当前位置: 安全纵横 > 安全公告

一周安全动态(2013年12月26日-2014年01月02日)

来源:安恒信息 日期:2014-01

2014年01月第一周(12.26-01.02)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 2013十大信息安全事件

一个针对用户的4000万借记卡和信用卡的攻击,在几周前的圣诞节被曝光,这在美国用户中引起了轩然大波。商家称消费者的认证和信用记录一直是被密切关注的问题。然而现实与互联网用户仍没有普遍的使用双重验证机制。

去年,黑客主要采取攻击服务器的方式来窃取个人数据,或者通过Twitter和其他的一些社交媒体通过钓鱼的方式传播恶意软件。

政府对攻击的防护很薄弱,英美包括中国在内的国家都在与互联网犯罪作斗争,同时也在互相进行渗透于监视。

年中,斯诺登事件对NSA权利的曝光,涉及,他们对电话,邮件以及很多数据进行的监听,也在社会引起轩然大波,无疑2013是安全界的多事之秋,我们把去年关注度最高的10大安全事件整理到了一起。

现在就让我们来回顾一下,2013年十大安全事件。

1.Adobe

在2013年十月初,adobe被披露被黑客攻击,300w用户数据被窃取。其中包括用户姓名,银行卡卡号,截止日期,还有一些用户订单的信息。

Adobe还声称,在用户数据泄露的同时,多个Adobe产品的源码在入侵中被窃取,另外Adobe,这次攻击至少影响到了3800万用户。

2.叙利亚电子军团

叙利亚电子军团在2012年九月,渐渐走入人们的视线。这支在内战中崛起的军队在去年被包括New York Times,Financial Time,BBC在内的国际上各大媒体争相报道。

3.中国黑客

2013年一月,The York Times 声称自己已经被中国黑客持续攻击4个月之久。入侵者的目的是调查前不久报纸发布的一篇关于温家宝财富问题的报导。

接下来的几个月,来自Mandiant的安全研究者为我们描绘了中国网军的壮阔规模,这个机构由各种计算机顶级高手组成,为政府效力,总部位于上海,官方称作解放军61398军队,到现在为止这支APT军队,总共在141个国家或组织中窃取了几千TB的数据。

4.JPMorgan(摩根大通银行)

这个月,JPMorgan声称,之前该银行发布的465000张透支卡,可能存在泄露用户信息的问题。

5. 僵尸来了!

这里说的僵尸并不是僵尸网络,而是几个美国的无聊黑客入侵了美国紧急情报系统,在KRTV和CW上发布了,僵尸袭击的警告。

6. 针对美国政府的攻击

2013年,很过美国政府机构都沦为网络犯罪的牺牲品,其中包括能源部,美联储,和前国务卿Colin Powell的社交账号。

7. 抠门的facebook

巴基斯坦的安全研究员,发现了facebook的一个小bug,他已在其它人的time line上发任意信息,不过facebook的官方人员忽略了这个漏洞。

于是Zuckerberg就把漏洞详细信息发布到了facebook CEO Zuckerberg的时间线上,之后不久facebook修复了这个漏洞。但是仍然拒绝支付500美元的漏洞悬赏。

8. 苹果开发者网站

苹果开发者网站在2013年七月下线,原因是一名黑客在其中窃取了大量公司数据,不过据苹果公司声称其中重要数据,经过加密,禁止访问,不过其中开发者名称,邮寄地址,邮箱地址是可以访问的。新的网站版本在2013年8月中旬,继续上线。

9. 同病相怜的Facebook 和 Apple

2013年二月,facebook宣称,自己已成为不明黑客团体一系列攻击的目标,导致Facebook员工的笔记本中被植入了恶意软件。 “上个月Facebook安全人员发现,我们的系统已成为一场精密攻击的目标。当一批员工访问一个被盗用的移动开发者网站时,攻击就会发生。”随后,恶意 软件会安装到这些员工的笔记本中。黑客团体利用了所谓的“Java零日漏洞”,这是甲骨文软件中一个众所周知的漏洞,最近几个月以来备受关注。

巧合的是,几天后苹果公司也遭到了同样手段的攻击。

10. 匿名者对北朝鲜下手

2013年四月,北朝鲜官方Twitter的Filckr被入侵,这次匿名者进行的攻击意在干扰共产主义国家网络运行。攻击者曾发布诋毁金三胖的照片和标语。

1.2 最热门的前100的Android应用程序已被黑客入侵

根据报告,智能手机现在已经成为网络犯罪分子的严重目标, 现在的黑客专门针对金融应用程序,如那些Android的银行应用程序的53%已被破解,而iOS应用是23%。

