当前位置: 安全纵横 > 安全公告

一周安全动态(2013年01月09日-2014年01月16日)

来源:安恒信息 日期:2014-01

2014年01月第三周(01.09-01.16)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 NSA秘密技术曝光:以无线电波监视未联网设备

据《纽约时报》报道,美国国家安全局(以下简称“NSA”)已经在全世界近10万台电脑中植入了软件,不仅可以方便美国政府监控这些设备,而且可以为美国发起网络攻击开辟一条数字高速公路。虽然这类软件的主要目的是为了获得计算机软件的控制权,但NSA的文档显示,该机构还在逐步使用一种秘密技术,使之可以在电脑不接入互联网的情况下接入电脑并修改其中的数据。

NSA至少从2008年就开始使用这项技术,他们秘密在电脑中插入小型电路板和USB卡来发送无线电波,借此获取信息。在某些情况下,这些电波会发送到公文包大小的中继站。这些中继站都是情报机构设立的,可能距离目标数公里之外。

这项无线电技术已经解决了困扰美国情报机构多年的问题:针对断网设备展开监视。在多数情况下,这类无线电硬件必须由间谍、制造商或不知情的用户插到电脑中,才能发挥应有的作用。

NSA将这一行为称作应对外国网络攻击的“主动防御”措施,而不是进攻措施。但当他国采取类似措施时,美国官员却提出抗议,甚至连美国总统都出面介入。

中国军方已经成为美国情报部门的主要监视目标。但除此之外,这个代号为“量子”(Quantum)的项目也已经成功将软件植入俄罗斯的军事网络,以及墨西哥警察和贩毒集团的系统,甚至连欧盟的贸易机构也成为了美国的监视目标。美国还出于反恐目的在沙特阿拉伯、印度和巴基斯坦的网络中植入了这一软件。

华盛顿战略和国际研究中心网络安全专家詹姆斯·安德鲁·刘易斯(James Andrew Lewis)表示,虽然相关技术早已存在,当将其整合起来用于间谍目的却为美国政府打开了一扇前所未有的窗口。

1.2 黑客声称他们能控制关键工业控制系统

混沌计算机通信会议SCADA Strangelove项目的安全研究人员声称,他们能完整控制能源、化学和交通系统使用的工业控制系统。研究人员发现了150多个严重程度不一的0day漏洞,影响工业控制系统(ICS)、可编程逻辑控制器(PLC)和数据采集与监控系统(SCADA)。他们还发现大约6万个主要是家用的工业控制系统连接公网,容易遭受攻击。

研究人员释出了针对西门子PLC S-300设备密码加密漏洞的密码破解工具,发布了cheat sheet帮助研究人员识别工业控制系统。西门子连夜发布了一个补丁修复了SCALANCE X-200交换器上发现的漏洞。

1.3 国家突发事件预警信息发布系统试运行

经过近两年时间的建设和完善,由中国气象局承担建设的国家突发公共事件预警信息发布系统初步建成,11日全面投入业务试运行。中国气象局公共气象服务中心有关负责人介绍,国家突发公共事件预警信息发布系统是国家突发公共事件应急体系的重要组成部分。

在试运行期间,国家、省、地(市)三级气象部门将统一在该系统平台发布预警信息,并与国务院应急办指挥平台实现对接。同时,还将逐步对接国土资源、农业、交通、水利等多部门的突发事件预警信息平台,实现各类突发事件预警信息的采集、共享和快速发布。

据介绍,该系统将利用国家级突发事件预警信息网站(http://www.12379.cn/)对社会公众发布预警信息,利用12379短信号码对应急责任人发布预警信息,“12379”用户服务电话将随后开通。这一系统将逐步实现预警信息通过广播、电视、大喇叭、显示屏、微信、微博等多手段发布。

1.4 攻击者利用时间同步服务DoS大型游戏网站

12月底1月初,主要游戏网站League of Legends、EA.com和Steam因DoS攻击而短暂下线。在这次攻击中,名叫DERP Trolling的攻击者不是直接向目标网站发送海量请求数据,而是利用了运行网络时间协议(NTP)的时间同步服务器。攻击者伪装成目标网站,向时间同步服务器发送请求,数十倍放大攻击火力——一个包含8字节的伪造请求可以导致同步服务器向受害者发送468字节的回应。

