当前位置: 安全纵横 > 安全公告

一周安全动态(2014年03月20日-2014年03月27日)

来源:安恒信息 日期:2014-03

2014年03月第四周(03.20-03.27)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 报告称全球网络黑市已空前发达

Juniper(瞻博网络 NYSE:JNPR)与兰德今日发布网络黑市调查报告。报告显示,网络黑市已经是一个成熟的、价值数十亿美元的市场,拥有深厚的基础和复杂的社会关系,多个经济指标已经达到了空前的发达程度。报告发现网络黑市在产品、销售渠道、以及参与人群方面,具有很高的经济复杂性、可靠性、可用性、以及顽固性。其发展与其它类型的市场一样,也会对供求关系等市场因素做出反应,并且始终在不停地发展。

Juniper将网络黑市比喻为一个拥有众多社区、行业和交流的大都市。它具有以下特点:

网上商店 –像 其他类型的电子商务一样,许多数据文档、攻击性软件套件和产品,都是通过网上商店来进行销售的,而网上商店的形式也是多种多样,从即时通讯聊天工具、论坛 或者电子公告牌,到复杂的商店(与电商网站并无不同)。兰德公司发现,部分商店全球访客数可以达到7到8万人次,并可以获得数亿美元的收入。

服务型市场 – 兰德公司发现,黑客市场不仅出售产品,同时还出售黑客服务。黑市上销售的网络攻击工具可以像传统的软件一样进行销售,也可以像其他类型的收费服务一样进行 出租,无论是通过哪种方式出售的网络攻击工具都能够帮助大多数黑客新手发动复杂而先进的网络攻击。例如,兰德公司发现,可以用来发动DDoS攻击的“瓶颈 工具”,一天的租金仅为50美元。

等级社会–兰德公司发现,网络黑市与合法公司有颇多相似之处,黑客若想向(网络)食物链的顶端移动,也需要借助于关系。尽管达到食物链顶端需要个人关系,但是一旦到达了食物链顶端,便可以尽情享受网络黑金的饕餮盛宴。

法律规则 –黑客之间确实也是讲究荣誉的。兰德公司发现,网络黑市在很大程度上是拥有有序的结构,能够像一个机构一样组织严密,拥有自己的一套规则。除此之外,那些欺诈别人的人通常会被组织禁止,或者被驱逐出市场。

教育和培训 –兰德公司发现了许多指导人们进行网络攻击的常见工具和资源,其中包括攻击性软件套件说明以及有关从何处购买信用卡的介绍。由于人们可以方便地接触到这些培训资料,因此使得网络黑市具有很强的复杂性,其人员构成也十分多样,同时也降低了人们进入网络黑市的门槛。

货币流通 –网络黑市的交易通常是通过数字货币的方式进行的,例如比特币、 Pecunix、 AlertPay、PPcoin、莱特币、Feathercoin、以及包括Zerocoin在内的比特币衍生品等。兰德公司发现,由于数字加密货币具有匿名性和安全性的特点,现在许多网络犯罪站点开始只接受数字加密货币了。

多元化 –尽管根据兰德公司的报告显示,中国、拉丁美洲以及东欧等地区和国家在发动网络攻击的数量方面是遥遥领先的,但是在攻击的质量方面,俄罗斯却是无出其右。兰德 公司的报告同时发现了不同国家的网络黑客,其各自擅长的领域和关注的重点,例如,许多越南黑客,将网络攻击的重点放在了电子商务方面,而俄罗斯、罗马尼 亚、立陶宛以及乌克兰黑客发动的网络攻击则主要针对金融机构,另外许多中国的网络黑客则专注于知识产权,美国的网络黑客则将矛头对准了美国的网络系统和金融系统。除了黑客群体的多样性之外,兰德公司还发现,这些不同的网络黑客之间的相互交流,也变得越来越频繁。

犯罪分子 –即使是在网络黑市,也会有犯罪分子。所谓的“网络开膛手”,就是专门用来指那些并不提供他们声称能够提供的产品或服务的坏家伙。

该报告是兰德公司在2013年10月至12月期间,与包括全球各地的学者、安全研究人员、记者、安全产品供应商、以及执法人员在内,目前或此前曾参与网络黑市的专家,进行深入访谈的成果,由Juniper资助。

