当前位置: 安全纵横 > 安全公告

一周安全动态(2014年02月13日-2014年02月20日)

来源:安恒信息 日期:2014-02

2014年02月第三周(02.13-02.20)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 2013成漏洞问题最严重年份 微软安全问题突出


甲骨文公司位列“漏洞数量最多的公司”榜单之首

据卡塔尔半岛电视台网站2月17日报道,计算机安全研究人员称,2013年是过去五年里漏洞问题最为严重的一年,各种被发现的漏洞数量甚至达到了日均13个。

计算机安全公司GFI的安全实验室援引美国国家漏洞数据库(NVD,National Vulnerability Database)的数据发布报告称,大多数常见应用程序与操作系统均包含了数量众多的高危安全漏洞。

研究人员表示,2013年全年共发现4794个漏洞,这一数据是过去五年内的最高值,并且有三分之一的漏洞达到了“高危”级别。

在企业方面,漏洞数量最多的公司是甲骨文公司,该公司在去年共有514个漏洞,而“元凶”当属该公司的Java平台——它贡献了193个漏洞;紧随其后的是思科公司,共有373个漏洞;第三名是微软公司,共有344个漏洞,而这其中竟有248个是高危漏洞。

在操作系统方面,微软的Windows系列操作系统占据了漏洞总数前十名的半壁江山,而第一名却是Linux Kernel。但是Linux Kernel的高危漏洞数量仅排倒数第四(共有16款操作系统参与排名),而微软的Windows则“霸占”了前六名的全部席位。

在浏览器方面,微软的IE浏览器安全性能最差,其次是谷歌的Chrome,第三名是Mozilla的火狐。

1.2 美国海军:伊朗网络攻击比先前报道得更严重 4个月才修复问题

国外媒体报道称,2013年9月份,美国海军最大的未加密计算机网络被黑,据说攻击者直接效 力于伊朗政府,或者是在伊朗领导人许可的情况下发动的攻击。今天美国官员表示,其网络渗透行为比先前预计得还要广泛,并且实际持续的攻击渗透时间比先前报 道的还要久。来自华尔街日报的消息,美国海军用了4个月时间才将黑客从其网络中彻底清除出去。

华尔街日报表示,黑客的目标正是美国海军陆战队网络(Navy Marine Corps Internet),他们能够通过一个存在于海军公众网站的“安全间隙”访问到网络内部。虽然官方宣称,黑客的攻击行为并没有什么进展,但也同时表示攻击 侵略性远比先前报道得要严重:黑客已经通过自有方法进入网络内部(“bloodstream”),并迫使美国方面采取多重计划将黑客驱逐出去。

为了施行有关计划,并且为未来建立起更强有力的防护墙,美国海军发出了招募被称作“网络战士(cyberwarrior)”和承包商的指令。一名高级官员表示,修复该网络需要耗费1000万美元,未来还会增加支出。

报道提到,美国方面的官员对于伊朗黑客的技术表示惊讶,他们先前就曾依靠DDoS方式攻击了美国政府网络。据华尔街日报所说,整个清理过程耗时很久主要是因 为黑客的攻击行为已经深入到网络“血液”中,而且海军中将Michael Rogers期望为网络安全部署全盘策略,更为广泛地修复安全问题。

尽管黑客并未从渗透攻击行为中获得任何真正有价值的情报,Rogers仍然面临较为严峻的安全问题,一位高级海军官员接受采访时表示:“网络安全非常重要。这次渗透液表现出了这套系统的弱点。”未来美国军队还有很多事情要处理。

1.3 黑客可以通过3G和4G USB调制解调器钓鱼诈骗

一些独立的安全研究表明,一些3G和4G的USB调制解调器有安全漏洞,从而允许黑客访问网络,进而进行钓鱼诈骗。

来自瑞典的Andreas Lindh表明,他看过的调制解调器都是通过内置的Web服务器进行管理,它们很容易受到一种常见的黑客攻击——跨站点请求伪造(CRSF)。其产生的后果是,如果一个家庭用户访问了一个嵌入恶意代码的网站,黑客就可以访问并控制他们的调制解调器。

Lindh在他的博客上表示黑客对于控制一台调制解调器的并不是多么感冒,他们感兴趣主要是其中的两个关键功能。其中一个就是可以使用调制解调器来发送SMS信息,这也就意味着黑客可以实现建立一个高消费频率的电话通信线路,从而在在用户毫不知情的情况进行金钱的盗取。文中还写到,不像无线路由器,没有登录的功能,所以我并不担心可以绕过它的身份验证。

