当前位置: 安全纵横 > 安全公告

一周安全动态(2014年04月24日-2014年05月01日)

来源:安恒信息 日期:2014-04

2014年04月第五周(04.24-05.01)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 “心脏流血”仍阴魂不散 公共WiFi要更加安全

互联网史上最大的安全漏洞--Heartbleed(心脏流血)漏洞依旧在全球各网站阴魂不散,不过使用公共WiFi似乎要更加的安全。这并不意味着用户应当开始依赖于开放式网络--因为它也会是危险的。不过用户可以用笔记本电脑或智能手机连接大多数咖啡店、宾馆和机场的无线网络,而不需要担心黑客会利用WiFi路由器上的心脏流血漏洞来监控用户。

当前,公共场所使用的绝大多数WiFi设备均由思科或Ruckus制造。两家公司均已表示,在安全软件的保护下,硬件并不会轻上述两易受到心脏流血漏洞的影响。

所有的星巴克咖啡店和绝大多数的机场,如丹佛国际机场、凤凰城的天空港,它们的公共WiFi相对都是安全的。出于安全顾虑,他们均没有详细透露使用了何种设备。拉斯维加斯的麦卡伦国际机场表示,它的无线设备曾易受到心脏流血漏洞的攻击,不过该机场已经对系统进行升级,修复了相关的漏洞。

同样安全的还包括D-Link、Linksys和Netgear等这些我们在家中使用的相同路由器的小企业。这些企业的WiFi设备也不会受到心脏流血漏洞的影 响。因为Ruckus向数家连锁酒店和商店提供了无线路由器,因此以下地点也都是安全的,它们包括:万豪酒店、凯悦酒店、文华东方酒店、洲际饭店、温德姆 酒店集团、连锁餐厅Le Pain Quotidien等。

消费者能够借此松一口气,但是这并不意味着消费者就应当完全忘记心脏流血的存 在。处于工作中的服务器仍然可能受到影响,而且许多计算机系统仍然依赖于可能从未打过补丁的旧硬件。某个地方的一个软肋或许将带来致命的伤害。这也是安全 专家为什么警告用户必须保持警惕数周乃至数月的原因。

经常性的更改密码,不要访问陌生的网站。如果有可能,用户还应当使用Heartbleed检测工具,测试准备访问的网站是否受心脏流血漏洞影响。

当然,最聪明的做法还是待网站发布官方声明,表示已经修复心脏流血漏洞之后再访问该网站。目前用户在互联网上做的任何事情,如收发电子邮件、登录社交网络和 转账均存有风险。心脏流血漏洞影响到无数的设备。企业正在对自己设备的防火墙进行更新。互联网安全公司Fire Eye表示,两周之前,Android智能手机上仍有1.5亿个应用易受到心脏留学漏洞的攻击。
危险确实存在。一名黑客日前就利用心脏流血漏洞入侵了加拿大的税收记录,并到走了900人的个人信息。

1.2 仅有两人守护着互联网 因心血漏洞才获重视

OpenSSL作为一个关键的安全应用,使用于成千上万的网站。这一应用可以确保你的关键信息不被窃取。但随着“心脏出血”漏洞的发现,这一开源协议才被发现负责维护的团队人手严重不足(严格来说全职只有一人)且报酬过低。开源项目一直以来都以松散的组织架构存在,即使大公司加入,目的也仅仅是贡献部分代码成为“贡献者”,以在未来商业使用该软件时获得授权。这就导致了开源软件的开发者报酬极低或者没有报酬,大部分开源开发者的目标也仅仅是获得声望与提高技术。

参与OpenSSL开发的两名开发者名为史蒂夫·马奎斯和斯蒂芬·汉森。OpenSSL出现漏斗是他们最不想听到的事情。2006年,经过三年的努 力,OpenSSL成为美国政府安全系统的重要组成部分。但是,马上他们就收到一个坏消息:他们的代码,需要更多的改进。OpenSSL是互联网的默认加 密引擎。美国政府态度坚决,它批准的东西将需要的严格的测试。马奎斯作为国防部的顾问,将他的数年时间和大量金钱放到整个项目上。美国政府的资金在项目开 始六个月就已经用完。

