当前位置: 安全纵横 > 安全公告

一周安全动态(2014年06月12日-2014年06月19日)

来源:安恒信息 日期:2014-06

2014年06月第三周(06.12-06.19)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 NSA被曝联手33个国家 监控全球互联网通信

根据Dagbladet Information对斯诺登提供的机密文件的最新解读,代号为RAMPART-A的项目披露了NSA联合多个国家获取互联网数据的行动。虽然早前我们已经听说过英国情报机构参与了相类似的行动,但今天的这份报道则将矛头指向了其他国家。

机密文件显示,NSA从这些所谓盟国那里获取的都是相当敏感的数据,并且它还能利用一个名为REDHARVEST的高级安全控制系统访问到所有的数据。

负责报道“棱镜门”的《卫报》记者格伦·格林沃尔德(Glenn Greenwald)在他的新书中透露,美国国家安全局(以下简称“NSA”)在美国供应商提供给国外客户的路由器和其他网络设备中设置了“后门”。

文件指出,总共有33个国家参与了RAMPART行动。Dagbladet认为,德国和丹麦都在其中。这样看来,NSA确实可以在不违反国际公约的情况下监控美国境外的网络通信。而光纤攻击似乎也成为了NSA黑色预算当中极为重要的一部分。报告指出,在NSA 9100万美元的外国电缆访问项目预算中,有84%都是给了RAMPART-A。


1.2 在黑客删除全部客户数据后Code Spaces宣布关门

提供代码托管服务的Code Spaces宣布倒闭。从本周开始,网站遭受了DDoS攻击。昨天,攻击者设法删除了所有该公司托管的客户数据和大部分备份。在此情况下,Code Spaces只能宣布停止运营。它在声明中表示,一位未经授权的人访问了他们的 Amazon EC2控制面板,留下了Hotmail地址,向他们勒索一笔钱。

它通过修改密码试图收回控制权。但攻击者早有准备,已经在控制面部创建了一系列备份登录帐号,看到他们尝试恢复控制就开始随机删除文件


1.3 美国民营智库网络被黑内幕:安全防范几乎为零

据国外网站Daily Dot报道,最近披露的政府秘密文件显示,美国民营智库战略预测公司(Strategic Forecasting Inc)在2011年12月遭遇黑客攻击,是因为该公司的网络系统没有采取标准的安全措施,存在众多的安全漏洞。2011年12月,一批技术精湛的黑客闯入战略预测公司的网络系统,窃取了86万客户——包括一位美国前任副总统、中情局局长和国务卿——的个人数据。

通过这次攻击,黑客组织AntiSec的成员盗取了约6万名客户的信用卡号码及相关数据。据报道,他们利用这些信用卡数据获得了70万美元的欺诈性收费。黑客还获取了大约500万封内部电子邮件,这些邮件后来被维基解密以“全球情报文件”的名义公布。

这次攻击给战略预测公司带来的损失总计大约为378万美元。这对该公司来说是一件尴尬的国际事件,因为这些损失原本可以通过常规的欺诈防范措施来避免。

根据Daily Dot和Motherboard获得的机密内部文件,在遭遇黑客之前,战略预测公司采用的网络安全措施是完全不符合标准的。

Daily Dot和Motherboard的调查基于一系列最近披露的政府秘密文件,其中包括大量的缓存聊天记录和各种政府报告。这些文件是黑客出身的FBI线人 Hector “Sabu ”Monsegur收集的。Monsegur提供的证据曾被用来为黑客组织 Anonymous的8名成员定罪,其中包括目前正在服刑的杰里米?哈蒙德(Jeremy Hammond)。

根据这些文件,2011年 12月30日,战略预测公司与Verizon Business公司及其旗下 Cybertrust公司合作,对其遭遇的黑客攻击“进行取证调查”,并将调查结果与FBI共享。Verizon Business的安全团队检查了战略预测公司的办公室电脑,以及作为战略预测公司客户数据中心的CoreNAP公司的服务器。

