当前位置: 安全纵横 > 安全公告

一周安全动态(2014年04月17日-2014年04月24日)

来源:安恒信息 日期:2014-04

2014年04月第四周(04.17-04.24)

本周预警状态为三级:某些严重漏洞或威胁正被攻击者利用来进行大规模攻击,网络攻击事件显著增加。此时需要立刻采取防御措施,例如安装补丁或重新部署安全系统进行防护等等。

 

 

 

 

1.安全新闻

1.1 美国欲放弃互联网控制权 希望修复国际关系

继被曝出大量的互联网监控项目之后,现在,美国试图通过放弃对互联网的控制来重新修复其跟其他国家之间的国际关系。据外媒报道,美国商务部于日前宣布,他们将于美国当地时间本周三在巴西举行的“互联网治理的未来--全球多利益相关方会议”(NETmundial会议)上解除其对互联网的控制,并将与其他参与国就该问题展开讨论。

上个月,美国商务部就已经宣布了将放弃对ICANN监控的计划,并表示将为该非营利机构建立一个“多方参与”的新体制。据悉,ICANN是一个负责互联网协议地址的空间分配、协议标示符的指派、通用顶级域名及国家和地区顶级域名系统的管理及根服务器系统的管理的国际组织。

不过,美国商务部的这一决定与其说是希望停止互联网监控,倒不如说是企图向其他国家政府抛出橄榄枝。

上一年10月,前通讯员爱德华-斯诺登曝光了美国监听其他多位国家领导人的消息,这大大地伤害了美国跟该些国家之间的关系。

NETmundial会议将讨论互联网监控问题的处理方案。美国商务部则会邀请由其他多个国家、公司及学术机构组成的团队进行万维网的审查工作。

1.2 路由器厂商发布的漏洞补丁不是移除而是隐藏后门

安全研究员Eloi Vanderbeken去年12月在24个型号的无线路由器产品中发现了后门漏洞,相关路由器厂商发布了补丁,但Vanderbeken发现(PDF)补丁不是移除后门而是将后门隐藏起来,这个隐藏的后门可以通过发送特定的网络数据包重新激活。

Vanderbeken是在思科、网件和Diamond等厂商路由器产品使用的台湾中磊电子提供的模块中发现后门,它可用于监听 TCP/IP流量,提供root shell访问权限,允许任何人向路由器发送命令,甚至允许远程访问硬件功能。

1.3 国外安全厂商披露30个Java云服务的0day细节

波兰的一家安全公司近日揭示批漏了30个Java云服务的0day漏洞和相应利用代码,这些漏洞允许客户在其服务器集群上部署Java应用程序。

该公司在一月底二月初的时候,已经向Oracle递交了这些漏洞及有关的PoC代码,并且确认他们已经收到了报告。截至2月末的时候,Oracle的月度报告中报告了相关问题,告知安全研究人员,已修复了发现了的24个漏洞,剩下的六个漏洞也已经研究过,正在修复程序代码。

让研究人员特别担心的是US1和EMEA1数据中心,希望Oracle公司在修补完所有漏洞可以通知他们。不过到现在他们还没有,该安全公司认为他们已经给Oracle公司足够的时间修复问题,所以决定公布他们发现的漏洞。

“在初步报告两个月后,Oracle公司依旧没有在他们的商业运数据中心公布关于成功解决漏洞问题的报告。”该安全公司指出。

“Oracle通讯仍然作为云计算漏洞处理策略之一。此外,该公司公开承认,这种解决漏洞安全的策略将来或许会影响云数据中心的安全也未可知。”

该公司表明,“在总共发现的28个问题中,其中的16个漏洞,可以利用其突破目标服务器中的Java安全沙箱。攻击者进一步可利用此来访问Java云服务同一区域中心的其他用户的应用程序部署,这也就进一步意味着可以访问用户应用程序,也可以访问数据库甚至在系统上执行任意的Java代码。”