马奎斯表示,“我们不断收到要求,以致做出了愚蠢的改进。”马奎斯,现年59岁,每周还要为政府的工作40个小时以上。他是政府和他的合作伙伴之间的联系人。他的开发伙伴就是OpenSSL代码背后维护的天才-斯蒂芬·汉森,深居简出的46岁的英国图论数学博士。

汉森曾通过电子邮件表示,因为项目进展困难,“每个人都准备离开”。这是自OpenSSL心脏出血漏洞被发现后他第一次,也是唯一一次发表意见。

马奎斯说,“史蒂夫·汉森是我的坚强后盾,我觉得我们为OpenSSL所做的是一个很好的事情。不过,你不能让程序员因为OpenSSL而挨饿。但是,开源 就是这样,这是极有可能发生的事情。当我第一次见到史蒂夫·汉森,这种事情就发生在他身上。根据信息,汉森的薪水只有每年约2万美元。

OpenSSL 的软件基金会的单年收入从来没有超过100万美元。它生存主要是靠大公司的聘用合同。这些合同的内容包括每小时250美元来的短期工作和低价的几十年长期 合同。基金会的一小部分收入还来自捐款者和好心人。这些钱大部分用来做外包的验证测试(几十万美元一年)和新的服务器、设备投资。最近,德国的服务器升级 成本就花费了8200美元。

开源软件一直被业界广泛采用,使用户获得高质量的免费版本商业软件,且没有任何附加条件。大公司都注意到了开源的好处,并热衷拥抱开源。如巴克莱银行通过开源已经把软件费用降低了90%。但免费也使开源程序员的日子并不好过。
不过值得庆幸的是,OpenSSL出现这个巨大的安全漏洞后,它得到了它应有的关注度, 这已经为项目争取了更多的资金,OpenSSL计划马上就会聘请第二名全职开发人员。

1.3 应对网络安全挑战 北京迎首个"首都互联网安全日"

北京市政府日前正式批准将每年4月29日设为“首都网络安全日”,今日迎来首届“首都网络安全日”,主题为“网络安全同担,网络生活共享”,倡导首都各界群众和网民共同提高网络安全意识、承担网络安全责任、维护网络社会秩序。

北京是名副其实的“网络之都”

北京作为科技创新中心,云集了全国70%以上的大型门户网站,在引领科技创新、示范产业发展方面发挥着重要作用。据统计,截至2013年底,北京备案网站数量多达90余万家,网民数量突破1600万人,上网普及率达75.8%,是名副其实的“网络之都”。

网络的发展繁荣,一方面丰富了群众生活,激发了首都发展活力;另一方面,也使北京面临更为复杂多元的网络安全挑战。将网络纳入城市管理体系、与网络发展同步 治理、切实保护首都广大人民群众切身利益,成为考验北京城市治理能力和水平的重要课题。正是在此背景下,北京市政府正式批准将每年4月29日设立为“首都 网络安全日”。

北京首个网络安全主题教育基地正式启动

作为“4.29首都网络安全日”系 列活动之一,北京市首个网络安全主题教育基地——北京网络安全教育体验基地4月27日在360公司正式启动,体验基地主要面向北京市中小学生,设置了网络 安全发展展示、网络安全知识授课、网络安全技巧互动等三大专门区域,旨在通过卡通动漫展示、游戏体验、情景模拟等多项寓教于乐的体验活动,增强广大市民了 解学习网络安全知识的热情。

据悉,北京市还将挑选出第二批具备场地条件、有特色的网络安全企业发展建设成网络安全体验基地;同时,已有的网络安全教育体验基地也将辐射到周边的学校、科技馆、图书馆等相关场所,便于市民就近体验。

