当前位置: 安全纵横 > 安全公告

一周安全动态(2014年04月10日-2014年04月17日)

来源:安恒信息 日期:2014-04

2014年04月第三周(04.10-04.17)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 互联网“心脏出血”用户安全风险谁担责

现有的法律措施大多是进行事后约束,这并非简单立法即可解决的问题。如果出现诉讼,一般会形成集体诉讼,但在管辖权和赔偿程度上还有许多难题需要解决。打开任意一个“https://”开头的网站,就意味着你打开了一个使用了SSL安全协议的网站。 这一协议被用于提高应用程序之间的数据安全系数,加密数据以隐蔽被传送的数据。而作为该协议的一种实现形式,OpenSSL是应用最广泛的SSL服务软件。

简单地说,OpenSSL为你在网站上输入的各种账号密码加了一把虚拟的“锁”。这把“锁”如今被全球三分之二以上的网站使用。

而就在4月9日,OpenSSL爆出了本年度最严重的安全漏洞。利用该漏洞,黑客坐在自己家里的电脑前,就可以实时获取到所有“https://”开头网址的用户登录账号密码,包括网银、电子邮件等信息。

因影响巨大,该漏洞被曝光者命名为“heartbleed”,意为“心脏出血”。

4月10日,国家互联网应急中心发布通报,称由于OpenSSL应用极为广泛,包括政府、高校网站以及金融证券、电子商务、网上支付、即时聊天、办公系统、邮件系统等诸多服务提供商均受到漏洞影响,直接危及互联网用户财产和个人信息安全。

年度最严重安全漏洞

OpenSSL的历史可以追溯到Eric Young所打造的SSLeay。虽然来自美国约翰霍普金斯大学的Matthew Green曾经将其讥讽为一个“教你自学大数除法”的项目,但在此之前,加密算法曾经由美国政府牢牢控制。

多年的积累加上熟悉的特性使OpenSSL顺利走向普及,而我们如今才刚刚接触到其中不为人知的深层漏洞。

据国家互联网应急中心通报,OpenSSL是一款开放源码的SSL服务软件,用来实现网络通信的加密和认证。该软件囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其他目的使用。

国家信息安全漏洞共享平台(CNVD)分析,受到该漏洞影响的产品包括:OpenSSL 1.0.1-1.0.1f版本,其余版本暂不受影响。综合各方测试 结果,国内外一些大型互联网企业的相关VPN、邮件服务、即时聊天、网络支付、电子商务、权限认证等服务器受到漏洞影响,此外一些政府和高校网站服务器也 受到影响。

CNVD成员单位奇虎360安全专家石晓虹博士表示,OpenSSL此漏洞堪称“网络核弹”,因为有很多隐私信息都存储在网站服务器的内存中,无论用户电脑多么安全,只要网站使用了存在漏洞的OpenSSL版本,用户登录该网站时就可能被黑客实时监控到登录账号和密码。

在CNVD的综合评级中,这一漏洞被评为“高危”。

一些统计数据也可以显示这一漏洞可能造成的巨大影响。奇虎360对国内120万家经过授权的网站扫描,发现其中有11440个网站主机受该漏洞影响。4月7日、4月8日期间,共计约2亿网民访问了存在OpenSSL漏洞的网站。

而由于OpenSSL是Apache和NGINXWeb两大服务器的默认SSL / TLS证书,专家估计,全球多达三分之二的“安全”网站很容易通过这一漏洞受到攻击。

事实上,攻击的苗头已经出现。国家互联网应急中心通报称,目前互联网上已经出现了针对该漏洞的攻击利用代码,预计在近期针对该漏洞的攻击将呈现激增趋势,对网站服务提供商以及用户造成的危害将会进一步扩大。

与此同时,OpenSSL在今年4月7日推出了OpenSSL 1.01g,修复了这个漏洞。目前,国内大量网站正在紧急通过更新软件来修复漏洞。

然而,此时距该款缺陷软件推出的2012年3月12日已两年有余,是否有账号信息被窃取尚无法评估。

谁该对信息泄露担责

如果用户登录了一个使用了该缺陷协议的网站,导致信息被盗并产生损失,谁应该对损失负责?这是接下来我们可能要面临的问题。

互联网法律专家、中国政法大学传播法中心研究员朱巍认为,该事件涉及的法律责任包括两个方面:一是窃取信息者,即黑客的法律责任;二是存在漏洞服务器因漏洞造成用户损失的责任。前者我国刑法及相关司法解释有明文规定,后者则较为复杂。

