当前位置: 安全纵横 > 安全公告

一周安全动态(2013年11月21日-2013年11月28日)

来源:安恒信息 日期:2013-11

2013年11月第四周(11.21-11.28)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 黑客或在Windows XP到期后放出大量漏洞

Windows XP的“死期”在一定程度上或许也将成为一些不法分子的“幸运日”,因为他们准备靠收集的漏洞大捞一笔。

Fortinet日前发布报告称,大部分黑客在掌握了0day漏洞的之后并不会现在就将其放出,因为微软会及时的进行修复和打击。但是一旦等待XP系统结束支持,这些黑客就会把这些漏洞拿出来牟利。


Windows XP

由于到明年的4月8日微软就会停止对Windows XP支持,所以届时即使黑客们将漏洞放出来攻击该系统,微软也管不到了。而正因为这样,这些漏洞也将会卖出很高的价格。

Fortinet表示这些漏洞可能不会用来攻击普通用户的系统,而是直接针对具有较高商业价值的企业和个人。

面对这一情况,最好的办法就是将系统升级到更高的版本,比如Win7和Win8。当然对于那些不怕死的,也就只能自求多福了。

1.2 Stuxnet秘密的双胞胎兄弟

德国知名工业控制系统安全专家 Ralph Langner发表了Stuxnet蠕虫的最新研究报告(PDF),在《外交政策》上发表了一篇概述介绍了Stuxnet秘密的双胞胎兄弟。Langner指出,Stuxnet有两个攻击程序,外界熟知的能改变伊朗Natanz核工厂铀浓缩离心机转子速度的Stuxnet蠕虫其实是一个简化的版本,还有一个更复杂更隐秘的版本,后者才是原始版的Stuxnet。

第一个版本的Stuxnet样本早在2007年就被人递交给 安全公司,但当时并没有引起关注。相比后来外界熟知的版本,原版本采用了不同的攻击策略,它不是通过改变转子的速度破坏离心机,而是试图破坏保护系统过压 离心机。伊朗使用的铀浓缩离心机IR-1过时且不可靠,因此它安装了一个独特的级联保护系统,没有这个保护系统IR-1将会变得无用。

IR- 1是在1960年代后期由欧洲设计,1970年代初被巴基斯坦的A.Q.Khan窃取和少许改进。由于伊朗缺乏精密的制造工艺和高质量的关键零部件,它制 造的IR-1不很可靠,为此不得不降低运行压力减轻机械应力,减少转子磨损。原版的Stuxnet就是设计破坏这个级联保护系统,它巧妙伪装,其策略堪比 好莱坞电影:先以21秒的周期记录保护系统传感器的数值,然后在执行攻击期间循环转发记录的21秒数据。因此在控制室,一切仿佛无比正常,人类操作员和软 件警告系统都不会注意到异状。

离心机过压攻击的效果并不明朗,攻击者因而在2009年发布一个新版本,采用了不同的攻击方法,更容易传播,更容易被发现。根据后来被曝光的奥林匹克计划,第一个版本可能是NSA开发的,而第二个版本可能是以色列开发的。

1.3 Intel芯片存在后门,即使关机也可被入侵

Intel Core vPro大家并不陌生,它依靠Intel的主动管理技术(AMT)来实现,当开启该功能之后,即使在关机的情况下也能对电脑进行远程管理,可查看状态、安装、更新软件或系统、浏览磁盘文件等。如此强大而方便的管理技术也同时留下了巨大的安全威胁。

Intel Core vPro处理器包含一个的远程访问功能,即使在电脑关机的情况下,也可准确地访问该电脑。Core vPro 包含一个独立的物理处理单元ME并嵌入在CPU中,ME拥有独立的操作系统。只要电源充足,该ME即可以系统的幻影权限( system’s phantom power)运行,并访问任何硬件。

而NSA更喜欢该技术,如果他们获取到Intel的特权账号,就相当于拥有了世界各地PC的后门,即使这些电脑是关机的,也能畅通无阻。

文中还指出,Intel CPU在Sandy Brige之后,使用的 Anti Theft 3.0技术,将为每一个CPU嵌入3G通信模块。这就意味着你的电脑即使关机且断网,也存在被入侵的可能。即使你的内存拔掉了,vPro还是可以访问你的硬盘,因为ME中拥有自己的内存。即使你加密了硬盘,vPro还是可以解密硬盘,因为它在你加密时就抓取了硬盘的加密密钥。

Intel的ME功能的确很强大,除了上述的功能外,它还有一个功能就是代码动态加载执行,它可以加载并执行经过Intel签名的Java应用,这些应用可以是存储于磁盘中甚至是网站上。设想如果Intel给予了NSA的某些应用进行了授权签名,后果就是如下:

当然,上面的报道都没有直接的证据,不过IntelME的机制的确给黑客留下了很大的空间和价值。目前还未有针对该架构的漏洞爆出,但是很值得期待!

