当前位置: 安全纵横 > 安全公告

一周安全动态(2014年05月22日-2014年05月29日)

来源:安恒信息 日期:2014-05

2014年05月第四周(05.22-05.29)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 斯诺登解释为何德国不愿调查美国监视事件

据路透社5月27日电,前美国情报部门雇员斯诺登对一家德国杂志说,他愿意与调查美国监视事件的德国议会分享新信息,他认为德国所有的权利都遭到侵犯。斯诺登对《明星》周刊说,他“亲自接触到来自德国的信息”,在这个过程中,“德国每个公民的宪法权利都遭到侵犯”。他说,他利用系统截获大量数据。

斯诺登说,德国联邦情报局也采用与美国相同的方式,所以一些德国人不愿意深究。

斯诺登可以从海外证实信息,但德国反对派认为,斯诺登只有在德国才能自由表达意见。斯诺登的律师排除了他来德国的可能性,认为这样会威胁到他在俄罗斯的生活。

据德国《南德意志报》网站5月27日报道,联邦总检察长哈拉尔德·朗格不会因从事间谍活动对美国国家安全局的窃听行为展开调查。来自联邦检察院的消息说,不会对美国情报机构可能大规模监听德国公民和长年监控德国总理默克尔手机的行为启动调查程序。

联邦检察院认为,调查不可能获得美国国安局和英国政府通信总部在德国从事间谍活动的证据。既没有证人,也没有书面证据。德国政府内部对总检察长朗格处理此事的方式感到不满。

1.2 维基解密曝美政府对阿富汗电话100%搜集监听

《华盛顿邮报》此前报道,美国国家安全局(NSA)已经建立了一个系统,可以对一个国家的电话进行100%的搜集。虽然,当时《华盛顿邮报》并没有指明是哪个国家,但近日维基解密曝光了监听受害国的名字。

阿富汗人通话被曝光

根据维基解密的最新爆料,到去年为止,美国国家安全局一直在记录和保存“几乎所有”的在阿富汗国内和从阿富汗打出的国际电话。

维基解密指出,之前美国媒体曾经有过相关报道,但一直把阿富汗指代成“X国”,因为美国情报官员们要求新闻媒体不要公布阿富汗这一名字,认为这样会对美国的国家安全造成威胁,并有可能带来更多的人员伤亡。

“《华盛顿邮报》和新闻网站The Intercept都指出,他们不公布阿富汗,是来自美国政府的要求。”维基解密说。

如果维基解密的披露属实,美国政府监听阿富汗国内的电话通话记录必将在美国国内和国际社会引发强烈争议。

据称,这项被称为“神秘”(MYSTIC)的监听计划在2009年开始运作,通过这项计划,NSA的分析人员可以反复回听或者收听在过去30天内的电话通话 记录。这项计划一度被一名官员描述成“时光机器”,“打开了通往过去的一道门”,让NSA的分析人员能够重新回放任何一段电话通话的音频。

“尽管出于保护消息来源的原因我们不能披露揭秘者的名字,但我们可以确认的是,这个被监听的国家是阿富汗。”维基解密指出。

NSA没有立即对维基解密的爆料做出回应,之前NSA曾经发表声明指出,“NSA没有在任何国家进行信号情报搜集,除非在有利于美国国家安全和外交政策利益的情况下。”

巴哈马不幸榜上有名

“棱镜门”揭秘者斯诺登上周指出,美国国家安全局一直在秘密监听、录音保存在巴哈马群岛的每一个电话通话记录。

这项被称为SOMALGET的监听计划最初由揭秘网站The Intercept的一篇报道曝光。报道指出,巴哈马群岛的地方政府并不知晓美国政府执行这项监听计划,NSA是通过同美国药品执行管理局(DEA)的合 作,通过DEA的网络进入巴哈马的无线网络来记录和保存巴哈马群岛的大约37万居民的电话通话记录,保存时间大约为一个月。