“据资料显示,该漏洞早在两年前就曾显现,黑客可以非法获取存在漏洞服务器高达64K数据,这些数据已经足够获取个人包括财产数据在内的敏感信息。”朱巍向《法制日报》记者分析。

他介绍,在网络交易中,交易网站有义务保护用户信息安全,这是源自“用户协议”的约定和交易诚信责任组成部分。一旦导致用户受损,网站应承担包括违约责任、侵权责任在内的民事法律责任。

“不过,网站也可能有抗辩理由,主要有三种,分别为免责条款的抗辩、不可抗力的抗辩和已尽到提示义务的抗辩。”朱巍说。

对此,中国政法大学知识产权中心特约研究员赵占领认为,关于不可抗力这一条抗辩理由争议最大。

“这个漏洞被发现以前造成的损失,网站是否要负责?这个问题可能还需要讨论。因为这不是网站自己的漏洞,只是网站采用了这种国内外通用的协议标准,而这种协议 标准本身就存在漏洞,这对于网站来说是无法预料的。这到底算不算不可抗力,我现在也不能确定。”赵占领对《法制日报》记者表示。

朱巍则认 为,在此次事件中,不可抗力的抗辩并不成立。“病毒、漏洞或黑客攻击在网络世界中广泛存在,其破坏和出现频率也无法预计,一般理论认为,在一定程度上,网 站可以依据不可抗力进行免责。不过,在本事件中,SSL漏洞在两年前就已经出现,在长达两年的时间内,网站未尽到合理注意义务,因此不能以不可抗力免 责。”

而对于在漏洞被发现之后仍给用户造成的损失,则没有太多争议。赵占领认为,如果网站在漏洞发现之后没有及时采取措施,导致用户损失进一步扩大,网站毫无疑问地要承担赔偿责任。

若发生损失如何维权

即便发生损失后用户存在维权空间,但被问及是否有成功案例时,多名接受《法制日报》记者采访的专家均没有给出肯定答案。

“实践中我听说的起诉案例只有一个,现在还没有判:浙江一个酒店开发的酒店Wi-Fi管理、认证系统,因存在漏洞而导致用户信息泄露,被起诉至法院,前不久刚立案,结果现在还没出来。”赵占领介绍。

而大多数案件都未能走到起诉这一步。

赵占领分析,主要原因在于取证太困难,一般用户根本没办法证明信息是通过哪个渠道泄露的,因为一般用户的这些信息在很多地方都可以看到的,所以很难证明。唯一的办法就是等公安机关立案,查到犯罪嫌疑人,查清到底是哪个渠道泄露的。

他介绍,一旦查清,如果是网站自身或者内部员工泄露,刑法修正案(七)有规定“非法泄露公民个人信息”的犯罪。之前,电信公司和支付宝公司泄露用户信息的案例就是属于这种。而如果是网站被动泄露的,情况则如上文所述,更加复杂。

赵占领认为,现有的法律措施大多是进行事后约束,这并非简单立法即可解决的问题。

“像目前的《电信和互联网用户个人信息保护规定》、侵权责任法等都有相关的规定,但并不能解决民事赔偿中的取证难题,因此也很少有受害者提起诉讼。”赵占领认为,这种困境归根于我国的电子证据认定有很大的缺陷。

对于OpenSSL漏洞事件,朱巍提出,如果出现诉讼,一般会形成集体诉讼,但在管辖权和赔偿程度上还有许多难题需要解决。

1.2 台湾爆大规模APT威胁 近20家经济相关机构成目标

根据近日针对最新一波重大APT攻击事件的拦截报告显示,发现国际性黑客组织通过微软RTF程序漏洞,针对中国台湾经济相关的政府部门及企业,进行首波大规模高级持续性威胁(APT)和零时差攻击。黑客利用与服贸相关的热门话题作为社交信件主题,携带后门程序以操控受害电脑,目前已经影响近20家中国台湾相关政府部门与企业。

研究人员表示:“黑客使用国际黑客组织惯用的恶意程序,利用微软的RTF程序漏洞,专门针对用户的电脑进行零时差攻击。黑客利用被感染电脑做跳板,发送以热门新闻话题(例如服贸)为主题的社交电子邮件,接收者为台湾经济相关的各政府单位及组织。邮件携带后门程序HEUR_RTFEXP.A及HEUR_RTFMALFORM,用户一旦开启邮件即被植入后门,黑客将可取得受害电脑的操控权,并进行窃取机密信息等非法活动。”