1.2 MIT研究员开发不会泄露数据的安全平台

MIT计算机科学和人工智能实验室研究员开发出一个构建安全Web应用和服务的平台Mylar, 设计防止用户机密数据泄露。Mylar重新设计了Web应用的架构,用户数据在发送到服务器前会先在浏览器上加密。

平台开发者 Raluca Popa指出,服务器是不受信任的,他表示终端用户并不会注意到差异。如果政府向企业索要你的数据,服务器无法提供你的未加密数据。先加密数据的概念并不 新颖,但研究人员表示Mylar有望成为被广泛使用的实用工具。Mylar可能是利用类似同态加密的加密技术,能在不解密数据的情况下操作用户数据。



1.3 赛门铁克:黑客发个短信就能从ATM机取钱

来自赛门铁克(Symantec)最新披露的消息,黑客能够通过发送短信从ATM机获取到现金—— 这是通过首先将恶意程序加载到ATM设备中实现的。在本周一的报道中,赛门铁克将2013年10月在墨西哥爆发的Ploutus恶意程序,通过CD- ROM和USB驱动器就非常轻易地将Ploutus上传到ATM设备中,罪犯要接入这些驱动器首先需要解锁,或者直接在ATM机器外部钻孔。

赛门铁克安全研究人员Daniel Regalado在文章中提到:罪犯需要通过USB数据线将手机与ATM设备相连,并进行一些设置操作,令手机和ATM机之间做互联网共享。在此之后发送SMS短信命令至这台手机,随后就会有网络数据包发至ATM机。

“一旦相应的ATM设备从手机中接收到有效的TCP或UDP包,NPM就会解析该包并且在包内搜索数字‘5449610000583686’用以处理整个数据 包。当特定的数字检测到之后,NPM将读取下一个16位数字,并用之生成命令行运行Ploutus恶意程序。”最终结果就是ATM机立即分配出 Ploutus恶意软件预设置的金额数目,并从机器中吐出这些金额的现金。这些犯罪分子还会与钱骡合作实现非法获取利益的最大化。

Regalado 在文章中谈到,通过使用全盘加密,阻止从未授权的USB设备或CD-ROM启动,以及为ATM机提供更保险的物理防护应该能够降低这种安全风险,但最佳方 法还是将现有Windows XP系统升级至Windows 7或8。微软从下个月起就不再对Windows XP提供后续支持了,但这款系统仍然运行在全球大约95%的ATM机上。

Trustwave主管Charles Henderson在周一的邮件中表示微软停止对Windows XP支持将进一步造成更严重的安全问题,不过这不是唯一的问题:“在我们针对ATM的渗透实验中,大部分成功执行的攻击都不是依赖于操作系统的。在ATM 网络中的中间人攻击显然更有效率,而且所用时间也更短。”

1.4 中国互联网泄密史:这个国度没有隐私可言?!

一场安全的飓风袭来,携程安全漏洞的事件并不是第一次,此前中国互联网圈已经爆发了多次安全泄密事件,下面就来为大家盘点一下:2011年12月,CSDN的安全系统遭到黑客攻击,600万用户的登录名、密码及邮箱遭到泄漏。随后,CSDN"密码外泄门"持续发酵,天涯、世纪佳缘 等网站相继被曝用户数据遭泄密。

天涯网于12月25日发布致歉信,称天涯4000万用户隐私遭到黑客泄露。此次失窃的只是密码集,用户只要及时修改密码即 可避免隐私失窃,因此不用恐慌。但用户修改密码只是“治标”,网站改变数据存放策略才是“治本”。

密码外泄门2011年12月,CSDN、多玩、世纪佳缘、走秀等多家网站的用户数据库被曝光在网络上,由于部分密码以明文方式显示,导致大量网民受到隐私泄露的威胁。最早牵涉这一事件的CSDN已经报案,但围绕“谁是窃取曝光这些数据库”这一问题,网络上有诸多传言。

网友曝出CSDN的用户数据库被黑,600余万用户资料被泄露,CSDN官方随后证实了此事,称此数据库系2009年CSDN作为备份所用,目前尚未查明泄 露原因。CSDN随后向用户发表了公开道歉信,并称已向公安机关报案,现有的2000万注册用户的账号密码数据库已经全部采取了密文保护和备份。

