当前位置: 安全纵横 > 安全公告

一周安全动态(2013年01月16日-2014年01月24日)

来源:安恒信息 日期:2014-01

2014年01月第四周(01.16-01.24)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 国家互联网应急中心:21日“断网”源于网络攻击

1月22日,国家互联网应急中心发布消息称,1月21日“断网”是由于网络攻击造成。

国家互联网应急中心发布消息称,1月21日15时20分,大量互联网用户无法正常访问域名以“.com”、“.net”等结尾的网站。事件发生后,国家互联网应急中心第一时间启动应急响应机制,协调组织部分技术支撑单位进行调查和应急处置,16时50分左右,用户访问基本恢复正常。

互联网应急中心称,经对已掌握的数据进行分析,初步判断此次事件是由于网络攻击导致我国境内互联网用户通过国际顶级域名服务解析时出现异常,攻击来源正在进一步调查中。

1月21日15时许,国内部分用户发现无法访问.com域名网站,国内多个门户网站无法正常访问。

监测发现,很多网站被解析到65.49.2.178这一个无法访问的美国IP地址。其还发现,国内三分之二DNS处于瘫痪状态。

据域名服务商称,“断网”的原因与DNS故障有关,有业内专家分析称,攻击可能来自国内。

1.2 扮黑客入侵网络 删前东家数据解恨

因离职时被拖欠工资,曾负责网络管理的任某,编写了一份能删除原公司办公平台数据的文件,并在家中远程登录入侵公司办公平台,执行了该文件,造成了“前东家”直接经济损失20余万元。

昨天上午,因涉嫌破坏计算机信息系统罪,任某在东城法院受审。

30岁的任某,大学本科毕业,曾在北京国瑞兴业商业管理有限公司(以下简称国瑞公司)信息处工作,负责网络管理、服务器运行维护等IT周边工作。

据检察机关指控,2012年5月30日,任某在位于石景山区的家中,使用笔记本电脑远程登录了国瑞公司的计算机服务器,编写能够删除“泛微协同办公平台(e-cology)”管理程序及用户数据的文件,并于同年7月4日执行该文件。经鉴定,任某这一行为造成国瑞公司直接经济损失人民币226100元。

2013年4月3日,任某被公安机关控制。本月24日,该案未当庭作出宣判。

讲述

起因 欠薪3000元实施报复

“我是脑子一热做了这事,没想到自己的行为会造成这么大的影响,还触犯了法律。”任某说,2012年5月29日,他在国瑞公司办理了离职手续,但离职时有一个月工资没发给他,共计3000余元。

回到家后,他心里非常不平衡,于是通过远程登录访问的服务器,登录后编写了能够删除公司管理程序及用户数据的程序。同年7月4日,由于新工作的压力很大,产生了报复心理,他执行了编写的软件,将D盘、E盘的程序全部清除了。

“我以为清除后只是会拖延他们的工作进度,需要时间去恢复,恢复后就没事了,没想到影响这么大。”任某称,“泛微协同办公平台”是一种企业自动化办公软件,其中D盘和E盘内储存的是内部报销审批等文件。过去,他经常会执行计算机整理及清除系统垃圾的工作,他以为自己所做的与此类似,“删除后就没再想过这事,正常生活。”

后果 赔30余万获公司谅解

根据检方出示的该办公软件开发公司工作人员的证言,该平台遭到破坏后,经查看没有办法恢复,只能重新购买和安装。该证言等证据显示,最初国瑞公司购买、安装该系统花费22.6万余元。

在陈述环节,任某起身向旁听席的国瑞公司的代表鞠躬致歉。

据了解,事发后,任某已向国瑞公司赔偿30余万元。根据国瑞公司出示的说明显示,国瑞公司表示对任某予以谅解。

1.3 最新调查指出智能冰箱也能发送垃圾邮件

企业安全公司Proofpoint于日前发布了一份调查报告。报告指出,从2013年12月23日到2014年1月6日,全球有超过10万台的互联网智能“产品”成为了发送垃圾邮件的罪魁祸首。其中包括了大量媒体播放器、智能电视机以及一台冰箱。它们在该期间总共发出了75万份的垃圾邮件。

这是安全行业首次证实了这些智能设备也能发送垃圾邮件。

Proofpoint安全部门经理Dave Knight发表声明称,“僵尸网络攻击已经成为了一个主要的安全隐患问题,现这一新情况的出现将加剧安全问题。”

