当前位置: 安全纵横 > 安全公告

一周安全动态(2014年02月27日-2014年03月06日)

来源:安恒信息 日期:2014-03

2014年03月第一周(02.27-03.06)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 7把钥匙可以掌控互联网 神秘互联网安全峰会介绍

很少有人知道,庞大的互联网系统背后隐藏着一个神秘的组织,这个神秘组织的成员是来自世界各地的网络安全专家,他们手中的钥匙可以组合成控制DNS系统的 主钥匙,可以影响整个互联网的运作。如今卫报记者詹姆斯·波尔(James Ball)就有机会加入这些钥匙持有者,近距离观摩一次安保程度极高的神秘仪式。

这是一处平凡无奇的工业园区,位于洛杉矶西南郊,离洛杉矶国际机场仅有一两英里的车程,而有20个人正等在一个没有窗户的餐厅里,等着一个特定仪式的召开。外面是二月鲜有的温暖阳光,而在室内,则只有卤素灯泡放射出的幽暗灯光。

餐厅里的男男女女一边吃着披萨喝着苏打水,一边用各种不同的语言交流——大部分是美式英语,但还是可以听到瑞典语、俄语、西班牙语和葡萄牙语。而在角落里,一台街机响着轻轻的音乐散发出各种闪光。

这种场景或许在很多办公室里也能看到,但室内的这些人必须要经历异常严苛的安检过程,这样的流程一般都用于保护核弹发射密码或者总统级别的高管访问。这听起来像是科幻小说或者是汤姆-克鲁斯主演的间谍电影,但这却发生在当下。这里的人来自世界各地,他们每个人都拥有一枚钥匙,把这些钥匙拼在一起就会组成一把主钥匙,就可以控制网络核心的中安安全措施。这些钥匙持有者的能力也引发了不少猜测:他们的钥匙能关闭整个互联网吗?或者如果有人关闭互联网,他们能够用钥匙重启互联网吗?

钥匙持有者的职责

从2010年开始,这些钥匙持有者每年进行四次会面,两次在美国东海岸,两次在美国西海岸。这些钥匙持有者来自世界各地,是一群被精心选出的网络安全专家。 他们都有着很长的互联网安全工作背景,都曾为不同的互联网机构工作过。选择他们不仅因为他们经验丰富,也因为他们来自不同的国家——任何一个国家都不允许 拥有过多的钥匙。他们集会的旅行之处要么是自己承担,要么由他们的雇主来承担。

这些人控制的是整个互联网的核心系统:域名解析系统(简称DNS)。这好比是互联网版本的电话簿——每个网站都与一系列的数字一一对应,而那串数字被称为 IP地址。没有域名,用户就需要输入一长串的数字才能访问网站。例如用户要访问卫报网站,就必须输入"77.91.251.10"而不是 theguardian.com。

每个钥匙持有者都拥有一把金属钥匙 用于打开放有智能卡的保险箱

这把主钥匙的出现也是为了让域名系统和互联网更加安全。每次这些钥匙持有者会面,他们都会验证DNS系统的每一次接入是否是真实的。这也是避免虚假网站域名的扩散,这些网站可能会让用户登录一些恶意网站,从而侵入用户的电脑或者盗取他们的信用卡信息。

钥匙持有者的人数

东海岸和西海岸的聚会每次都会有7名钥匙持有者参加,此外还有7名世界各地的专家拥有备用权限。如果有灾难性的意外发生,他们可以用这权限来重新构建这个系 统。这14位钥匙持有者都拥有一把金属钥匙,可以打开一个保险箱,而保险箱内则放着一张智能卡。这张智能卡可以激活一台机器,创造出一枚新的主钥匙。后备 钥匙持有者则有些不一样,他们拥有的智能卡含有一些密码残片,拥有建立一台替换用的钥匙生成机器。每年,这些钥匙持有者都需要与一张当天的报纸以及他们的钥匙合影,然后将这张照片发送给DNS的管理机构:互联网名称与数字地址分配机构(简称ICANN),以确切一切都顺利。

集会的严密安保程序

和国家政府或者一些互联网公司相比,ICANN在保证互联网安全方面起着更大的作用。不过时至今日,这个有些过分被夸大的仪式可以在ICANN网站上直播看到,以证明该机构对于所要承担的责任有多严肃。

要进入集会所在的餐厅,你需要通过一道有着个人身份号码、智能卡和手部识别三重保障的大门。之后你进入一个被称为“捕人陷阱”的隔间,这里你还需要通过一道同样有着三重保障的大门才能进入休息室。