1.4 加拿大当局被曝放任美国监听G20

据新华社电加拿大广播公司27日晚些时候援引美国“棱镜”情报监视项目曝光者爱德华·斯诺登提供的文件报道,加拿大当局在2010年6月八国集团和二十国集团两个峰会在加拿大举办期间,允许美国机构从事监听活动。

加拿大广播公司在其网站上报道,斯诺登所提供的文件显示,八国集团和二十国集团峰会2010年在加拿大举办时,美国国家安全局把美国驻加拿大渥太华的使馆作为情报搜集指挥所,从事了大约一周的监听活动。

当时,美国总统奥巴马与多国与会领导人会晤。加拿大广播公司报道,斯诺登所提供的文件没有明确说明美国监听活动的具体对象,但美方监听计划“得到加拿大方面的密切协调”。

就上述报道,加拿大总理斯蒂芬·哈珀的一名发言人27日拒绝回应,称:“我们不就关联国家安全的合作事务发表评论。”

1.5 谷歌雅虎数据中心何以能够被监听:光缆没加密

《纽约时报》日前指出,美国国家安全局(NSA)被曝光监听谷歌和雅虎用户的通信,不需要侵入两家公司的数据中心,而只需截取这些公司分布在世界各地的数据中心连接起来的光纤电缆信息。该报道称,美国的光纤电缆归属于沃达丰、Verizon通讯、英国电信和Level 3通信等公司,而谷歌和雅虎所使用的光纤电缆则归属于Level3通信。

《纽约时报》指出,互联网公司的数据中心时时刻刻均处于警戒状态,拥有最先进的监控设备,包括热传感器和虹膜扫描仪等。但是当数据在连接数据中心之间的光纤电缆上进行传输时,并没有被加密,所以美国国家安全局就能够在雅虎、谷歌等公司不知情的情况下,获取到数据信息。

Level3通信就此表示,“遵守各国的法律是我们的政策和惯例。当我们被要求依据法律提供数据信息时,我们才会准许该国政府机构接入客户数据。我们同美国国土安全部、司法部和国防部签署了一项协议,以应对美国政府在国家安全和执法方面的种种担忧。该协议对我们提出了一系列重要的要求,涉及信息的储存与管理、流量管理、人员筛查及其他。《纽约时报》在报道中引用了美国政府过去的数种监听手段,最早始于情报机构对电报通讯方式的监控。另一个案例则是上世纪60年代代号为“梯阵”(Echelon)的监听网络,使用卫星、微波和光纤电缆来监控前苏联及其加盟共和国的语音、传真和数据通信。

《纽约时报》进一步指出,前国家安全顾问约翰·鲍因德克斯特(John Poindexter,任职于罗纳德·里根政府时期)在2002年曾提出“全面信息知悉”计划(Total Information Awareness)。该计划希望扫描所有的电子信息,包括手机、电子邮件、财务和旅行记录等。最终,该计划构想在2003年夭折。不过美国国家安全局被曝光的监听项目,如“棱镜”和“布尔河”(Bullrun),均与鲍因德克斯特的“全面信息知悉”计划非常类似。

谷歌和雅虎表示,如今当数据在数据中心之间的光纤电缆上运行时,他们已经对其进行了加密。谷歌董事会执行主席埃里克·施密特(Eric SchMIDt)在本月表示,“如果美国国家安全局真的在监控谷歌的数据中心,这是一种及其恶劣的行为。如果政府机构为了实现其使命而采取的措施存在侵犯用户隐私的风险,那就不对。斯诺登的揭秘已经告诉我们,未来肯定会有更多信息泄露。”

 

2 本周关注病毒

2.1 Trojan.Win32.Fednu.uqb(木马病毒)

警惕程度 ★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.2 Trojan.Win32.Fednu.uqc(木马病毒)