专家称,在12月以前NTP攻击几乎是闻所未闻。

这种放大攻击方法与DNS放大攻击有许多相似之处,比较容易防御,只需用过滤器过滤流量就能防止NTP放大攻击。

1.5 NSA如何差一点杀死互联网

Eastmoon 写道 "《连线》发表了一篇长文,讲述了NSA大规模监视活动曝光之后,互联网巨人Google、Facebook、Microsoft和科技巨头不得不为了他们的生存而与政府进行对抗——指出为什么互联网将绝不会再相同。2013年6月6日,《华盛顿邮报》记者给Apple、Facebook、Google、Yahoo及其它互联网公司的公关部门打电话。

此前一天,英国的《卫报》一篇报道披露了电信巨头Verizon曾经自愿将每一个通话数据交给了NSA。报道是由《卫报》的记者Glen Greenwald写的,信息来自Edward Snowden,一名携带了无数NSA秘密资料离开美国的29岁IT咨询人员。Greewald是Snowden接触的第一个记者,但不是唯一的一个。 《华盛顿邮报》的Barton Gellman也联系了Snowden,之后在纪录片制作人、Snowden的志同道合者Laura Poitras的帮助下,事情蔓延到了硅谷。Gellman是第一个披露NSA机密项目Prism的记者。Snowden提供的文件表明一些大型互联网公 司曾授权NSA及FBI直接进入他们的服务器,让这些机构有能力获取到一个人的音频、视频、照片、电邮、文档。之后政府要求Gellman不要公开这些公司的身份,但是Gellman认为它是很重要。Gellman说到“指出这些公司的名字会让事实面向美国人。”然后《华盛顿邮报》的记者涌向这些科技公司寻求评论。

这只是威胁互联网行业基础的连锁反应的开始。这个话题占据头版头条达几个月,并成为科技圈讨论的热点话题。多年来,科技公司的隐私政策在维持用户隐私与将这些个人数据提供给政府机构之间采取着极其微妙的平衡。这个领域是新且处于争议之中,有时候会侵蚀到现有法律,但过去这些公司在推进这些政策前行时都取得了 艰难的平衡。当来自记者的电话立即打到这些公司的时候,这种平衡丧失了。技术公司突然发现自身陷入了一场比卷入如在Facebook上过度分享、或 Gmail上广告问题更大的战斗。过去几个月,他们发现他们自己要与他们的政府战斗,以争取到互联网的未来。

不止收入危在旦夕。更是自互联网诞生以来技术世界所坚持的那些重要的信念危在旦夕。

但首先他们需要计划出该向华盛顿邮报告诉那些。Facebook的安全主管Joe Sullivan说“我们花了九十分钟去响应。”公司的人没有人听过Prism这个项目。而最糟糕的是facebook及其它的科技公司被声称是授权了 NSA直接进入他们的服务器,以获取巨量的信息,这似乎完全的错了。CEO Mark Zuckerberg 被这种声称吓了一跳,并询问了他的高管此事是否是真的。他们都回答:NO。

相似的恐慌对话也发生在Apple、Google及Microsoft。Google的法律顾问kent walker说:“我们被周围的人问到:是否有任何秘密的获取信息的方式?”我们都说:NO。

虽然如此,华盛顿邮报在那天还是发布描述了Prism项目。(一小时后卫报也做了类似的报道。)报道包括了泄密自NSA的41页PPT中的若干P,其中一个 P上面列出了参与到prism项目的科技公司,以及他们表面上开始完全合作的日期。Microsoft最早是2007年9月,然后雅虎是第二年。 Google及Facebook是在2009年参与进来。最近的是Apple,2012年10月参与进来。PPT上使用到了每一家公司的LOGO。这就如 一个销售人员在自夸其签约成功的合同。而一天之前,公众了解到Verizon和其它的电信公司都很可能将他们的所有通话记录转给政府。现在,似乎同样的事 情发生了,电子邮件、搜索历史、甚至Instagram的图片都转给了政府。

科技公司迅速的发表声明否定他们授权美国政府直接进入他们的用 户数据库。由于有时候秘密法庭会下令要求科技公司参与到政府的项目中,这些项目要求他们分享数据,他们常常不情愿的参与了进去,而这样的事实让科技公司的 声明变的复杂化。Google和他们的伙伴们对此没有谈论所有的细节,这部分的是因为法律上阻止他们完全披露,部分的是因为他们不了解政府这些项目实际的 运作细节。因此他们的回应被视作只是口舌之词,不是发自真心。