带领卫报记者进入集会地点的是瑞克·兰姆(Rick Lamb),兰姆曾经是美国国务院高管,现在则是ICANN的资深项目经理。他的责任是推动一个更新的互联网安全系统。现在如果一枚主要是丢失或者被偷, 后果将会是灾难性的:有些用户会收到安全警告,有些网络则会出现问题。一旦更新更安全的系统构建完毕(预计在未来三到五年内完成),问题就会小得多。每个服务器依然还在那里,不会出现连锁反应。

钥匙持有者如何被选出

钥匙持有者的选举过程很低调。在ICANN网站上登出了一则广告,最终21个职位仅仅收获了40份申请。最初21人的20人目前都还在任,仅有一人进行了更替:被称为互联网之父的温特·瑟夫(Vint Cerf)已经70多岁,他目前被谷歌聘请为顾问。

钥匙持有者中的一位来自俄罗斯,名叫迪米特里·布克夫(Dmitry Burkov),他是多家互联网民间组织的成员,也是一位著名的安全专家。而另一位钥匙持有者,来自瑞典的安妮·玛丽·埃克伦德·罗文德(Anne Marie Eklund Lowinder)很早就来到这里打扫卫生,等候其他成员到来。此外还有来自葡萄牙的若昂·达马斯(Jo?o Damas),美国的爱德华·刘易斯(Edward Lewis),乌拉圭的卡洛斯·马丁内斯(Carlos Martinez)等等,都是著名的网络安全专家。

在集会地点等候的共有16男4女,除了钥匙持有者之外,还有一些见证人。这些见证人中既有安全专家,也有行外人,甚至还有来自普华永道的审计师。

之后进行的整个仪式非常复杂,有兴趣的同学可以上卫报网站查看现场视频。

1.2 全球30万路由器被黑 DNS被修改

安全公司 Team Cymru 周一发布报告,表示全球有 30 万台路由器设备被黑,设备被黑厂商包括 D-Link、Micronet、腾达、TP-Link 等。被黑之后,用户 DNS 会被改为 5.45.75.11 和 5.45.76.36。通过被黑路由器访问网页,可能会被劫持到恶意网站,银行密码等安全信息也可能被盗。

目前被黑设备主要分布在越南、印度、意大利、泰国、哥伦比亚等国。地图如下:

安全起见,大家可以查看一下自己的 DNS 地址,如果没被篡改为上述 IP 地址便表示路由器是安全的。及时更新固件可以有效防止路由器被黑。

Cymru的成员Steve Santorelli表示:“我们现在所知的还不多。30万台设备被导向不同的DNS服务器。”更奇怪的是,这些似乎都是由位于伦敦的2个IP地址协同导致的,这两个地址的注册托管公司都是3NT Solutions。

从现在掌握的情况来看,整个网络并非僵尸网络,因为所涉及的问题主要仅限于路由器,而非计算机设备之上。不过Cyru团队指出,这种级别的访问实际上可以更具威胁性。在先前波兰的一个类似攻击行为中,一台受到攻击的路由器被用于假冒MBAnk银行站点,黑客可通过这种攻击行为获取用户凭证。在毫无预警的情况下,黑客就能使用路由器将特定的URL地址重定向至他们所希望的任意服务器之上,随后完成更为多样的攻击。

就目前的问题来说,最麻烦的事情就在于这些漏洞已经存在了多长时间。这项路由器可被利用的问题已经存在了2年时间,大部分美国和西欧的路由器都已经有了相应的安全防护措施,仅东欧和亚洲的路由器存在这样的漏洞可被黑客发现后施行攻击,在越南这一问题尤为突出。

Team Cymru当前已经联系了执法机关,期望能够追踪这2个主要IP地址,不过同时他们的主要联系对象还包括了路由器生厂商。Santorelli表示:“这是传统僵尸网络技术的进化版本,这需要设备制造商立刻进行修复。

1.3 哪儿都不安全 英间谍组织视Kinect为监视工具

据英国卫报报道,英国间谍组织GCHQ认定,Xbox 360的Kinect配件是一部具有潜在监视功能的配件。此前曾有消息透露,NSA和GCHQ都在酝酿计划,打算对MMO游戏中密谋的恐怖活动计划进行监视,涉及的MMO包括《魔兽世界》。

现在,《卫报》公布了一个代号为“视神经”的监视项目,GCHQ和NSA均有参与,该项目使用雅虎聊天的网络摄像头,在用户毫不知情的情况下对用户拍照。据称,在2008年内的为期六个月的时间里,英国GCHQ获取了180万雅虎用户的“隐私”照片。


微软Kinect

根据泄露文件表明,GCHQ曾对Xbox 360的Kinect外设表示出一定兴趣,并曾经考虑过用它当做监视项目中的一环。因为它能够制造“非常普遍的摄像头数据交流。”另外,《卫报》还表 示,GCHQ和NSA甚至研究了面部识别和眼球追踪技术。一份报告中更是直接提到了“参见《少数派报告》中的汤姆克鲁斯”。