目前可查的关于这一事件的最早披露者是来自于乌云安全问题反馈平台,12月29日下午消息,继CSDN、天涯社区用户数据泄露后,互联网行业一片人心惶惶,而在用户数据最为重要的电商领域,也不断传出存在漏洞、用户泄露的消息,漏洞报告平台乌云昨日发布漏洞报告称,支付宝用户大量泄露,被用于网络营销,泄露总量达1500万~2500万之多,泄露时间不明,里面只有支付用户的账号,没有密码。已经被卷入的企业有京东商城、支付宝和当当网,其中京东及支付宝否认信息泄露,而当当则表示已经向当地公安报案。

如家、七天开房信息泄密

2013年10月,如家、七天等连锁酒店被网曝有多达2000万条客户开房信息遭泄露。

2013年10月18日,实名认证的新浪微博账户@股社区发布了一个名为“查开房”的网址。只需输入姓名或身份证号,即可查询到包括身份证号、生日、地址、手机号、邮箱、公司、登记日期等真实信息。

事发一周前,国内安全漏洞监测平台乌云发布报告,称多家酒店开房记录被无线上网认证管理系统供应商——浙江慧达驿站网络有限公司存储,并因系统有漏洞而存在泄露隐患。慧达驿站公司确认曾存在漏洞并已修复,并称未造成开房记录等住客个人信息泄露。

棱镜门事件:美国政府窥探着全世界的一切

据美国中情局前职员爱德华·斯诺登爆料:“棱镜”窃听计划开始于2007年的小布什时期,美国情报机构一直在九家美国互联网公司中进行数据挖掘工作,从音视 频、图片、邮件、文档以及连接信息中分析个人的联系方式与行动。监控的类型有10类:信息电邮,即时消息,视频,照片,存储数据,语音聊天,文件传输,视 频会议,登录时间,社交网络资料的细节。

其中包括两个秘密监视项目:一、监视、监听民众电话的通话记录;二、监视民众的网络活动。在斯诺登 的爆料里,谷歌、雅虎、微软、苹果、Facebook、美国在线、PalTalk、Skype、YouTube等九大公司遭到参与间谍行为的指控,这些公 司涉嫌向美国国家安全局开放其服务器,使政府能轻而易举地监控全球上百万网民的邮件、即时通话及存取的数据。

随后,这些企业极力否认这一罪名。但到了6月14日,Facebook、微软两公司首次承认,美国政府确曾向它们索要用户数据,并公布了部分资料数据内容,以期尽早摆脱“棱镜门”泥淖。

“棱镜泄密门事件”这个关乎所有网名隐私的事件,一时在世界范围内“炸开”,引起了世界范围的广泛关注。作为“影片”的主角,美国中央情报局前雇员爱德华?斯诺登不但让美国政府坐立不安,他所透露出的很多信息同样让我国网络信息产业担忧!——据斯诺登称,借助棱镜项目,美国国家安全局一直通过路由器等设备监控中国网络和电脑,而其背后,正是借助通信设备控制了互联网八成流量的思科公司。

网站公然叫卖用户账号密码 500元买百万条密码

神秘的“社工库”网站:个人账号密码可随时查询买卖用户账号和密码,一直以来都在地下秘密流通,不过,社工库网站却公开在互联网上做起了生意。为证明自己是国内掌握用户账号密码最多最全的网站,招揽生意,这个网站专门提供一种测试自己的账号和密码是否被盗的服务。

在网站的查询栏里输入自己的邮箱地址,然后按“查询”,就可以测试密码是否被盗。本报记者也使用了的邮箱账号进行查询,赫然发现不仅自己的邮箱密码被盗,连很久之前使用过的论坛账号也未能幸免。

有网友表示,自己在输入“126”邮箱账号进行查询之后,然后用网站反馈的检索码进行检索,发现邮箱账号已经在页面上显现出来——说明已经被盗了!通过多次测试,证明了这家网站的广告所言非虚。

