当前位置: 安全纵横 > 安全公告

一周安全动态(2014年05月15日-2014年05月22日)

来源:安恒信息 日期:2014-05

2014年05月第三周(05.15-05.22)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 全球打击97名黑客被捕 利用恶意软件感染全球50万台电脑

近日,执法部门全球联合打击,网络犯罪团体被捕,包括利用恶意软件Blackshades的买家,卖家以及利用软件窃取资料的黑客。共计十六个国家97名黑客被捕。而据FBI消息,该软件已感染近50万台电脑,黑客利用其进行窃取用户个人资料,财务信息以及敲诈勒索。

Blackshades是一款远程管理工具,可以使黑客通过远程控制受害者电脑。一旦控制,功能十分强大,多为恶意目的的功能:比方向服务器发起DDoS攻击,控制网络摄像头,登陆,屏蔽或重定向网址,下载更多恶意软件等。甚至可以向受害者电脑要求赎金归还管理权。

纽约南区联邦检察局已经表示,目前三名Blackshades主要负责人已被扣押,包括其拥有者及负责人Alex Yucel,曾在2013年12月份被多项指控。据FBI,该组织在2010年9月至2014年4月已非法获利35万美元。

1.2 卫星已成为黑客攻击的目标

有安全公司近期对通信卫星的弱点进行了评估。他们在报告中指出,不法分子可以滥用任何设备,设备的弱点包括后门、硬编码验证、不正式的或/和不安全的协议、脆弱的加密算法。除了设计缺陷外,还公布了设备中明显存在安全风险的功能。
该公司首先下载了公开可获得的卫星设备固件升级程序,然后进行逆向工程和分析。他们分析的系统包括(或/和适用于)海上作业、个人通信、 SCADA(监测控制和数据采集)、话音、数据、航空和军事用途。许多设备似乎仅采取了少量或没有根本采取安全措施,或是安全措施强度过低。报告中除了列出了他们发现的安全弱点外,同时还列出了他们测试过的厂商和产品名单。
解决卫星上的问题并不容易,并且非常耗时。首先,大多数卫星可能带有非常容易被找到的弱点。其次,许多卫星上的设计缺陷无法被轻易解决。通常如果没有人投诉这些缺陷或是以前没有人对这些缺陷发起攻击,那么厂商根本不会考虑解决这些缺陷。

在这些问题当中,除了OpenSSL Heartbleed弱点外,许多卫星设备还缺乏自动升级机制,即便厂商发布了新的固件升级程序,这些弱点还是会永久性的伴随着它们。这可以说是一个安全漏洞。没有内置的自动升级功能,许多用户将不知道他们是否需要升级或是如何升级。

我们需要一种对数字设备进行定期自动升级的全新机制。对于所有的新设备来说,这种机制该当具有最高优先权。否则,我们会不断地发现一些永远都无法解决的巨大安全弱点。

1.3 NSA海外电话窃听项目SOMALGET曝光

NSA监控丑闻继续发酵。现在,由斯诺登提供的文件又曝出了一项名为SOMALGET的窃听项目。根据NSA一份内部备忘录显示,其国际犯罪和毒品部门专门利用该项目来追捕某些毒贩。文件指出,SOMALGET已经在巴哈马群岛及另外一个国家运行。而另外一个国家的名字并未得到透露。

文件显示,只要在NSA认定为是正确的情况下,他们就能利用SOMALGET项目将截获的50亿条电话记录储存1个月的时间。SOMALGET是 MYSTIC的子项目。MYSTIC除了收集SOMALGET项目中的信息之外还会收集元数据。目前,MYSTIC还活跃于墨西哥、肯尼亚、菲律宾。

对此NSA回应称:“NSA在国外的情报收集项目都是随机的,而且绝非没有任何的限制。”

1.4 调查显示 全球加密互联网访问流量不断飙升

日前,外媒在加拿大宽带管理公司Sandvine最新报告中发现,自斯诺登曝光了NSA监控项目之后,全球的加密互联网访问流量不断飙升。报告显示,北美、欧洲、拉丁美洲的加密互联网访问流量同比上一年增长了3倍。 其中欧洲地区的变化最为明显。

