当前位置: 安全纵横 > 安全公告

一周安全动态(2013年12月19日-2013年12月26日)

来源:安恒信息 日期:2013-12

2013年12月第四周(12.19-12.26)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 美国国家情报总监首度公开承认NSA大规模监控项目

据外媒报道,美国国家情报总监(DNI)于日前公开承认了自2001年就已经开始的NSA大规模监控项目。现 在,该机构已经在其官方上公布了一份名为"DNI Announces the Declassification of the Existence of Collection Activities Authorized by President George W. Bush Shortly After the Attacks of September 11, 2001(《DNI公开承认自2001年9.11事件后总统乔治.W.布什授权的数据行动》)"的声明。

美国国家情报局在文章中表示,NSA确实有从电信公司那里收集用户的通信内容及元数据。另外,该机构还对NSA的这种大规模数据收集项目中所使用的技术感到 担忧,他们害怕其中潜在的国家安全问题。美国国家情报总监James R. Clapper Jr.写道,“(大规模数据收集行动)很有可能严重地破坏了重要的工具,它主要利用元数据收集和分析追踪潜在的恐怖分子。”

美国国家情报总监还在该份声明中附上了8份PDF文件。这些文件披露了国家在2007年到2013年年间的秘密行动。

1.2 RSA否认曾在加密算法中添加后门

美国安全服务商RSA近日在官方博客中发表文章,“完全否认”了近期路透社有关该公司与美国国家安全局(NSA)合作,在加密算法中添加后门的报道。两名知情人士称,RSA收受了1000万美元,将NSA提供的方程式设定为BSafe安全软件的优先或默认随机数生成算法。此举将让NSA能够借助后门轻易破解各种加密数据。

RSA在声明中称:“我们曾以承包商和安全顾问的身份与NSA合作,从未隐瞒这一关系。我们的目标始终是巩固企业和政府安全。”

RSA在声明中详细解释了BSafe安全软件采用的Dual EC DRBG算法:

——2004年,在全行业致力于研发更新颖、更强大的加密技术的大背景下,我们决定将Dual EC DRBG作为BSafe的默认随机数生成算法。当时,NSA被视为加密领域一个可以信赖的角色,而不是一个破坏者。

——该算法只是BSafe提供的选项之一,用户始终可以按需求自由选择其他算法。

——鉴于该算法被接纳为NIST(美国国家标准技术研究所)标准,且符合FIPS(美国联邦信息处理标准),我们继续将该算法作为BSafe的选项之一。2007年,当该算法引发忧虑时,我们仍坚持以NIST作为评判标准。

——2013年9月,NIST发布新规范,建议不要继续使用该算法。根据这一要求,我们向用户发出建议,并公开讨论了这一变动。

RSA在声明的最后称:“作为一家安全公司,RSA从未披露客户详细信息,但绝对可以说,我们从未以削弱RSA产品或嵌入后门供他人使用为目的,签署任何协议,或参与任何项目。”

1.3 黑客新手入侵云服务器仅需4小时

外国媒体发表文章对云服务器的安全性做了剖析,以下为文章内容摘要:入侵云服务器需要多长时间?为了探究这一问题答案,云安全创新企 业CloudPassage联接6台服务器、2部运行微软操作系统的电脑以及4部运行Linux操作系统的电脑,并在电脑中下载形形色色被用户广泛使用的 程序。CloudPassage悬赏了5千美元邀请黑客们来尝试攻击服务器。

最终其中一名黑客只花了4个小时就成功入侵CloudPassage所配置的云服务器。 更糟糕的是,他只是IT业的新手。这个28岁的小伙子名叫格斯?格雷(Gus Grey),在一家科技公司刚刚工作了一年多,并在加州州立理工大学(California Polytechnic State University)进修学士学位。他说,“我只是花两三个小时随便试试,看看从中有什么学习的。”

过去人们使用的旧式服务器价格昂贵,安置在房间里。如今技术革新,云数据中心已转移到互联网上。据技术研究公司Gartner估计,云基础设施的市值已增长至92亿美元。但云服务器的安全性真如人们所认为的那样吗?

CloudPassage 对上述系统的设计参照了默认配置,模拟了用户常用的计算机环境,实验证明其安全系数并不高。CloudPassage应用安全研究主管安德鲁?赫 (Andrew Hay)表示,“人们使用云设施因为他们价格低廉、访问及运行速度快。但人们却没有考虑安全层面的问题。”

格雷在研究了服务器上的操作系统和应用后,决定尝试能否把其中一个允许远程访问的应用作为实施入侵的漏洞。这一应用使用缺省密码,网络上已公布了数百个程序的缺省密码,因此格雷很容易就猜出密码。他登录后,基本上从这一应用上获得了整个服务器的管理权限,成功完成入侵。

格雷说,“我本以为尝试攻击服务器会很困难很复杂,但我大感吃惊,原来只需通过假冒管理员就能够访问整个服务器了。”
CloudPassage的首席执行官卡尔森?斯威特(Carson Sweet)称,怀有不良企图的黑客能够很容易地编写出某种可自动对格雷所找出的漏洞进行扫描的电脑程序,进而利用云服务器上存在的类似缺漏来执行攻击。

