI时,在实现上存在远程安全限制绕过漏洞,攻击者可利用此漏洞绕过某些安全限制并执行未授权操作。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://nginx.org/en/download.html
http://mailman.nginx.org/pipermail/nginx-announce/2013/000125.htm

3.4 Nagios XI 'tfPassword'参数SQL注入漏洞

Nagios XI 'tfPassword'参数SQL注入漏洞

发布时间:

2013-11-19

漏洞编号:

BUGTRAQ ID: 63754

漏洞描述:

Nagios是一款免费开放源代码的主机和服务监视软件。
Nagios XI /nagiosql/index.php脚本不正确过滤用户通过"tfPassword" POST参数提交的输入,允许远程攻击者利用漏洞提交特制SQL查询,可获取或操作数据库。

安全建议:

Nagios XI 2012R2.4已经修复该漏洞,建议用户下载更新:
http://www.nagios.com/products/nagiosxi

3.5 IBM WebSphere Application Server管理控制台存在未明反射型跨站脚本漏洞

IBM WebSphere Application Server管理控制台存在未明反射型跨站脚本漏洞

发布时间:

2013-11-19

漏洞编号:

BUGTRAQ ID: 63778
CVE(CAN) ID: CVE-2013-5418

漏洞描述:

IBM WebSphere Application Server是一款商业性质的WEB应用服务程序。
IBM WebSphere Application Server管理控制台由于不正确校验用户提交的输入,允许远程攻击者利用漏洞构建恶意URI,诱使用户解析,当恶意数据被查看时可获取敏感信息或者劫持用户会话。

安全建议:

IBM WebSphere Application Server 8.0.0.8, 8.5.5.1, 7.0.0.31已经修复该漏洞,建议用户下载更新:
https://www-304.ibm.com/support/docview.wss?rs=180&uid=swg27004980