当前位置: 安全纵横 > 安全公告

一周安全动态(2013年12月12日-2013年12月19日)

来源:安恒信息 日期:2013-12

2013年12月第三周(12.12-12.19)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 日本超级计算机遭黑客入侵 尖端科研数据或被盗

日本新闻网12月18日援引日本文部科学省消息称,10月份京都大学基础物理学研究所和筑波大学科学研究中心的超级计算机,曾被黑客入侵。在这两所大学里的超级计算机里保存着800名研究者在最尖端的粒子物理学和宇宙物理学等研究上的数据。黑客可能已经将这些数据盗走或者消除这些数据。


资料图

两所大学称他们是在事件发生一个月后发现的,当时马上停止了超级电脑的操作。日文部科学省就此事件发表意见说,要求两所大学彻底确保安全措施。

1.2 美爆特大信用卡数据盗窃案 4000万顾客购物沦陷

美国零售巨头塔吉特公司(Target Corp。)19日声称,约4000万名顾客信用卡和借记卡账户数据在感恩节购物季期间被盗。这也是美国零售业近年来最大的信用卡数据被盗事件。美国特勤局已经介入调查。Target是仅次于全球最大零售商沃尔玛的美国第二大零售商。在美国有1797家门店。该公司19日发布声明表示,在11月27日至12月15日期间,在Target实体店购物的顾客可能受到影响。

19日在零售商Target的官方网站上,除了耀眼的圣诞季打折促销广告外,在网站最顶端黑体字写道:“重要通知:美国商店支付系统数据遭未经授权访问”。

Target在声明中说,已经确定被窃取的信息涉及客户姓名、信用卡或借记卡号码、卡的有效期和卡片后面的三位安全代码。Target敦促11月27日至12月15日期间在商店购物的顾客要查询信用卡记录。

该零售商表示,在了解到其支付系统有未经授权的访问后立即通知了政府和金融机构。

美国特勤局18日晚间已经开始调查此事。据悉,在窃贼获得了存储在信用卡和借记卡背面磁条内的数据访问权后,可以用这些信息来制作假信用卡和借记卡。窃贼如果从该店支付系统内拦截获得卡片上的个人识别密码,也可能会用伪造的借记卡在自动取款机上提取现金。

目前尚不清楚窃贼是如何入侵该零售商店的电脑系统的。Target表示,非常认真地对待这个问题,正在与执法部门密切配合以尽早将窃贼绳之以法。

每年从11月底感恩节开始到圣诞节期间,是美国一年中最繁忙的购物季节之一。许多零售商四分之一以上的年销售额来自于从感恩节开始的美国销售季节。

据悉,2007年,美国折扣连锁店TJMaxx的母公司TJXCos。曾遭遇了美国有史以来最大的消费者数据被盗事件,造成4000多万个信用卡号码被泄露,该公司损失约2亿美元。

1.3 黑客新手入侵云服务器仅需4小时

外国媒体发表文章对云服务器的安全性做了剖析,以下为文章内容摘要:入侵云服务器需要多长时间?为了探究这一问题答案,云安全创新企 业CloudPassage联接6台服务器、2部运行微软操作系统的电脑以及4部运行Linux操作系统的电脑,并在电脑中下载形形色色被用户广泛使用的 程序。CloudPassage悬赏了5千美元邀请黑客们来尝试攻击服务器。

最终其中一名黑客只花了4个小时就成功入侵CloudPassage所配置的云服务器。 更糟糕的是,他只是IT业的新手。这个28岁的小伙子名叫格斯?格雷(Gus Grey),在一家科技公司刚刚工作了一年多,并在加州州立理工大学(California Polytechnic State University)进修学士学位。他说,“我只是花两三个小时随便试试,看看从中有什么学习的。”
过去人们使用的旧式服务器价格昂贵,安置在房间里。如今技术革新,云数据中心已转移到互联网上。据技术研究公司Gartner估计,云基础设施的市值已增长至92亿美元。但云服务器的安全性真如人们所认为的那样吗?