据悉,欧洲地区用户在高峰期的加密互联网访问流量从此前的1.47%增长到了6.10%。至于北美地区,高峰期加密互联网访问流量也出现了大幅的上涨,从原先的2.29%增长到了3.80%。


欧洲地区高峰期访问量前10的表格


北美地区高峰期访问量前10的表格

其实,加密互联网访问流量的上涨是一个全球现象。很显然,这样的现象可以直接联系到斯诺登曝光的监控项目上。现在,越来越多的人使用VPN访问网络或登录匿名网站。另外,谷歌及其他网站服务公司都开始在其平台上默认使用SSL。
较为有趣的是,在斯诺登报告这些机密信息之前,越来越多的BitTorrent用户也开始隐藏掉自己的下载足迹以此来保护个人的隐私。调查显示,70%的“海盗湾”用户都使用VNP或代理下载内容。

不管怎么说,互联网用户开始越来越重视他们在网络上的隐私问题。

1.5 聚焦后XP时代安全,CNNVD特别技术论坛成功召开

2014年5月21日,由中国信息安全测评中心主办的CNNVD(中国国家信息安全漏洞库)特别技术论坛(CSEF)在北京隆重举行。本届论坛围绕“后XP时代”Windows系统的安全问题展开技术研讨,邀请吴石、聂森、MJ(郑文彬)、PJF(潘剑锋)、马劲松、TK(于旸)、江海客(肖新光)、KK(康凯)和叶超等业内知名信息安全专家进行演讲。参会代表有政府部门、重要行业和科研机构等单位和国内信息安全从业人员、信息安全爱好者等500余人。

今年4月8日,微软停止对XP操作系统的升级和服务支持,使得数以亿计的XP用户面临安全裸奔的处境,系统漏洞无法得到官方修复、基于XP的业务系统短时间缺少替代方案,给用户信息和财产带来极大威胁,这一问题引起了相关主管部门、行业和产业界的高度关注,围绕“后XP时代”安全问题的讨论此起彼伏。对国内信息安全行业而言,这既是一次重大挑战,也是一次难得的机遇。国内有关企业积极跟进,推出了针对性的专业服务和解决方案,国家相关部门也采取了必要措施深入研讨、全面论证,吸引了社会各界的广泛关注。

中国信息安全测评中心江常青副主任、工业和信息化部软件服务业司软件处孙文龙处长在当天的会议上进行了致辞。作为论坛主办单位代表,中国信息安全测评中心副总工程师郭涛研究员围绕XP停服事件的影响以及CNNVD的应对措施作了主题演讲。Keen Team技术负责人吴石、绿盟科技高级研究员于旸、奇虎360知名Windows安全专家郑文彬、安天实验室首席架构师肖新光等信息安全专家相继进行了精彩的演讲,围绕Windows XP系统安全、漏洞分析及补丁研制、分发与验证等问题分享了各自的研究成果,引发与会人员的积极讨论和热烈反响。

本届论坛继续秉承近年来CNNVD特别技术论坛(CSEF)“承担国家使命、汇聚社会力量、专注网络信息安全、铸造和平网络空间”的主旨,为国内信息安全产学研及相关领域的专业人士提供一个深入沟通和探讨的平台。通过讨论信息安全最前沿的理论、方法、技术,分享最新的研究进展和成果,展示成功而典型的产业应用和实践,为我国信息安全事业的创新发展和国家信息安全保障工作贡献智慧和力量。

 

2 本周关注病毒

2.1 Worm.Win32.VobfusEx.b(蠕虫病毒)

警惕程度 ★★

该病毒运行后修改注册表,实现开机自启动,并复制到各个磁盘的根目录下, 同时连接一个远程地址,最终达到病毒自身升级、收集用户信息、接受黑客远程指令、上传中毒电脑数据等目的。

2.2 Backdoor.Win32.PcClient.ypn(后门病毒)

警惕程度 ★★

该病毒运行后会在系统目录下释放一个dll,黑客通过该dll,可以完全控制中毒电脑,实现文件查看、上传、截屏及开启摄像头等多种功能。

2.3 Backdoor.Win32.Undef.tie(‘Undef’后门病毒)

警惕程度 ★★★★

病毒通过创建注册表键值绕过防火墙,并入侵电脑,后台连接黑客指定服务器,并通过远程指令监控用户电脑,收集机键盘记录、存储电脑屏幕截图、删除硬盘文件、盗取用户信息。电脑一旦中毒,用户将面临隐私信息泄露、网银账密被盗等风险。

