当前位置: 安全纵横 > 安全公告

一周安全动态(2013年12月05日-2013年12月12日)

来源:安恒信息 日期:2013-12

2013年12月第二周(12.05-12.12)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 曝NSA利用Google Cookie定位监控对象

据《华盛顿邮报》最新解读,NSA秘密利用互联网广告商的消费者追踪工具,通过cookoie和地理数据来锁定政府所要监控的对象。根据NSA前通讯员斯诺登提供的幻灯片可以发现,那些为互联网广告商所利用的用户数据追踪技术同样也为政府情报机构“开了一道大门”。

多年来,提倡隐私保护权者就一直对商用用户数据追踪技术的使用感到担忧。不过,那些身在其中的商家们则辩解他们的行为并非出于恶意,他们希望通过这样的方式 来为消费者提供更好的产品推荐。而现在曝光出NSA盗用商家们的这种追踪技术无疑让这些倡导者们更加坚定了他们对这种在线数据追踪技术的质疑。

《华盛顿邮报》表明,NSA和英国GCHQ都在利用互联网广告商存放在计算机中的文件或cookie来获得数据。NSA发现,Google特有的追踪技术 --PREF cookie虽然不包含任何诸如姓名、邮箱地址的个人信息,但它们却有数字代码,这些代码可以让Google锁定某一名用户的浏览器,NSA同样也能利用 这种技术实现以上功能。

除了追踪用户的Web访问数据之外,cookie还能帮助NSA在茫茫互联网数据海洋中找出目标人的通信信息,进而向其设备发送攻击该名用户电脑的软件。虽然这份幻灯片资料并未提及NSA进行该种攻击的详细内容,但可以肯定的是,这个情报机构是可以远程实行攻击的。

另外,文件中还显示,NSA利用这种商用技术收集移动设备的定位数据。现在很多在iPhone和Android设备上运行的软件以及iOS和Android这两个系统本身都会悄悄地追踪每台设备的地理位置。

遗憾的是,此次曝光的文件并未描述NSA是如何得到Google PREF cookies,但《邮报》指出,NSA通过cookie收集用户数据的行动都是通过《外国情报监控法案》准许的。

NSA对《邮报》此次曝光的信息仍坚持以往的态度--机构的数据收集行动都是在法律许可范围内进行的。谷歌则拒绝做出回应。

1.2 美国执法部门2012年以2600万美元向通信公司购买了110万条信息

据外媒报道,美国议员Edward Markey在对美国境内手机监控的调查过程中发现,美国警方2012年用2600万美元向多家电信公司购买了110万条语音邮件及短信。涉 及其中的电信商家包括了US Cellular、Sprint Nextel、T-Mobile USA、Leap Wireless/Cricket Communications、MetroPCS、 Verizon、AT&T、C Spire Wireless。

而在2011年所进行的一次相类似调查中,Markey当时统计出的却有130万条。那么为什么2012年的购买记录反倒会比11年低了呢?Markey表示,产生这一情况的原因则是Sprint未向其提供准确的数字。

在执法部门搜集走的这些信息中很多则都是非911级别的紧急数据、实时数据、历史数据、短信、语音邮件、以及没有传票或许可的请求数据。

Markey称,“执法部门使用新技术保护公共安全,而我们则需要保护部分民众不会沦为无辜受害者,我们必须要保护好他们的信息。”这位议员希望未来能有相关的法案来 监管这些执法部门的通信数据收集行动,比如明文规定执法部门可从电信公司得到的数据类别、减少或停止发射塔数据转储、通信运营商可持用户数据的最长期限等等。

1.3 美国安局涉监视魔兽世界并进行间谍活动

据科技博客报道,美国国家安全局和中央情报局涉嫌招募魔兽世界和Second Life玩家进行间谍活动。互联网的广阔,导致没有一个国家能够完全对其掌控。但是这并没有击退美国国家安全局和中央情报局。他们甚至从网络游戏中寻找任何进行间谍活动的可能。

一份名为“World of Spycraft:国家安全局和中央情报局监视网络游戏”的文章勾画了由美国国家安全局和中央情报局主导的间谍游戏。美国情报机构试图杜绝恐怖分子或犯罪分子尝试使用匿名虚拟环境进行交流、转移资金或阴谋袭击的可能。

