当前位置: 安全纵横 > 安全公告

一周安全动态(2014年05月29日-2014年06月05日)

来源:安恒信息 日期:2014-06

2014年06月第一周(05.29-06.05)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 GnuTLS发现缓冲溢出漏洞,补丁已释出

OpenSSL替代加密库GnuTLS发现了一个缓冲溢出漏洞,可被利用执行任意代码。漏洞出在ServerHello信息中会话ID的长度检查不正确。一个恶意配置的服务器在与设备建立HTTPS加密连接时,可通过发送超过会话ID值长度的畸形数据触发缓冲溢出。如果设备使用的GnuTLS版本没有打上补丁,设备能被攻击者远程劫持。
GnuTLS被许多流行Linux发行版和软件所使用,开发者已在上月底发布了新版3.1.25、3.2.15和3.3.4修复漏洞,多数发行版应该已经打上了补丁。

1.2 OpenSSL新漏洞曝光:可被用于“中间人”攻击

6月5日,OpenSSL基金会发布警告称,一个已存在10年的漏洞可能导致黑客利用通过OpenSSL加密的流量发动“中间人”攻击。信 息安全专家目前仍试图解决OpenSSL加密协议中的“心脏流血”漏洞。根据AVG Virus Labs的数据,目前仍有1.2万个热门域名存在这一漏洞。而根据OpenSSL基金会此次发布的消息,黑客可能利用新漏洞去拦截加密流量,对其进行解密,随后阅读流量中的内容。


OpenSSL新漏洞曝光:可被用于“中间人”攻击

OpenSSL的用户被建议安装新的补丁,并升级至OpenSSL软件的最新版本。这一漏洞的发现者是软件公司Lepidum的日本研究员Masashi Kikuchi。Lepidum的网站上显示:“当服务器和客户端都存在漏洞时,攻击者可以窃听及伪造你的通信。”
与能够导致服务器直接受到攻击的“心脏流血”漏洞不同,这一新漏洞要求黑客位于两台通信的计算机之间。例如,使用机场公开WiFi的用户可能成为被攻击目标。

这一漏洞自1998年OpenSSL首次发布以来就一直存在。而“心脏流血”漏洞是在2011年新年OpenSSL进行升级时引入的。

这一漏洞在长达十几年的时间内一直没有被发现,这再次表明了OpenSSL管理的缺陷。OpenSSL是开源的,这意味着任何人都可以对其进行评估及更新。由于这一原因,OpenSSL被认为比某家公司开发的私有代码更安全、更可信。

但实际上,OpenSSL在欧洲只有1名全职开发者,以及3名“核心”的志愿程序员,其运营依靠每年2000美元的捐赠。不过,OpenSSL仍被用于加密全球大部分网站的服务器,并被亚马逊和思科等大公司广泛使用。

在“心脏流血”漏洞被发现之后,包括亚马逊、思科、戴尔、Facebook、富士通、谷歌、IBM、英特尔、微软、NetApp、Rackspace、高通 和VMware在内的公司都承诺在未来3年内每年投入10万美元,用于Core Infrastructure Initiative项目。这一新的开源项目由Linux基金会牵头,用于支撑OpenSSL等关键的开源基础设施。

1.3 DARPA主办网络自动化安全大赛头奖200万美金

目前网络安全方面存在一个主要的问题,即负责安全工作的程序员和专家,可能需要花费几个月时间才能识别出黑客利用的网络安全弱点和漏洞。为此,DARPA(国防高等研究计划署)举办为期两年的DARPA网络挑战赛,旨在让参与者设计能够发现和废止威胁的完全自动化的网络安全系统,以改变网络安全目前的状况。

比赛大致仿照Def Con黑客大会的夺旗模式进行。这种比赛通常要求参赛者分析和利用其他参赛团队系统中存在的薄弱环节,同时保护自己的系统。

DARPA 在2015年将举办其中第一场赛事,其中,参赛者要求评估他们自己系统的安全性,并且使用DARPA发送的安全软件。然后在2016年的最后一场比赛当 中,参赛队伍必须拿出自主创建的安全网络防御,部署补丁和缓解措施,并且监控网络,并评估竞争对手的防御机制。另外,DARPA还发了“DECREE”, 一个开放源代码的扩展,旨在为参赛者提供一个安全的研究平台。2016年最终获胜者将获得2百万美元奖金,,第2名也可将100万美元带回家。