 

3 安全漏洞公告

3.1 Microsoft Internet Explorer远程代码执行漏洞

Microsoft Internet Explorer远程代码执行漏洞

发布时间:

2014-05-22

漏洞编号:

BUGTRAQ ID: 67544
CVE ID: CVE-2014-1770

漏洞描述:

Internet Explorer是微软公司推出的一款网页浏览器。
Internet Explorer 8处理CMarkup对象中存在安全漏洞。分配首先发生在CMarkup::CreateInitialMarkup中。执行某些JS代码后,然后调用CollectGarbage,这时发生释放。通过篡改文档的元素,攻击者可强制重新使用释放后的摇摆指针。攻击者可利用此漏洞在当前进程的上下文中执行任意代码。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.microsoft.com/windows/ie/default.asp

3.2 nginx SPDY Implementation任意代码执行漏洞

nginx SPDY Implementation任意代码执行漏洞

发布时间:

2014-05-21

漏洞编号:

BUGTRAQ ID: 67507
CVE ID: CVE-2014-0088

漏洞描述:

Nginx是HTTP及反向代理服务器,同时也用作邮件代理服务器,由Igor Sysoev编写。
nginx SPDY Implementation 1.5.10版本运行于32位平台上时,ngx_http_spdy_module模块存的SPDY实现,允许远程攻击者以精心构造的请求执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://nginx.org/download/patch.2014.spdy.txt

3.3 Xen缓冲区溢出漏洞

Xen缓冲区溢出漏洞

发布时间:

2014-05-20

漏洞编号:

CVE ID: CVE-2014-3715

漏洞描述:

Xen是一个开源虚拟机监视器,由剑桥大学开发。
Xen 4.4.x版本在实现上存在缓冲区溢出漏洞,本地用户通过特制的32位客户端内核,利用此漏洞可读取系统内存或造成拒绝服务。

安全建议:

XenSource已经为此发布了一个安全公告(advisory-95)以及相应补丁:
advisory-95:Xen Security Advisory CVE-2014-3714,CVE-2014-3715,CVE-2014-3716,CVE-2014-3717 / XSA-95 version 3
链接:http://xenbits.xen.org/xsa/advisory-95.html
补丁下载:http://xenbits.xen.org/xsa/xsa95.patch

3.4 Juniper Junos Space远程代码执行漏洞

Juniper Junos Space远程代码执行漏洞

发布时间:

2014-05-19

漏洞编号:

BUGTRAQ ID: 67454
CVE ID: CVE-2014-3412

漏洞描述:

Junos Space 是一种全面的网络管理解决方案,能够简化和自动化Juniper 的交换、路由和安全设备的管理。
Junos Space releases 13.3R1.8之前版本在防火墙禁用后,可使未经身份验证的远程攻击者以root权限执行任意命令,从而完全控制受影响系统和设备。

安全建议:

Juniper Networks已经为此发布了一个安全公告(JSA10626)以及相应补丁:
JSA10626:2014-05 Security Bulletin: Junos Space: Arbitrary command execution vulnerability (CVE-2014-3412)
链接:
http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10626
补丁下载:
http://www.juniper.net/support/downloads/?p=space#sw

3.5 Juniper Network及Security Manager远程代码执行漏洞

Juniper Network及Security Manager远程代码执行漏洞

发布时间:

2014-05-19

漏洞编号:

BUGTRAQ ID: 67445
CVE ID: CVE-2014-3411

漏洞描述:

Juniper Network and Security Manager是可扩展的网络安全管理器。
Juniper Network and Security Manager 2012.2R8在NSM XDB服务的实现上存在远程代码执行漏洞,未经身份验证的远程攻击者可利用此漏洞以root权限在设备上执行任意代码。

安全建议:

Juniper Networks已经为此发布了一个安全公告(JSA10625)以及相应补丁:
JSA10625:2014-05 Security Bulletin: NSM: Remote code execution vulnerability (CVE-2014-3411)
链接:
http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10625&actp=search&viewlocale=en_US&searchi

补丁下载:http://kb.juniper.net/KB25681