像魔兽世界一样的虚拟世界炙手可热,数以百万计的玩家每个月登录游戏与其他玩家在线对战、获取虚拟宝物。魔兽世界表示他有大约1200万付费用户超过希腊的 人口。美国情报机构早就担心这样的游戏会成为掩护恐怖分子或其他罪犯的温床。因为任何人都可以使用游戏中的邮件系统交换信息。

所以,美国国 家安全局和中情局就开始从它的全球情报网中提取“魔兽世界”的数据,试图追踪与伊斯兰极端主义和军火交易的有关的特定帐户和字符。当然,在线游戏有可能最 终转化为现实世界的间谍活动,因为“魔兽世界”的玩家包括全世界的“电信工程师、使馆司机、科学家、军队和其他情报机构的工作人员。”

“魔兽世界”不是唯一的目标。报告指出,情报机构已经成功得到Xbox Live上不同的游戏玩家之间的讨论。与此同时,许多美国间谍正围绕Second Life进行间谍活动。

动视暴雪公司和Second Life的制作公司林登实验室,以及微软公司均没有就此事发表评论。

1.4 恶意软件冒充微软IIS 收集用户表单数据

树大招风,而微软的Windows操作系统平台亦因为用户基数庞大,屡屡被别有用心的黑客们盯上。然而,最近看到的一个攻击案例,却与往常的不太一样。Trustwave SpiderLabs的一份报告指出,攻击者似乎已经找到了收集用户表单数据的新方法。该恶意软件实例,竟然是一个作为IIS(互联网信息服务器)而安装的DLL(动态链接库)。

安全人员解释到:"该恶意软件被攻击者用来引诱POST请求的敏感信息,并且有着泄露数据的机制。由于恶意软件本身会从IIS提取这些数据,所以规避了加密"。

尽管目前这类报道还不普遍,仅有的案例也是针对于银行信息,但是毫无疑问,所有安保公司都应该致力于更新功能,以便尽快甄别出这类恶意软件。

1.5 匿名黑客承认了2010年针对PayPal进行网络攻击的罪行

13名黑客已经承认了对其犯罪行为的指控——2010年的时候,他们涉入了PayPal和eBay拒绝处理面向WikiLeaks的支付的网络攻击。该黑客团体声称,其于2010年12月发起拒绝服务攻击的目的,旨在报复该在线支付公司停掉了向WikiLeaks进行捐款的通道。而WikiLeaks亦在其网站声称,PayPal这么做无异于试图在经济上扼杀它。

美国律师Attorney Melinda Haag于上周五在旧金山发表了声明:10名被告在周四承认了一项破坏受保护计算机和一项串谋的重罪,如果他们不违反自己的认罪协议,就能够获得较轻的量刑。其余三名被告亦承认进行了攻击,但是罪责较轻。

 

2 本周关注病毒

2.1 Trojan.Agent.gdf(木马病毒)

警惕程度 ★★

该病毒通过U盘,局域网,DLL劫持多种常用软件,感染压缩包格式的文件等手段传播;并利用不同手段关闭不同的杀毒软件。病毒具有一个生成器,可以随意定制下载地址和功能。

2.2 Trojan.Agent.gde(木马病毒)

警惕程度 ★★

该病毒通过U盘,局域网,DLL劫持多种常用软件,感染压缩包格式的文件等手段传播;并利用不同手段关闭不同的杀毒软件。病毒具有一个生成器,可以随意定制下载地址和功能。

2.3 Trojan.Spy.Win32.Gamker.a(‘Gamker’木马病毒)

警惕程度 ★★★★

该病毒运行后尝试关闭电脑中的杀毒软件,并调用电脑中的浏览器在黑客指定网址下载其他病毒。同时,病毒将检测BUH、BANK、ACCOUNT、CASH、KASSA、DIREK、FINAN、OPER、FINOTDEL、DIRECT、ROSPIL等网银相关的关键字,并且监控中毒电脑的进程,打开键盘监控功能,记录用户的账号和密码等信息,并通过明文的形式保存起来发送给黑客。用户电脑一旦中毒,将面临网银账户被洗劫的风险。

 

3 安全漏洞公告

3.1 PHP OpenSSL Extension 'openssl_x509_parse()'内存破坏漏洞

PHP OpenSSL Extension 'openssl_x509_parse()'内存破坏漏洞

发布时间:

2013-12-11

漏洞编号:

BUGTRAQ ID: 64225
CVE(CAN) ID: CVE-2013-6420

漏洞描述:

PHP是一种HTML内嵌式的语言。
PHP 5.3.27之前版本、5.4.22之前版本、5.5.6之前版本解析x.509证书时,"asn1_time_to_time_t()"函数(ext/openssl/openssl.c)出错,攻击者通过特制的x.509证书利用此漏洞可破坏内存。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.php.net
http://www.php.net/downloads.php
http://git.php.net/?p=php-src.git;a=commitdiff;h=c1224573c773b6845e83505f717fbf820fc18415
http://git.php.net/?p=php-src.git;a=blobdiff;f=NEWS;h=8abf65e05b0298a6f2dba9439c95139192
34766f;hp=70461d97d85c
65e01e739514923303b09257f65f;hb=c1224573c773b6845e83505f71
7fbf820fc18415;hpb=
32873cd0ddea7df8062213bb025beb6fb070e59d

3.2 JBoss Enterprise Application Platform安全限制绕过漏洞

JBoss Enterprise Application Platform安全限制绕过漏洞

发布时间:

2013-12-04

漏洞编号:

BUGTRAQ ID: 64125
CVE(CAN) ID: CVE-2013-2133

漏洞描述:

JBoss企业应用平台(JBoss Enterprise Application Platform,EAP)是J2EE应用的中间件平台。
用在JBoss Enterprise Application Platform 6.2.0之前版本内的Red Hat JBossWS没有正确实现JAS-WS服务端点的方法级别限制,在EJB调用处理程序实现中存在安全漏洞,可使经过身份验证的远程用户非法访问受限制JAS-WS处理程序。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.redhat.com/apps/support/errata/index.html

3.3 NagiosQL 跨站脚本漏洞

NagiosQL 跨站脚本漏洞

发布时间:

2013-12-11

漏洞编号:

CVE(CAN) ID:CVE-2013-6039

漏洞描述:

NagioSQL是一套基于Web的Nagios配置管理工具。该工具的主要作用是操作数据库和配置文件,其中包括将配置文件的信息写到数据库中,在数据库中修改Nagios的监控配置信息,并将数据库中存放的配置更新到文件中等。
NagiosQL 3.2 SP2版本中的functions/content_class.php脚本中的搜索功能中存在跨站脚本漏洞,该漏洞源于admin/hostdependencies.php和admin/hosts.php页面没有充分过滤‘txtSearch’参数。远程攻击者可通过创建特制的请求利用该漏洞注入任意Web脚本或HTML。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.nagiosql.org/forum8/solved-issues/3270-security-hotfix-for-nagiosql-3-2-sp2.html

3.4 多个Dell SonicWALL产品跨站脚本漏洞

多个Dell SonicWALL产品跨站脚本漏洞

发布时间:

2013-12-12

漏洞编号:

BUGTRAQ ID:64103
CVE ID:CVE-2013-7025

漏洞描述:

Dell SonicWALL Global Management System(GMS)、Analyzer都是美国戴尔(Dell)公司的产品。Dell SonicWALL GMS是一套全球管理系统,可快速部署和集中管理SonicWALL基础架构。Dell SonicWALL Analyzer是一套针对SonicWALL基础架构的网络分析器软件。Dell SonicWALL UMA EM5000是一套通用管理设备软件。
多个Dell SonicWALL产品存在跨站脚本漏洞。由于createNewThreshold.jsp脚本未能正确过滤‘valfield_1’和‘value_1’参数,允许远程攻击者可以利用漏洞通过创建特制的请求,注入任意Web脚本或HTML。

安全建议:

用户可参考如下供应商提供的安全公告获得补丁信息:
http://www.sonicwall.com/us/shared/download/Support_Bulletin_GMS_
Vulnerability_Hotfix_134235.pdf

3.5 Microsoft ASP.NET SignalR存在未明反射型跨站脚本漏洞

Microsoft ASP.NET SignalR存在未明反射型跨站脚本漏洞

发布时间:

2013-12-12

漏洞编号:

BUGTRAQ ID:64093
CVE ID:CVE-2013-5042

漏洞描述:

Microsoft ASP.NET SignalR SignalR类似与JavaScript实时框架,如Socket.IO。SignalR能够完成客户端向服务器的异步通信,并同时支持服务器向浏览器客户端推送事件。
Microsoft ASP.NET SignalR SignalR存在反射型跨站脚本漏洞。允许攻击者构建恶意URI,诱使用户解析,可获取敏感信息或者劫持用户会话。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://technet.microsoft.com/security/bulletin/MS13-103