当前位置: 安全纵横 > 安全公告

一周安全动态(2013年01月02日-2014年01月09日)

来源:安恒信息 日期:2014-01

2014年01月第二周(01.02-01.09)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 政府和教育类网站更容易被黑客所青睐

国内关注网站信息安全的第三方公益组织近日向媒体透露,因为政府网站(.gov)和教育类网站(.edu)域名在搜索引擎中权重较高,更容易被黑客所青睐。

黑客利用入侵政府、教育类网站,并植入“暗链”以达到对自己利好的目的,更有甚者还会利用政府、教育网站的权威性发布虚假诈骗消息,对网民造成经济损失。年关将至,提醒政府、教育类网站管理者应提高警惕,并加强网站安全防护。

最新一周的安全播报中显示,光是本周新发现存在安全问题的政府、事业单位类型就有101个、学校类型网站也发现80个。政府、教育类网站被黑之后会被黑客利用,对网民造成巨大危害,特别是一些已经被认证的政府、教育类网站被黑,发布虚假诈骗信息更容易对网民造成误导。

政府、教育类网站客流量大、人员固定,因此网站管理人员要时刻注意网站的信息安全问题,对数据本源进行加密,使用加密软件是最好的选择。

1.2 互联网金融连遭黑手 好贷网、人人贷遭黑客攻击

互联网金融发展如火如荼,随之而来的是黑客们的脚步。昨日,网贷公司人人贷、好贷网、拍拍贷均被黑客攻击,造成网络瘫痪。好贷网CEO李明顺表示:“恶意黑客很嚣张,据说收钱受人指使,要攻击一周!”

好贷网、人人贷同时遭攻击

“其实好贷网在前一天就已经遭到了黑客的攻击,但因为量较小已经抵御过去了。”李明顺向北京晨报记者介绍,昨日下午好贷网面临着7G的DDOS攻击,这种攻击主要是通过众多的虚拟账户和交易量,让网站的服务器瞬间瘫痪,网站打不开,也进行不了任何操作。截至记者发稿时,该网站已经基本恢复正常。

好贷网遭受攻击的同时,网贷公司人人贷也遭到攻击。从人人贷发布的信息看,本周三晚间就曾因受DDOS攻击而暂停服务。不久前,比特币交易平台火币网也曾遭到过类似的攻击。

网贷之家首席研究员马骏指出,一般来讲,百度、腾讯、阿里巴巴等大型互联网公司拥有大量服务器和带宽用以防御此类攻击,小的平台抗风险能力则很小。诸如人人贷等平台就需要增加服务器和带宽,否则平台数据易被黑客获取。

“这分明就是恶意流量的攻击,我们将报警追查幕后的操纵者。”李明顺坦言,由于DDOS的模式地址可能更多是分散式、虚拟的,追查到真凶也十分困难。

据业内人士介绍,互联网金融公司遭遇黑客攻击可能有两种原因,一是由于互联网金融公司竞争激烈,入侵行为实为对手公司所为,让不少用户从被攻击的平台流出,是一种不正当竞争行为;另一则可能是黑客本身向公司进行敲诈勒索。而上述公司表示未接到相关勒索信息。

网络安全成巨大开销

在业内人士眼中,互联网公司遭到恶意攻击较为普遍,并表示“谁叫这个行业火了呢?”然而,这样的恶意攻击却让刚刚萌芽的互联网金融公司成本骤增。

“在一个时期内,安全问题还会成几何级增长,风险会继续累加。”李明顺介绍,目前多数中小型互联网企业均可以抵御1G到2G的小规模入侵,但10G以上的入侵几乎无力抵抗。除了购买应急性的解决方案以外,只能在日后升级软硬件设备,而这将是巨大的成本开销。基于被攻击的经历考虑,李明顺表示,2014年在互联网安全方面要投入的成本比此前至少要翻倍。

火币网创始人杜均介绍,近两个月,增加服务器设备花去约200万元,并在多地建立分布式的机房,这将该平台承受的瞬间流量值增大,以此来抵御略小规模的恶意攻击。而在防火墙等安全软件上面的花销也超过百万元,同时还设置了专门的运维及安全部门。“这两个月,在安全上的成本占到整体成本的六成左右,后续安全方面的花费可能还将继续增加。”

