当前位置: 安全纵横 > 安全公告

一周安全动态(2014年05月08日-2014年05月15日)

来源:安恒信息 日期:2014-05

2014年05月第二周(05.08-05.15)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 NSA在销往海外路由器中植后门

去年8月份前美国中央情报局(CIA)特工斯诺登(Edward Snowden)披露的“棱镜”(PRISM)监视丑闻事件引发了全球对个人隐私的强烈关注,根据披露的文件显示在国家安全局(NSA)内部有个名为“获取特定情报行动办公室”(TAO)的绝密部门,主要通过渗透、监听等方式获取最佳、最可靠的情报。今天该绝密部门的两张图片在网络上流出,图片显示TAO 工程团队正对路由器等网络硬件加装监听设备。

这两张图片来自于2010年6月由NSA的访问和威胁研发部门的内部通讯上,在该内部通讯中详细讲述了TAO部门是如何在路由器等相关网络设备上嵌入监听装置的。其中硬件包括路由器、服务器和相关的网络设备,传输的数据包将会被截取然后监听。

负责报道“棱镜门”的《卫报》记者格伦·格林沃尔德(Glenn Greenwald)在他的新书中透露,美国国家安全局(以下简称“NSA”)在美国供应商提供给国外客户的路由器和其他网络设备中设置了“后门”。

格林沃尔德根据NSA前雇员爱德华·斯诺登(Edward Snowden)提供的文件撰写了大量相关报道。“路由器、服务器和其他网络设备从美国出口并交付给国外客户前,NSA经常收到或拦截这些设备。”格林沃 尔德在书中写到,“该机构之后在设备中植入后门监视工具,然后用厂家的密封条重新包装设备,再继续运输。NSA因此得以访问整个网络及其所有用户。”

但没有迹象表明美国企业事先知晓这一问题。

全球第一大网络设备制造商思科发言人表示,《卫报》周一刊登的该书节选并未直接提到该公司的名字。“我们之前曾说过,思科不与任何政府合作来降低我们产品的入侵难度。”他说,“当然,我们也很关注任何可能破坏我们产品声誉和客户网络的问题。”

思科最大竞争对手Juniper Networks拒绝发表评论。

NSA发言人指出,该机构和其他美国政府机构高度依赖美国科技行业提供的产品,称之为目前最安全的产品。“考虑到我们自身就使用同样的技术,美国政府同样很关注这些产品的安全问题。虽然我们不能就具体的情报搜集活动发表评论,但NSA对任何技术的兴趣都源于外国情报目标对该技术的使用。美国政府执行情报任务时会 确保使用相同技术的无辜用户不受影响。”

格林沃尔德指出,美国政府多年来一直警告美国企业不要购买华为等外国供应商的网络设备,担心这些产品中可能包含后门。但真正从事这种活动的反而是美国自己。

格林沃尔德还在书中写到,除了试图阻止间谍活动外,美国的“另外一个重要动机似乎是阻止中国设备取代美国产品,这将限制NSA自身的触角。”

华为的设备在美国政府机构或企业中的使用率很低,但在其他地方很受欢迎。

华为驻美国外部事务副总裁比尔·普卢默(Bill Plummer)表示,该公司并不了解美国和其他情报机构的动机。华为采取了动态而复杂的安全技术来低于潜在威胁,并且在170多个市场证明了自身的实力。“华为将自身的产品安全视为第一要务。”他说。


1.2 安全专家演示将智能电视变成监控工具

NCC Group的安全专家演示了如何将智能电视变成监听工具。 智能电视内置了扬声器和存储器,可以被恶意程序利用记录会话。间谍程序可通过物理接触或恶意应用下载安装到电视机上。NCC Group是通过物理接触方式安装间谍软件,该公司的安全专家认为恶意应用可伪装成合法应用通过设备制造商的应用商店安装到电视机上,智能电视支持自动更新,因此恶意应用可释出恶意更新将合法应用变成间谍软件。