在拦截到的近百封社交邮件中,发现其邮件主题、内容、附件名称,都与最近热门经济议题高度相关。专家呼吁用户应尽快更新微软MS14-017重大漏洞补丁,并立即进行APT信息安全防护检测。微软公司曾于今年3月24日公布了此项RTF漏洞。

1.3 TrueCrypt审计初步显示没有后门或恶意代码

加密软件TrueCrypt第一阶段的安全审计报告显示没有发现含有后门或其它故意加入的恶意代码的证据。TrueCrypt是流行的加密软件,但从未进行过安全审计,在NSA大规模监控活动曝光之后安全研究人员发起了对TrueCrypt的完整安全审计,iSEC负责此次审计。

研究人员在代码中发现了一些小的漏洞,例如TrueCrypt使用的迭代次数是1000或2000,不足以保护密码抵抗暴力破解攻击。

第一阶段的安全评估重点是TrueCrypt引导程序和Windows内核驱动等。第二阶段的安全审计将调查TrueCrypt加密套件、随机数生成器和关键密钥算法是否正确实现。

1.4 美官员称奥巴马允许NSA利用互联网漏洞

美国政府高级官员上周六表示,在美国情报机构内部的激烈辩论之下,美国总统奥巴马已经决定:当美国国家安全局(National Security Agency,简称NSA)发现互联网存在重大安全漏洞时,它在大多数情况下应该披露这些漏洞,以确保漏洞被及时修复,而不应该保持沉默,以便利用这些漏洞从事间谍活动或网络攻击。

但美政府官员同时称,奥巴马也允许一种宽泛的例外情况,只要是出于“国家安全或执法的明确需要。”在这样的情况下,NSA可以利用网络安全漏洞,以破解数据加密或者设计网络武器。

奥巴马的这项决定是在今年1月作出的,白宫还没有公开有关细节。奥巴马是在审查总统咨询委员会关于如何应对最近的NSA泄密事件的建议时作出这一决定的。

上周五,白宫否认事先知道安全漏洞Heartbleed的存在。白宫发表声明说,当这样的漏洞被发现时,政府现在有了一种“偏爱”,即向计算机和软件制造商披露这些漏洞,以避免危害有关行业和消费者。

美国国家安全委员会( National Security Council)发言人凯特琳·海登(Caitlin Hayden)表示,奥巴马对总统咨询委员会的建议的审查工作现已完成,奥巴马决定,当安全漏洞被发现后,政府可以考虑是否披露它们,是否保守秘密以待 NSA以后利用它们。

“政府的权衡过程偏向于负责任地披露这些漏洞。”她说。

到现在为止,白宫拒绝透露奥巴马针对总统的咨询委员会的建议采取了什么样的行动。不久前,该委员会在报告中坚决建议政府停止批量收集公民通讯数据的做法。奥 巴马上个月宣布,他将结束NSA批量收集公民通讯数据的行为,并将数据保留在电信企业手中,政府只有在得到法院的授权时才能获得它。

不过,虽然有关监控的建议值得关注,但NSA内部的其他建议,——有关网络加密和网络运营,在美国掀起了一场激烈的辩论。

其中一项建议呼吁NSA不要再入侵商业加密系统或试图建立软件“后门”,以破解美国的敌人的通信数据。这种做法是诱人的,因为它是简便的方法,哈里·S·杜 鲁门(Harry S Truman )62年前建立NSA就是出于这个原因。总统咨询委员会的结论是,这种做法会削弱人们对美国软件和硬件产品的信任。近几个月来,硅谷的公司已经敦促美国放 弃这种做法,而德国和巴西等国家都表示他们正在考虑放弃美国制造的设备和软件。

另一项建议呼吁政府只对所谓的“zero days”漏洞作最有限的临时利用。“zero days”漏洞存在于如微软Windows这样的软件中,可以让攻击者访问安装该软件的计算机,以及与该计算机联网的任何企业和政府机关的计算机。

NSA曾经利用四个“zero day”漏洞攻击了伊朗的核浓缩网点。这次攻击代号为“Olympic Games”,破坏了大约伊朗1千部离心机,并推动了两国政治谈判。

毫不奇怪,NSA和美国网络司令部(United States Cyber Command)官员警告说,放弃对未公开漏洞的利用将意味着“单方面裁军(这个术语来自关于美国是否应该削减或者在多大程度上削减核武库的争论)”。

“我们不消除核武器,直到俄国人做到这一点。”一位高级情报官员最近说。 “你不会看到中国放弃对“zero days”漏洞的利用,即使我们这样做。”另一位白宫高级官员上月表示,“我无法想象任何一位总统会完全放弃一项可以让他采取秘密行动以避免热战的技术。”