另外,安全分析师Michael Osterman指出,“由于这些互联网设备非常容易被攻破,而消费者又没有可选择的安全保护手段,所以互联网设备未来将成为一个巨大的威胁。另外,这些 销量正快速增长的设备未来将可在人们不知情的情况下发送垃圾内容,而且鲜少有厂商愿意出力研发设备的保护措施,现存的安全模式又无法解决这一问题。”

很显然,Proofpoint未来很有可能会向消费者出售对应的解决方案,但现在还不清楚Proofpoint报告中所指的安全问题是否真的已经达到了需要消费者担心的境地。

1.4 韩国2000万信用卡用户资料遭窃取转卖

韩国个人信用评估公司(Korea Credit Bureau)的一名IT工作人员最近非法窃取并拷贝出了2000万份用户信用卡资料信息。这名员工实际上非法访问了3个大型数据库,里面分别存储着韩国国民卡(KB Kookmin Card)、乐天卡(Lotte Card)和农协卡(NH Nonghyup Card)的用户信用资料。

这名员工访问了这部分数据库,并且将用户资料复制到USB存储设备中,随后将资料卖到销售企业。考虑到韩国人口总数大约是5000万左右,其中所涉及的数据 内容影响范围是相当广泛的。这名未被透露姓名的工作人员后来就遭到了逮捕,当时涉及此案的相关数据还未披露,而从信用评估公司处购买用户数据的销售企业管 理人员也已经被逮捕。

发行3种卡片的相关负责人目前都已经对于数据的外泄公开表示了道歉。韩国金融监督机构(Financial Supervisory service)也在其网站上发表了一份声明:“信用卡遭到窃用的机会不大,因为密码是CVC码都没有泄露。如果您担心由于本次的信息泄露导致可能出现的 财务损失,您可请求信用卡公司更改密码,或重发信用卡。此外,您也可以免费使用由个人信用评估企业Korea Credit Bureau提供的身份保护服务1年时间。这项服务可防止身份盗用。”

这实际上已经不是韩国个人数据第一次遭窃取了。2012年时,2名韩 国黑客由于非法获取韩国第二大移动运营商870万用户资料遭到逮捕;2011年,游戏《冒险岛(MapleStory)》玩家数据遭到游戏开发者盗 取;2011年7月,韩国社交网站Cyworld用户数据也遭黑客窃取。

1.5 Target全额自动清算系统7000万用户信息遭泄露

Target(全称为The Trans- European Automated Real-time Gross settlement Express Transfer)即泛欧实时全额自动 清算系统,为欧盟国家提供实时全额清算服务。但是最近Target宣布内部用户数据遭泄露。这将是又一起重大信息安全事故。

Target今天宣称将继续深入调查最近发生的数据外泄事件。依据正在进行的司法调查结果显示,Target已经确认某些客户的个人信息遭泄露—这还不包括先前披露的支付卡数据。

这些黑客并没有使用什么新技术,但仍公布为正在被调查的一部分。其中,调查已经确认被盗用户数高达7000w!被泄密的信息包括姓名、邮寄地址、电话号码、或E-mail地址。

当然,大部分这些数据只是局部性质的,但是在这种情况下,Target必须尝试一个一个联系受影响的客户,向他们发送电子邮件,提示他们以防止上当受骗,需要注意的是,通信过程中Target公司将不会要求那些客户提供任何个人信息。

“我知道,让客户得知这一消息是非常令人沮丧的事儿!我们真的很抱歉,我们不得不忍受这一点。”

Target董事长兼首席执行官Gregg Steinhafel说道。“我也想让客户知道这样的事实并对我们予以充分的理解,这对我本人乃至整个Target团队都很重要。”

客户将可以零成本得到受欺诈的违约费用。同时,为了让用户的内心更平和些,Target将决定给所有用户免费提供一年的信用监控和防盗窃保护的服务。客户有三个月的时间来决定是否接受这项服务。

 

2 本周关注病毒

2.1 Backdoor.Win32.Toy.a(后门病毒)

警惕程度 ★★

该病毒伪装成节日桌面玩具程序,利用邮件、聊天工具的方式传播。用户一旦双击运行病毒程序后,该程序将自动连接黑客指定服务器,将自身更新至最新版本,同时将用户电脑的信息发送给黑客,并监控电脑操作,电脑一旦中毒用户将面临隐私信息泄露、网银账密被窃等风险。