2012年NSA曾经公布一项声明指出,记录通话稍后再听可以让分析人员“有选择地取回音频内容,让分析人员对那些收取的原数据所做出的初步判断进行最后的核实”。

在另外一份文件中,NSA称这些“岛国计划”是“系统部署、执行能力和未来改善的实验基地”,也暗指NSA官员已经计划在其他国家进行类似计划。

通过对巴哈马群岛的监听也意味着,每年大概500万~600万游览加勒比海的美国游客在当地旅行期间的通话记录也可能被监听,还包括那些在当地有住所的美国人,这些美国人中包括艾奥瓦州民主党参议员哈金(Tom Harkin)、名嘴奥普拉,还有著名演员尼古拉斯·凯奇。

针对巴哈马的监听计划据说是一项更大的监听计划的一部分,后者是指监听墨西哥、菲律宾和肯尼亚的电话记录。而在巴哈马群岛的监听和在其他国家不同的是,监听不只局限于电话的内容,还包括记录通话人的整个通话过程。

1.3 NSA工作出色的原因之一是软件漏洞百出

记者Quinn Norton根据其亲身经历称,她的一位朋友发现了一个软件漏洞,找到了获得网络管理访问权限的方法,他写了一个脚本看看会发生什么。结果一觉醒来他发现自己能控制5万台电脑。因为担心被FBI抓到监狱里,他毁灭了所有证据,甚至将硬盘扔进火里。这个故事一点也不特别,安全领域的许多故事比这更糟糕,因为计算机和互联网上一切都是支离破碎的

NSA不是互联网上最大的食肉动物,它不过是最大的食腐动 物,它的工作之所以出色只是因为软件本身实在在太糟糕了。软件之所以变烂是因为它太复杂可,要么它需要与同一台电脑上的其它程序通信,要么它需要通过网络 连接与其它电脑通信,你的电脑不只是一台电脑,盒子里面套着盒子,每个都装满了小小的软件试图协调动作互相通信。计算机日益变得复杂,而人类仍然那个自命 不凡的烂泥巴。

1.4 美国国家安全局每天搜集约20亿条全球手机信息

互联网新闻研究中心26日发布的《美国全球监听行动纪录》指出,美国在监控全球民众,美国国家安全局大规模搜集全球手机短信息,每天收集大约20亿条。美国专门监控互联网的项目非常庞大,可以监控某个目标网民的几乎所有互联网活动。英国《卫报》披露,美国情报人员利用名为“XKeyscore”的项目监控互联网活动。

该项目在全球多处配备500个服务器。这家报纸评价其是美国国家安全局“最庞大”监控项目,称情报人员“可以监控某个目标网民的几乎所有互联网活动”。

斯诺登曝光的文件显示,美国国家安全局通过接入全球移动网络,每天收集全球高达近50亿份手机通话的位置纪录,并汇聚成庞大数据库。美国国家安全局大规模搜集全球手机短信息,每天收集大约20亿条。

一些美国媒体认为,美情报机构对嫌疑人相关电话进行窃听以掌握情报并非新闻,但涉及国外如此海量信息的收集相当不可思议。

据《华盛顿邮报》报道,美国国家安全局曾秘密侵入雅虎、谷歌在各国数据中心之间的主要通信网络,窃取了数以亿计的用户信息,并且保留了大量数据。通过分析这些数据,美国国家安全局可以获悉这些通讯纪录的发出者、接受者以及双方通讯的时间、地点等信息。

巴西网站Fantastico报道称,美国国家安全局采用MITM攻击方式,通过虚假的安全认证伪装成合法网站,以绕过浏览器的安全防护并截取用户数据。美国国家安全局曾通过这一方式伪装成谷歌网站成功获取用户数据。

英国《卫报》披露美国国家安全局与以色列共享原始监听数据,且可能包括美国公民的邮件和其他数据,而此前美国总统奥巴马坚称不会把监听目标锁定在美国公民身上。

2013年12月31日,德国《明镜》周刊消息称,美国国家安全局非法获取欧洲和亚洲之间最大的海底通讯电缆网络——SEA—ME—WE—4的数据,取得大量敏感资料,并计划继续监听其他海底通讯电缆。