1.4 思科ASA SSL VPN爆权限提升漏洞

日前,国外安全公司Trustwave研究员Jonathan Claudius发现Cisco ASA 5500系列平台存在一个权限提升漏洞,Cisco ASA 5500系列自适应安全设备是用于提供安全和VPN服务的模块化平台,可提供防火墙、IPS、anti-X和VPN服务。

Cisco Adaptive Security Appliance (ASA) Software 8.2(5.48)之前版本、8.3(2.40)之前版本、8.4(7.9)之前版本、8.6(1.13)之前版本、9.0(4.1)之前版本、 9.1(4.3)之前版本在SSL VPN门户连接中的权限验证时,没有正确处理管理会话信息,这可使经过身份验证的远程用户通过建立无客户端SSL VPN会话并输入特制的URL,利用此漏洞获取权限。

攻击者可以利用该漏洞修改防火墙规则,以及删除所有防火墙规则,并可以通过设备截获所有流量。

Jonathan Claudius在美国芝加哥的Thotcon上演示了该漏洞,并表示会将该漏洞的利用exp写到Metasploit模块里面。
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.cisco.com/go/psirt
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140409-asa

1.5 Anonymous前黑客充当FBI线人,带头攻击多国政府网站

据新加坡联合早报网报道,一位知名网络黑客充当美国联邦调查局线人,带头指挥数百次网络袭击,入侵巴西、伊朗、巴基斯坦、叙利亚、土耳其等多国的政府网站。

据《纽约时报》报道,目前并不清楚这些网络袭击是否是由联邦调查局下令发动的,不过法庭文件和相关访问显示,美国政府可能利用黑客来收集海外情报。

报道所指的联邦调查局线人是著名黑客蒙赛格,他原属于名为“Anonymous(匿名者)”的黑客组织,该组织曾向万事达卡、网上支付平台 PayPal以及其他商业与政府目标下手。蒙赛格后来被联邦调查局逮捕,他不但供出“Anonymous”组织的其他成员,也成为联邦调查局的线人。

《纽约时报》引述法庭文件指出,蒙赛格指示同党哈蒙德入侵多个国家的政府网站,窃取信息,这些包含了银行记录与登入细节的信息随后被上载到联邦调查局“监控”的伺服器。

被列入袭击名单的互联网域名超过2000个,其中包括波兰驻英大使馆和伊拉克电力部。

“入侵目标几乎不受限制”

蒙赛格和哈蒙德曾联手攻击美国德州一家情报顾问公司Stratfor的伺服器。因网络袭击而判刑十年的哈蒙德在狱中受访时说:“我们能入侵的目标几乎不受限制。”

根据法庭判决书,蒙赛格也指挥其他黑客窃取叙利亚政府网站的资料。判决书写道:“联邦调查局利用原本意在帮助叙利亚人民对抗阿萨德政权的黑客,使这些黑客在不知情的情况下,为美国政府开路,潜入叙利亚的系统。”

蒙赛格目前下落不明,其宣判日期也一再推迟,令外界猜测他仍继续充当美国政府的线人。

 

2 本周关注病毒

2.1 Trojan.Win32.Generic.16773689(木马病毒)

警惕程度 ★★

该病毒运行后释放隐藏性文件,并添加注册表实现自启动,同时查找中毒电脑内的QQ进程,进而模拟一个QQ登录界面,以获取用户的账号和密码。

2.2 Trojan.Win32.Generic.16359C2E(木马病毒)

警惕程度 ★★

该病毒运行后释放恶意动态库,以规避防火墙检测,同时释放一个dll文件,实现自我保护,最终用户在打开浏览器的时会跳转到黑客指定网站,而黑客会诱导用户下载并运行各种恶意软件、外挂等。

2.3 Trojan.Win32.Generic.1589F1ED(‘Generic’木马病毒)

警惕程度 ★★★★

病毒运行后自我复制,并创建系统账号,修改注册表,添加镜像劫持,强制关闭安全软件,后台连接黑客指定网址,下载大量病毒至电脑。用户电脑一旦中毒,将面临各类网络账密被盗、电脑沦为黑客“肉鸡”等风险。

 