1.4 首席信息安全官日渐成为《财富》500强标配

近年来,部分规模巨大的美国公司开始招募在网络安全方面拥有深厚经验的专家加盟公司,甚至是加入公司董事会。从这一方面我们不难看出,越来越多的美国企业已经开始重视自己所面临的严重网络安全威胁。据 消息灵通人士透露,包括JP 摩根、百事、Cardinal Health Inc以及“联合服务汽车协会”(The United Services Automobile Association)在内的多家美国《财富》500强公司目前都在为公司寻找一位合适的“首席信息安全官”(Chief Information Security Officer)人选。

据悉,虽然通常来说首席信息安全官需要向公司的首席信息官汇报。但也有专家认为,这些首席信息安全官完全可以跳过首席信息官,而直接首席信息官向公司CEO、董事会进行汇报。

事实上,在去年美国折扣零售巨头Target曝出了黑客大规模入侵事件后,外界对于首席信息安全官的期待已经不仅仅是该职位能够充分了解安全技术原理这么简单了,而是希望他们能够同时了解公司的具体业务以及风险管理情况。

“我们目前看到的一种趋势是,首席信息安全官的职位等级已经同首席信息官平起平坐,且他们拥有着相同的话语权和资源支配权利。”戴尔SecureWorks反网络威胁单元总监巴里-亨思利(Barry Hensley)说道。

据悉,目前很多公司都在寻找具有情报、防务部门工作背景的高级安全人士加入公司,而这些职位的薪资待遇也相当不错。根据罗盛咨询 (RussellReynolds Associates)高管康敏斯(Matt Comyns)透露的消息指出,大型企业近期招聘首席信息安全官的年薪大约在50-70万美元之间,而首席信息安全官每年的红利甚至有可能高达200万美 元。同时,在同一家公司任职五年或更长时间首席信息安全官的每年薪资涨幅也达到了20-30万美元。

新燃眉之急

在此之前,有许多安全专家都因为美国企业对网络安全的忽视给予了严厉批评。根据普华永道(PWC)调查的数据显示,目前绝大多数正在开展的网络安全项目都不 符合美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)的标准,且只有大约28%的受访企业高管表示自己的公司设有首席信息安全官的职位。

但是,此前 Target所遭遇的网络入侵事件还是为业内敲响了一记警钟。目前,该公司CEO格雷格-史坦哈斐(Gregg Steinhafel)已经在本月早些时候被开除,而公司原首席信息官贝思-贾克布斯(Beth Jacobs)也已经在3月早些时候离职。同时,该公司还正在为新创立的首席信息安全官寻找合适的人选。

对此,美国国防部军工承包商洛克希德马丁公司(Lockheed Martin)网络安全解决方案副总裁查尔斯-克鲁姆(Charlie Croom)表示:“这一事件的发生给所有企业高管敲响了一记警钟。”

目前,各大企业的招聘专员都进一步扩大了自己对于安全团队的投入和招聘范围。到2014年末,JP摩根的年度网络安全预算将从2012年的2亿美元上升至2.5亿美元。JP摩根发言人表示,公司将继续对自己的安全团队进行投入,但拒绝就此给出更多详细信息。

与此同时,Cardinal Health的首席信息官帕蒂-莫里森(Patty Morrison)则透露,公司正在寻求招募一名能够为企业带来更多创新性人才的安全副总裁。

1.5 “棱镜门”曝光一周年:它究竟改变了什么?