该公司进一步推测,由Oracle的服务发现的薄弱环节的性质表明,在其公开发售前,可能并没有进行车彻底的安全审查和渗透测试。

关于该安全公司的研究方法的更多信息可以在这篇FAQ中找到。

1.4 2013年全球网络入侵事件数量同比猛增三倍

4月23日消息,美国电信运营商Verizon安全部门于当地时间周三正式 公布了2013年度《数据泄密调查报告》(The Data Breach Investigations Report)。据该报告显示,2013年全球网络入侵事件发生次数创下史上新高,这部分是由于东欧地区网络犯罪行为的愈发猖獗所致。

一年一度的《数据泄密调查报告》是目前科技业内接受范围最广的网络安全报告之一,目前已经连续发布了10年,并涵盖了50家大型公司或组织所报告的多达 6.3万起各类网络攻击事件。该报告显示,2013年的许多网络攻击事件都来自亚洲地区,而东欧地区的网络攻击数量也大有上升之势。

“在2013年的数据报告中,亚洲地区在全球网络攻击事件中的所占比例已经有所减少,因为越来越多的网络犯罪行为开始由东欧,尤其是说俄语的黑客所发起。”该报告写道。

据悉,2013年中有高达21%的网络犯罪均是由俄语国家黑客所发起的,且大约有11%的网络入侵均是由有组织犯罪团体所实施的。

“2013年中最明显的一个趋势是,针对内部资料、数据和商业机密所展开的网络入侵行为大幅增加。”该报告写道。

就具体数据而言,2013年中有记录的网络间谍事件数量为511起,这一数字是2012年的三倍之巨。对此,该报告指出这一数字的大幅上涨部分是由于 Verizon在今年的调查报告中新增了一系列数据源,同时也邀请包括英特尔和卡巴斯基这些合作伙伴加入了本次调查之中所致。

然而,部分负责编纂这一报告数据的作者还是认为这一结论有些出人意料。

“我们知道这一数据会不断增加,但相比上年翻三番实在是有些令人不安。”该报告的作者之一说道。

1.5 麻醉设备的软件发现bug可能危及生命

美国食品及药物管理局发出紧急警告,英国Spacelabs Healthcare公司生产的ARKON麻醉设备被发现存在严重的软件缺陷,可能会导致危及生命的故障发生。ARKON的麻醉系统被医院用于在手术过程中向患者提供氧气、麻醉气体和一氧化二氮,Spacelabs 已经在上个月宣布召回这款设备。

运行在设备上的2.0版软件被发现存在严重bug,可能会导致设备停止工作,要求病人手控通气。此外,该设备有4个USB端口,但如果手机或其它USB设备插在上面充电,也可能会导致设备停止工作。该bug可能会导致严重后果,包括死亡和血氧不足。

 

2 本周关注病毒

2.1 Trojan.Script.BAT.Agent.ej(木马病毒)

警惕程度 ★★

该病毒运行后降低Windows操作系统的安全性,使黑客很容易通过IPC来进入中毒的操作系统,随意停止包括防火墙在内的安全服务,同时可打开磁盘共享,增加管理员帐户,从而窃取中毒电脑内的各类信息。

2.2 Backdoor.Win32.Rbot.gcy(后门病毒)

警惕程度 ★★

该病毒运行后将释放到系统目录system32下,并设将自身置为开机自启动。病毒将监控用户的键盘操作,监视电脑的屏幕、摄像头,远程控制电脑,上传重要的系统信息至黑客指定服务器,用户电脑一旦中毒将面临隐私信息泄露、网银账密被盗、重要文件遭到破坏等风险。

2.3 Worm.Win32.FakeFolder.v(‘FakeFolder’蠕虫病毒)

警惕程度 ★★★

病毒运行后将自我复制到system32目录下,重命名为ppsap.exe。同时病毒将修改注册表,实现开机自启动,篡改用户IE浏览器的桌面快捷方式,电脑一旦中毒,IE浏览器首页将被锁定为黑客指定的广告链接。

 