法国《世界报》报道称,美国国家安全局曾在2012年12月10日至2013年1月8日期间,监听法国民众7030万通电话交谈。
苹果和安卓手机操作系统在美国国家安全局内部被称作“数据资源的金矿”,美英情报部门2007年就已合作监控手机应用程序,美国国家安全局一度将这方面的预算从2.04亿美元追加到7.67亿美元。

据英国《卫报》、美国《纽约时报》报道,美国国家安全局多年来一直从移动设备应用程序(App)中抓取个人数据,包括个人用户的位置数据(基于GPS)、种 族、年龄和其他个人资料。这些应用程序包括手机游戏“愤怒的小鸟”、应用程序“谷歌地图”以及“脸谱”、推特和网络相册Flickr的手机客户端。

美国国家安全局至少于2008年起,向全球近10万台计算机植入专门软件,旨在时刻监控或攻击目标计算机,即使计算机没有连接上网,美国国家安全局仍可通过无线电波入侵。

自2010年起,美国国家安全局用收集到的资料,分析部分美国公民的“社交连结,辨识他们来往对象、某个特定时间的所在地点、与谁出游等私人信息”。

美国国家安全局所有的监控行为都是暗中操作,而政府也是秘密决定放开对监控的限制,并未通过国家情报法院的审定或者公开的讨论。根据2006年美国司法部的备忘录,该部曾对滥用情报监控进行过警告。

通过一项名为“共同旅行分析”的项目,美国国家安全局在收集“目标人物”相关信息纪录基础上,通过已知“目标人物”的活动发现其未知社会联系,并在一小时内 在海量信息中得出“目标人物”活动时间、地点等完整情报。与“目标人物”有过联系的人将可能成为美国国家安全局新的“目标人物”。

美国官员辩称,这一大规模监听活动是合法的,不针对美国国内民众,但事实上,被窃听者包括许多到国外旅行的美国人。美国媒体报道说,美国国家安全局于2010年和2011年进行了一项有关大规模收集美国国内移动电话位置的试验项目。

2013年4月,联合国人权理事会言论自由问题特别报告员拉卢在向联合国人权理事会提交的报告中指出,美国修订“外国情报监控修正案法”,扩大美国政府对境外非美籍人士进行监控的权力,监控内容包括任何利用美国的云服务主机进行的通信。
曝光文件显示德国、韩国、日本等多国被大规模监听,美欧国家的情报机构正在联手对互联网和电话通信展开大规模监控,严重威胁世界各国网络安全。

挪威媒体报道说,挪威也是美国“监控门”的受害者,美国国家安全局曾在2012年12月10日至2013年1月8日间监听了3300多万次在挪威本土登记注册的移动电话通话。

根据意大利《快讯》周刊的报道,英国和美国情报机构大规模窃听意大利的电话和拦截网络数据。

1.5 美军新技术让当黑客像玩游戏一样简单

我们在电影里看到的黑客都十分酷,噼里啪啦敲入一堆不明觉厉的代码,然后回车一按就完成了攻击。这种场面当然只是艺术加工而已,不过美军却打算要让黑客的操作比电影里演的还酷。Oculus Rift 不仅让玩家们兴奋,也促使美国国防部高级研究计划局(DARPA)提出了 Plan X 计划。它利用 Oculus Rift 的虚拟现实技术,让黑客们在一个形象化的网络世界里畅游,效果非常科幻。

Plan X 的逆天之处在于它将一切网络行为都图形化了,无论是数据还是来自敌军的网络攻击都是如此,不再需要繁复难懂的代码,人们只需要握紧控制器去战斗就行,就像玩一款电子游戏一样简单直接。这样一来军队甚至都不需要费劲去寻找那些技术精湛的黑客了。

这个计划很酷,不过两年过去了它仍旧只是个概念,我们在视频里看见的华丽影像只是个模拟视频而已,它甚至连原型都没有。据说其开发预计会在 2017 年完成。

事实上,怎么把黑客行动拍得(至少看上去)靠谱又帅气一直是好莱坞导演们头疼的问题。如果说 Plan X 真的实现了,那么导演们可就松一口气了:玩视觉效果我们最在行。