“黑客攻击”的应用程序往往是通过非正式的商店分布,如Cydia,或通过torrent站点,有的已被下载数十万次。首席技术官阿尔山与每日电讯报采访时 说:“在我们的研究中,我们发现,一些黑客入侵的版本已经被下载超过50万次,特别是当我们着手进行高消费活动,将涉及支付交易的。

“移动金融应用程序是很容易犯错的,”报告说,“金融服务应用程序所有者通常会部署在多个移动平台,这些创新应用是黑客可能的目标,特别是手机银行和支付应用这种高风险类别,需要格外警惕。“

计算机世界评论说:

“黑客经常针对金融应用程序,他们可以访问您的账号,密码,以及其他有用的信息。他们可以很容易地把你的钱变成自己的钱。“

根据卫报的报告,最大的风险来自于通过BT网站,非官方的商店和其他半合法来源获得的应用程序,甚至从谷歌官方Play商店应用程序。

“谷歌游戏是不是一个审核的应用程序商店,它往往有很多问题。”摩根说: “而在苹果商店你几乎看到的都是合法的应用程序。”

研究人员说,Android的设备数量庞大,Android是更不安全的操作系统。 黑客可以更容易地瞄准一个支离破碎并打开Androide system插入恶意软件进入谷歌商店。具体而言,多数Android设备将不能够接收由谷歌的警告提示,这会导致用户易受攻击。“

ESET高级研究员今年早些时候在一个帖子说:

“对消费者最大的问题是运行Android旧手机,尽管如此,运营商不会发布一个新版本,手机将易被利用。“

财政监督机构警告说,越来越多企业使用银行的应用程序造成严重威胁到银行与客户。许多进入这一市场的企业正在使用外包合作伙伴的专业服务,导致的风险,有可能是企业的一个链中涉及客户的交易,从而导致出现的问题可能性更大。

1.3 《明镜》揭秘NSA工具库:思科华为产品被攻破

德国《明镜周刊》网络版周日刊文称,美国国家安全局(以下简称“NSA”)的一份50页的内部目录显示,大量电子设备中都存在可以被情报机构利用的“后门”。这证实了公众多年以来的猜测。以下为文章全文:

作为全球第二大网络设备制造商,Juniper毫不掩饰对该公司防 火墙产品的赞誉。Juniper的在线营销资料称,其防火墙产品能“非常理想地”保护大公司和计算中心,阻止来自外部的无许可访问。Juniper同时表 示,该公司的这些产品“无与伦比”,是行业顶级的。然而,这些产品至少无法抵御一种攻击者:NSA。

多年以前,NSA的专家就已成功入侵Juniper的防火墙。《明镜周刊》获得的一份类似产品目录的文件显示,NSA下属部门ANT已成功渗透了行业中主要公司开发的几乎所有安全架构,其中包括来自思科、华为和戴尔的产品。

50页目录

这些NSA特工擅长利用电子设备的后门,因此可以了解普通人数字生活的方方面面,无论是从计算中心还是个人电脑,无论是从笔记本还是手机。对于所有信息安全防卫措施,ANT都拥有专门的破解工具。而无论企业设置什么样的防火墙,NSA的专家都可以进行成功的渗透。

这一50页的目录文件令人产生了这样的印象。这份文件看起来似乎像是电子邮件产品目录。根据这份文件,NSA的其他人员可以要求ANT提供技术支持,以获得目标人员的各种数据。这份目录列出了所有攻击工具的价格,具体价格为免费至25万美元。

对于Juniper的产品,专门的破解工具名为“FEEDTROUGH”。这一恶意软件能入侵Juniper防火墙,并将NSA的其他工具植入大型机。此外,该软件在计算机重启和升级后也可以继续存在。通过这种方式,美国情报人员可以获得计算机网络的永久访问权限。文件显示,FEEDTROUGH“已被部 署在许多目标平台中”。

“技术大师”

ANT的全称为“先进网络技术”或“入侵网络技术”。该部门的人员可以被认为是NSA下属“获取特定情报行动办公室”(以下简称“TAO”)中的技术大师。当TAO通常的黑客手段和数据收集方式无法发挥作用时,ANT的人员将使用专门工具介入,入侵网络设备,监控手机和计算机通信,记录甚至篡改数据。在NSA建立全球互联网监控系统的过程中,ANT发挥了可观的作用。