3 安全漏洞公告

3.1 Apache Struts2 CVE-2014-0094(S2-020)漏洞修补绕过漏洞

Apache Struts2 CVE-2014-0094(S2-020)漏洞修补绕过漏洞

发布时间:

2014-04-22

漏洞编号:

 

漏洞描述:

Struts2 是第二代基于Model-View-Controller (MVC)模型的java企业级web应用框架。
Apache Struts versions 2.0.0- 2.3.16版本中存在安全漏洞,修复CVE-2014-0094漏洞的修补方案中仍然存在缺陷,可被黑客绕过。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://httpd.apache.org/

3.2 Django django.core.urlresolvers.reverse函数远程代码执行漏洞

Django django.core.urlresolvers.reverse函数远程代码执行漏洞

发布时间:

2014-04-24

漏洞编号:

CVE(CAN) ID: CVE-2014-0472

漏洞描述:

Django是Python编程语言驱动的一个开源Web应用程序框架。
Django 1.4.11, 1.5.6, 1.6.3, 1.7 beta 2之前版本在django.core.urlresolvers.reverse函数的实现上存在安全漏洞,远程攻击者通过用用户输入和加点Python 路径,利用此漏洞导入和执行任意Python模块。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.djangoproject.com/
https://www.djangoproject.com/weblog/2014/apr/21/security/

3.3 Apache Archiva HTML注入漏洞

Apache Archiva HTML注入漏洞

发布时间:

2014-04-22

漏洞编号:

BUGTRAQ ID: 66991
CVE(CAN) ID: CVE-2013-2187

漏洞描述:

Archiva是一个管理一个和多个远程存储的软件。它能够与Maven,Continuum和ANT等构建工具完美结合。
Archiva 1.3 - 1.3.6版本在处理特制请求时存在HTML注入漏洞,攻击者通过包含了特制参数的请求,可利用此漏洞将任意HTML或JS代码注入到Archiva主页。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://httpd.apache.org/
http://archiva.apache.org/security.html

3.4 HP Universal Configuration Management Database远程代码执行漏洞

HP Universal Configuration Management Database远程代码执行漏洞

发布时间:

2014-04-18

漏洞编号:

BUGTRAQ ID: 66963
CVE(CAN) ID: CVE-2013-6215

漏洞描述:

HP Universal Configuration Management Database是业务服务管理并基于ITIL 计划的配置管理数据库。
HP Universal Configuration Management Database 9.05, 10.01, 10.10版本在实现上存在远程代码执行漏洞,远程攻击者可利用此漏洞执行任意代码。

安全建议:

HP已经为此发布了一个安全公告(HPSBMU02988)以及相应补丁:
HPSBMU02988:HP Universal Configuration Management Database, Disclosure of Information
链接:
https://h20564.www2.hp.com/portal/site/hpsc/public/kb/ docDisplay?docId=emr_na-c04220407
补丁下载:
https://hpln.hp.com/node/11274/contentfiles

3.5 HP LoadRunner Virtual User Generator远程代码执行漏洞

HP LoadRunner Virtual User Generator远程代码执行漏洞

发布时间:

2014-04-18

漏洞编号:

BUGTRAQ ID: 66961
CVE(CAN) ID: CVE-2013-6213

漏洞描述:

HP LoadRunner可在部署新的系统或升级之前检测性能瓶颈,以防范应用的性能问题。
HP LoadRunner 11.52.1之前版本在实现是存在远程代码执行漏洞,攻击者可利用此漏洞在受影响应用上下文中执行任意代码。

安全建议:

HP已经为此发布了一个安全公告(HPSBMU02935)以及相应补丁:
HPSBMU02935:HP LoadRunner Virtual User Generator, Remote Code Execution
链接:
http://alerts.hp.com/r?2.1.3KT.2ZR.xdUfW.JqqYsc..T.db8O.8AdM.bW89MQ%5f%5fDQBKFTe0
补丁下载:
http://support.openview.hp.com/selfsolve/document/KM00731150