1.6 大型POS机系统全球僵尸网络

安全研究人员发现一个全球范围网络犯罪活动,其中感染了36个国家的1500个POS(销售点)中断、会计系统和其他零售后台平台。这些受感染的系统组成了一个僵尸网络,被称为Nemanja,研究人员认为这个网络背后的攻击者可能来自塞尔维亚。

这个僵尸网络的规模以及受感染系统的分布化突出了全球各地的零售商都面临的安全问题,最近一些大型美国零售商遭遇的POS安全泄露事故也强调了安全问题。这些事件表明,攻击者越来越多地开始关注使用PoS终端的零售商和小型企业。研究人员表示:“我们预测,在未来几年在这两个领域会出现越来越多数的数据泄露事故,还会出现针对零售商的后端系统和收银台的新兴恶意攻击。”

Nemanjia僵尸网络涉及1478受感染系统,这些系统分布在美国、英国、加拿大、澳大利亚、中国、俄罗斯、巴西和墨西哥。对Nemanja僵尸网络的分析表明,这些受感染的系统都在使用各种PoS机、售货管理系统以及会计核算系统。这并不意味着这些应用程序特别易受到攻击或者不安全,但这表明,Nemanjia PoS恶意软件被设计为可用于不同软件。这种恶意软件除了能够收集信用卡数据,还具有键盘记录功能来拦截其他系统和数据库(包含支付或个人身份信息)的登录凭据。

研究人员预测,不用多久,现代PoS恶意软件将会作为模块加入到恶意远程访问工具(RAT)或者其他木马程序,并将会结合其他组件,例如用于键盘记录或网络流量嗅探的组件。最近的一份调查报告称,去年三分之一的数据泄露事故涉及受感染的PoS终端。而另外,PoS攻击占数据泄露事故的14%。

Nemanjia僵尸网络涉及的国家还包括阿根廷、奥地利、孟加拉国、比利时、智利、捷克共和国、丹麦、爱沙尼亚、法国、德国、香港、印度、印度尼西亚、以色列、意大利、日本、荷兰、新西兰、波兰、葡萄牙、南非、西班牙、瑞士、台湾、土耳其、乌拉圭、委内瑞拉和赞比亚。

 

2 本周关注病毒

2.1 Win32.Expiro.a(感染型病毒)

警惕程度 ★★

该病毒运行后关闭Windows文件保护功能,并监控是否有任何进程打开新文件,从而感染可执行程序和屏幕保护程序,同时在中毒电脑内安装后门,下载恶意代码。

2.2 Worm.Win32.TaopuLS.b(蠕虫病毒)

警惕程度 ★★

该病毒运行后在windows目录下建立可隐藏的文件,并修改注册表,同时查看当前网络中的共享信息,访问并试图把自己复制到其他的计算机上,最终将中毒电脑内信息发送至黑客指定位置,并搜索磁盘文件从中提取mail地址,以色情网站的名义,把自己夹带到附件中,群发邮件,达到传染的目的。

2.3 Backdoor.Win32.Undef.tif(‘Undef’后门病毒)

警惕程度 ★★★★★

病毒运行后自我复制至,并实现开机自启动。远程连接服务器yazige.xi**.***,等待接收黑客进一步指令。黑客可对电脑进行电脑屏幕监控,键盘操作记录,盗取电子邮件程序的联系人列表,盗取聊天记录等一系列攻击,电脑一旦中毒用户将面临隐私信息泄露、网银账号密码被盗、机密文件泄露或损毁等风险。

 

3 安全漏洞公告

3.1 多个IBM产品SQL注入漏洞

多个IBM产品SQL注入漏洞

发布时间:

2014-05-28

漏洞编号:

BUGTRAQ ID: 67641
CVE(CAN) ID: CVE-2013-4016

漏洞描述:

IBM 是全球信息产业领导企业。
多个IBM产品存在SQL注入漏洞,远程经过身份验证的攻击者可利用此漏洞通过带纯文本WHERE字句的Birt报告,利用此漏洞执行任意SQL命令。受 影响产品如下:IBM Maximo Asset Management 7.x、SmartCloud Control Desk 7.x、Tivoli IT Asset Management for IT, Tivoli Service Request Manager, Maximo Service Desk, 、Change and Configuration Management Database (CCMDB) 7.x