CloudPassage 对上述系统的设计参照了默认配置,模拟了用户常用的计算机环境,实验证明其安全系数并不高。CloudPassage应用安全研究主管安德鲁?赫 (Andrew Hay)表示,“人们使用云设施因为他们价格低廉、访问及运行速度快。但人们却没有考虑安全层面的问题。”

格雷在研究了服务器上的操作系统和应用后,决定尝试能否把其中一个允许远程访问的应用作为实施入侵的漏洞。这一应用使用缺省密码,网络上已公布了数百个程序的缺省密码,因此格雷很容易就猜出密码。他登录后,基本上从这一应用上获得了整个服务器的管理权限,成功完成入侵。

格雷说,“我本以为尝试攻击服务器会很困难很复杂,但我大感吃惊,原来只需通过假冒管理员就能够访问整个服务器了。”
CloudPassage的首席执行官卡尔森?斯威特(Carson Sweet)称,怀有不良企图的黑客能够很容易地编写出某种可自动对格雷所找出的漏洞进行扫描的电脑程序,进而利用云服务器上存在的类似缺漏来执行攻击。

CloudPassage的实验为人们敲响警钟,为了避免类似问题的发生,公司应当限制管理账号所拥有的权限,并确保管理员完成基本操作,如将缺省密码改成不容易识破的密码,以及一旦发现漏洞立刻对应用进行修补。

格雷表示,“我回到公司做的第一件事就是马上对计算机设置做了几处修改,确保类似的入侵不会发生在我们公司中。”

1.4 黑客窃取用药信息卖给医药代表 四年获利千万

卖药品、医疗器械的,开诊所的,最终都放弃了老本行,以偷为生。

他们很有技术含量,利用的是黑客技术,偷的是各大医院的医药信息。他们还组成了“盗卖同盟”,分工明确。

这些在常人看来一文不值的医院用药单子,到了医药代表手里则如获至宝。在4年左右的时间里,仅老大级人物章某一个人,盗卖医药信息获利就有近千万元。

师徒间的利益博弈

故友

杭州人章某,42岁,绰号“乔老爷”。他早年销售医疗器械,后来凭着自己的计算机天赋,编写了一套侵入医院计算机系统的“黑客”软件。

在整个利益链条中,章某处于顶端,是总指挥,也是最大受益者。

2008年开始,章某就在杭州各大医院窃取医院用药信息了。那个时候,他还只是“一个人在战斗”。

章某和曹某在做医疗器械生意时相识,经常一起吃饭,是老朋友了。34岁的台州人曹某从事医药代表工作。

拜师

曹某说,2008年10月开始,章某每个月的月初和月末都叫他开车带他去医院。“他经常带着无线路由器和笔记本电脑,来来回回很神秘。我后来忍不住,就追问他。

“他告诉我,自己编写了一个程序可以侵入医院的医药系统偷处方数据。偷过来的数据可以卖了赚钱。”

曹某知道后,也很感兴趣,让章某教他,带他一起干。他还拉上了自己的弟弟(另案处理)。

控制

章某负责提供黑客软件和解密数据,曹某负责去医院实施盗窃并贩卖给医药代表。

虽然曹某干的活看起来更多,但只能分到极少的利润。

2011年初,因为嫌利润少,曹某想要“单干”。章某听到风声后,立即将黑客软件加密,这样一来曹某离开他就什么也做不了了,只能受他控制。

章某实行“棍棒加蜜糖”策略,除了控制曹某,也给一些甜头。

“他让我专门负责偷数据,答应我每个月可以有9万元的报酬。”曹某说,自己光偷医院的数据,10个月赚了90万元。

反目

章某深知,手下有了异心,就不能倚靠了,得培养新势力。

2011年5月,他又先后发展了许某(另案处理)、蔡某(另案处理)和陈某(已判刑)。

这3人带着章某提供的黑客软件,辗转杭州、温州、绍兴、台州、丽水、金华等地,窃取这些地区各大医院医药系统数据。
曹某最终和章某反目,带着弟弟离开。

作案手段:连接医院公用电脑

无线路由器、笔记本电脑、U盘是他们的作案装备。

章某把黑客程序安装在曹某等人的笔记本电脑里。

各大医院都有供群众打印化验结果的公用电脑,公用电脑通常和医院的医药管理系统网络相连。(这正是可以利用的漏洞。案发后,检察机关曾提醒各医院,最好把医药管理系统等涉及医院机密的系统和公用系统隔离开来。)

曹某等人只要将公用电脑的网络拔下,通过无线路由器将这台电脑连接到自己的笔记本电脑上,再运行安装在自己电脑上的黑客程序,轻点鼠标就能破解登录账户和密码,并轻松连接上医药管理系统。

黑客程序会自动将医药管理系统内的医药数据下载到电脑里,整个过程只需要2~3分钟。

这些医药信息都是加密的,曹某等人得手后把所有医药信息通过网络传给章某,章某再进行解密。

中间商:每个单子赚20元差价

36岁的陆某在杭州经营一家口腔诊所,女朋友刘某在他的诊所上班。

2011年年底,陆某通过医药代表QQ群,结识了章某。去年4月,开始陆续从章某处购买医院用药数据。

一个医院的某一个药品使用数据为一个单子。“这样一个单子,我从他那买来是80元,再以100元卖给其他医药代表。”陆某说。

陆某说,他一开始不知道章某的医药信息是怎么来的,后来知道这些信息是用黑客程序偷来的。“也曾考虑不做了。”