此外,李明顺表示,希望对相关恶意攻击者的惩处力度增大。“其实黑客攻击平台的成本很小而收益可能达到百倍千倍,即使将其绳之以法,对其的处罚力度也较小,这并不利于整个行业的发展。”

1.3 黄牛党使用黑客软件抢票 需45分钟内寻到买家

记者在12306官方购票网站上用随意编的18位身份证号和假姓名“王小二”订票成功

网上显示已经没票,但找“黄牛”就能轻易订到紧俏的火车票,这到底是怎么回事?近日,网上盛传“黄牛党”用假身份证号提前在网上抢购紧俏火车票,向买家索要不菲的“手续费”牟利。假身份证号真的能在网上抢到火车票吗?黄牛是怎么囤票的?其中有什么安全隐患没有?记者对此进行了调查。

【体验】 假名假号就能在12306抢到票

7日上午,记者登录铁路客户服务中心的12306官方购票网站,在随意编了一个18位数的身份证号和姓名“王小二”后,又填了一个假的手机号。点击“提交订单”,系统随即提示“席位已锁定”。就这样,一张从郑州到新乡的K968次车票就预订成功了。
随后,记者又如法尝试多次,均成功订票。

接着,记者又尝试把抢到的票退掉,“取消订单”后,刚才的票又回到了余票中。

不过,“席位锁定”后,系统设置了45分钟的支付时间,这意味着,“黄牛”需要在45分钟内找到买家。

连续多日,记者在12306购票网站发现该漏洞依然存在。

【调查】 “黄牛”用的是假信息和黑客软件

记者尝试加入了一个名为“火车票网络订购技巧”的QQ群,进入群内,发现不断有求票的网友加入。

一名姓邹的网友刚加入就开始求购1月29日从广州东到岳阳的车票。很快,他上传了火车票截图,并在群里说:“谢谢,终于帮我抢到了!”原来,只要有人在群里求购,“黄牛”就会与其私聊、谈价并交易。

记者假称想买两张腊月二十九从广州开往郑州的硬座车票,网名为“漂漂”的“黄牛”当即私聊说,每张票加收100元手续费,“你去问吧,都是这个价!”

经过一番试探性的聊天,“漂漂”断断续续道出了他手中有票的奥秘:先用虚假的身份信息和抢票软件在开售后快速抢票,找到买家后,把预订的票退掉,让其进入“余票”库,因为系统是随机的,所以有时刚退的票有可能会被其他人抢走,为了增加抢到退票的可能性,他们会在下午6点等网络点击量较少的时段退票,或者一次退多张票。

“漂漂”还说,如果在“席位锁定”后45分钟内找不到买家,他们会把抢到的票先买下,然后继续寻找买家,等有了买家后把票退掉,再去抢票。这样虽然会被收取5%到' ;%迗Z抙8HE' ;%迗Z抙8H铰蚣疑砩稀

另外,还有多名网友在群里说,“黄牛”使用的抢票软件都是网络黑客做的付费软件,能以极快的速度实时刷票,比人工手动抢票快几十倍,所以才会出现“黄牛党10分钟抢走1245张票”的新闻。

【提醒】 泄露个人信息存在安全隐患

对此,郑州铁路客服中心工作人员解释说,12306的网上购票系统没有和公安部门的户籍系统联网,购票时输入十八位身份证数字后,并不会显示真实姓名,所以才会出现假身份证和假姓名也能订到票的情况。

北京铁路客户服务中心的工作人员也说,12306网页的余票10分钟刷新一次,退完的票会自动返回余票里,“退完之后别人也在抢,有的能抢到,有的可能抢不到”。

对此,河南省公安厅1月6日也在其官方微博“平安中原”发布提醒称:目前,火车票实行购票实名制,如使用假身份证号购买车票,在车站窗口、铁路客票代售点、自动售取票机等均不能办理换票、退票手续,提醒大家在购票时要通过正规渠道。

记者还发现,黄牛在帮人“代购”的过程中,会要求购票人把自己的身份证号、手机号、姓名发过去,这无疑会泄露购票人的个人信息,给自己带来安全隐患。

另一方面,河南仟问律师事务所的罗新建律师说,虽然这些“黄牛”牟利的工具不是实物车票,但是从社会治安管理的角度来看,这种行为属于倒卖车票,公安机关可对其进行罚款或行政拘留,如果其性质严重,还涉嫌非法经营罪,扰乱市场秩序,可以追究其刑事责任。