Lindh进一步揭示了调制解调器的这项弱点可以直接被用于网络钓鱼攻击,使用数据URI方案,它允许在任何位置加载一个网页而无需进行任何实际托管——大部分浏览器都可以支持。他可以伪造一个Facebook登录页面,除了记录受害者实际的facebook记录外还窃受害者的登录凭证。

Lindh同时指出通过调制解调器的SMS短信功能,就可以将受害者的登录详细信息发送给黑客。他表示用网络钓鱼来描述这种攻击是有些牵强的,其实可以作为病毒式公报指出(详见:http://www.virusbtn.com/blog/2014/01_29.xml),像这样的调制解调器往往是大型企业的笔记本使用,所以潜在的网络钓鱼攻击危害将会是巨大的。

此外,黑客可以利用允许用户发帖评论的网站诸如论坛进行跨站欺骗。黑客在插入恶意内码的同时,充分利用原有网站的安全信用优势,诱骗用户点击他们的链接。Coding horror指出Digg,Gmail 和Wikipedia以及一些其他网站都可能被跨站请求伪造(CSRF)所利用。

去年的时候,俄罗斯研究人员发现,许多3G和4G的调制解调器经常会内置到笔记本电脑中,从而方便了黑客更改互联网连接默认的DNS服务器,从而将用户定向到恶意网站,这也有一种Andreas Lindh’s CSRF的感觉。

1.4 美国政府出台措施势打击网络黑客攻击现象

据法国《费加罗报》网站2月13日报道,美国政府于上周四宣布推出一项措施,用于防止可能威胁到国家安全的黑客攻击。这项措施具体为:政府从现在起允许一种信息交换网络的存在,并在各企业自愿的基础上,鼓励他们提供自己的信息以防黑客的网络攻击和威胁。

打击黑客的主要目的是为了保护“重要基础设施”,例如电网、水管网,甚至是国家金融网络,并尽可能的减少发生网络攻击的可能性。美国总统奥巴马在一份声明中强调:“私营部门和政府应该携手应对黑客攻击这一共同挑战,这是一个具有代表性的措施,除此之外还会有更多的应对措施出台。这一举措是一个转折点,但为了全面加强国家的网络安全,我们仍有许多工作要做。美国的繁荣发展、国家的安全以及公民的自由都与网络安全息息相关,而它们的实现也依赖着我们政府的承诺,因此,我们必须承诺去确保网络空间的安全,即维护一个可靠的、安全的、可互相操作的网络。”

美国参议院杰伊·洛克菲勒(Jay Rockefeller)十分支持针对于保护网络安全的法律草案,他称:“从美国塔吉特(Target)连锁百货超市及其他商业店铺遭受到的盗窃案来看,我们的网络仍然处于十分脆弱的状态。”

但民主与技术中心的高级法律顾问格雷格·诺杰姆(Greg Nojeim)认为保护网络用户隐私权更为重要,而这项举措可能会侵犯到私人生活:“我们想要政府把握好一个界限,既能有效防止黑客攻击,又能尽量保护公民的个人隐私。”

国土安全部代理秘书苏珊娜·斯波尔丁(Suzanne Spaulding),在保证自愿性准则的基础下,鼓励私营部门“加强我们国家重要基础设施的安全性和抗击能力”。但美国数字合法处理联盟成员Tech Freedom在其官方推特上表达了怀疑:“政府仅仅是制定了基本的网络安全标准而已,所以私营部门几乎不会有参与的动力。”

1.5 Facebook域名被叙利亚电子军劫持

在社交网站facebook建立十周年之际,黑客组织“叙利亚电子军(Syrian Electronic Army以下简称SEA)”公然宣称他们已经成功入侵Facebook域名注册管理员MarkMonitor的帐户。

这一黑客组织在公司的域名查询服务的信息里将Facebook域名链接地址改为叙利亚电子军的邮件地址,页面显示如下:
“马克,生日快乐!旗下http://Facebook.com为#SEA所拥有”

黑客还声称,他们已经更新了劫持域名服务器信息,但是这“太花时间了”,他们最终不得不终止这项任务。但是Facebook发言人证实,该网站的域名记录电子邮件信息已经被篡改了。

为什么SEA的目标是Facebook?

