当前位置: 安全纵横 > 安全公告

一周安全动态(2014年03月27日-2014年04月03日)

来源:安恒信息 日期:2014-04

2014年04月第一周(03.27-04.03)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 网友晒破解WIFI案例 5分钟控制用户社交账号

近日,网友“Evi1m0”通过微信公众号,晒出了一个劫持路由器的案例,详细描述了如何攻下隔壁“女神”的路由器,并黑进其电脑、手机。该网友表示,发布此帖主要是提醒网友关注路由器安全,避免损失。昨晚,他还为记者现场演示了如何破解WIFI,并控制终端电脑微博账号的过程,耗时不到5分钟。

“Evi1m0”透露,破解路由器的成本低廉,破解软件和密码字典都可从网上免费下载。

蹭网可修改用户网上银行信息

在“Evi1m0”发布的案例中,一名“蹭网者”利用网上免费下载的破解软件,只用“喝一杯咖啡”的时间,成功实现登录邻居家的WIFI蹭网。

蹭网还算能容忍,但案例中,这名“蹭网者”又用另一款软件,成功访问路由器WEB管理界面。

“只要登录到这个管理界面后,就意味着对方登录的任何网站,蹭网者都能同时登入。其一举一动,蹭网者全部能看到。”“Evi1m0”在案例中称,蹭网者最终顺 利劫持路由器主人的微博、微信以及人人网等个人社交账号,“如果蹭网者恶意劫持,则可以实现对路由器主人账号进行任意操作,甚至可能危及个人网上银行等信息”。

该帖仅在公众账号上就引发2000余人转发留言,“Evi1m0”的“实战”案例也在网上引发了一场人们关于路由器安全问题的讨论。

破解软件和密码字典可免费下载

昨日,记者联系到“Evi1m0”,他表示自己发该帖,主要是提醒网友关注路由器安全问题。

“Evi1m0”透露,破解路由器的成本低廉,破解软件和密码字典都可从网上免费下载,所以希望网友使用路由器时,尽量设置复杂的密码,“同时采用大小写、数字和标点符号的密码很难被破解。”

■ 现场演示

发帖者一分钟破解记者家WIFI

针对网帖所述过程,“Evi1m0”昨晚现场为记者进行了演示,5分钟内就可以登录并操作一用户的微博。

在记者住处,“Evi1m0”打开了自己电脑上的一款破解密码的软件,在搜索到的33个无线网络中,他点开记者家中的WIFI账号,然后导入密码字典,开始破解。约一分钟后,该软件下方显示了一组标红的字符,与记者所设置的WIFI密码完全一致,其随后用自己手机与路由器完成联网。

联网后,他打开一款黑客软件,由软件进入路由器的WEB管理界面,所有连接了该WIFI的电子设备都被显示出来。他对其中一台电脑上已登录的微博实施“劫持”,其手机上的黑客软件管理界面,就立即自动生成一个微博网址,他只需点击,无需账号、密码,手机就自动登录到了网页版微博个人账户,并且可以自由发布 和删改个人信息。

记者计时发现,整个过程不足5分钟。“Evi1m0”表示,这款黑客软件还能自动记录对方输入的所有账号密码,其中包括个人网上银行信息。

■ 提醒

如何防止路由器被劫持?

日常生活中,市民该如何防范日益严重的路由器劫持安全问题呢?专家支招如下:

1、路由器管理网页登录账户、密码,不要使用默认的admin,可改为字母加数字的高强度密码;

2、WIFI密码选择WPA2加密认证方式,密码长度要在10位以上,最好是大小写字母、数字、特殊符号的组合,这样会大大提高黑客破解密码蹭网的难度;

3、路由器默认的管理IP修改为自己指定的特殊IP;开启路由器MAC地址过滤功能,只允许已知设备接入;

4、在设备中安装具有ARP局域网防护功能的安全软件,防止被黑客蹭网劫持;

5、常登录路由器管理后台,看看有没有不认识的设备连入了WIFI,如果有,及时将其清除;

6、不要随便告诉不可信人员你的无线密码;

7、移动设备不要“越狱”或ROOT,连接来路不明的无线网络;

8、关闭路由器WPS/QSS功能。

1.2 我国GSM网络中监听可获得明文短信内容

《华盛顿邮报》2013年12月14日的文章《破解手机码,NSA可以监听私人谈话》中引用前NSA(美国国安局)合同工Edward Snowden提供的机密文件,NSA能破解广泛使用的手机加密技术A5/1。安全研究公司H4RDW4RE的首席科学家Karsten Nohl指出,全世界超过8成的手机在呼叫中仍然使用弱加密或没有加密,他并一直呼吁移动运营商、网络设备供应商和设备制造商改进GSM加密技术,升级到A5/3加密标准。