警惕程度 ★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.3 Backdoor.Win32.Serv.w(‘Serv’后门病毒)

警惕程度 ★★★★

病毒运行后将自身复制到“%AllUsersProfile%\「开始」菜单\程序\启动”目录下,并通过修改注册表实现开机自启动。同时,病毒还会查找并关闭国内外主流杀毒软件,监视用户的显示器信息和键盘、鼠标操作信息。用户电脑一旦中毒将沦为黑客“肉鸡”,硬盘中存储的隐私信息、机密文件及用户进行网银操作时使用的用户名、密码、动态密码等信息均面临严重泄露的风险。

 

3 安全漏洞公告

3.1 Apache Roller OGNL表达式注入远程代码执行漏洞

Apache Roller OGNL表达式注入远程代码执行漏洞

发布时间:

2013-11-27

漏洞编号:

BUGTRAQ ID: 63928
CVE(CAN) ID: CVE-2013-4212

漏洞描述:

Apache Roller是适合于博客站点的多用户博客群服务器。
Apache Roller 5.0.2之前版本在实现上存在OGNL注入漏洞,因为使用ActionSupport.getText方法的方式不正确,所有UIAction控制器中存在OGNL注入,远程攻击者可利用此漏洞控制服务器端对象并在受影响应用中执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://httpd.apache.org/

3.2 Apache Solr 'SolrResourceLoader'目录遍历漏洞

Apache Solr 'SolrResourceLoader'目录遍历漏洞

发布时间:

2013-11-28

漏洞编号:

CVE ID: CVE-2013-6397
BUGTRAQ ID: 63935

漏洞描述:

Apache Solr是一个开源的搜索服务器。Solr使用Java语言开发,主要基于HTTP和ApacheLucene实现。
Apache Solr 'SolrResourceLoader'存在目录遍历漏洞。远程攻击者可以通过目录遍历字符('../')来访问包含敏感信息的任意文件来利用此漏洞。在某些情况下,攻击者还可以通过上传任意文件到受影响的服务器上执行任意代码。

安全建议:

用户可联系供应商获得补丁信息:
http://www.apache.org/

3.3 Apache Subversion mod_dontdothat路径匹配安全绕过漏洞

Apache Subversion mod_dontdothat路径匹配安全绕过漏洞

发布时间:

2013-11-28

漏洞编号:

BUGTRAQ ID: 63966
CVE ID: CVE-2013-4505

漏洞描述:

Apache Subversion是一款自由/开源版本控制系统。
Apache Subversion存在安全绕过漏洞。由于应用程序对配置的路径否认匹配时,未能正确地检查所提供的路径,攻击者可以利用漏洞来绕过预期的限制,例如:由于占用系统资源过多。

安全建议:

用户可参考如下供应商提供的安全公告获得补丁信息:
http://subversion.apache.org/security/CVE-2013-4505-advisory.txt

3.4 JBoss Operations Network配置文件可读本地信息泄露漏洞

JBoss Operations Network配置文件可读本地信息泄露漏洞

发布时间:

2013-11-28

漏洞编号:

BUGTRAQ ID: 63916
CVE ID: CVE-2013-4452

漏洞描述:

JBoss Operations Network是一款集成的中间件管理平台用以简化应用的生命周期中的开发、测试、部署和监控。
用于JBoss Operations Network服务器和客户端的配置文件默认全局可读,允许恶意本地用户读取文件内容获取敏感信息,如各种验证凭据。

安全建议:

用户可参考如下厂商提供的安全公告获得补丁信息:
https://rhn.redhat.com/errata/RHSA-2013-1762.html

3.5 HP 2620交换机'html/json.html'跨站请求伪造漏洞

HP 2620交换机'html/json.html'跨站请求伪造漏洞

发布时间:

2013-11-25

漏洞编号:

BUGTRAQ ID: 63690
CVE ID: CVE-2013-6852

漏洞描述:

HP 2620 switches是惠普公司开发的交换机设备。
HP 2620 switches html/json.html存在一个跨站请求伪造漏洞,允许攻击者利用漏洞通过 setPassword方法,构建恶意URI,诱使用户解析,可以目标用户上下文执行恶意操作,如更改管理员密码等。

安全建议:

目前没有详细解决方案提供:
http://www.hp.com