2013年6月5日,前美国中央情报局雇员德华?斯诺登向英国《卫报》和美国《华盛顿邮报》爆料,曝光了美国国家安全局(NSA)等美国政府部门监视公民隐私的“棱镜”项目,一向标榜“坚决捍卫公民隐私和人权”的美国政府,陷入到巨大的舆论旋窝之中。此消息一出,举世哗然。在此后的时间里,一连串的新闻报道更加印证了许多隐私倡导者担心很久的一个问题:全球的网络、电子通讯,正处在以美国政府为主导的监控之下。

一年之后,“棱镜门”造成的后果和影响仍在不断发酵,虽然美国政府的监听行为仍在继续,但我们依然发现,“棱镜门”让很多事情发生了改变。

斯诺登:从小角色到焦点人物

去年,在曝光“棱镜”项目后,曾经默默无闻的小角色斯诺登立刻上了各大媒体的头条,成为全世界瞩目的人物。为了躲避美国政府的通缉,斯诺登从夏威夷逃亡到香港,并于同年6月从香港前往莫斯科。在莫斯科机场长时间逗留后,他终于获得了在俄罗斯避难一年的许可。

在这一年中,斯诺登的“身份”一直捉摸不定:多数网民认为他是“英雄”,向大众公开了真相,美国政府则称他“背叛祖国”,并非告密者和人权活动人士,而是受到一系列“严重刑事指控”的通缉犯。

在这一年中,斯诺登数次现身媒体,不断地曝光美国政府的监听计划,让并于2013年圣诞节发表讲话:“团结起来,我们可以找到更好的平衡,终结政府监控。”

斯诺登不仅改变了他自己的命运,很多人的命运也因他而受到改变:因为斯诺登,《华盛顿邮报》和《卫报》共同获得2014年度普利策新闻奖中分量最重的公共服务奖;因为斯诺登,NSA局长基思?亚历山大离职;因为斯诺登,奥巴马表示将改革监听计划。

如今,斯诺登在俄罗斯的避难许可即将到期。未来,他何去何从?

网民:逐渐重视隐私保护

美国政府大规模监控计划的曝光,改变了全世界对网络安全的关注重点,人们开始重新审视网络安全问题。最大的变化是,更多的网民开始关注自己的隐私是否受到监视。

上月,一项由约瑟夫?朗特里改革基金会发起的调查显示,85%的网民认为,上网浏览记录等信息的保密工作“相当重要”;英国市场调研公司Mori最新的调查 显示,仅有12%的受访者认为这些隐私是否被监控无所谓。与上述两项数据形成对比的是,去年“棱镜”项目刚刚曝光时,仅有约40%的网民在意自己的隐私是 否被监控。

尽管民众针对“网络隐私保护”的呼声日嚣尘上,但结果却并非能如其所愿。有些国家的政府,会随意收集用户的个人数据,甚至不必向互联网服务供应商提出请求。网络安全专家认为,公民在隐私监控方面的主导权是至关重要的,但现在连谷歌这样的公司都已经开始担心隐私安全问题。

2013 年12月18日,联合国大会通过了一项 “数字时代隐私权”的决议。决议强调,隐私权是民主社会的基础之一,非法或任意监控通信以及收集个人数据,是侵犯隐私权和言论自由权利的行为,背离了民主 社会的信念。决议也要求各国建立有效的国内监督机制,确保涉及通信监控和截取、以及对个人数据收集的透明度,并接受问责。

这项决议虽然没有强制效力,却在政治和道德层面体现了国际社会对保护网络和电子通讯使用者隐私权的态度,表达了对越界情报行动以及对个人数据大规模搜集的批评与忧虑,而这或许是斯诺登以及“棱镜门”带给整个世界的一个巨大的改变。

科技公司:国外巨头迎来寒冬 国产厂商获良机

“棱镜门”带来的另一个变化就是,国外科技巨头纷纷“中枪”。

在“棱镜门”的影响下,思科、IBM在内的多家国际科技巨头在华遭遇滑铁卢:在去年7月的中国电信2013年第一批IP设备集采中,思科在其传统优势项目 ——高端核心路由器项目上,颗粒无收;Gartner数据显示,2014年第一季度,美国服务器厂商在中国市场的份额出现明显下降,其中IBM X服务器降幅高达25%;上月,中央采购网发布公告称,所有计算机类产品不允许安装Windows 8操作系统。