通过前期对我国的通信情况进行研究,发现我国的情况更让人担忧,经测试发现在我国GSM网络中实施监听可获得明文的短信内容。如下所示,通过软件无线电(SDR)技术可抓取一定范围内基站downlink及uplink数据,将数据进行GSM协议解析,可获得其中短信内容。

如下图所示,可获得目标地址号码或源地址号码及短信内容:

1.3 NSA对RSA的渗透比以前认为的更深入

路透社独家报道,NSA 对RSA的渗透比以前认为的更深入,它不是在RSA的加密产品嵌入了一个存在后门的伪随机生成器而是两个。除了众所周知的Dual EC_DRBG双椭圆曲线确定性随机比特生成器外,还有一个是Extended Random。在理论上,Extended Random作为第二个随机性来源,可以使得加密密钥更安全。

但约翰霍普金斯大学的加密学专家Matt Green教授等人在一篇即将发布的研究报告中指出,在Extended Random的帮助下,攻击者破解RSA双椭圆曲线加密软件密码的速度将能加快数万倍。

NSA 在Extended Random协议的开发上扮演着重要角色,协议作者之一的Margaret Salter当时是NSA的一位技术总监,目前在Mozilla工作,他和Mozilla 都拒绝发表评论。Extended Random最早被宣传能增强双椭圆曲线算法所生成随机数的随机性。Green教授说,使用Dual EC_DRBG就像是玩火,而使用Extended Random就像自己身上浇汽油。

1.4 美国政府曾秘密发动“古巴Twitter”项目 以期制约古巴政府

来自美联社(AP)的报道,美国政府为了能够通过网络制约古巴共产党政府,曾经秘密筹建名为“Cuban Twitter(古巴Twitter)”的项目,筹建这一项目正是期望通过社交网络在社会中的影响力起到与古巴政府的对抗作用。

这 个项目名称又叫“ZunZuneo”,始建于2009年,在古巴维持了大约两年多的时间——ZunZuneo曾经是古巴流行的社交网络服务,不过用户是通 过短信而非网络进行交流的。该项目吸引了数万名古巴用户,许多古巴的年轻人都加入到了这一社交网络中。ZunZuneo还曾成功掀起过有组织的大型集会 “智慧民众(smart mobs)”。据美联社所说,这类行动能够起到制约政府的作用。

美联社报道称,为Hillary Clinton社交网络工作的国务院官员Sunzanne Hall甚至曾经想过要找Twitter的创始人Jack Dorsey接管这一项目。 当然古巴人并不知道ZunZuneo和美国政府相关,这个项目实际正是由美国国际开发署(US Agency for International Development)一手完成的,其执行手段相当高超,包括了找到一家秘密的外壳公司,以其名义建立ZunZuneo,同时通过国外的银行提供资金, 用户完全不知道ZunZuneo和美国有任何联系,也不知道美国国际开发署通过这个网络收集了他们的个人数据。

据说美国国际开发署在执行这 个项目的时候还是比较有策略的,前期在通过各种社交网络应有的娱乐内容召集到足够多古巴用户之后,才开始逐渐引入政治内容,并期望对用户产生影响,最终对 古巴政府形成制约。不过ZunZuneo项目维持的时间并不算久,而且一名ZunZneo前员工表示古巴政府2011年的时候就已经开始了封锁行 动,2012年时ZunZuneo逐渐从古巴用户的视野中淡出。

美联社的评论文章指出,当前还不清楚这样的秘密行动是否违反了美国法律,同时国际开发署的官员也拒绝回应该项目曾由谁批准达成,以及白宫对此事是否了解。

1.5 已泄露NSA文件将被储存到美国公共数据库中

据《卫报》报道,美国公民自由联盟(ACLU)于日前宣布,他们将会把那些已经被泄露出来的NSA内部文件储存到公共数据库中。也就是说,每一位美国公民将都能查阅到NSA监控项目的关联信息。 据悉,此次将被添加到公共数据库的文件超200份,时间最远可追溯到1986年。

内容则包括了前司法部John Ashcroft发给外国情报服务法庭的备忘录、“棱镜”项目的解说幻灯片等等。ACLU表示,只要有新的文件泄露出来,他们就会继续数据更新工作。