英国媒体已就此事要求微软置评。他们的回复是:“微软从未听说过这个项目,然而我们对于任何关于政府收集数据的报道都十分关心。正因如此,我们才在12月份开始对所有服务进行数字加密,并且要求获得更多法律援助。”

一位GCHQ发言人向《卫报》强调,他们这个项目是合法的。“这是一项长期政府政策,我们对于敏感情报不会进行过多评论。而且,所有GCHQ的所有项目都是 在严格的法律政策框架范围内进行的,我们的监控都是经过正当授权的,并且采取的措施具有适当性和必要性。我们系统内部的监管系统也很健全,国家秘书部,情 报截取委员会,国会情报部和国家安全委员会都在对我们进行监管。我们所有行为流程都是正当的,而且对这一项目提供了强有力的支持。”

1.4 俄罗斯被怀疑是间谍软件Uroburos的幕后操作者

俄罗斯在克里米亚的军事活动正成为全世界的焦点,而它在幕后的网络间谍战也正有条不紊的继续着。俄罗斯政府黑客被怀疑是间谍软件Uroburos的幕后作者。Uroburos是一种p2p传播的恶意程序,被安全公司G-Data称之为至今发现的最先进rootkit恶意程序之一。

Uroburos的间谍活动至少秘密进行了三年,G-Data称它的开发需要巨大的资金投入和经验丰富的专家。

程序的源代码中包含了俄语字符串,并被发现在搜索另一个间谍软件Agent.BTZ,Agent.BTZ是设计渗透进五角大楼的恶意程序,被俄罗斯间谍有意遗弃在五角大楼所在区域的一个停车场。

1.5 破解GPS项圈获知动物行踪:黑客成为最危险的盗猎者

21世纪最危险的盗猎者将会躲在电脑屏幕的后面进行偷猎。去年7月有黑客企图入侵Panna 老虎保护区一只孟加拉虎的GPS项圈,这种新的威胁震惊了世界。许多积极的环保主义者一直在试图找出那位地球另外一端,窥视受保护动物的人。面对不断发展的敌人,预算有限的保育任务要解决这个问题并不容易。

GPS项圈具有的定位功能,是盗猎者进行盗猎的重要一个环节。虽然GPS项圈提供了野生动物选择的位置和迁徙模式的信息,但是GPS项圈传送的数据对那些盗猎者来说也很重要。发现了特定的项圈后,盗猎者可以随时准确的找到10英尺范围内的动物。所以如果盗猎者的方法成功了,那么要杀死那些动物就是轻而易举的事情了。

方便盗猎并不是盗猎者对GPS项圈的数据感兴趣的唯一因素。要知道濒危动物身上的那些GPS项圈费用都是造价不菲的(之前提到的孟加拉虎的项圈的成本大概为 5000美元),这些设备通常都是用在最稀有的动物身上,如犀牛,老虎,雪豹和大象。所以如果没意外的话,那些设备本身也会被在黑市上被高价出售。

世界野生动物基金会(WWF)的野生动物犯罪技术项目的负责人Crawford Allan已经和世界各地自然环保主义者,为和即将到来的高科技盗猎浪潮作斗争做好了准备。

Crawford说:“这就像是一场军备竞赛,彼此较量,而盗猎者们总是试图领先我们一步。”

护林员有生锈的猎枪,盗猎者有AK-47,护林员有了AK-47,盗猎者有了消声的枪和夜视仪。Crawford说:“只要有巨大的利益和低风险,他们就会寻找更加复杂的方式来获取动物。”

 

2 本周关注病毒

2.1 Worm.Win32.Agent.aym(蠕虫病毒)

警惕程度 ★★

该病毒通过U盘,局域网,DLL劫持多种常用软件,感染压缩包格式的文件等手段传播;并利用不同手段关闭不同的杀毒软件。病毒具有一个生成器,可以随意定制下载地址和功能。

2.2 Worm.Mail.Brontok.pc(蠕虫病毒)

警惕程度 ★★

该病毒利用电子邮件的附件进行传播。病毒运行后将修host文件,阻止用户访问杀毒软件网站,后台下载黑客指定文件,将其他病毒植入电脑。除此之外,读取用户的联系人列表,进而利用用户的邮箱向联系人发送病毒邮件。电脑一旦中毒将面临隐私信息泄露、网银账密被窃等风险。

2.3 Trojan.Win32.Generic.12EB8C1E:(‘Generic’木马病毒)

警惕程度 ★★★★

该病毒运行后自我复制至系统文件夹,并创建服务关联复制后的病毒。一旦服务被启动,将释放一个恶意DLL,当该DLL被加载后,病毒将启动CMD进行自我删除。用户电脑一旦中毒,将面临隐私信息泄露、网银账密被盗等风险。