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.ibm.com/support/fixcentral/
http://www-01.ibm.com/support/docview.wss?uid=swg1IV46511
http://www-01.ibm.com/support/docview.wss?uid=swg21670870
http://xforce.iss.net/xforce/xfdb/88364

3.2 多个IBM产品任意文件上传漏洞

多个IBM产品任意文件上传漏洞

发布时间:

2014-05-28

漏洞编号:

BUGTRAQ ID: 67646
CVE(CAN) ID: CVE-2013-5465

漏洞描述:

IBM 是全球信息产业领导企业。
多个IBM产品没有正确限制上传的文件类型,存在任意文件上传漏洞,远程经过身份验证的攻击者可利用此漏洞上传任意文件。受影响产品如下:IBM Maximo Asset Management 7.x、SmartCloud Control Desk 7.x、Tivoli IT Asset Management for IT、Tivoli Service Request Manager、Maximo Service Desk、Change and Configuration Management Database (CCMDB) 7.x

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.ibm.com/support/fixcentral/
http://www-01.ibm.com/support/docview.wss?uid=swg1IV46511
http://www-01.ibm.com/support/docview.wss?uid=swg21670870
http://xforce.iss.net/xforce/xfdb/88364

3.3 Apache 'mod_wsgi' 模块本地权限提升漏洞

Apache 'mod_wsgi' 模块本地权限提升漏洞

发布时间:

2014-05-28

漏洞编号:

BUGTRAQ ID: 67645
CVE(CAN) ID: CVE-2013-5460

漏洞描述:

IBM 是全球信息产业领导企业。
多个IBM产品存在安全措施绕过漏洞,远程经过身份验证的攻击者可利用此漏洞绕过目标访问限制,读取通讯日志。受影响产品如下:IBM Maximo Asset Management 7.x、SmartCloud Control Desk 7.x

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.ibm.com/support/fixcentral/
http://www-01.ibm.com/support/docview.wss?uid=swg1IV46511
http://www-01.ibm.com/support/docview.wss?uid=swg21670870
http://xforce.iss.net/xforce/xfdb/88364

3.4 IBM DB2及DB2 Connect权限提升漏洞

IBM DB2及DB2 Connect权限提升漏洞

发布时间:

2014-05-28

漏洞编号:

BUGTRAQ ID: 67616
CVE(CAN) ID: CVE-2013-6744

漏洞描述:

IBM DB2是一个大型的商业关系数据库系统。DB2 Connect可将PC和移动设备连接到组织的大型机。
IBM DB2及DB2 Connect存在权限提升漏洞,成功利用此漏洞可使攻击者以提升的权限获取DB2实例。受影响产品如下:IBM DB2 Express Edition
IBM DB2 Workgroup Server Edition
IBM DB2 Enterprise Server Edition
IBM DB2 Connect Application Server Edition
IBM DB2 Connect Application Server Advanced Edition
IBM DB2 Connect Enterprise Edition
IBM DB2 Connect Unlimited Edition for System i
IBM DB2 Connect Unlimited Edition for System z
IBM DB2 Connect Unlimited Advanced Edition for System z
IBM DB2 10.1 pureScale Feature
IBM DB2 10.5 Advanced Enterprise Server Edition
IBM DB2 10.5 Advanced Workgroup Server Edition
IBM DB2 10.5 Developer Edition for Linux, Unix, Windows

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.ibm.com/support/fixcentral/

3.5 Apache 'mod_wsgi' 模块本地权限提升漏洞

Apache 'mod_wsgi' 模块本地权限提升漏洞

发布时间:

2014-05-28

漏洞编号:

BUGTRAQ ID: 67532
CVE(CAN) ID: CVE-2014-0240

漏洞描述:

mod_wsgi是Apache HTTP服务器模块,提供了WSGI兼容接口,用于托管基于Python 2.3+的Web应用。
mod_wsgi 3.5之前版本在启用了后台模式后,在某些Linux内核上运行时没有正确处理setuid返回的错误代码,这可使本地用户通过运行进程数相关的方法,利用此漏洞获取提升的权限。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://modwsgi.readthedocs.org/en/latest/release-notes/version-3.5.html