CloudPassage的实验为人们敲响警钟,为了避免类似问题的发生,公司应当限制管理账号所拥有的权限,并确保管理员完成基本操作,如将缺省密码改成不容易识破的密码,以及一旦发现漏洞立刻对应用进行修补。

格雷表示,“我回到公司做的第一件事就是马上对计算机设置做了几处修改,确保类似的入侵不会发生在我们公司中。”

1.4 铁岭政协官网疑似被黑客攻击 瞬间变身色情网站

12月25日“铁岭政协”官网被黑 用百度点击就跳转到黄色网站

直接输入网址就没有问题,用百度搜索引擎点击,就会跳转到黄色网站。

25日,政协铁岭市委员会网站疑似被黑,直至21时许仍无法找出原因,铁岭技术人员只能被迫关闭网站。

百度“铁岭政协” 点击就变“黄”

25日10时许,微博博主@长白岛主报料:在百度上搜索“政协铁岭市委员会”,结果点击搜索出来的网址后,却进入了一个色情网站。该网友在发布微博的同时,还贴上了自己的亲手截图。对此,一些网友纷纷核实验证,发现所言不假。

有网友质疑政府网络安全人员不够专业,导致政府网络门户形象受损;还有的网友称,政府的网络技术设备太过陈旧,应该及时更新,避免出现类似问题。

下午5时许,有网友发现,该网站开始恢复正常,但记者检验发现,用百度搜索进入时,有时是色情网站有时是政府网站,更多时候已经打不开。

铁岭市信息中心:我们没问题

对此,记者联系上铁岭市信息中心一林姓负责人。据她称,下午3时许,发现问题后已及时应对和处理,随后停止使用现有服务器,启用了备用服务器,但使用后发现,如用百度搜索问题依然存在,但直接输入“政协铁岭市委员会”网址,就不会出现问题。

“如果是网站被黑或者是自己方面问题,更换服务器后,应该排除问题才对,但却一点也没有改善,所以技术人员怀疑是百度方面问题。”林女士称,她已给百度方面多个相关负责人打过电话,但大多都被要求找别人。

林女士坦言,该中心技术设备是有些陈旧,没有及时更新换代,同时技术力量也不是太强,“我们可能有漏洞,但不是这次这个问题,此次问题绝不在铁岭方面。”

“问题网站”被暂时关闭

百度:肯定不是搜索引擎的问题

昨日20时许,林女士称,因为已经没有更好的解决办法,为避免政府形象受损,经请示领导后,已经对“政协铁岭市委员会”官方网站临时关闭。

昨日21时许,百度北京总部一王姓负责人给记者打来电话,称经他们初步判断,肯定不是搜索引擎的问题,百度一方正和铁岭方面沟通解决,百度一方技术人员正在积极查找问题,并帮助铁岭一方解决问题。

该负责人称,百度对于黑别人网站行为很憎恨,并一直主张进行有效打击。

1.5 联想官网被黑 黑客大胆留下QQ

20日下午,联想官方网站遭遇黑客攻击。黑客留言称“没有买卖,就没有杀害”,还大胆地留下了一个QQ号码。

21日凌晨1时,记者发现联想官网页面仍然无法打开。此前有人将黑客黑掉的联想智能手机页面截屏后保留下来。网民上传的页面显示,黑客在该页面留言称“没有买卖,就没有杀害!!”让人吃惊的是,黑客甚至在浏览器标题中留下了一个QQ号码1599199XXX,并称“黑你不解释”。记者检索发现,该QQ号码此前曾经将几家公司的网站黑掉并在上面留言,留言内容也是“没有买卖,就没有杀害!!”此外,该QQ号码还曾经在网上留下公开收徒的内容,称可以“让你称霸网络”。

今天上午,联想相关人士回应称,联想此前在官方网站做了一个活动,允许外面的数据导入,因此引发该页面被黑客趁机入侵。“只要将该活动页面关闭就可以了。这个问题不大,不是联想整个官方网站被黑。”

 

2 本周关注病毒

2.1 Worm.Win32.Agent.vq(蠕虫病毒)

警惕程度 ★★

该病毒运行后将把自己拷贝到%system%\txomou.exe,并把属性设为隐藏,修改注册表实现开机自启动。同时,病毒还将从黑客指定网址下载其他恶意程序至用户电脑,并感染htm文件,使用户在浏览网页时打开黑客指定网址。用户电脑一旦中毒,将成为黑客为恶意网站刷流量的工具,同时还将面临隐私信息泄露,网银账密被窃等风险。

2.2 Trojan.DL.Win32.Mass.a(木马病毒)

警惕程度 ★★

病毒伪装成知名网游DNF的外挂程序引诱用户下载并安装,病毒运行后,锁定中毒电脑的IE主页为黑客指定网址,并为其网址刷取流量。除此之外,该病毒还会向用户电脑不断安装海量软件,届时用户将面临隐私信息泄露、电脑宕机等风险。