ANT提供的部分工具成本很便宜。例如,一种“帮助TAO人员查看目标显示器内容”的显示器线缆价格仅为30美元。不过,另一种“活跃GSM基站”的成本则达到4万美元。该工具能模拟手机基站,并监控连接至该工具的手机。而一款形似USB插座、能利用无法探知的射频频谱收发数据的计算机漏洞设备价格为50至100多万美元不等。

恶意软件的“留存”

ANT不仅制造监控硬件,同时也开发专用软件。ANT的开发者很喜欢将恶意代码植入计算机的BIOS中。BIOS位于计算机主板,当计算机开机时将被最先加载。

这样做能带来许多优势:被感染的PC或服务器能正常工作,因此防病毒软件和其他安全软件无法探测到恶意软件。即使被感染计算机的硬盘被完全清空,操作系统被重新安装,ANT的恶意软件仍可以继续发挥作用,在新系统启动时自动加载。ANT的开发者将其称作“留存”,认为这种方式能帮助他们获得永久访问权限。

而另一个恶意软件则可以攻击西部数据、希捷、迈拓和三星等公司硬盘的固件。除三星之外,所涉及的硬盘厂商全部为美国公司。NSA似乎很熟悉美国厂商的技术和产品。

ANT的其他恶意软件还能瞄准路由器和防火墙。许多数字攻击工具可以“远程安装”,即通过互联网安装。而另一些工具则直接瞄准终端用户设备。

《明镜周刊》获得的文件并未显示,这些设备的制造商向NSA提供了技术支持,或是知晓NSA的这些间谍活动。思科在一份公告中称:“思科没有与任何政府部门合 作修改设备,也没有在产品中植入所谓的‘后门’。”而西部数据、Juniper和华为的人士也都表示,对于这一问题并不知情。戴尔发言人则表示,该公司 “尊重并遵守全球各国的法律”。

这份文件中列出的许多软件解决方案时间为2008年,而部分目标服务器系统目前已不再销售。不过,ANT的 人员不太可能止步不前,而是很可能仍在继续开发工具库。例如在2008年的这份目录中,一些页面列出了当时尚无攻击工具的新系统。但文件作者承诺,将继续 开发新工具,并“在未来版本中”发布。


文档称NSA可向苹果公司所有产品植入间谍软件

1.4 欧洲最大黑客组织反击美英窃听

德国汉堡会议中心内,众多年轻人分桌围坐。他们大多头发蓬松,看来没少熬夜;每人抱着一台笔记本电脑,运指如飞;桌子上的电缆线则杂乱如麻。这是本报记者 在被称为全球黑客大会的第三十届混沌计算机俱乐部年会上看到的场景。此次黑客大会从2013年12月27日开始,为期4天。


混沌计算机俱乐部发言人康施坦茨·库尔策对本报记者表示,美英窃听是对个人隐私赤裸裸的干涉,全球黑客将进行“坚决反击”。这次大会以斯诺登曝光的美英窃听丑闻为背景,以“技术伦理、社会和政治”为主要议题。本届年会共吸引了全球8000多名黑客,比去年增加30%。

库尔策说,年会之所以广受关注,一是因为美英窃听丑闻,二是技术和移动互联网的发展引发更多人的关注。该俱乐部成员都严格遵守“黑客伦理”,不做网络骗子和盗贼。如何从政治和技术层面遏制美英政府对大众隐私的侵害,是本次年会讨论的重要内容。

年会组织者之一蒂姆·普里托洛夫表示,混沌计算机俱乐部多年来一直在警告互联网的安全漏洞问题,美英窃听丑闻说明问题的严重性比预想更严重。我们亟须通过一项能被普遍接受的互联网行为准则来遏制全球窃听。

率先曝光“棱镜”等项目的前《卫报》记者格林沃德从巴西通过网络视频,为本届年会发表主旨演讲。他在演讲中披露IT巨头同美英政府暗中联系,呼吁与会者对此 进行反击。他强调,美国对泄密者的打击反映了它自身的怯懦和腐败,将激发更多内部人士勇敢站出来。维基解密创始人阿桑奇则从厄瓜多尔驻英国大使馆通过视频 发表了演讲。他说,就像当年产业革命中的工人阶级一样,信息时代的网络工作人员现在也面临一场新的“阶级斗争”,那就是同美英政府肆无忌惮的窃听还有信息 垄断抗争。
德国“明镜在线”2013年12月29日披露,美国国家安全局从1997年起就成立了顶尖黑客小组“获取特定情报行动办公室”,目的是“使网络攻击成为美军军事行动的有机组成部分”。过去10多年,该小组成功渗透89个国家的258个目标。仅在2010年,该小组就在全球范围内开展了279次网络攻击:窃听各国领导人加密电话、给目标计算机植入木马病毒、攻击和控制电信公司服务器等。 报道披露,该小组通过截听连接欧洲、北非和亚洲的海底通信电缆,取得大量敏感资料。该欧亚电缆从法国南部城市马赛出发,途经北非和波斯湾国家,穿过巴基斯 坦和印度后,进入马来西亚和泰国,是欧亚非重要通信通道。除了网上监视,当目标人物或组织订购电子零件或仪器时,该小组甚至会截停货物,装上监视装置或遥 距控制装置,再让货物运抵目的地。