NCC Group演示用内部存储器记录30秒钟的会话,会话记录时间可以更长,30秒钟只是用于演示目的。更先进的恶意攻击可以在本地储存长时间的会话记录,然后再定时上传数据,或者也直接将监听的数据流上传到一台服务器,绕过本地储存。前NSA合同工Edward Snowden在香港期间见律师时都要求将手机放到冰箱里以防止监听。新的研究暗示他可能还需要担心附近的电视。


1.3 美核航母系统管理员入侵政府电脑 泄露绝密信息

据美国《纽约每日新闻》报道,来自美国弗吉尼亚州的尼古拉斯·保罗·奈特(Nicholas Paul Knight)是美国核航母“杜鲁门”号上的系统管理员,但他被控领导名为Digi7al的黑客组织入侵30多台政府电脑,并将获取的秘密信息在推特上曝光。奈特现年27岁,化名“核子黑帽”,他被控领导黑客组织渗透30多个公共机构和政府部门的电脑系统。他本人甚至因为无聊,曾亲自入侵过美国海军的智能网络移动数据库。奈特的一名同谋表示,该组织出于政治目的公布窃取到的信息,但有时候也因为有趣而曝光数据。

美国助理检察官赖恩·桑德斯(Ryan Souders)说,奈特等人还公布了许多个人的私人信息,以令受害者尴尬。美国海军智能网络移动数据库中储存了22万人的个人信息,据说有20人的信息被Digi7al组织曝光,包括全名、出生日期、密码提示、孩子姓名等。

据悉,美国海军调查局2012年6月份发现有人入侵网络系统,并确认奈特等为主要嫌疑人。

调查人员还确认了一批受害的公共组织,包括哈佛大学、国会图书馆、美国国家地理空间情报局以及世卫组织。他们立刻向这些机构提供预防身份盗窃监控服务,同时拨款评估损失情况。储存美国海军记录的服务器位于俄克拉荷马州的塔尔萨(Tulsa),为此奈特等人在此受审。

据悉,奈特等被控合谋劫持电脑系统、窃取身份、妨碍司法公正、损坏被保护电脑等罪名。如果罪名成立,他们最多可能被判5年监禁和25万美元(约合人民币 156万元)罚款。他们还要支付受害者的损失赔偿。桑德斯说:“保护我们的军队不受网络罪犯侵犯非常重要。这些网络罪犯在暗处活动,以为能够逃脱法律责 任,这是妄想。”目前,此案还在调查中。

 


1.4 美国安局新掌门坚称监听合法 对斯诺登保持强硬

美国国家安全局新任局长迈克尔·罗杰斯12日首次面对媒体回答问题。尽管罗杰斯承诺增加这一情报机构的透明度,但他坚称国安局的监听项目合法,同时对前国安局承包商雇员爱德华·斯诺登保持强硬态度。

认为监听无需调整

美国助理检察官赖恩·桑德斯(Ryan Souders)说,奈特等人还公布了许多个人的私人信息,以令受害者尴尬。美国海军智能网络移动数据库中储存了22万人的个人信息,据说有20人的信息被Digi7al组织曝光,包括全名、出生日期、密码提示、孩子姓名等。

据悉,美国海军调查局2012年6月份发现有人入侵网络系统,并确认奈特等为主要嫌疑人。

调查人员还确认了一批受害的公共组织,包括哈佛大学、国会图书馆、美国国家地理空间情报局以及世卫组织。他们立刻向这些机构提供预防身份盗窃监控服务,同时拨款评估损失情况。储存美国海军记录的服务器位于俄克拉荷马州的塔尔萨(Tulsa),为此奈特等人在此受审。

据悉,奈特等被控合谋劫持电脑系统、窃取身份、妨碍司法公正、损坏被保护电脑等罪名。如果罪名成立,他们最多可能被判5年监禁和25万美元(约合人民币 156万元)罚款。他们还要支付受害者的损失赔偿。桑德斯说:“保护我们的军队不受网络罪犯侵犯非常重要。这些网络罪犯在暗处活动,以为能够逃脱法律责 任,这是妄想。”目前,此案还在调查中。