1.4 “查开房”数据泄露者被抓了

2013年10月许,多家酒店的开房记录被从网络上曝光,引起社会高度关注。记者日前从北京警方获悉,北京警方远赴四川凉山州,终将涉案“黑客”钟某抓获。更令人吃惊的是,警方在钟某电脑中查获了逾亿条公民个人信息以及其他相关数据总计30余亿,涉及到各大电商网站,甚至包含多省市的学籍及人口信息,至此酒店开房记录泄露案及部分省市公民信息泄露案终于告破。

2013年4月12日9时许,北京警方接到教育局的报案称,学籍信息管理服务器被入侵,学籍信息被下载。北京警方接警后,网警大队立刻进行侦察,由于案件涉及到公民信息泄漏,随时可能造成无法弥补的损失,市公安局领导对此事非常重视,下令年前必须破案。据介绍,根据报案机构提供的信息,网警经过初步研究后认为,该网站服务器存在漏洞,并被人加以利用。网警大队认为,只要找到网站服务器存在的漏洞,就能抓住黑客的行踪。据称,这是一般网络入侵案件的侦破思路。

但是,网警们运用自己的专业知识,经过数月的排查,仍找不到头绪。“虽然找到了黑客利用的网络漏洞,但是仍然无法确定黑客身份。”网警大队长说,他们马上意识到从服务器中找到黑客的行踪是徒劳的,只会浪费大量时间并耽误侦察进展,他们立刻调整调查思路,着重于从犯罪嫌疑人的销赃渠道入手。于是在网警大队的不懈努力下,终于找到黑客的蛛丝马迹,并找到了用于销赃的银行卡。但是,在网警大队在与银行方面的合作调查后,排除了该银行卡开户人的嫌疑。

调查到此看似进入了一个僵局。但是在2013年11月许,网警大队对开房记录泄露案进行调查时偶然发现泄露数据的人与入侵学籍信息管理服务器的“黑客”有千丝万缕的联系,在对各个细节进行比对后,民警发现这两次案件均为同一人所为。终于在北京市公安局以及中国互联网应急响应小组的协同努力下,确定了犯罪嫌疑人的位置,民警于今年1月5日凌晨在四川凉山州将犯罪嫌疑人钟某抓获。

目前此案件正在审理当中。

1.5 中国破解量子黑客隐患 入选国际物理学重大进展

美国物理学会《物理》杂志近日公布了2013年度国际物理学领域的11项重大进展,中科大教授潘建伟及其同事的“利用测量器件无关量子密钥分发解决量子黑客隐患”的研究成果位列其中。

据悉,这也是潘建伟及其同事在量子通信和量子计算领域的研究成果第十次入选欧洲物理学会或美国物理学会国际物理学“年度重大进展”,标志着中国在量子通信研究方向上继续保持着国际领先地位。

潘建伟等解决量子黑客隐患的研究成果发表在2013年9月24日出版的国际权威物理学期刊《物理评论快报》上,得到了包括美国《科学》杂志、美国物理学会《物理》杂志和英国知名新闻刊物《经济学人》在内的多家欧美科技新闻媒体的专题报道。

《物理》杂志国际物理学重大进展评选真正在物理学界内外引起轰动的成果,其他同时入选的10项重要研究成果包括:太阳系外来客,暗物质探索,望远镜探测到古老宇宙光线扭曲,黑洞的内部结构等。

 

2 本周关注病毒

2.1 Trojan.Win32.Generic.1632CE3D(木马病毒)

警惕程度 ★★

该病毒运行后通过伪造的腾讯中奖消息框,通知用户中奖信息,让用户访问钓鱼网站,并让用户输入一系列的个人信息,达到诈骗用户个人信息及钱财的目的。

2.2 Backdoor.Farfli!489E(后门病毒)

警惕程度 ★★

该病毒运行后自删除,释放VBS脚本并运行,同时修改注册表。该病毒会记录键盘操作,盗取用户重要文件,账号密码等敏感信息。

2.3 Trojan.DL.Win32.Undef.tlb(‘安德夫’木马病毒)

警惕程度 ★★★

该病毒通过网络硬盘及社交分享功能传播,病毒运行后,将后台连接黑客指定另一网盘地址,下载15款推广软件至C盘Program Files目录下运行,并强制在电脑中进行安装。最后,病毒将删除推广软件自带的卸载功能,使用户无法通过普通常用手段卸载该类软件,因此用户电脑一旦中毒,就将面临被强制安装垃圾软件、电脑运行速度变慢等问题。