去年第四季度,思科高管明确表示,中国客户,特别是与政府关系密切的客户,可能将削减美高科技公司产品采购,以此回应美国对中国公司的制裁。思科方面还指出“棱镜门”事件,“将会改变美国科技公司的竞争格局,中国公司市场份额加速增长。”

在中国服务器市场,相对于IBM、思科等的低迷,本土厂商浪潮服务器出货量占据市场份额19%,位居中国第一、全球市场第五,同比增长288%。浪潮电子副 总裁张海涛表示,“棱镜门”确实给国产服务器厂商带来了机会,公司能够达到中国第一的出货量,与政府对于信息安全的重视有很大的关系。

除了硬件设备外,国产软件、系统厂商也将迎来机遇。上月,中国工程院院士倪光南指出,移动设备中使用的操作系统大多是美国苹果、谷歌两家的,这就为用户信息安全留下隐患。从根本上讲,我国应当加快自主研发安全可控的移动终端操作系统。

 

2 本周关注病毒

2.1 Worm.Mail.Brontok.pc(蠕虫病毒)

警惕程度 ★★

病毒运行后修改用户host文件,阻止用户登陆杀毒软件网站,同时登陆黑客指定地址并下载恶意程序。最后,病毒会自动搜集用户电脑中的电子邮件地址,并将病毒作为附件发送给更多用户,带来更大范围危害。

2.2 Backdoor.Win32.Undef.tif(后门病毒)

警惕程度 ★★

病毒运行后自我复制至,并实现开机自启动。远程连接服务器yazige.xi**.***,等待接收黑客进一步指令。黑客可对电脑进行电脑屏幕监控,键盘操作记录,盗取电子邮件程序的联系人列表,盗取聊天记录等一系列攻击,电脑一旦中毒用户将面临隐私信息泄露、网银账号密码被盗、机密文件泄露或损毁等风险。

2.3 Worm.Win32.VB.nk(蠕虫病毒)

警惕程度 ★★★

病毒运行后自我复制至大量系统文件夹,修改注册表,劫持Photoshop、Excel、Word等常用办公软件的调试程序,该类软件出现崩溃时病毒会立刻运行。病毒运行后将大量占用系统资源,降低系统运行速度,严重者可导致电脑宕机。除此之外,病毒会感染所有接入电脑的U盘及移动硬盘,实现大范围传播。

 

3 安全漏洞公告

3.1 Triangle MicroWorks SCADA Data Gateway TLS/DTLS信息泄露漏洞

Triangle MicroWorks SCADA Data Gateway TLS/DTLS信息泄露漏洞

发布时间:

2014-06-05

漏洞编号:

 

漏洞描述:

SCADA Data Gateway是系统集成商和公共事业事业的Windows应用,可收集OPC, IEC 60870-6 (TASE.2/ICCP), IEC 61850, IEC 60870-5, DNP3, Modbus Server/Slave设备上的数据,然后将这些数据传输给支持OPC, IEC 60870-6 (TASE.2/ICCP) Client, IEC 60870-5, DNP3, Modbus Client/Master通讯协议的其他控制系统。
SCADA Data Gateway由于捆绑了有心脏滴血漏洞的OpenSSL(CVE-2014-0160),在实现上存在信息泄露漏洞,恶意用户可利用此漏洞获取敏感信息。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.trianglemicroworks.com/products/scada-data-gateway/what%27s-new

3.2 SCADA Data Gateway IP连接设备远程拒绝服务漏洞

SCADA Data Gateway IP连接设备远程拒绝服务漏洞

发布时间:

2014-06-05

漏洞编号:

BUGTRAQ ID: 67722
CVE(CAN) ID: CVE-2014-2342

漏洞描述:

SCADA Data Gateway是系统集成商和公共事业事业的Windows应用,可收集OPC, IEC 60870-6 (TASE.2/ICCP), IEC 61850, IEC 60870-5, DNP3, Modbus Server/Slave设备上的数据,然后将这些数据传输给支持OPC, IEC 60870-6 (TASE.2/ICCP) Client, IEC 60870-5, DNP3, Modbus Client/Master通讯协议的其他控制系统。
SCADA Data Gateway 3.00.0635之前版本处理特制的DNP3数据包时存在安全漏洞,可使远程攻击者造成拒绝服务(过量数据处理)。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.trianglemicroworks.com/products/scada-data-gateway
http://www.trianglemicroworks.com/products/scada-data-gateway/what%27s-new
参考:
http://ics-cert.us-cert.gov/advisories/ICSA-14-149-01