希望下属工作继续

罗杰斯说,一系列官方审查项目显示,多数国安局项目没有违反美国相关法律,因此,这些机密曝光后,所引发的大量批评使不少国安局工作人员感到“困惑”。

根据罗杰斯的描述,他上任后告诉下属继续像以前那样工作;但他同时提醒手下,对于不恰当之处,应该首先在内部提出。

斯诺登先前称,之所以曝光国安局机密,是因为这些项目侵犯个人隐私。罗杰斯不认可这一说法。

“斯诺登先生从美国政府和国家安全部门窃取了大量非常机密的信息,就他涉及国安局和隐私问题的主要论点,其中一小部分(信息)与之有关,绝大部分与那些观点没有任何关系。”

将修复与外国关系

罗杰斯称,斯诺登收集的信息涉及“国安局针对传统军事目标、国家关切议题的(情报搜集)能力”,但与个人隐私、国安局涉及美国公民的行动“毫无关系”。

按他的说法,在监听项目遭到曝光后,一些国安局的情报收集对象已经改变了自身的行为模式。

罗杰斯承认,斯诺登所曝光的机密影响了一些企业、外国政府与美国情报机构之间的信任与合作,自己将致力于修复这种关系。

罗杰斯说,他打算在首次出访中访问德国,部分原因在于,这一美国的传统盟友强烈反对国安局监听德国和其他国家的领导人。

“我想见我的德国合作伙伴,与他们讨论,让他们确信,作为一个新人,我了解他们在想什么。”罗杰斯说。

“我不希望过去9个月的事件导致这样一个局面:我们之间的桥梁被毁,以至于我们无法对话与合作,”他说,“我希望我们至少能够相互了解。”


1.5 越南媒体称中越黑客展开网络战

“在越南与中国关于西沙之争越演越烈之际,两国黑客也在网络上展开相互攻击”。越南媒体连日来炒作越南黑客为抗议中方在南海西沙展开作业,攻击了多个中国 政府网站,而后中国黑客则入侵数百个越南网站作为回击。中国网络空间战略研究所所长秦安13日告诉记者,越南媒体的炒作显然是有意为之,其最终目的是在本国网民面前刻画出“越南处于弱势地位”的形象,从而获得舆论的同情。

 


2 本周关注病毒

2.1 Worm.Win32.VBCode.et(蠕虫病毒)

警惕程度 ★★

该病毒运行后自我复制到各个磁盘根目录,创建自动运行文件,当用户点击当地磁盘运行时,自动运行当前磁盘跟目录的病毒文件,并遍历其他网络共享磁盘,复制自己到可写入的磁盘中,同时连接黑客指定服务器,上传中毒电脑内信息至服务器中,使用户电脑变成黑客肉鸡。

2.2 Backdoor.Win32.Undef.tif(后门病毒)

警惕程度 ★★

该病毒运行后躲避安全软件查杀,实现开机启动,并将自身放到字体文件夹中隐藏起来。进而获得用户电脑的计算机名、IP地址、安装的杀毒软件、防火墙等信息发送到黑客指定的服务器上,最终下载木马病毒、监视屏幕摄像头、查看电脑中的文件等,使用户电脑变成黑客肉鸡。

2.3 Backdoor.Win32.Undef.tie(‘Undef’后门病毒)

警惕程度 ★★★★

病毒通过创建注册表键值绕过防火墙,并入侵电脑,后台连接黑客指定服务器,并通过远程指令监控用户电脑,收集机键盘记录、存储电脑屏幕截图、删除硬盘文件、盗取用户信息。电脑一旦中毒,用户将面临隐私信息泄露、网银账密被盗等风险。

 


3 安全漏洞公告

3.1 多个F5 BIG-IP产品远程命令注入漏洞

多个F5 BIG-IP产品远程命令注入漏洞

发布时间:

2014-05-09

漏洞编号:

BUGTRAQ  ID: 67278
CVE ID: CVE-2014-2928

漏洞描述:

F5 BIG-IP产品可为企业提供集成的应用交付服务,如加速、安全、访问控制与高可用性。

多个F5 BIG-IP产品没有有效过滤通过iControl连接提供的数据,这可使具有有效管理员账户的攻击者通过访问iControl,利用此漏洞在受影响系统上执行任意命令。

安全建议:

F5已经为此发布了一个安全公告(SOL15220)以及相应补丁:
SOL15220:iControl vulnerability CVE-2014-2928
链接:
http://support.f5.com/kb/en-us/solutions/public/15000/200/sol15220.html

3.2 OAuth及OpenID隐蔽重定向漏洞

OAuth及OpenID隐蔽重定向漏洞

发布时间:

2014-05-09

漏洞编号:

BUGTRAQ  ID: 67313
CVE ID: CVE-2014-2603

漏洞描述:

OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。OpenID 是一个以用户为中心的数字身份识别框架,它具有开放、分散性。OAuth和OpenID协议目前被广泛用于各大公司——如微软、Facebook、 Google、Yahoo、VK、PayPal、GitHub、LinkedIn、QQ、Weibo等。

OAUTH及OpenID在实现上存在隐蔽重定向漏洞,即攻击者在受影响站点创建一个弹出式登录窗口,然后诱使用户登录,窃取个人数据,将用户重定向到攻击者控制的网站。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://oauth.net/2/


3.3 HP H系列光纤信道交换机远程信息泄露漏洞

HP H系列光纤信道交换机远程信息泄露漏洞

发布时间:

2014-05-12

漏洞编号:

BUGTRAQ ID: 67081
CVE ID: CVE-2014-0113

漏洞描述:

惠普(HP)是面向个人用户、大中小型企业和研究机构的全球技术解决方案提供商。惠普(HP)提供的产品涵盖了IT基础设施,个人计算及接入设备,全球服务,面向个人消费者、大中小型企业的打印和成像等领域。
HP 8/20q交换机, SN6000交换机, 8Gb Simple SAN Connection Kit 8.0.14.08.00之前版本存在安全漏洞,成功利用后可使攻击者获取敏感信息。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

https://h20564.www2.hp.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c04277407

3.4 IBM WebSphere Application Server任意文件泄露漏洞

IBM WebSphere Application Server任意文件泄露漏洞

发布时间:

2014-05-13

漏洞编号:

BUGTRAQ  ID: 67329
CVE ID: CVE-2014-0823

漏洞描述:

WebSphere是IBM的集成软件平台。它包含了编写、运行和监视全天候的工业强度的随需应变Web应用程序和跨平台、跨产品解决方案所需要的整个中间件基础设施,如服务器、服务和工具。

IBM WebSphere Application Server 8.0.0.9、8.5.5.2之前版本没有正确过滤用户提供的输入,在实现上存在文件泄露漏洞,攻击者可利用此漏洞下载Web服务器进程内的任意文件。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www-01.ibm.com/support/docview.wss?uid=swg21669554
http://www-01.ibm.com/support/docview.wss?uid=swg1PI05324
http://xforce.iss.net/xforce/xfdb/90498

3.5 SOAPpy XML外部实体注入和拒绝服务漏洞

SOAPpy XML外部实体注入和拒绝服务漏洞

发布时间:

2014-05-13

漏洞编号:

BUGTRAQ  ID: 67216
CVE ID: CVE-2014-3242,CVE-2014-3243

漏洞描述:

SOAPpy是构建SOAP客户端和服务器的工具。
SOAPpy 0.12.5及其他版本没有正确检查实体扩展中的递归,这可使远程攻击者通过特制的SOAP请求造成拒绝服务,或者通过包含关联实体参考的外部实体声明的SOAP请求,读取任意文件。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

https://pypi.python.org/pypi/SOAPpy