在2012年2月15日的一份长达66页的报告中,Verizon Business作出了调查结论,并提供了令人震惊的细节。根据这份报告,战略预测公司没有对重要的数据系统采取足够的安全保护措施,这些系统不但没有安装防火墙,而且缺乏适当的文件完整性监控。

该报告指出,正是由于几个明显的安全漏洞和不恰当的网络配置,使黑客攻击和数据泄漏成为可能。

首先,战略预测公司内部缺乏密码管理政策。密码在雇员之间共享,而且没有什么能够阻止雇员在多个设备上使用相同的密码。“在远程访问包含敏感信息的系统时,他们使用的密码通常与电子邮箱密码相同。”该报告称。

在调查人员检查的那些电脑中,没有任何一个系统安装了反病毒软件,这使得它们不但很容易受到黑客攻击,而且也容易感染其他病毒。

虽然战略预测公司的办公室电脑中装了网络防火墙,但它们没有被正确配置以保存有用的信息。

此外,战略预测公司也没有采取正确的文件监控解决方案,否则的话,其用户数据和内部电子邮件在遭遇入侵时,系统会自动发出警报通知。

战略预测公司遭遇黑客攻击的另一个“重大因素”是其电子商务系统的设计不合理,为黑客窃取客户的支付数据提供了便利。

Verizon公司还在战略预测公司的邮件服务器中发现了信用卡持卡人信息泄露的迹象。这表明,该公司的网络结构体系包含潜在缺陷。

Verizon的结论是,战略预测公司的客户支付系统在遭遇攻击之前只采取了12项必要欺诈防范措施中的3项。在战略预测公司未采取的9项防范措施中,有8项措施的缺乏直接促成了黑客攻击。

“通常情况下,一个公司只会缺乏12项防范措施中的一两项。”全球领先的身份管理解决方案供应商SailPoint公司总裁和创始人凯文?坎宁安(Kevin Cunningham)说,“这是我从来没有见过的一个极端例子,也是一个重大失误。”

“安全措施既要防范风险,也要保持一定的灵活性。”他继续说。“你必须明确你的安全政策,并确保防范措施落实到位。就战略预测公司来说,它似乎没有任何明确的安全政策。打个比方来说,它不仅未锁前门,而且将窗户打开,并把珠宝放在厨房的桌子上。”

“它的遭袭是迟早的事情。”

AntiSec的黑客不但窃取了客户姓名、信用卡号码以及其他一些数据,甚至窃取了客户的信用卡验证值,即信用卡背面的三位数字。

按照行业规定,商家在存储客户信用卡数据时应该进行加密。战略预测公司的创始人兼CEO曾经在一份官方声明中承认该公司存储了未加密的客户信用卡数据。2011年12月,这些未被加密的信用卡数据被AntiSec盗取。 2012年6月,战略预测公司以175万美元的赔偿金和解受害客户发起的集体诉讼。

此外,Verizon Business还发现了另一次黑客攻击的证据:“通过对Zimbra的电子邮件服务器的分析,我们发现,入侵者曾于11月16日创建了数据库转储文件(这个文件后来被黑客通过战略预测公司的网络系统窃取)。

这一发现似乎证明了著名黑客Hyrriiya的声明。Hyrriiya是黑客组织Anonymous 的成员,曾因为对叙利亚政府网站进行攻击而出名。他在2012年5月致函哈蒙德的律师,声称对战略预测公司遭遇的黑客攻击负责。

“在对战略预测公司进行最初的攻击之前,AntiSec的任何人(包括Sabu 和哈蒙德)都不知情,他们是在两个星期后才参与的。”Hyrriiya写道,“在入侵战略预测公司的数据库后,我意识到,它们是详细的客户数据,包括众多 个人、公司、军事机构和间谍机构的信用卡信息。当我认识到这一点,我立刻决定,我要公开这些信息。