2.2 Trojan.Win32.Generic.1616BB9C(木马病毒)

警惕程度 ★★

该病毒运行后会使中毒电脑远程连接黑客指定地址,连接成功后,通过接收执行控制端发送的指令,实现对用户电脑的全面控制。

2.3 Backdoor.Win32.Toy.a(节日后门病毒)

警惕程度 ★★★★

该病毒伪装成节日桌面玩具程序,利用邮件、聊天工具的方式传播。该病毒下载后是一个压缩文件,解压后得到两个程序,一个是正常的桌面玩具程序,另一个是病毒程序。用户一旦双击运行病毒程序后,该程序将自动连接黑客指定服务器,将自身更新至最新版本,同时将用户电脑的信息发送给黑客,并监控电脑操作,电脑一旦中毒用户将面临隐私信息泄露、网银账密被窃等风险。

 

3 安全漏洞公告

3.1 IBM WebSphere Application Server 拒绝服务漏洞

IBM WebSphere Application Server 拒绝服务漏洞

发布时间:

2014-01-24

漏洞编号:

BUGTRAQ ID: 65096
CVE ID: CVE-2013-6325

漏洞描述:

WebSphere是IBM的集成软件平台。它包含了编写、运行和监视全天候的工业强度的随需应变Web应用程序和跨平台、跨产品解决方案所需要的整个中间件基础设施,如服务器、服务和工具。
IBM WebSphere Application Server 8.5, 8, 7版本没有正确处理Web服务端点的请求,在实现上存在拒绝服务漏洞,远程攻击者可利用此漏洞耗尽可用资源。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.ibm.com/support/fixcentral/
http://www-01.ibm.com/support/docview.wss?uid=swg1PM99450
http://www-01.ibm.com/support/docview.wss?uid=swg21661323
http://www-01.ibm.com/support/docview.wss?uid=swg21661325

3.2 IBM Symphony Platform 弱加密安全漏洞

IBM Symphony Platform 弱加密安全漏洞

发布时间:

2014-01-23

漏洞编号:

BUGTRAQ ID: 65065
CVE ID: CVE-2013-6305

漏洞描述:

IBM Lotus Symphony是IBM推出的一款免费办公软件。
IBM Platform Symphony 5.2、6.1.0.1在不同的用户安装中使用了相同的凭证加密密钥,这可使上下文独立的攻击者获取敏感信息。

安全建议:

IBM已经为此发布了一个安全公告(isg3T1020528)以及相应补丁:
isg3T1020528:http://www-01.ibm.com/support/docview.wss?uid=isg3T1020528
链接:
http://www-01.ibm.com/support/docview.wss?uid=isg3T1020528

3.3 Oracle Java SE远程安全漏洞

Oracle Java SE远程安全漏洞

发布时间:

2014-01-22

漏洞编号:

BUGTRAQ ID: 64922
CVE ID: CVE-2014-0373

漏洞描述:

Java SE 是基于JDK和JRE的Java平台标准版的简称,用于开发和部署桌面、服务器以及嵌入设备和实时环境中的Java应用程序。
Java SE 5.0u55, Java SE 6u65, Java SE 7u45在实现上存在安全漏洞,被未经身份验证的远程攻击者成功利用后可影响完整性、可用性、机密性。该漏洞仅可通过沙盒 Java Web Start 应用及沙盒Java小程序利用。

安全建议:

Oracle已经为此发布了一个安全公告(cpujan2014-1972949)以及相应补丁:
cpujan2014-1972949:Oracle Critical Patch Update Advisory - January 2014
链接:http://www.oracle.com/technetwork/topics/security/cpujan2014-1972949.html

3.4 Tntnet HTTP报文头泄露漏洞

Tntnet HTTP报文头泄露漏洞

发布时间:

2014-01-21

漏洞编号:

BUGTRAQ ID: 65025
CVE ID: CVE-2013-7299

漏洞描述:

Tntnet 是一个Web应用服务器,可使用C++来编写Web应用。
Tntnet 2.2及其他版本处理HTTP报文头时出错,这可使远程攻击者劫持有效用户会话。攻击者通过发送特制的HTTP请求,该请求附加了之前请求的报文头,则可通过HTTP身份验证配置,劫持用户账户,获取权限。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.tntnet.org/

3.5 Dell Kace 1000 Systems Management Appliance多个SQL注入漏洞

Dell Kace 1000 Systems Management Appliance多个SQL注入漏洞

发布时间:

2014-01-21

漏洞编号:

BUGTRAQ ID: 65029

漏洞描述:

Dell Kace 1000 Systems Management Appliance是系统管理设备。
Dell Kace 1000 Systems Management Appliance 5.4.76847及其他版本没有正确过滤getUploadPath及getKBot SOAP方法的"macAddress"参数值,可导致注入任意SQL代码,从而操作SQL查询。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.dell.com/support/drivers/us/en/