在Obama总统介入进来前,他们几乎没有时间策划出如何回应Gellman 的指控。总统在回应泄密问题时隐含的肯定了Prism项目(同时谴责了泄密),他说:”在互联网及电子邮件方面,此事并未涉及到美国公民,也未涉及到居住 在美国的人。”这个答复可能缓和了一些公众的愤怒,但他并未对科技业起到帮助作用。Apple、Facebook、Microsoft及Yahoo的大部 分用户都是非美国公民。现在这些用户以及像欧盟的监管机构被导向相信使用基于美国的这些服务就意味着将他们的数据直接给到了NSA。

科技巨 头们花费多年时间辛苦建立起来的信任处在了破灭的风险中,而他们似乎无力就此做些什么。法律上的限制等,以致他们不能随意去提供他们与政府合作的完整文档 或就只能否定。即使最坚决的否定——来自Google CEO Larry Page及首席法律顾问David Drummond——都不能压制对他们的质疑。NSA的PPT表面任何人的个人信息就只一点击的时刻,就被传给NSA,那么事情还能怎样否定。在当月晚些 时候Drummond在卫报网站上参与问答的时候,他的提问者就变的有敌意了:

“这个问答活动是否只是你们被发现与NSA串通后的表面功夫?”

“如果Google对我们撒谎,那我们能怎么说?”

“Google,我们给予你们十多年的信任都丧失了。“

”我将停止使用Google邮箱。”

其它公司也面临如此的围攻。一个公司的高管说:“每次我们谈及它时,似乎事情变的更糟。我们不止是不被信任了。“

Facebook的全球传播主管Michael Buckley说:”事实是政府没能将妖怪放回到瓶子中。我们可以拿出任何声明或统计数据,就像政府每周的例行情况披露一样,但之后问题是有谁相信我们了?”

在去年9月份Facebook的Zuckerberg出席一个科技会议时表达了他的厌恶。他说到“政府搞砸了”。但在政府之后的行动,以及世界知道了更广的泄密信息后,Zuckerberg、Page、Tim Cook、Marissa Mayer、Steve Ballmer及其它只要在他们的服务器上储存用户信息的公司的高管都陷入了麻烦中。

不止收入危在旦夕。维持科技世界的理念都变的危在旦夕 了,曾经的互联网来自美国国防部的一个项目,如今变成一个激发出文明新纪元的互联全球的万维网。Snowden的泄密质疑了以自由表达与授权为特征的互联 网地位。如果网络被视为是扩展了的监听手段,那么带来的偏执行为就会影响人们使用互联网的方式。对美国情报机构搜集信息很愤怒的国家使用Snowden披 露的信息更有理由要求美国政府停止收集信息,而美国情报机构又不会轻易放弃在这些国家收集信息。企业在执行商业活动的时候就会使网络巴尔干化,破坏它的开 放本质,从而显著提升操作成本。

硅谷在摇晃,就如反恐战争中的附带伤害。而事情只会走向更糟。







六月份之前科技公司们都不知道Prism项目,他们知道有一个已有若干年历史的项目,即为了国家安全在没有正式文件的情况下向政府提供一些特定数据。这个项 目的法律正当性来源于一系列含增补及扩展的法律条款。1978年《外国情报安全法》,简称为FISA,创造了一个秘密法庭,以便可以下令进行信息获取请 求。2008年FISA的修正案修订出了一个新的法律部分,即702款,该修正案给予布什总统可以在完全隐秘的情况下进行没有书面许可的监听计划。查询常 常被称为702s。NSA引述FISA修正案作为Prism项目的具体法律基础。(Prism之外)更隐秘的监控操作都基于里根时代12333行政命令, 该命令授权NSA可以收集需要关注的美国之外的外国人的各种信息。

有些公司似乎对于将客户的信息交给NSA感觉是十分得当的。 Verizon从来没有拒绝将它成千上亿用户的关键账单信息、电话号码、每次的通话时长信息给予NSA。总之,这并没啥让人震惊的。因为电信公司不需要基 于信赖向客户推销自己,客户也很少期望能从这些垄断寡头那里获得什么。在迎合消费者与政府上,电信公司似乎会优先考虑监管他们的政府。