3.3 SCADA Data Gateway串联设备本地拒绝服务漏洞

SCADA Data Gateway串联设备本地拒绝服务漏洞

发布时间:

2014-06-05

漏洞编号:

BUGTRAQ ID: 67723
CVE(CAN) ID: CVE-2014-2343

漏洞描述:

SCADA Data Gateway是系统集成商和公共事业事业的Windows应用,可收集OPC, IEC 60870-6 (TASE.2/ICCP), IEC 61850, IEC 60870-5, DNP3, Modbus Server/Slave设备上的数据,然后将这些数据传输给支持OPC, IEC 60870-6 (TASE.2/ICCP) Client, IEC 60870-5, DNP3, Modbus Client/Master通讯协议的其他控制系统。
SCADA Data Gateway 3.00.0635之前版本处理串行线上特制的DNP请求时存在安全漏洞,可使物理位置接近的攻击者造成拒绝服务(过量数据处理)。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.trianglemicroworks.com/products/scada-data-gateway
http://www.trianglemicroworks.com/products/scada-data-gateway/what%27s-new
参考:
http://ics-cert.us-cert.gov/advisories/ICSA-14-149-01

3.4 多个F-Secure产品任意文件访问漏洞

多个F-Secure产品任意文件访问漏洞

发布时间:

2014-06-05

漏洞编号:

BUGTRAQ ID: 67821

漏洞描述:

F-Secure,原名Data Fellows,是欧洲著名信息安全厂商,总部位于芬兰首都赫尔辛基。
多个F-Secure产品的Online Safety及Browsing Protection功能在实现上存在安全漏洞,可导致攻击者可以读取用户文件系统内的任意文件。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.f-secure.com/en/web/labs_global/fsc-2014-5

3.5 App::Context签名验证安全措施绕过漏洞

App::Context签名验证安全措施绕过漏洞

发布时间:

2014-06-05

漏洞编号:

BUGTRAQ ID: 59832
CVE(CAN) ID: CVE-2012-6141

漏洞描述:

App::Context是Web应用、命令行程序、服务器程序的应用框架。
App::Context 0.01-0.968版本没有正确使用Storable::thaw函数,这可使远程攻击者通过向 App::Session::Cookie或App::Session::HTMLHidden传递精心构造的请求,利用此漏洞执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://search.cpan.org/~spadkins/App-Context-0.968/lib/App/Context.pm

3.6 Serv-U多个安全漏洞

Serv-U多个安全漏洞

发布时间:

2014-06-04

漏洞编号:

 

漏洞描述:

Serv-U是一种使用广泛的FTP服务器程序。
Serv-U 15.1.0.458之前版本没有验证用户名称时会返回不同的响应,这可导致枚举有效的用户名称,某些用户输入没有正确过滤即返回给用户,这可导致在用户浏览器会话中执行任意HTML和脚本代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.serv-u.com/releasenotes/

3.7 PHP 'cdf_read_property_info()'函数拒绝服务漏洞

PHP 'cdf_read_property_info()'函数拒绝服务漏洞

发布时间:

2014-06-03

漏洞编号:

BUGTRAQ ID: 67765
CVE(CAN) ID: CVE-2014-0238

漏洞描述:

PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。PHP 5.4.29之前版本、5.5.13之前版本,Fileinfo组件中,cdf.c内的cdf_read_property_info函数存在拒绝服务漏洞,远程攻击者通过零长度或超长的矢量造成拒绝服务(无限循环或越界内存访问)。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.php.net/ChangeLog-5.php
https://github.com/file/file/commit/b8acc83781d5a24cc5101e525d15efe0482c280d
https://bugs.php.net/bug.php?id=67328