一名拒绝透露姓名的荷兰黑客对本报记者表示,参与美国安局行动的黑客分子都“丧失了职业道德”,真正的计 算机技术高手应为互联网信息有序流动做出贡献。美国电子前哨基金会资深律师库尔特·奥普萨尔对本报记者说,美国安局开展了众多窃听项目,比如窃听美国所有 用户的电话,从谷歌、微软或雅虎那里获取涉及外国人的电子邮件和视频,窃听光纤网络和其他互联网主干设施等。这种无差别的大规模窃听行为违反了美国宪法。 基金会已对美国政府发起了数宗诉讼案,并努力推动废止相关法律。

混沌计算机俱乐部是欧洲最大的黑客组织,每届年会都组织数百场讲座和研讨会,旨在讨论技术发展及其社会影响。活动和讨论主题包括人机互动、公共系统安全、黑客伦理、黑客大赛、生物智能、无人机、互联网加密技术、隐私保护等。

1.5 物联网最大隐患并非黑客 而是设备制造商

技术宅Craig Heffner表示物联网最大的隐患不在黑客,而在各种设备的制造商。

Tactical Network Solutions的研究员Craig Heffner在联邦贸易委员会(FTC)的物联网工坊上,回忆起一次他花了几美刀就看到了数百个用户的隐私信息。

当时某硬件厂商给用户提供了配套的云服务,却忘了买下作为数据服务器的4个域名之一。于是Heffner用了9美刀拿下。
Heffner的这个做法并不违法,但制造商的一个疏漏却让用户的隐私被轻松瓦解掉了。

连用户都不在意的隐私还有谁在意?

我们都不得不承认互联网上已经难有黑客翻不过来的墙,但越来越多的物联网设备让入侵变得异常地简单。

Heffner表示,“这是因为现在的用户没有真正开始关注设备的信息安全,所以硬件厂商们也没有动力去优化这件事。厂商们更喜欢把资源放到耀眼的功能上。”

安全还真不是小事

去年11月的时候,FTC强制推行了一个关于设备信息安全的政策:但凡无法确保产品信息安全的公司,其安全业务会强制外包给FTC。

美国国家科学基金会的前VP Dick Cheney曾经公开表示过他对恐怖分子入侵心脏起搏器的担忧。于是过了几年,马萨诸塞大学的Kevin Fu带着一个小分队证明了这种入侵的可行性。

通常病人携带的心脏起搏器是通过一个封闭的数据系统和医院端通信的。但Fu的研究小分队不仅成功地从封闭系统上爬下了病人的医疗数据,而且还可以恶意地引导起搏器的工作频率。

目前Kevin Fu已经拿到国家科学基金会45万美刀的资助,正在研发一个不可破解的起搏器。

黑客教程

说回Craig Heffner,现在他每个月都会举办一期跟物联网有关的黑客教程。具体做什么呢?Heffner的大部分学员来自消费电子和安全公司。然后每期的教程Heffner就会先教他们如何入侵路由器和各种家电。然后教程的后半段则是对抗和修复这些漏洞。

Heffner表示他之所以开这个教程不是为了传播这种对漏洞的利用,而是让行业内的人们去了解自己的产品,如何把信息安全做得更好。

 

2 本周关注病毒

2.1 Trojan.Spy.Win32.Gamker.a(木马病毒)

警惕程度 ★★

该病毒运行后尝试关闭电脑中的杀毒软件,并调用电脑中的浏览器在黑客指定网址下载其他病毒。同时,病毒将检测网银相关的关键字,并且监控中毒电脑的进程,打开键盘监控功能,记录用户的账号和密码等信息,并通过明文的形式保存起来发送给黑客。用户电脑一旦中毒,将面临网银账户被洗劫的风险。

