当前位置: 安全纵横 > 安全公告

一周安全动态(2014年05月01日-2014年05月08日)

来源:安恒信息 日期:2014-05

2014年05月第一周(05.01-05.08)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 震惊!黑客竟可通过数字录像机等联网设备开采比特币

最近,系统网络安全协会(SANS institute)的研究人员们表示,有事实证明,诸如数字录像机(DVR)在内的联网设备,竟然也有被感染恶意软件,并被黑客用于开采特比特。最让研究人员震惊的是,攻击者竟然使用了一系列的Unix命令,向DVR上传了一个Wget包(包含了通过HTTP/HTTPS/FTP等用于检索文件的一系列软件)。

在该软件就位之后,攻击者就能够轻而易举地连接到一台服务器,然后顺利地下载比特币挖矿程序。显然,出问题的DVR只是一系列脆弱的联网设备中的一小部分。

而为了研究这个特殊的案例,系统网络安全协会(SANS Institute)的首席技术官Johannes Ullrich,还特地在eBay买了一台EPCOM Hikvision S04 DVR,将之恢复到了出厂默认设置并联网,以观察自己是否会中招。

结果就是,在短短的1天时间里,就有13个来自不同IP的攻击者对该机进行了接触,其中接近一半更是能够使用默认的用户名和密码进行登录。但最令他印象深刻的,却是其中一名攻击者——因为这家伙竟然给DVR安装上了比特币挖矿软件!

Ullrich通过封包嗅探软件进行了观察,并发现自己这台DVR正试图连接到一台挖矿服务器——显然,为了达成这个肮脏的目的,攻击者需要攻破大量的机器(建立僵尸网络)。

但正如我们此前所指出,除非使用专用的比特币采矿硬件,任何其它设备的开采效率都是低得令人发指的!但如果有成千上万台机器在低效地工作着,这种效益和他所浪费的能源一样惊人。

1.2 OAuth与OpenID登录工具曝出重大漏洞

几周前,OpenSSL网站加密工具曝出的“Heartbleed”漏洞,已经将整个互联网安全领域震翻了一回。尽管绝大多数网站都在第一时间修复了它,但是一个新的问题又浮出了水面。一名安全研究人员发现了两款登录系统上的重大漏洞,而想要修复它们,却比Heartbleed要困难得多。

据Cnet报道,新加坡南洋理工大学一位名叫Wang Jing的博士生,发现了OAuth和OpenID开源登录工具的“隐蔽重定向”漏洞(Covert Redirect)。

这可导致攻击者创建一个使用真实站点地址的弹出式登录窗口——而不是使用一个假的域名——以引诱上网者输入他们的个人信息。

鉴于OAuth和OpenID被广泛用于各大公司——如微软、Facebook、Google、以及LinkedIn——Wang表示他已经向这些公司已经了汇报。

Wang声称,微软已经给出了答复,调查并证实该问题出在第三方系统,而不是该公司的自有站点。

Facebook也表示,“短期内仍无法完成完成这两个问题的修复工作,只得迫使每个应用程序平台采用白名单”。

至于Google,预计该公司会追踪OpenID的问题;而LinkedIn则声称它将很快在博客中说明这一问题。

讽刺的是,微软、Google、以及其它科技公司,在早几天才宣布了“资助开源安全系统研究,以避免又一个Heartbleed危机”的消息。

1.3 至少还有30万台服务器受“心脏流血”BUG侵扰

“心脏流血”漏洞被曝光已经一个多月,但是根据安全研究院Robert David Graham的调查数据显示依然有超过30万台设备存在这个BUG。Graham近日对全球超过150万台服务器进行了扫描,结果发现还有318239台服务器能够通过OpenSSL的“Heartbeat”功能来获取数据,而实际上没有修复这个的BUG的服务器数量肯定更多。

在“Heartbleed”漏洞被曝光之后包括谷歌、Facebook、YouTube、Pinterest、维基百科、Twitter、LinkedIn和Bing等大型公司纷纷紧急对该漏洞进行了修复。