但口腔诊所效益不好,加上真相暴露后章某反而发来了更多的数据,陆某和女友一发不可收拾。

他们注册了一个专门的QQ号,和章某、医药代表、二手贩子联系。

据两人交代,不少买家是从QQ的医药群和医药论坛里找来的。

获利:两个人赚了1000多万元

据鹿城法院查明,2008年至2012年9月,章某通过黑客软件窃取医药信息违法所得为748万余元。

曹某于2008年开始和章某合作窃取医药信息,至2011年离开,他和章某的共同违法所得为336万余元。

新入门的陈某才偷了2天,就净赚4.5万元。

案发:医科大学毕业生作案露馅

新入门的陈某是宁波人,从浙江中医药大学毕业后在一家医药公司工作。

在利益诱惑下,陈某加入了章某的团伙。

去年3月31日,陈某第三次作案。在顺利偷了4家医院的医药信息后,他来到温州市第二人民医院。

陈某走到一楼急诊的化验室旁边,找到一台供群众打印化验结果的电脑。然后他熟练地将自己的笔记本电脑和这台电脑连接起来。这时,医院保安看他形迹可疑,将其控制住并扭送派出所。

去年9月,章某得知同案犯许某被抓,便去绍兴的派出所自首。去年10月,章某取保候审,而后被鹿城公安局抓获。

危害:医药公司根据“情报”左右药品价格

据了解,医药单子上登记了该医院某个品牌的某一种药品一个月的使用量。数据很详细,包括每个医生这个月开这种药品有多少。

庭审时,公诉人曾指出,通过单子上的药品使用信息,医药代表可以分析出该医院以及医生每种药品的用药量、倾向性。根据这些数据,就可以去各个医院做有针对性的药品推销工作。

更严重的,单子上还有药品价格信息。这个一旦被医药公司掌握,医药代表就会在医院药品招投标时“有所作为”,左右药品价格。这个的效果跟串标有点类似。

而医药公司左右药品价格,最终受侵害的是广大患者利益。

判决:4人犯了“两宗罪”

整个盗卖医药信息的利益链条被一窝端,涉案的8人均受到了法律制裁。

昨天,据鹿城法院透露,章某、曹某犯非法获取计算机信息系统数据罪,近日分别被判处有期徒刑5年,并处罚金25万元、20.3万元;

陆某、刘某明知是犯罪所得还购买医药信息,触犯了掩饰、隐瞒犯罪所得罪。这对情侣分别被判处有期徒刑3年,缓刑4年,并处罚金5万元。

1.5 人行网遭黑客攻击 疑为比特币玩家所为

中国人民银行网站和微博昨日同时被黑,网站间歇性打不开,新浪微博@央行微播 评论冲入大量比特币水军,传来自国外,估计与昨日人行监管比特币造成其市场大跌有关。央行相关人士表示网站正在修。

人行日前约谈国内第三方支付公司,明确要求关闭比特币、莱特币等交易通道。受此打击,比特币价格大跌。有分析称,比特币或将退出中国市常

此前12月5日,人行发《关于防范比特币风险的通知》,不承认比特币的合法地位,比特币价格随即大跌。在此轮攻击之前,人行曾经约谈国内第三方支付公 司,明确要求关闭比特币、莱特币等交易通道。国内各大网站纷纷宣停止提供比特币支付服务。受此影响,比特币再度大跌。有媒体报导称,比特币或将因此退出中 国市常

12月18日国内两大比特币交易平台比特币中国和OKCoin宣暂停人民币充值。导致比特币的交易无法正常进行。据悉,在人行发《通知》之前,比特币 价格曾近一度超越7,000人民币。自人行发通知以来,比特币一路狂跌。截至发稿时,比特币已经跌至2,588人民币兑1比特币。目前下跌行情仍在继续。

全球最大交易平台比特币中国(BTCChina)昨起被迫停止人民币存款,消息拖累Bitcoin内地价格曾重挫50%,较月初新高累跌73%。若以加权价及成交量推算,「中国大妈」短炒一个月损失百亿港元。

 

2 本周关注病毒

2.1 Trojan.Agent.gdg(木马病毒)

警惕程度 ★★

该病毒通过U盘,局域网,DLL劫持多种常用软件,感染压缩包格式的文件等手段传播;并利用不同手段关闭不同的杀毒软件。病毒具有一个生成器,可以随意定制下载地址和功能。