这种技术的核心是像Heartbleed这样的互联网漏洞。没有任何证据表明NSA参与制造Heartbleed ,也没有证据表明NSA使用了该漏洞。白宫上周五下午否认了对Heartbleed事先知情。这似乎是NSA第一次作出类似声明。

但是,爱德华·J.·斯诺登(Edward J. Snowden)披露的文件清楚地显示,在Heartbleed被揭漏出来之前两年,NSA就一直在寻找方法来完成某些情报收集任务,而这种任务是可能依 靠类似于Heartbleed这样的网络漏洞来完成的。一个代号为“Bullrun”的计划是NSA长达十年的工作的一部分,该计划旨在破解或规避网络加 密。斯诺登披露的文件没有明确显示这项计划取得了怎样的成功,但它很可能已经具备了比Heartbleed更有效的数据收集能力。

美国官员承认,政府已成为“zero days”网络漏洞的最大的开发者和购买者。这些漏洞是大生意,微软出价15万美元,希望有人发现这种漏洞并告知微软公司以修复它。其他国家正在热切地收 集这种漏洞,以至于一种类似于现代军备竞赛的战争实际上已经爆发了。在这样的国家中,最主要的是中国和俄罗斯,伊朗和朝鲜也在其中。

“网络将越来越成为一种进攻性武器。”英特尔公司McAfee电脑安全主管Michael DeCesare说。“我不认为仅仅依靠某些政策就可以阻止他们。这就是为什么对我们来说有效的指挥和控制策略是绝对必要的。”

美国总统咨询委员会并没有要求NSA完全停止这样的做法。但它说,总统应该确保NSA不会“利用漏洞”进入商业加密系统。它说,如果美国发现一个“zero day”漏洞,就应该修补它,而不是利用它,但有一个例外:高级官员可以“为了优先级的情报保障,临时授权NSA使用这种漏洞。”

1.5 老练的奥巴马政府:看美国如何应对DDoS网络攻击

贯穿2012年始末,包括美国银行、PNC和汇丰银行在内的多家美国银行巨头遭到了一系列持续性的分布式拒绝服务网络攻击,导致银行系统大面积瘫痪崩溃, 当时在美国很多人归咎于伊朗,是对攻击伊朗核武器计划的Stuxnet恶意程序的一次反攻。近日华盛顿邮报公布了当时美国政府应对该攻击的相关细节,并且在文章中指出奥巴马政府的政治手腕令人惊讶的成熟老练,这也导致NSA监控丑闻事件渐渐淡出美国公众视野。

在华盛顿邮报公布的细节中表示奥巴马政府反对通过入侵伊朗的网络来关闭攻击源,表示这种方式显得过于“张扬”。相反奥巴马政府宣布同全球120多个国家进行 合作来阻止来自全球各个网络节点的攻击访问。这个计划涉及到美国国务院和国土安全部来共同处理,通过协作利用外交和技术手段来阻止网络攻击。虽然这些努力 并未完全遏制DDoS攻击,但是大大减少了网络攻击的量,进而使银行网络系统恢复正常工作,在持续了一段时间之后攻击者自行放弃了继续尝试。

 

2 本周关注病毒

2.1 Trojan.win32.Generic.159735C0(木马病毒)

警惕程度 ★★

该病毒运行后将在系统文件夹中创建文件,记录病毒文件运行次数,并将自身设置为开机自启动,后台连接黑客指定网址,频繁为广告网站刷取流量,同时病毒会篡改用户的浏览器首页,将其指向广告网址,并在桌面创建广告网站的快捷方式。用户电脑一旦中毒将出现网络被大量占用,电脑运行缓慢等症状,严重者还会遭遇钓鱼网站的攻击。

2.2 Trojan.Win32.Generic.12EB8C1E:(木马病毒)

警惕程度 ★★

该病毒运行后自我复制至系统文件夹,并创建服务关联复制后的病毒。一旦服务被启动,将释放一个恶意DLL,当该DLL被加载后,病毒将启动CMD进行自我删除。用户电脑一旦中毒,将面临隐私信息泄露、网银账密被盗等风险。