Daily Dot 先前的调查显示,与FBI的官方声明相反,战略预测公司遭遇的攻击是Hector Monsegur精心策划的。有关聊天记录显示,Hector Monsegur从Hyrriiya那里秘密取得了关于战略预测公司网络系统缺陷的关键信息,再私下安排哈蒙德与Hyrriiya会面,并对进行战略预测公司攻击

 


1.4 多家科技巨头欲阻止美国政府随意获取国外数据

北京时间6月15日早间消息,微软近期提起诉讼,要求法庭阻止美国政府使用搜查令向微软索取存储在美国以外的数据。此举获得了多家知名科技公司和组织的支持,包括电子前线基金会、Verizon、AT&T,以及苹果公司和思科。

苹果和思科已联合提交了一份法律陈述,对美国政府的这种行为提出了更具体的抗议。微软最初的起诉未能成功,但这已在该公司预料之中。而微软已再次提起诉讼。

此前,美国政府向微软发出搜查令,要求微软提供存储在爱尔兰服务器的数据。微软认为,这样做是不合理的,针对美国国内的搜查令不适用于美国以外地区,也不适用于其他国家的数据。

业内人士认为,微软的观点是合理的。值得注意的是,微软已获得了其他科技巨头的支持,而这些巨头的市值总和达到万亿美元。这表明,科技行业已经认识到在这一领域制度的重要性。

目前,科技公司通常将不同客户的数据分开存放。因为,欧洲等地区公司并不希望使用美国政府可以随意监控的存储解决方案。因此,如果微软希望面向全球客户销售 云计算产品或通讯工具,那么该公司必须确保其中的数据是安全的。如果美国政府可以在没有本地搜查令的情况下很容易地获取这些数据,那么美国科技公司的海外业务将难以为继。

 


1.5 美国一直在打造“黑客帝国” 不必假扮受害者

近日,外交部发言人华春莹在回应美国某网络安全公司发布的涉华报告时指出,美国不必把自己装扮成受害者,它自己就是“黑客帝国”,这是地球人都知道的事实。此话可谓道出了实情。

众所周知,目前还没有哪个国家的网络战部队组建早于美国、实力强于美国。“黑客帝国”的背后,是其庞大的网络战力量储备,尤其是人才储备。美军在其《网络安全教育战略计划》中将网络人才界定为信息技术安全系统设计人员,网络威胁事件识别、分析和处理人员,网络情报收集人员等7个类型,并将遴选对象扩展至具有法学、心理学、情报学等学科背景的求职者。此外,美国国防部以签订商业合同的方式鼓励网络攻防技能出色的小企业和个人参与其短期项目。美国培养“网络 战士”,可谓不遗余力。

从青少年开始抓起。按照前防长拉姆斯菲尔德于2003年签署的《信息战路线图》,美军网络人才选拔甚至可以向中小学拓展。以阿拉莫学院为例,仅2012年就招收了300多名高中生参加信息网络安全学位计划。去年4月26日至5月6日,美国举办了黑客在线比赛,6至12年级的初中和高中生都能以个人或团体的名义参赛。主办方特别表明,参赛者不需要已经是一个黑客,“我们会教你需要知道的东西”,学生可以学习“如何识别安全漏洞,并进行攻击”。大力发展“童 子军”“娃娃兵”,足见美国“倾举国人力、从娃娃抓起”发展“网络战士”的战略意图。

“招安”黑客为己所用。招安黑客、以黑制黑,是五角大楼惯用的招数。美军经常组织黑客大会,并使出浑身解数让黑客高手们相信,为美军效力是他们最好的选择。据美国媒体报道,美国联邦政府官员从1992年起就开始参加在拉斯维加斯召开的黑客大会。美国情报机构曾与卡内基梅隆大学联手举办高中黑客大赛,以物色和培养新一代“网络战士”。在一次黑客大会上,美国国防部官员曾公开向黑客发出邀请:如果你想致力于攻克最前沿的信息题,请加入到我们当中来。