2.2 Trojan.DL.Win32.Undef.tlb(木马病毒)

警惕程度 ★★

该病毒是一个病毒下载器,病毒运行后链接黑客指定的病毒下载列表,随后根据这个下载地址列表下载很多流氓软件和病毒。

2.3 AdWare.Script.BAT.StartPage.l(‘StartPage’广告型病毒)

警惕程度 ★★★

该病毒伪装成音乐下载文件,利用各大网盘平台进行传播。病毒运行后通过修改注册表"HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page"和"HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL",劫持用户主页至黑客指定网址,并在电脑中安装恶意推广软件。用户电脑一旦中毒,将面临浏览器主页被篡改,不断收到恶意推广弹窗等风险。

 

3 安全漏洞公告

3.1 Red Hat JBoss Portal GateIn Portal不正确URL转义存在多个反射型跨站脚本漏洞

Red Hat JBoss Portal GateIn Portal不正确URL转义存在多个反射型跨站脚本漏洞

发布时间:

2013-12-19

漏洞编号:

BUGTRAQ ID: 64365
CVE(CAN) ID: CVE-2013-4424

漏洞描述:

JBoss Enterprise Portal Platform是JBoss企业中间件和JBoss企业SOA组合的一部分,它们均由JBoss Developer Studio支持。
Red Hat JBoss Portal存在发射型跨站脚本漏洞,漏洞是由于GateIn Portal组件未能正确处理URL转义,允许攻击者构建恶意URI,诱使用户解析,当恶意数据被查看时可获取敏感信息或者劫持用户会话。

安全建议:

用户可参考如下厂商提供的安全公告获得补丁信息:
http://rhn.redhat.com/errata/RHSA-2013-1843.html

3.2 IBM DB2 / DB2 Connect OLAP查询拒绝服务漏洞

IBM DB2 / DB2 Connect OLAP查询拒绝服务漏洞

发布时间:

2013-12-18

漏洞编号:

BUGTRAQ ID: 64336
CVE ID: CVE-2013-6717

漏洞描述:

IBM DB2 Universal Database Server是一款大型的商业关系数据库。
IBM DB2 Universal Database Server相关OLAP查询引擎存在安全漏洞,允许通过验证的远程攻击者利用漏洞提交特制的查询中断所有数据库链接,并且停用。

安全建议:

用户可参考如下厂商提供的安全公告获得补丁信息:
http://www-01.ibm.com/support/docview.wss?uid=swg21660041

3.3 IBM DB2 / DB2 Connect XLST库空指针引用拒绝服务漏洞

IBM DB2 / DB2 Connect XLST库空指针引用拒绝服务漏洞

发布时间:

2013-12-18

漏洞编号:

BUGTRAQ ID: 64334
CVE ID:CVE-2013-5466

漏洞描述:

IBM DB2 Universal Database Server是一款大型的商业关系数据库。
IBM DB2 Universal Database Server XLST库存在一个空指针引用错误,允许远程攻击者利用漏洞使应用程序崩溃,造成拒绝服务攻击。

安全建议:

用户可参考如下厂商提供的安全公告获得补丁信息:
http://www-01.ibm.com/support/docview.wss?uid=swg21660046

3.4 PHP OpenSSL扩展X.509证书解析内存破坏漏洞

PHP OpenSSL扩展X.509证书解析内存破坏漏洞

发布时间:

2013-12-16

漏洞编号:

BUGTRAQ ID:64225
CVE ID:CVE-2013-6420

漏洞描述:

PHP是一种在服务器端执行的嵌入HTML文档的脚本语言。
PHP在解析X.509证书时"asn1_time_to_time_t()"函数(ext/openssl/openssl.c)存在错误,允许攻击者利用漏洞通过特制的X.509证书触发内存破坏,使应用程序崩溃或可能可用于执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://git.php.net/?p=php-src.git;a=commitdiff;h=c1224573c773b6845e83505f717fbf820fc18415

3.5 Apache Solr外部实体引用漏洞

Apache Solr外部实体引用漏洞

发布时间:

2013-12-12

漏洞编号:

CVE ID:CVE-2012-6612

漏洞描述:

Apache Solr是美国阿帕奇(Apache)软件基金会的一款基于Lucene(一个全文检索引擎的架构)的搜索服务器,它支持层面搜索、垂直搜索、高亮显示搜索结果、多种输出格式等。
Apache Solr存在外部实体引用漏洞。远程攻击者可通过包含外部实体声明和实体引用相结合的XML文档,泄露敏感信息,也可能造成拒绝服务。

安全建议:

请安装厂商已发布的最新版本或补丁:
https://issues.apache.org/jira/browse/SOLR-3895