2.2 Trojan.PSW.Win32.QQPass.fnk(木马病毒)

警惕程度 ★★

病毒运行后将查找qq.exe进程,并将之结束。同时弹出病毒伪造的“重新登录”对话框,提示“与服务器连接被中断,为了您的帐号安全,需要您重新输入密码进行身份验证”,欺骗用户输入账号及密码,用户电脑一旦中毒,将面临QQ账号被窃、隐私信息泄露等风险。

2.3 Trojan.PSW.Win32.QQPass.fnm(‘QQ大盗’木马病毒)

警惕程度 ★★★★

该病毒伪装成聚会影音文件,并在属性中显示为某手机助手的升级程序,引诱用户下载并运行。病毒运行后将检测QQ进程,并强制关闭,同时弹出一个伪造的QQ登录框,要求用户输入账号密码。一旦用户轻信,账密信息将被发送给黑客,届时将面临QQ账号被盗的风险。

 

3 安全漏洞公告

3.1 Discuz! x3.1 index.php代码执行漏洞

Discuz! x3.1 index.php代码执行漏洞

发布时间:

2013-12-30

漏洞编号:

CNVD-2013-15613

漏洞描述:

Crossday Discuz! Board(简称 Discuz!)是北京康盛新创科技有限责任公司推出的一套通用的社区论坛软件系统。
Discuz! x3.1的插件/utility/convert/index.php存在代码执行漏洞。如果用户在使用完之后不删除,会导致网站容易被入侵。

安全建议:

目前没有详细解决方案提供:
http://www.comsenz.com/products/discuz

3.2 DedeCMS 5.7 config.php跨站脚本漏洞

DedeCMS 5.7 config.php跨站脚本漏洞

发布时间:

2013-12-31

漏洞编号:

CNVD-2013-15612

漏洞描述:

DedeCMS是一个网站应用系统构建平台,也是一个强大的网站内容管理系统。既可以用来构建复杂体系的企业信息门户或电子商务网站平台,也可以用来管理简单内容发布网站。
DeDeCMS v5.7 在/include/dialog/config.php文件中存在跨站脚本漏洞。攻击者可以利用该漏洞盗取用户Cookie、挂马等。

安全建议:

升级到官方最新版:
http://www.dedecms.com/

3.3 HP Application Information Optimizer Archive Query Server组件任意代码执行漏洞

HP Application Information Optimizer Archive Query Server组件任意代码执行漏洞

发布时间:

2013-12-31

漏洞编号:

BUGTRAQ ID: 64557
CVE(CAN) ID: CVE-2013-6189

漏洞描述:

HP Application Information Optimizer 数据库软件可用智能数据管理和存储将结构化数据占用空间降至最低,并实现应用信息价值最大化。
HP Application Information Optimizer 6.2, 6.3, 6.4, 7.0版本在Archive Query Server组件的实现中存在安全漏洞,可使攻击者在受影响应用上下文中执行任意代码。

安全建议:

HP已经为此发布了一个安全公告(HPSBGN02949)以及相应补丁:
HPSBGN02949:HPSBGN02949
链接:http://h20566.www2.hp.com/portal/site/hpsc/template.PAGE/public/kb/docDisplay/?
docId=emr_na-c0404107

3.4 PHP imdb类存在多个跨站脚本漏洞

PHP imdb类存在多个跨站脚本漏洞

发布时间:

2014-01-02

漏洞编号:

BUGTRAQ ID: 64542

漏洞描述:

PHP是一种HTML内嵌式的语言。
PHP imdb类2-2.1.5及其他版本在实现上存在多个跨站脚本漏洞,攻击者可利用这些漏洞在受影响站点用户浏览器中执行任意脚本代码。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://sourceforge.net/projects/imdbphp/

3.5 MyBB 多个SQL注入和跨站脚本漏洞

MyBB 多个SQL注入和跨站脚本漏洞

发布时间:

2013-12-31

漏洞编号:

BUGTRAQ ID: 64570

漏洞描述:

MyBB是一个功能完整并且非常实用的论坛软件。
MyBB 1.6.12之前版本在实现上存在多个SQL注入及跨站脚本漏洞,成功利用后可使攻击者窃取cookie身份验证凭证、执行未授权数据库操作。这些漏洞源 于没有正确过滤某些输入,这些输入相关ACP内编辑表情符号、用Akismet删除帖子、视频MyCode、表情符号提示符等。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.mybb.com/
http://blog.mybb.com/2013/12/16/mybb-1-6-12-released-security-maintenance-release/