在科技行业对于“互联网的巴尔干化“(SPLINTERNETS)前景甚是忧虑。Facebook CEO Mark Zuckerberg说到”我们大家需要帮助去修复这个问题。”

相比电信公司,科技公司们是另一番情况。科技公司的CEO们一直在反复强调声称如果没有用户的信赖,他们就没有业务可做。他们依赖于用户分享信息的意愿。反 之,这些用户从而就可以获取到更多更好的服务,而同时期望科技公司能够确保他们个人信息的隐秘及安全,并且希望对任何例外都是透明的。用户没有理由认为可 以在无书面许可的情况下将他们的信息交给政府。

至少有一家公司挑战了那些违宪的信息查询请求。雅虎在FIFA法庭为抵制交出用户信息反动了 一场秘密战斗。但努力失效了。在2008年8月22日,法庭决定为了国家安全支持政府的手段,并给予程序上的保障,在某种形式实现与法律一致而排除了雅虎 关心的用户隐私问题。随后雅虎就无处申诉,雅虎挑战的失败为之后可能的抵抗树立了一个案例:FISA的请求是合法的,任何不予以合作的公司都可能面临在法 律上被轻易起诉的风险。

这些查询请求可能已经侵犯了一些大型技术公司,但还不足以形成对其业务上的挑战。也没有人说他们为了应对数据查询被迫做出一些基础架构上明显的修改。通常他们是将查询的数据传递给政府所拥有的特殊设备上。某些情况下,他们甚至将这些设备列为他们公司的资产。

对于一些小公司,遵从并不总是容易的。例如,Lavabit是一家安全邮箱初创公司,该公司允许用户包括Snowden在内对邮件信息加密,政府曾要求他们 将涉及Snowden事件传播的重要信息交给政府。Lavabit不能这么做,因为如果服从,将它所有的用户信息完全曝光给政府就会导致公司关门。

虽然如此但可以有一些小的措施进行抵抗。Twitter的法律顾问Vijaya Gadde说到:“政府能够请求信息,但他们不能强迫你给出信息。你可以让这事容易或简单。“Google也说当一个请求是”十分宽广“的时候 Google会将其推后。这些小的事情表明了对政府查询的微妙抵制。FISA要求政府给予这些被检索了信息的企业进行补偿。Google说他们不想麻烦跟 政府去要钱。但是有一家公司说它使用了这个条款,以此希望限制政府请求的程度。这个公司的高管说:“起初,我们认为我们不应当为此要钱,但我们认识到这是 好事,这能迫使政府停下来思考一下。”

然而最后,与政府合作也是有巨大的财务动机存在的。一名科级公司的高级主管说到:“大公司都与政府有业务往来,这些大公司的人不可能给政府官员说:‘我们正在跟你们战斗,——我们能拿到那份4亿美金的合约吗?’“

科技公司对于收到的FISA信息请求次数的公开也逐渐变的越加含糊其辞。他们仅被许可发布那些符合政府要求的报告,包括民事法庭及其法律要求执行的信息请 求。(粗略来看,这些数字常常低于上千,似乎不可怕,但他们缺乏背景说明。)Google、Yahoo、Facebook及微软都曾向FISA法庭请求去 放松这些限制,一大帮的技术公司,也包括Apple及LinkedIn都提交了相同的诉求。但政府却只是将这些热情反对意见请愿材料存档,政府还是打败了他们。

 

2 本周关注病毒

2.1 Worm.Mail.Brontok.pc(蠕虫病毒)

警惕程度 ★★

病毒运行后修改用户host文件,阻止用户登录杀毒软件网站,同时登陆黑客指定地址并下载恶意程序。最后,病毒会自动搜集用户电脑中的电子邮件地址,并将病毒作为附件发送给更多用户,带来更大范围危害。

2.2 Trojan.Win32.Generic.123E520F(木马病毒)

警惕程度 ★★

病毒运行后自我复制到C:\Windows\system32文件夹下,并创建服务进行关联实现开机自启动,同时释放lpk.dll到各文件夹下,在后台下载更多恶意程序 ,最终造成资料被盗,中毒电脑被远程控制等威胁。