 

2 本周关注病毒

2.1 Worm.Win32.Gamarue.m(蠕虫病毒)

警惕程度 ★★

该病毒运行后修改注册表,实现开机自启动,并将感染U盘、移动硬盘等移动存储设备,后台连接大量黑客指定网址,向黑客上传电脑硬盘中的敏感信息,并下载更多病毒。用户电脑一旦中毒,将面临隐私信息泄露的风险。

2.2 Trojan.Script.BAT.Agent.eg(木马病毒)

警惕程度 ★★

该病毒运行后黑客会通过IPC来进入中毒的操作系统,并可以随意停止防火墙在内的安全服务工作,同时增加管理员账户以控制中毒电脑。

2.3 Backdoor.Win32.Rbot.gcy(‘Rbot’后门病毒)

警惕程度 ★★★

该病毒运行后将释放到系统目录system32下,并设将自身置为开机自启动。病毒将监控用户的键盘操作,监视电脑的屏幕、摄像头,远程控制电脑,上传重要的系统信息至黑客指定服务器,用户电脑一旦中毒将面临隐私信息泄露、网银账密被盗、重要文件遭到破坏等风险。

 

3 安全漏洞公告

3.1 lighttpd存在未明拒绝服务漏洞

lighttpd存在未明拒绝服务漏洞

发布时间:

2014-04-04

漏洞编号:

BUGTRAQ ID: 66599
CVE(CAN) ID: CVE-2014-2469

漏洞描述:

lighttpd是一款HTTP服务程序。
lighttpd存在一个未明错误,允许远程攻击者利用漏洞提交恶意请求使服务程序崩溃。

安全建议:

用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:
https://blogs.oracle.com/sunsecurity/entry/cve_2014_2469_denial_of

3.2 IBM WebSphere Portal存在多个跨站脚本漏洞

IBM WebSphere Portal存在多个跨站脚本漏洞

发布时间:

2014-04-03

漏洞编号:

CVE(CAN) ID: CVE-2014-0828

漏洞描述:

IBM WebSphere Portal提供了一个组合应用程序或业务mashup框架,并且提供了一种高级工具来构造灵活的,基于SOA的解决方案。
IBM WebSphere Portal存在跨站脚本漏洞。由于相关Web Content Manager中的WCM UI的输入在返回用户之前却好过滤,允许攻击者进行跨站脚本攻击。

安全建议:

IBM WebSphere Portal 8.0.0.1 CF11已经修复该漏洞,建议用户下载更新:
http://www-01.ibm.com/software/websphere/portal/

3.3 Cacti 'graph_xport.php' SQL注入漏洞

Cacti 'graph_xport.php' SQL注入漏洞

发布时间:

2014-04-03

漏洞编号:

BUGTRAQ ID: 66555
CVE ID:CVE-2014-2708

漏洞描述:

Cacti是一套基于PHP,MySQL,SNMP及RRDTool开发的网络流量监测图形分析工具。
Cacti 'graph_xport.php'未能正确过滤用户提交的输入,允许远程攻击者利用漏洞提交特制的SQL查询,操作或获取数据库数据。

安全建议:

目前没有详细解决方案提供:
http://cacti.net/

3.4 JBoss Operations Network客户端安装根目录权限本地证书披露漏洞

JBoss Operations Network客户端安装根目录权限本地证书披露漏洞

发布时间:

2014-04-03

漏洞编号:

CVE ID:CVE-2012-0032

漏洞描述:

JBoss Operations Network是基于Java EE的开源网络管理软件。
JBoss Operations Network存在客户端未经授权安装信息披露漏洞,本地攻击者可利用此漏洞获取证书信息。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://rhn.redhat.com/errata/RHSA-2012-0406.html

3.5 PostgreSQL contrib/hstore/hstore_io.c存在多个整数溢出漏洞

PostgreSQL contrib/hstore/hstore_io.c存在多个整数溢出漏洞

发布时间:

2014-04-02

漏洞编号:

CVE(CAN) ID: CVE-2014-2669

漏洞描述:

PostgreSQL是一款对象关系型数据库管理系统,支持扩展的SQL标准子集。
PostgreSQL contrib/hstore/hstore_io.c存在整数溢出,允许远程通过验证的用户使应用程序崩溃。

安全建议:

PostgreSQL 9.0.16,9.1.12,9.2.7或9.3.3已经修复该漏洞,建议用户下载更新:
http://www.postgresql.org