有网络安全工作人员担心,因为这个网站是开放的,谁都可以进行查询,所以个人信息,很容易通过这个网站泄露。

社工库网站的主要业务,就是销售自己掌握的他人的账号和密码信息,而且公开兜售,只要给钱就卖。记者通过QQ与社工库的负责人取得了联系,对方开价500元 就可以买到100万条密码,包月是100元,包年则是1000元,包月和包年都能享受的服务是单次查询账号和密码。当记者对账号和密码的真实性提出质疑 时,对方却回答,爱信不信,很多人都在买。

有网络界人士称,以往这种交易都是隐蔽进行,直接公开叫卖的这还是第一起。

那些人盗取他人账号和密码,究竟意欲何为?有业内人士分析,他们盗取他人微博账号后发言,一是可以逃避自己发表非法言论的法律责任,二是利用微博名人的影响力,发放广告谋利。

记者从网络安全公司了解到,目前所有的微博账号都是用邮箱注册,绝大多数网民为了记忆方便,不论是在邮箱、微博、论坛还是其他一些账号中,都习惯性地使用了相同的密码,网络安全工程师表示,微博账号被他人窃取,并非都是黑客直接去破解微博账号,而是通过第三方途径获得的。

网络工程师万仁国告诉记者,有很多包括一些论坛在内的网站,用户们基本上都会习惯性地用一个账号和密码去注册所有的网站,但是这些论坛和网站的安全性不一样,有些小网站和小论坛的安全性得不到保障,黑客很容易通过各种漏洞进而获取这个网站的权限,再将用户名和密码偷回来,偷回来之后,他就可以尝试用这个账号和密码去登录一些比较重要的账号,比如像微博、支付宝和淘宝之类的,然后再从事一些违法犯罪的事情。

除此之外类似于基本的社交工具QQ密码被盗也是导致安全的重大隐患来源,打开百度搜索,QQ密码被盗导致的被骗事件层出不穷,少则被盗后被骗数千元,多则有 数万之多,为此腾讯创始人马化腾马化腾深圳提议案呼吁立法监管网络信息安全:马化腾此次在议案中也拟订了一份《网络信息安全保护条例(草案)》,对此前所 列举的各种违法犯罪行为均一一对应了需要承担的法律责任。

如实施非法破坏他人网络、非法侵入他人网络行为的,他提出,应由有关行政管理部门 在各自的职权范围内处十万元以上,五十万元以下罚款。造成严重后果,构成犯罪的,有国家司法机关依照刑法有有关规定追究刑事责任;尚不构成犯罪,违反社会治安管理,由公安机关依照治安管理处罚法予以处罚。

对利用网络扰乱社会经济秩序、或通过网络利用交易中的优势,实施不正当竞争行为的,其在草案中提出,市场监督管理部门应当责令其停止违法行为,没收违法所得,并可以根据情节处以十万元以上五十万元以下的罚款。

所以,当如此多的事件不断暴露之后,不由得担忧,在互联网之下,用户几无隐私可言,但可以预见的是,未来互联网安全将会上升到一个前所未有的高度。

1.5 奥巴马计划改革NSA大规模监听活动

奥巴马政府正打算推出一项立法提案,对NSA大规模通话数据收集项目实施影响深远的整改,如果在国会被通过,它将终结该项目中让隐私保护倡导者极为担忧的那部分做法。根据这一提案,NSA将结束系统性收集美国人通话习惯数据的做法。这些记录会由电话公司掌握,有关部门不会要求电话公司在正常的期限之外继续保存这些数据。

NSA只有在获得法官的允许之后,并且凭借一种新的监视法庭令,才能获得特定的通话记录。政府高级官员说,根据新的监视法庭令,电话公司需 要迅速、不间断地,以技术上兼容的数据格式提供通话记录,包括接到命令后,打出和收到的任何新通话的数据。

凭借新的法庭命令,政府还可以从电话公司获得距 离存在嫌疑的号码两个“节点”的打电话者的相关记录,即使这些人是其他公司的客户。NSA目前把电话数据保留五年。但美国政府在经过考虑之后,拒绝要求电话公司将客户通话数据保存18个月以上。

 

2 本周关注病毒

2.1 Trojan.Script.BAT.StartPage.fo(木马病毒)

警惕程度 ★★

该病毒会在桌面上生成一个和原来的IE图标完全相同的图标,用户打开这个假的IE图标就会访问黑客指定的网站。病毒还会劫持浏览器的搜索引擎和多种第三方浏览器软件,到达提高网站点击率的目的,并且还会在后台下载安装流氓软件。