2.3 Trojan.Win32.Generic.1633e5d4(‘游戏伪装者’木马病毒)

警惕程度 ★★★★

该病毒伪装成电脑游戏主程序引诱用户下载。病毒运行后,会自动设置为隐藏属性,同时将自身添加为开机启动项,并结束杀毒软件进程,后台连接黑客指定地址,下载更多病毒至用户电脑,同时监控键盘操作,并向黑客开放电脑后门。用户电脑一旦中毒,将面临网银账号被盗、隐私信息泄露等风险。

 

3 安全漏洞公告

3.1 多个IBM产品存在未明SQL注入漏洞

多个IBM产品存在未明SQL注入漏洞

发布时间:

2014-01-13

漏洞编号:

BUGTRAQ ID:64749
CVE ID:CVE-2013-6321

漏洞描述:

IBM多个产品未能正确过滤用户提交的输入,允许远程攻击者利用漏洞进行SQL注入攻击,可操作或获取数据库数据。
漏洞影响如下产品:
IBM Atlas eDiscovery Process Management
IBM Disposal and Governance Management for IT
IBM Global Retention Policy and Schedule Management

安全建议:

用户可参考如下厂商提供的安全公告获得补丁信息:
http://www.ibm.com/support/entdocview.wss?uid=swg21661403

3.2 多个IBM产品 'Save Draft'访问绕过漏洞

多个IBM产品 'Save Draft'访问绕过漏洞

发布时间:

2014-01-13

漏洞编号:

BUGTRAQ ID: 64751
CVE ID:CVE-2013-6334

漏洞描述:

IBM多个产品Compliance Questionnaire “Save Draft” servlet URL PolicyAtlas/ResponseDraftServlet由于未能充分会话校验,允许远程攻击者利用漏洞绕过访问控制未授权访问系统。
漏洞影响如下产品:
IBM Atlas eDiscovery Process Management
IBM Disposal and Governance Management for IT
IBM Global Retention Policy and Schedule Management

安全建议:

用户可参考如下厂商提供的安全公告获得补丁信息:
http://www.ibm.com/support/entdocview.wss?uid=swg21661403

3.3 Foosun(风讯)CMS SQL注入漏洞

Foosun(风讯)CMS SQL注入漏洞

发布时间:

2014-01-03

漏洞编号:

CNVD-2014-00220

漏洞描述:

Foosun CMS是一款内容管理系统。
Foosun(风讯)CMS SQL注入漏洞存在于awardAction.asp 页面,该页面未对Integral参数的引入函数值进行过滤,导致攻击者可以利用漏洞以当前用户权限发起SQL注入攻击,攻击者可以修改任意表中的数据或 执行其他注入操作。

安全建议:

将\User\award\award\awardAction.asp中的:
ntegral=NoSqlHack(request.QueryString("Integral"))
修改为:
ntegral=CintStr(request.QueryString("Integral"))
即把integral 参数转化为整形,就能防止 SQL注入漏洞。

3.4 ISC BIND NSEC3签名域查询处理拒绝服务漏洞

ISC BIND NSEC3签名域查询处理拒绝服务漏洞

发布时间:

2014-01-14

漏洞编号:

BUGTRAQ ID: 64801
CVE ID: CVE-2014-0591

漏洞描述:

BIND是一个应用非常广泛的DNS协议的实现。
ISC BIND处理对NSEC3签名域的请求时出现错误,这可使恶意用户利用特制的查询,造成INSIST失败类崩溃。成功利用需要主域名服务器至少服务一个NSEC3签名的域。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.isc.org/downloads
https://kb.isc.org/article/AA-01078/74/

3.5 Cisco Unified Communications Manager管理入口访问绕过漏洞

Cisco Unified Communications Manager管理入口访问绕过漏洞

发布时间:

2014-01-15

漏洞编号:

CVE ID: CVE-2014-0657

漏洞描述:

Cisco Unified Communications Manager是企业级IP电话呼叫处理系统。
Cisco Unified Communications Manager 9.1(1)及之前版本在处理角色权限时出现错误,这可导致未授权情况下访问受限制的管理入口区。

安全建议:

Cisco已经为此发布了一个安全公告(CVE-2014-0657)以及相应补丁:
CVE-2014-0657:Cisco Unified Communications Manager Role Bypass Vulnerability
链接:http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-0657