叙利亚活动人士和黑客声称Facebook中许多不同政见者发表的内容页面已被删除,因为根据Facebook,他们违反了《社交网络》的标准,结果必是有关冲突的不当言论将被消失。

记者和参与叙利亚革命的活动家说,叙利亚反对派的删除Facebook重要数据和有关革命的文章,其中包括去年化学武器攻击等关键信息。

如果SEA已成功更新了Facebook的域名服务器的信息记录,那么数以百万计的用户可能被引向其他任意损毁和恶意的网站。

幸好!在撰写本文时,注册人的联系信息已经得到恢复,Facebook证实没有网络通信被劫持,没有社交网络的用户受到影响。

 

2 本周关注病毒

2.1 Trojan.Win32.Fednu.uqf(木马病毒)

警惕程度 ★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.2 Worm.Mail.Brontok.pc(蠕虫病毒)

警惕程度 ★★

该病毒利用电子邮件的附件进行传播。病毒运行后将修host文件,阻止用户访问杀毒软件网站,后台下载黑客指定文件,将其他病毒植入电脑。除此之外,读取用户的联系人列表,进而利用用户的邮箱向联系人发送病毒邮件。电脑一旦中毒将面临隐私信息泄露、网银账密被窃等风险。

2.3 Backdoor.Win32.Toy.a(后门病毒)

警惕程度 ★★

该病毒运行后,将自动连接黑客指定服务器,将自身更新至最新版本,同时将用户电脑的信息发送给黑客,并监控电脑操作,电脑一旦中毒用户将面临隐私信息泄露、网银账密被窃等风险。

 

3 安全漏洞公告

3.1 Dell GoAhead Web Server 登录页表单拒绝服务漏洞

Dell GoAhead Web Server 登录页表单拒绝服务漏洞

发布时间:

2014-02-20

漏洞编号:

BUGTRAQ ID: 65075
CVE ID: CVE-2013-3606

漏洞描述:

Dell GoAhead Web Server是集中嵌入式Web服务器。
Dell GoAhead Web Server在处理用户名长度大于16个字符的特制HTTP POST请求时,存在安全漏洞,未经身份验证的远程攻击者可利用此漏洞造成受影响交换机不响应。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.dell.com/support/drivers/us/en/
http://www.dell.com/support/drivers/us/en/04/Product/powerconnect-3348
http://www.dell.com/support/drivers/us/en/04/Product/powerconnect-3524p
http://www.dell.com/support/drivers/us/en/04/Product/powerconnect-5324

3.2 PHP 'ext/gd/gd.c'堆缓冲区溢出漏洞

PHP 'ext/gd/gd.c'堆缓冲区溢出漏洞

发布时间:

2014-02-14

漏洞编号:

BUGTRAQ ID: 65533
CVE ID: CVE-2013-7226

漏洞描述:

PHP是一种HTML内嵌式的语言。
PHP 5.5.0-5.5.8版本在ext/gd/gd.c的实现上存在远程堆缓冲区溢出漏洞,攻击者可利用此漏洞在受影响应用上下文中执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.php.net/downloads.php

3.3 Citrix XenMobile Device Manager服务器信息泄露漏洞

Citrix XenMobile Device Manager服务器信息泄露漏洞

发布时间:

2014-02-19

漏洞编号:

BUGTRAQ ID: 65348
CVE ID: CVE-2014-1663

漏洞描述:

Citrix XenMobile设备管理器是企业级移动设备管理解决方案。
Citrix XenMobile设备管理器8.0.1, 8.5, 8.6版本存在不明细节信息泄露漏洞,成功利用后可使远程攻击者获取敏感信息。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://support.citrix.com/
http://www.citrix.com/downloads/xenmobile/product-software/xenmobile-86-mdm-edition.html
http://support.citrix.com/article/CTX140044

3.4 Zabbix安全绕过漏洞

Zabbix安全绕过漏洞

发布时间:

2014-02-17

漏洞编号:

BUGTRAQ ID: 65446
CVE ID: CVE-2014-1685

漏洞描述:

zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。
当更新媒介时应用程序未能正确限制访问,可被用于操作任意用户的媒介。要成功利用漏洞需要拥有"Zabbix Admin"权限。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.zabbix.com/rn2.0.11rc1.php

3.5 Microsoft XML Core Services特制WEB站点处理信息泄露漏洞

Microsoft XML Core Services特制WEB站点处理信息泄露漏洞

发布时间:

2014-02-14

漏洞编号:

BUGTRAQ ID: 65407
CVE ID: CVE-2014-0266

漏洞描述:

Microsoft Windows是一款流行的操作系统。Microsoft XML Core Services(MSXML)是一款允许使用JScript、VBScript和Visual Studio 6.0的用户开发基于XML的应用,以与其他遵循XML 1.0标准的应用程序交互操作。
Microsoft XML Core Services处理特制WEB站点存在安全漏洞,允许攻击者利用漏洞访问本地系统文件或读取需要验证的WEB域内容。

安全建议:

用户可参考如下厂商提供的安全公告获得补丁信息:
http://technet.microsoft.com/en-us/security/bulletin/MS14-005