2.2 Trojan.Win32.Generic.168F1832(木马病毒)

警惕程度 ★★

该病毒运行后会自我复制到C、D、E、F盘根目录并重命名,之后尝试连接远程服务器,连接成功后通过接收服务端发送的数据,对用户电脑进行截屏、记录用户键盘输入、删除用户文件、偷取用户数据等远程控制操作。

2.3 Trojan.win32.Generic.159735C0(‘Generic’木马病毒)

警惕程度 ★★★

该病毒运行后将在系统文件夹中创建文件,记录病毒文件运行次数,并将自身设置为开机自启动,后台连接黑客指定网址,频繁为广告网站刷取流量,同时病毒会篡 改用户的浏览器首页,将其指向广告网址,并在桌面创建广告网站的快捷方式。用户电脑一旦中毒将出现网络被大量占用,电脑运行缓慢等症状,严重者还会遭遇钓 鱼网站的攻击。

 

3 安全漏洞公告

3.1 Check_MK 任意文件上传漏洞

Check_MK 任意文件上传漏洞

发布时间:

2014-03-26

漏洞编号:

BUGTRAQ ID: 66394
CVE(CAN) ID: CVE-2014-2331

漏洞描述:

Check_MK是一款通用的Nagios/Icinga数据采集插件。
Check_MK 1.2.2p2及其他版本在实现上存在任意文件上传漏洞,成功利用后可使远程攻击者向受影响系统上传任意文件。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://mathias-kettner.de

3.2 PHP "gdImageCreateFromXpm()"空指针间接引用漏洞

PHP "gdImageCreateFromXpm()"空指针间接引用漏洞

发布时间:

2014-03-25

漏洞编号:

BUGTRAQ ID: 66380
CVE(CAN) ID: CVE-2014-2570

漏洞描述:

php-font-lib是读取、解析、导出、制作各种字体文件子集的库。
php-font-lib 0.3版本的Subset生成器存在反射型跨站脚本漏洞,这可使未经身份验证的远程攻击者通过name参数注入任意JS或HTML。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:https://github.com/PhenX/php-font-lib

3.3 RARLAB WinRAR文件扩展名欺骗漏洞

RARLAB WinRAR文件扩展名欺骗漏洞

发布时间:

2014-03-23

漏洞编号:

BUGTRAQ ID: 66383

漏洞描述:

WinRAR是一款非常流行的压缩/解压工具。
RARLAB WinRAR 4.20及其他版本在压缩文档的扩展名实现上存在安全漏洞,该漏洞可使攻击者执行欺骗攻击。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.rarlabs.com

3.4 Zend Framework多个信息泄露和安全限制绕过漏洞

Zend Framework多个信息泄露和安全限制绕过漏洞

发布时间:

2014-03-24

漏洞编号:

BUGTRAQ ID: 66358

漏洞描述:

Zend Framework (ZF) 是一个开放源代码的 PHP5 开发框架,可用于来开发 web 程序和服务。
Zend Framework 1.12.4之前版本在实现上存在多个安全漏洞,可被恶意利用绕过某些安全限制并泄露敏感信息或造成拒绝服务。
1、在解析XML实体时出错,可导致本地文件泄露和拒绝服务。
2、ZendOpenId及Zend_OpenId用户登录机制出错,可导致非法登录。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://framework.zend.com/security/advisory/
http://framework.zend.com/security/advisory/ZF2014-01
http://framework.zend.com/security/advisory/ZF2014-02

3.5 OpenSSH 'child_set_env()'函数安全限制绕过漏洞

OpenSSH 'child_set_env()'函数安全限制绕过漏洞

发布时间:

2014-03-21

漏洞编号:

BUGTRAQ ID: 66355
CVE(CAN) ID: CVE-2014-2532

漏洞描述:

OpenSSH是SSH协议的开源实现。
OpenSSH 6.6之前版本的sshd没有正确支持sshd_config中AcceptEnv上的通配符,这可使远程攻击者通过在通配符之前使用子串,利用此漏洞绕过目标环境限制。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.openssh.com/
http://marc.info/?l=openbsd-security-announce&m=139492048027313&w=2