从根本上讲,Heartbleed利用了网页安全软件OpenSSL的漏洞,可以让黑客轻松盗取用户计算机中储存的信息,包括用户名,密码或者其他敏感数 据。此外,黑客还可以借助Heartbleed漏洞来盗取服务器认证密锁,从而复制一个合法服务器,骗取用户信任,使其放弃自己的用户名和密码。

1.4 输入法应用Swype被质疑跟踪用户位置信息

日前,国外安全公司Trustwave研究员Jonathan Claudius发现Cisco ASA 5500系列平台存在一个权限提升漏洞,Cisco ASA 5500系列自适应安全设备是用于提供安全和VPN服务的模块化平台,可提供防火墙、IPS、anti-X和VPN服务。

Swype是一项专为触控虚拟全键盘设计的输入法技术,用户通过手指在触屏键盘上的字母间进行滑动来完成输入,具有输入速度快、使用简单等特点。目前海外市场的一些智能手机在出厂时往往都内置这种输入法。

作为Google Play应用市场上第二流行的付费键盘应用,Swype被发现每天发出了4000次位置数据请求,或平均每分钟2.5次。开发者声称,此举是为了帮助实现“方言”,但无法解释为什么要如此频繁的发送位置数据请求,也没有解释为什么在“方言”功能关闭后仍然发出请求。第三方ROM如Cyanogenmod能屏蔽此类跟踪行为,但大多数用户甚至不知道他们被跟踪。

1.5 OpenSSH不再必须要依赖于OpenSSL

OpenBSD子项目OpenSSH的开发者宣布OpenSSH的编译可以选择不再链接OpenSSL加密库——“mak OPENSSL=no”。OpenSSH是SSH协议的开源替代,默默无名的OpenSSL开源加密库最近因为heartbleed漏洞几乎变得无人不 知,漏洞的影响遍及整个互联网。

OpenBSD的开发者为此而创建了OpenSSL的分支LibreSSL,开发者透露未来用户编译时可选择链接到 LibreSSL库。

 

2 本周关注病毒

2.1 Trojan.Win32.VBCode.byy(木马病毒)

警惕程度 ★★

病毒运行后没有界面,但后台自我复制到系统路径,修改注册表为隐藏文件,并添加自启动项,以隐藏界面的方式启动IE浏览器,同时在收藏夹内添加黑客指定的假冒购物网站,实现开机自动访问这一地址,从而盗取用户的隐私信息。

2.2 Trojan.Win32.Generic.1589F1ED(木马病毒)

警惕程度 ★★

病毒运行后自我复制,并创建系统账号,修改注册表,添加镜像劫持,强制关闭安全软件,后台连接黑客指定网址,下载大量病毒至电脑。用户电脑一旦中毒,将面临各类网络账密被盗、电脑沦为黑客“肉鸡”等风险。

2.3 Trojan.Win32.Generic.16A4B20A(‘Generic’木马病毒)

警惕程度 ★★★★

病毒运行后查找并结束杀毒软件进程,并查找并结束DragonNest.exe、Client.exe等进程,造成游戏掉线的假象,一旦用户重新登录游戏病毒将盗取游戏账号密码,发送至黑客指定邮箱。电脑一旦中毒,用户将面临游戏账号被盗等风险。

 

3 安全漏洞公告

3.1 Xen 'HVMOP_set_mem_type'操作远程拒绝服务漏

Xen 'HVMOP_set_mem_type'操作远程拒绝服务漏

发布时间:

2014-05-08

漏洞编号:

BUGTRAQ ID: 67113
CVE ID: CVE-2014-3124

漏洞描述:

Xen是一个开源虚拟机监视器,由剑桥大学开发。
Xen 4.1-4.4.x版本的HVMOP_set_mem_type控件在实现上存在安全漏洞,本地客户端HVM管理员利用另外一个qemu-dm漏洞触发未指定内存页类型的无效页面表转换,然后利用此漏洞可造成拒绝服务或执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://xenbits.xen.org/xsa/xsa92.patch
http://xenbits.xen.org/xsa/xsa92-4.1.patch
http://xenbits.xen.org/xsa/xsa92-4.2.patch
http://xenbits.xen.org/xsa/advisory-92.html