 

3 安全漏洞公告

3.1 WordPress '/wp-admin/options-discussion.php'脚本跨站请求伪造漏洞

WordPress '/wp-admin/options-discussion.php'脚本跨站请求伪造漏洞

发布时间:

2014-01-03

漏洞编号:

BUGTRAQ ID:64564
CVE ID:CVE-2013-7233

漏洞描述:

WordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设自己的网志。
WordPress存在跨站请求伪造漏洞。允许远程攻击者劫持administrars评论的请求的身份验证。

安全建议:

目前没有详细解决方案提供:
http://wordpress.org/

3.2 Huawei eSight任意文件上传漏洞

Huawei eSight任意文件上传漏洞

发布时间:

2014-01-03

漏洞编号:

BUGTRAQ ID: 64633

漏洞描述:

华为eSight ICT运维系统是华为公司研制的新一代面向企业基础网络、统一通信、智真会议、视频监控和数据中心的整体运维管理解决方案。
Huawei eSight V200R003C00版本可使攻击者上传任意文件,并且没有正确验证上传到受影响系统的设备图形,这可被攻击者利用,造成信息泄露、服务中断、挂起等。

安全建议:

Huawei已经为此发布了一个安全公告(hw-323611)以及相应补丁:
hw-323611:Vulnerability in Image Upload of User-defined Devices to Huawei eSight System
链接:
http://www.huawei.com/en/security/psirt/security-bulletins/security-advisories/hw-323611.htm

3.3 Huawei CloudEngine系列路由器多个安全限制绕过漏洞

Huawei CloudEngine系列路由器多个安全限制绕过漏洞

发布时间:

2014-01-03

漏洞编号:

BUGTRAQ ID: 64634

漏洞描述:

CloudEngine系列是华为公司面向下一代数据中心和高端园区推出的“云”级高性能交换机。
Huawei CloudEngine系列交换机的HWTACACS模块在实现上存在多个安全限制绕过漏洞。若攻击者拥有低权限的用户名称和密码并能够登录受影响设备,则可以利用这些漏洞绕过服务器身份验证检查,提升用户权限并执行任意命令。

安全建议:

Huawei已经为此发布了一个安全公告(hw-323610)以及相应补丁:
hw-323610:A Vulnerability on the HWTACACS Authorization Module of the CloudEngine
链接:http://www.huawei.com/en/security/psirt/security-bulletins/security-advisories/hw-323610.htm

3.4 Apache Libcloud Digital Ocean API本地信息泄露漏洞

Apache Libcloud Digital Ocean API本地信息泄露漏洞

发布时间:

2014-01-03

漏洞编号:

BUGTRAQ ID: 64617
CVE(CAN) ID: CVE-2013-6480

漏洞描述:

libcloud 是用Python开发的访问云计算服务的统一接口。
Apache Libcloud 0.12.3-0.13.2版本销毁DigitalOcean节点时,没有发送scrub_data query参数,这可使本地攻击者利用此漏洞获取敏感信息。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://libcloud.apache.org/security.html
https://digitalocean.com/blog_posts/transparency-regarding-data-security

3.5 Cisco NX-OS特制BGP更新消息处理远程拒绝服务漏洞

Cisco NX-OS特制BGP更新消息处理远程拒绝服务漏洞

发布时间:

2014-01-08

漏洞编号:

BUGTRAQ ID: 64670
CVE ID:CVE-2013-6982

漏洞描述:

Cisco Nexus系列交换机是数据中心级交换机。采用Cisco Nexus OS操作系统。Cisco NX-OS在处理BGP更新消息时BGP实现存在安全漏洞,允许未验证远程攻击者使设备上所有BGP会话重置。攻击者通过提交构建特定的BGP标记更新消息可触发该漏洞,可使配置了VPNv4, VPNv6, or 标记了单播地址族的IPv6的Cisco NX-OS设备上所有BGP会话重置。

安全建议:

用户可参考如下厂商提供的安全公告获得补丁信息:
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-6982