3 安全漏洞公告

3.1 PHP FPM 'php-fpm.conf.in'本地权限提升漏洞

PHP FPM 'php-fpm.conf.in'本地权限提升漏洞

发布时间:

2014-04-30

漏洞编号:

BUGTRAQ ID: 67118
CVE(CAN) ID: CVE-2014-0185

漏洞描述:

PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。PHP 5.4.28之前版本在php-fpm.conf.in的实现上存在安全漏洞,本地攻击者可利用此漏洞获取提升的权限并执行任意代码。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.php.net/downloads.php

3.2 Apache Struts ClassLoader篡改安全措施绕过漏洞

Apache Struts ClassLoader篡改安全措施绕过漏洞

发布时间:

2014-04-30

漏洞编号:

BUGTRAQ ID: 67121
CVE(CAN) ID: CVE-2014-0114

漏洞描述:

Struts是用于构建Web应用的开放源码架构。
Struts 1所有版本都存在ClassLoader篡改漏洞,该漏洞类似于刚刚在Struts 2内修复的漏洞 (CVE-2014-0112, CVE-2014-0094)。攻击者可利用此漏洞绕过某些安全限制并执行未授权操作。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://struts.apache.org/download.cgi#struts23151

3.3 Apache Struts 'getClass()'方法安全限制绕过漏洞

Apache Struts 'getClass()'方法安全限制绕过漏洞

发布时间:

2014-04-29

漏洞编号:

BUGTRAQ ID: 67081
CVE(CAN) ID: CVE-2014-0113

漏洞描述:

Struts2 是第二代基于Model-View-Controller (MVC)模型的java企业级web应用框架。
Apache Struts 2.0.0 - 2.3.16.1内引入的排除参数模式无法有效阻止对getClass()方法的访问,攻击者通过特制的请求,利用此漏洞可绕过该模式。另外 CookieInterceptor配置为接受所有cookie后也存在此类安全漏洞。成功利用后可使攻击者绕过某些安全限制并执行未授权操作。

安全建议:

Apache Group已经为此发布了一个安全公告(S2-021)以及相应补丁:
S2-021:S2-021
链接:https://cwiki.apache.org/confluence/display/WW/S2-021
补丁下载:http://struts.apache.org/download.cgi#struts23162

3.4 Websense多个产品Settings模块凭证泄露漏洞

Websense多个产品Settings模块凭证泄露漏洞

发布时间:

2014-04-25

漏洞编号:

CVE(CAN) ID: CVE-2014-0347

漏洞描述:

Websense是全球领先的整合Web、信息和数据安全防护解决方案提供商。
多个Websense产品处理Settings模块的Log Database或User Directories内表单中的密码哈希时出现错误,这可导致泄漏另一个用户的凭证。受影响产品包括:
* Websense TRITON Unified Security Center 7.7.3 Hotfix 31之前版本
* Web Security Gateway Anywhere 7.7.3 Hotfix 31之前版本
* Web Security Gateway 7.7.3 Hotfix 31之前版本
* Websense Web Security 7.7.3 Hotfix 31之前版本
* Websense Web Filter 7.7.3 Hotfix 31之前版本
* Windows/Websense V-Series设备

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:https://www.websense.com/content/mywebsense-hotfixes.aspx?patchid=894&prodidx=20&osidx=0&intidx=0&versionidx=0
参考:http://www.kb.cert.org/vuls/id/568252

3.5 Linux Kernel网络重配置漏洞

Linux Kernel网络重配置漏洞

发布时间:

2014-04-18

漏洞编号:

BUGTRAQ ID: 67034
CVE(CAN) ID: CVE-2014-0181

漏洞描述:

Linux Kernel是一款开源的操作系统。
Linux Kernel存在安全漏洞,在已连接的netlink套接字上调用write(2)可重配置linux上的网络。
攻击者把套接字作为stdout或stderr传递给setuid程序,可重配置网络,发送netlink消息,造成拒绝服务攻击。

安全建议:

目前没有详细解决方案提供:
http://www.kernel.org