3.2 Nagios Remote Plugin Executor (NRPE) nrpe.c不完整黑名单漏洞

Nagios Remote Plugin Executor (NRPE) nrpe.c不完整黑名单漏洞

发布时间:

2014-05-07

漏洞编号:

CVE ID: CVE-2014-2913

漏洞描述:

Nagios是开源计算机系统监控、网络监控和架构监控软件。
Nagios Remote Plugin Executor (NRPE) 2.15及之前版本的nrpe.c存在不完整黑名单漏洞,这可使远程攻击者通过libexec/check_nrpe的-a选项中的新行字符,利用此漏洞执行任意命令。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://www.nagios.org/
参考:
http://lists.opensuse.org/opensuse-updates/2014-05/msg00014.html
http://lists.opensuse.org/opensuse-updates/2014-05/msg00005.html
http://seclists.org/fulldisclosure/2014/Apr/242

3.3 Apache CXF远程拒绝服务漏洞

Apache CXF远程拒绝服务漏洞

发布时间:

2014-05-06

漏洞编号:

BUGTRAQ ID: 67232
CVE ID: CVE-2014-0110

漏洞描述:

Apache CXF是一个开源服务框架,用于使用JAX-WS、JAX-RS等前端编程API编译和开发服务。
Apache CXF 2.6.14之前版本及2.7.11版本处理或解析SOAP消息时出错,这可使服务器读取剩余数据,并保存到临时文件内,通过动态创建数据,攻击者可造成整个/tmp目录占满,导致拒绝服务。

安全建议:

Apache Group已经为此发布了一个安全公告(CVE-2014-0109)以及相应补丁:
CVE-2014-0109:HTML content posted to SOAP endpoint could cause OOM errors
链接:http://cxf.apache.org/security-advisories.data/CVE-2014-0109.txt.asc
补丁下载:https://git-wip-us.apache.org/repos/asf?p=cxf.git;a=commit;h=f8ed98e684c1a67a77ae8726db05a04a4978a445

3.4 Apache Struts 'CookieInterceptor'安全限制绕过漏洞

Apache Struts 'CookieInterceptor'安全限制绕过漏洞

发布时间:

2014-05-06

漏洞编号:

BUGTRAQ ID: 67218
CVE ID: CVE-2014-0116

漏洞描述:

Apache Struts是用于构建Web应用的开放源码架构。
Apache Struts 2.0.0-2.3.16.2版本没有正确限制对"class"参数的访问权,该参数通过CookieInterceptor直接映射到 "getClass()"方法。当"*"用来配置cookiesName参数时,攻击者可利用此漏洞篡改应用服务器使用的ClassLoader,然后更 改会话或请求的状态。该漏洞源于对CVE-2014-0113的不完整修复。

安全建议:

Apache Group已经为此发布了一个安全公告(s2-022)以及相应补丁:
s2-022:s2-022
链接:
http://struts.apache.org/release/2.3.x/docs/s2-022.html
补丁下载:
http://struts.apache.org/download.cgi#struts23163

3.5 Citrix NetScaler Gateway跨站脚本漏洞

Citrix NetScaler Gateway跨站脚本漏洞

发布时间:

2014-05-06

漏洞编号:

BUGTRAQ ID: 67177
CVE(CAN) ID: CVE-2014-1899

漏洞描述:

Citrix Access Gateway是一款通用的SSL VPN设备。
Citrix NetScaler Gateway 10.1.123.9、9.3.66.5之前版本在实现上存在跨站脚本漏洞,远程攻击者可利用此漏洞在受影响站点上下文中执行任意代码。

安全建议:

Citrix已经为此发布了一个安全公告(CTX140291)以及相应补丁:
CTX140291:Cross-Site Scripting Vulnerability in Citrix NetScaler Gateway, formerly Citrix Access Gateway Enterprise Edition
链接:https://support.citrix.com/article/CTX140291
补丁下载:
https://www.citrix.com/downloads/netscaler-gateway/product-software.html