2.3 Backdoor.Win32.FarCon.a(‘FarCon’后门病毒)

警惕程度 ★★★★

病毒运行后将自身复制至系统目录下,并结束杀毒软件进程。病毒会后台连接指定地址,向黑客开启后门,并实现监控屏幕监控、文件窃取、视频监控、键盘鼠标监控等动作。用户电脑一旦中毒,将面临隐私信息泄露,网银账密被窃等风险。

 

3 安全漏洞公告

3.1 IBM WebSphere Portal WEB内容管理程序信息泄露漏洞

IBM WebSphere Portal WEB内容管理程序信息泄露漏洞

发布时间:

2013-12-25

漏洞编号:

BUGTRAQ ID:64492
CVE ID: CVE-2013-6316

漏洞描述:

IBM WebSphere Portal提供了一个组合应用程序或业务mashup框架,并且提供了一种高级工具来构造灵活的,基于SOA的解决方案。
IBM WebSphere Portal WEB内容管理器在渲染taxonomy组件时未能正确处理内容选择更改,允许远程攻击者利用漏洞使Web Content Manager (WCM)上下文处理器触发错误,获取敏感信息。

安全建议:

用户可参考如下厂商提供的安全补丁以修复该漏洞:
http://www-01.ibm.com/support/docview.wss?uid=swg24034497
http://www.ibm.com/support/docview.wss?uid=swg24029452

3.2 IBM WebSphere Portal Content Template Catalog远程代码执行漏洞

IBM WebSphere Portal Content Template Catalog远程代码执行漏洞

发布时间:

2013-12-25

漏洞编号:

BUGTRAQ ID: 64498
CVE ID: CVE-2013-4012

漏洞描述:

IBM WebSphere Portal是一个框架——包括运行时服务器、服务、工具和许多其他特性——您可以使用这些特性将企业集成到单个称为门户的可自定义界面中。
IBM WebSphere Portal 8.0、8.0.0.1版本使用了Content Template Catalog 4.0后,安装PAA文件时不要求管理员权限,这可使经过身份验证的远程用户修改数据或造成拒绝服务。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.ibm.com/support/fixcentral/
IBM (PM96345, PI04897, PI05684, PM93172):
http://www.ibm.com/support/docview.wss?uid=swg21660011
http://www.ibm.com/support/docview.wss?uid=swg24034497

3.3 IBM WebSphere Portal WCM跨站脚本漏洞

IBM WebSphere Portal WCM跨站脚本漏洞

发布时间:

2013-12-25

漏洞编号:

BUGTRAQ ID:64495
CNVD ID: CVE-2013-6328

漏洞描述:

IBM WebSphere Portal提供了一个组合应用程序或业务mashup框架,并且提供了一种高级工具来构造灵活的,基于SOA的解决方案。
IBM WebSphere Portal WEB内容管理器UI存在安全漏洞,允许远程攻击者利用漏洞通过IFFRAME元素注入恶意脚本或HTML代码,当恶意数据被查看时可获取敏感信息或者劫持用户会话。

安全建议:

用户可参考如下厂商提供的安全补丁以修复该漏洞:
http://www-01.ibm.com/support/docview.wss?uid=swg24034497
http://www.ibm.com/support/docview.wss?uid=swg24029452
http://www-01.ibm.com/support/docview.wss?uid=swg24023835
http://www-01.ibm.com/support/docview.wss?uid=swg24023835

3.4 IBM Lotus iNotes存在未明跨站脚本漏洞

IBM Lotus iNotes存在未明跨站脚本漏洞

发布时间:

2013-12-20

漏洞编号:

BUGTRAQ ID: 64444
CVE ID: CVE-2013-4065

漏洞描述:

IBM iNotes是一个可靠且高度安全的Web解决方案,许多不同类型的用户(在线用户和离线用户)可以使用它来有效地管理关键业务信息和协作。
IBM iNotes存在一个未明跨站脚本漏洞,允许远程攻击者利用漏洞注入恶意脚本或HTML代码,当恶意数据被查看时可获取敏感信息或者劫持用户会话。

安全建议:

IBM Lotus iNotes 8.5.3 Fix Pack 6或9.0.1已经修复该漏洞,建议用户下载更新:
http://www.ibm.com/support/docview.wss?uid=swg24032242
http://www.ibm.com/support/docview.wss?uid=swg24035441

3.5 Revive Adserver 'what'参数SQL注入漏洞

Revive Adserver 'what'参数SQL注入漏洞

发布时间:

2013-12-24

漏洞编号:

BUGTRAQ ID: 64463
CVE ID: CVE-2013-7149

漏洞描述:

Revive Adserver是开源的广告服务器。
Revive Adserver 3.0.1及其他版本的XML-RPC交付调用脚本没有正确转义输入参数,可使远程攻击者通过交付XML-RPC方法的"what"参数,利用此漏洞注入任意SQL代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.revive-adserver.com/
http://www.revive-adserver.com/security/REVIVE-SA-2013-001