2.3 Backdoor.Overie!486D(‘Overie’后门病毒)

警惕程度 ★★★★★

该病毒运行后自我复制至系统目录,将名字重命名为随机字母,并对原文件进行自我删除,修改注册表为开机自启动。病毒将利用用户电脑对指定网站进行DDoS攻击,搜索用户隐私上传至黑客指定地址,同时病毒还将接收黑客发出的指令,下载其他病毒至电脑。用户电脑一旦中毒,将面临隐私信息泄露的风险,同时电脑还将被黑客完全控制,并成为黑客攻击其他网站的肉鸡。

 

3 安全漏洞公告

3.1 Oracle MySQL Server远程安全漏洞

Oracle MySQL Server远程安全漏洞

发布时间:

2014-04-17

漏洞编号:

BUGTRAQ ID: 66863,66872
CVE(CAN) ID: CVE-2014-2450,CVE-2014-2434

漏洞描述:

Oracle MySQL Server是一个轻量的关系型数据库系统。
Oracle MySQL Server在MySQL Server组件的实现上存在远程安全漏洞,此漏洞可通过MySQL Server协议利用,经身份验证的远程攻击者可利用此漏洞影响受影响组件的可用性。该漏洞的影响版本包括:5.6.15及更早版本。

安全建议:

Oracle已经为此发布了一个安全公告(cpuapr2014-1972952)以及相应补丁:
cpuapr2014-1972952:Oracle Critical Patch Update Advisory - April 2014
链接:
http://www.oracle.com/technetwork/topics/security/cpuapr2014-1972952.html
补丁下载:
https://support.oracle.com/rs?type=doc&id=1635913.1

3.2 Oracle WebLogic Server远程安全漏洞

Oracle WebLogic Server远程安全漏洞

发布时间:

2014-04-15

漏洞编号:

BUGTRAQ ID: 66825
CVE(CAN) ID: CVE-2014-2740

漏洞描述:

Oracle Weblogic Server是应用程序服务器。
Oracle WebLogic Server组件在实现上存在远程安全漏洞,此漏洞可通过T3协议利用,未经身份验证的远程攻击者可利用此漏洞影响受影响组件的机密性、完整性、可用性。 该漏洞的影响版本包括:10.0.2.0, 10.3.6.0, 12.1.1.0, 12.1.2.0

安全建议:

Oracle已经为此发布了一个安全公告(cpuapr2014-1972952)以及相应补丁:
cpuapr2014-1972952:Oracle Critical Patch Update Advisory - April 2014
链接:
http://www.oracle.com/technetwork/topics/security/cpuapr2014-1972952.html

3.3 F5 ARX Series NTP拒绝服务及GnuTLS欺骗漏洞

F5 ARX Series NTP拒绝服务及GnuTLS欺骗漏洞

发布时间:

2014-04-15

漏洞编号:

CVE(CAN) ID: CVE-2013-5211

漏洞描述:

F5 ARX系列是智能文件虚拟化解决方案。
F5 ARX Series 6.0.0-6.4.0版本内使用的网络时间协议NTP的monlist功能存在安全漏洞,monlist在较老的NTP(4.2.7p26之前版本)中 默认的开启的,该命令位于ntpd内的ntp_request.c中,可将连接到NTP服务器的最后600个IP地址列表发送给受害者。攻击者通过伪造的 REQ_MON_GETLIST或REQ_MON_GETLIST_1请求,利用此漏洞可将流量放大,造成拒绝服务。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.ntp.org/downloads.html
http://support.f5.com/kb/en-us/solutions/public/15000/100/sol15154.html

3.4 OpenSSL 'ssl3_release_read_buffer()'释放后重利用内存破坏漏洞

OpenSSL 'ssl3_release_read_buffer()'释放后重利用内存破坏漏洞

发布时间:

2014-04-15

漏洞编号:

BUGTRAQ ID: 66801

漏洞描述:

OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高强度加密,现在被广泛地用于各种网络应用程序中。
OpenSSL的函数ssl3_release_read_buffer()在实现上存在释放后重利用漏洞,可被攻击者利用破坏内存,然后在使用受影响库的应用上下文中执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.openssl.org/

3.5 WordPress多个漏洞

WordPress多个漏洞

发布时间:

2014-04-11

漏洞编号:

 

漏洞描述:

WordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设自己的网站。
WordPress 3.8.2之前版本在实现上存在多个漏洞,这可被恶意利用绕过某些安全限制、执行跨站脚本等。
这些漏洞源于cookie监控哈希值验证内的错误、验证"publish_post"功能时的错误、Plupload相关的输入没有被正确过滤,这些错误可造成未授权访问、执行受限制操作、执行任意HTML和脚本代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://wordpress.org/
http://wordpress.org/news/2014/04/wordpress-3-8-2/