利用院校专业培养。美军非常重视通过院校培养“网络战士”,规定“网络战士”上岗前须像飞行员那样经受严格的训练和考核。早在20世纪90年代初,美国就把信息战列为军事教育与训练的重点。美国国防大学为此专门设立信息资源管理学院,培养学员网络攻击技能。1995年,首批16名“网络战士”正式从该校毕业并进入现役部队。自2012年起,美国成立卓越学术研究中心,将网络人才资助规模从2009年的50所扩大到全美145所高校。美国塔尔萨大学设立的网络军团项目训练学生如何当一名黑客,课程内容包括编写病毒程序、破解网络密码、攻击网站、恢复数据等,学生毕业后85%进入美军相关机构工作。

近日,外交部发言人华春莹在回应美国某网络安全公司发布的涉华报告时指出,美国不必把自己装扮成受害者,它自己就是“黑客帝国”,这是地球人都知道的事实。此话可谓道出了实情。

以演练“投资”未来战场。近年来,美国举办了众多网络攻防对抗演习。据美国媒体报道,美国国土安全部与多个国家合作,已连续多年举行代号为“网络风暴”的电脑网络攻击演习。而名为“军事院校赛博专家”的竞赛,则于今年1月在匹兹堡拉开帷幕,共有来自美国军事院校的50多名学员参加。美军认为,组织网络模拟对抗演习,既能锻炼现有网络人才队伍,又能在全球范围内发掘网络精英作为人才储备。美国把这些网络攻防演练当作一种未来投资,他们期待着新一代“网络战 士”在具有实战味道的演练中孕育和成长,最终投身于网络战场。

 


2 本周关注病毒

2.1 Trojan.Script.BAT.Agent.ek(木马病毒)

警惕程度 ★★

该病毒运行后降低Windows操作系统的安全性,使黑客通过IPC来进入中毒的操作系统,随意启动停止包括防火墙在内的服务,并打开磁盘共享,根据其他病毒内容,增加管理员帐户,最终降低电脑的安全性,使黑客获得管理员权限,达到进一步恶意操作的目的。

2.2 Trojan.Win32.Fednu.ura(木马病毒)

警惕程度 ★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.3 Trojan.Win32.Heur.d(木马病毒)

警惕程度 ★★★★

病毒运行后自我复制至硬盘其他文件夹,后台连接黑客指定地址,下载另外三个病毒程序并在电脑中运行,同时病毒还将收集用户的隐私信息,上传至黑客指定服务器,并利用电脑偷偷连接指定网址,为该页面刷取流量。

 


3 安全漏洞公告

3.1 Linux Kernel 'linux-image-3.2.0-4-5kc-malta'软件包拒绝服务漏洞

Linux Kernel 'linux-image-3.2.0-4-5kc-malta'软件包拒绝服务漏洞

发布时间:

2014-06-19

漏洞编号:

BUGTRAQ  ID: 68083
CVE ID: CVE-2014-4157

漏洞描述:

Linux Kernel是Linux操作系统的内核。

Linux Kernel在实现上存在拒绝服务漏洞,成功利用后可使攻击者造成受影响内核崩溃,导致拒绝服务。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.kernel.org/

3.2 Apache Tomcat远程拒绝服务漏洞

Apache Tomcat远程拒绝服务漏洞

发布时间:

2014-06-18

漏洞编号:

BUGTRAQ  ID: 68072
CVE ID: CVE-2014-0186

漏洞描述:

OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。OpenID 是一个以用户为中心的数字身份识别框架,它具有开放、分散性。OAuth和OpenID协议目前被广泛用于各大公司——如微软、Facebook、 Google、Yahoo、VK、PayPal、GitHub、LinkedIn、QQ、Weibo等。

OAUTH及OpenID在实现上存在隐蔽重定向漏洞,即攻击者在受影响站点创建一个弹出式登录窗口,然后诱使用户登录,窃取个人数据,将用户重定向到攻击者控制的网站。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://jakarta.apache.org/tomcat/index.html

3.3 Zabbix XML外部实体注入漏洞

Zabbix XML外部实体注入漏洞

发布时间:

2014-06-18

漏洞编号:

BUGTRAQ  ID: 68075
CVE ID: CVE-2014-3005

漏洞描述:

ZABBIX是一个CS结构的分布式网络监控系统。

Zabbix 1.8 - 2.2版本include/classes/import/CXmlImport18.php存在XML外部实体注入漏洞,攻击者可利用此漏洞获取敏感信息。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

www.zabbix.com
svn://svn.zabbix.com/branches/dev/ZBX-8151-18 r46594 for 1.8

svn://svn.zabbix.com/branches/dev/ZBX-8151-20 r46600 for 2.0+

3.4 PHP "php_parserr()"缓冲区溢出漏洞

PHP "php_parserr()"缓冲区溢出漏洞

发布时间:

2014-06-17

漏洞编号:

CVE ID: CVE-2014-4049

漏洞描述:

PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。

PHP在"php_parserr()"函数(ext/standard/dns.c)的实现中存在错误,恶意用户通过特制的DNS TXT记录响应,利用此漏洞可造成堆缓冲区溢出。成功利用后可导致任意代码执行。要利用此漏洞需要通过中间人攻击注入任意DNS响应数据包。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.php.net/downloads.php
https://github.com/php/php-src/commit/4f73394fdd95d3165b4391e1b0dedd57fced8c3b

3.5 Symantec Web Gateway 多个跨站脚本漏洞

Symantec Web Gateway 多个跨站脚本漏洞

发布时间:

2014-06-17

漏洞编号:

BUGTRAQ  ID: 67755
CVE ID: CVE-2014-1652

漏洞描述:

Symantec Web Gateway 提供了网络内容过滤和强大的数据泄露防护功能。

Symantec Web Gateway 5.2.1之前版本没有正确过滤用户输入在实现上存在多个跨站脚本漏洞,攻击者可利用这些漏洞在受影响站点的用户浏览器中执行任意脚本代码。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.symantec.com/business/security_response/


3.6 Symantec Web Gateway 'SNMPConfig.php' 远程命令注入漏洞

Symantec Web Gateway 'SNMPConfig.php' 远程命令注入漏洞

发布时间:

2014-06-16

漏洞编号:

BUGTRAQ  ID: 67752
CVE(CAN) ID: CVE-2013-5017

漏洞描述:

Symantec Web Gateway 提供了网络内容过滤和强大的数据泄露防护功能。

Symantec Web Gateway 5.2.1版本存在远程命令注入漏洞,攻击者可利用这些漏洞在受影响设备上下文中以提升的权限执行任意命令。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.symantec.com/business/security_response/


3.7 Symantec Web Gateway SQL注入漏洞

Symantec Web Gateway SQL注入漏洞

发布时间:

2014-06-16

漏洞编号:

BUGTRAQ  ID: 67754
CVE ID: CVE-2014-1651 , CVE-2014-1650

漏洞描述:

Symantec Web Gateway 提供了网络内容过滤和强大的数据泄露防护功能。

Symantec Web Gateway 5.2.1之前版本没有正确过滤用户输入在实现上存在多个SQL注入漏洞,攻击者可利用这些漏洞在下层数据库中执行未授权数据库操作。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.symantec.com/business/security_response/


3.8 Zend Framework 'Zend_Db_Select::order()' 函数SQL注入漏洞

3.8 Zend Framework 'Zend_Db_Select::order()' 函数SQL注入漏洞

发布时间:

2014-06-16

漏洞编号:

BUGTRAQ  ID: 68031

漏洞描述:

Zend Framework (ZF) 是一个开放源代码的 PHP5 开发框架,可用于来开发 web 程序和服务。

Zend Framework 1.12.7之前版本没有正确过滤"Zend_Db_Select::order()"函数内的输入就将其用在SQL查询内,恶意用户通过注入任意SQL代码,可篡改SQL查询。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://framework.zend.com/security/advisory/
http://framework.zend.com/security/advisory/ZF2014-04