 

3 安全漏洞公告

3.1 ZTE F460/F660后门未授权访问漏洞

ZTE F460/F660后门未授权访问漏洞

发布时间:

2014-03-04

漏洞编号:

BUGTRAQ ID: 65962

漏洞描述:

ZTE F460/F660是有线调制解调器产品。
ZTE F460/F660存在未经身份验证的后门。web_shell_cmd.gch脚本接受未经身份验证的命令。该脚本有时可以从WAN接口访问,攻击者在某些情况下可利用该后门执行任意管理员命令。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://www.zte.com.cn/
参考:
https://community.rapid7.com/community/infosec/blog/2014/03/03/disclosure-r7-2013-18-zte-f460-and-zte-f660-webshellcmdgch-backdoor
http://www.myxzy.com/post-411.html

3.2 D-Link DIR-100多个安全漏洞

D-Link DIR-100多个安全漏洞

发布时间:

2014-03-05

漏洞编号:

BUGTRAQ ID: 65290
CVE(CAN) ID:
CVE-2013-7051,CVE-2013-7052,CVE-2013-7053,CVE-2013-7054,CVE-2013-7055

漏洞描述:

D-Link DIR-100是集成了防火墙功能的小型宽带路由器。
D-Link DIR-100以太网宽带路由器没有正确限制对管理员Web接口的访问权、对cliget.cgi脚本的访问权、也没有对HTTP请求进行有效性验证,在 实现上存在多个安全漏洞,攻击者可利用这些漏洞非法访问受限制功能、获取管理员凭证或其他敏感设置、更改管理员密码等。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.dlink.com/
参考:
D-Link:
http://more.dlink.de/sicherheit/news.html
Felix Richter:
http://pigstarter.krebsco.de/report/2013-12-18_dir100.txt

3.3 多个IBM产品拒绝服务漏洞

多个IBM产品拒绝服务漏洞

发布时间:

2014-03-05

漏洞编号:

BUGTRAQ ID: 65156
CVE(CAN) ID: CVE-2013-6747

漏洞描述:

IBM Global Security Kit (GSKit)提供了SSL或TLS通讯所需的库和实用程序。
IBM Security Directory Server (ISDS)及Tivoli Directory Server (TDS)内使用的IBM GSKit 7.0.4.48之前版本及8.0.50.16之前版本在实现上存在拒绝服务漏洞,远程攻击者通过畸形X.509证书链,利用此漏洞可造成应用崩溃或挂起。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.ibm.com/support/fixcentral/
: http://www-01.ibm.com/support/docview.wss?uid=swg21662902
http://www-01.ibm.com/support/docview.wss?uid=swg21663428
http://www-01.ibm.com/support/docview.wss?uid=swg21663941
http://www-01.ibm.com/support/docview.wss?uid=swg24036992
https://www-304.ibm.com/support/docview.wss?uid=swg21664756

3.4 Oracle Java SE远程安全漏洞

Oracle Java SE远程安全漏洞

发布时间:

2014-03-05

漏洞编号:

BUGTRAQ ID: 64932
CVE ID: CVE-2014-0417

漏洞描述:

Java SE 是基于JDK和JRE的Java平台标准版的简称,用于开发和部署桌面、服务器以及嵌入设备和实时环境中的Java应用程序。
Java SE 5.0u55, Java SE 6u65, Java SE 7u45, JavaFX 2.2.45, Java SE Embedded 7u45版本在实现上存在安全漏洞,可使远程攻击者利用此漏洞影响机密性、完整性、可用性。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.oracle.com/technetwork/java/javase/downloads/index.html
http://www.oracle.com/technetwork/topics/security/cpujan2014-1972949.html

3.5 Apache Camel远程代码执行漏洞

Apache Camel远程代码执行漏洞

发布时间:

2014-03-04

漏洞编号:

BUGTRAQ ID: 65902
CVE(CAN) ID: CVE-2014-0003

漏洞描述:

Apache Camel是基于已知的企业级集成模式上的开源集成框架。
Apache Camel 2.11.0-2.11.3、Apache Camel 2.12.0-2.12.2版本的XSLT组件允许XSL样式表调用外部Java方法。可以向xslt Camel例程提交消息的远程攻击者,利用此漏洞可在Camel服务器进程上下文中执行任意远程代码。

安全建议:

Apache Group已经为此发布了一个安全公告(CVE-2014-0003)以及相应补丁:
CVE-2014-0003:CVE-2014-0003: Apache Camel critical disclosure vulnerability
链接:
http://camel.apache.org/security-advisories.data/CVE-2014-0003.txt.asc