当前位置: 安全纵横 > 安全公告

一周安全动态(2014年06月19日-2014年06月26日)

来源:安恒信息 日期:2014-06

2014年06月第四周(06.19-06.26)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 仍有30余万服务器未打上Heartbleed补丁

2个多月前,整个互联网都被“Heartbleed”这个OpenSSL软件的安全漏洞所震惊。事后,尽管大多数公司都已经更新了其服务器软件,但不幸的是,还有不少人很快地就将这件事给遗忘掉了。据来自Errata Security的一份新报告称:仍有超过30万台服务器在运行着过时的、未打补丁的OpenSSL版本。也就是说,这些服务器直接向恶意攻击者敞开了大门。


人总是健忘的(包括给OpenSSL打Heartbleed补丁这件事)。

通过扫描服务器最常用的端口之一(443),Errata可得到服务器的反馈并获知其所使用的OpenSSL版本,而恶意攻击者也可对那些存有“Heartbleed”漏洞的服务器图谋不轨。

当Heartbleed漏洞首次公开时,Errata在扫描后发现了超过60万受影响的服务器。而在一个月后,这个数字降低到了30万。

但当其于昨晚再次扫描时,这个数字竟然只下降了9000。

这是个令人担忧的现象,因为它表明,许多服务器管理员根本不会为一个“被普遍认为非常严重的安全问题”所动。

Errata Security会在下月再进行一次扫描,但愿这个数字能够迅速减少下去。

1.2 考试信息泄露 中银协称确有黑客袭击

针对媒体报道银行人员资格考试信息泄露,并质疑“家有内鬼还是黑客攻击”,记者就此询问了中国银行业协会有关负责人,中国银行业协会回应称网站确实遭受过黑客攻击。

中国银行业协会表示,协会得知信息泄露的第一时间就安排重新审视和评估相关工作流程,完善并加强相关保密措施,并已要求技术服务方检查相关系统、设备。根据目前技术数据显示,网站确实遭受过黑客攻击。协会已会同考试技术服务方提请公安机关立案,并将全力配合公安机关调查,追查信息泄露根源,不论涉及到任何机构和个人,一定依法追究法律责任并严肃处理。

1.3 巴西世界杯官网遭黑客攻击陷入瘫痪

世界杯比赛期间,抗议活动一直并未中断。之前,黑客组织威胁,将在赛事期间,对世界杯相关网站发动攻击,周五,黑客终于“兑现诺言”,攻破了巴西世界杯官网。当地时间周五,巴西世界杯官方网站宕机数小时,显示黑客成功实施了攻击。

据报道,一个名为“Anonymous巴西”的黑客组织实施了这次攻击,该组织也是全球松散的黑客组织“Anonymous”的一部分。

上述黑客组织在世界杯期间,制定了一个名为“攻击世界杯行动”的计划,主要目的是对巴西的贫困现象、腐败和警方暴力表示抗议。

据纽约时报网站报道,世界杯举行期间,在线下,一些人希望外界倾听自己的声音。而在线上,黑客组织进行了大量的拒绝服务攻击,导致相关网站无法正常发挥作用。

在推特发布的一条微博中,上述黑客组织宣布,自从巴西世界杯开幕以来,他们已经实施了一百多次网络攻击,被攻击的网站对象隶属于巴西情报机构、世界杯赞助商 现代公司巴西分公司,巴西足球协会,巴西司法部,圣保罗军事警察机构,巴西银行,以及Africa.com.br网站。

本周,这家黑客组织宣布袭击了巴西联邦警方内部办公的服务器,作为证据,他们公布了大量的用户名和密码数据,此外还提供了面向内部办公系统的链接。不过目前这些“证据”的真实性尚未获得证实。

网络安全专家表示,黑客组织对世界杯相关网站发动拒绝服务攻击,这并不出乎意料。这种攻击只需要通过控制僵尸电脑即可实现,实际上,今天十几岁的少年,都可以发起拒绝服务攻击。

据报道,上述黑客组织还威胁,将会对巴西世界杯赞助商的网站发动袭击,包括阿迪达斯、百威啤酒、可口可乐、和阿联酋航空公司。不过目前,只有赞助商在巴西的一些网站遭到攻击。

1.4 黑客干扰对冲基金的高频交易

BAE Systems Applied Intelligence的全球产品总监Paul Henninger透露,身份未知的黑客在八周时间内干扰了一家 大型对冲基金的高频交易。他没有透露对冲基金的名字,宣称攻击显示了有组织犯罪行为的所有特征。

Henninger说,黑客不是试图摧毁对冲基金的交易系 统或窃取情报,而是试图从干扰高频交易上牟利。此类的网络攻击最近才出现。他说,黑客在该基金的系统中植入了恶意软件,修改了数据传输路径,使得系统执行 交易指令的时间被推迟数百微秒,攻击的目标是该基金的指令输入系统。

不久前银行雇佣的防范黑客渗透的安全工程师还只有10到15人,现在增加到了50到 100人。摩根大通有千人规模的团队负责安全风险。

1.5 美国中央情报局希望借助亚马逊云计算分析情报

近日美国中央情报局(CIA)首席情报官道格·沃尔夫公开发言称,中情局越来越倚重亚马逊的计算机云端系统,将使用该系统分析情报。

沃尔夫表示,乌克兰及伊拉克局势显示中情局任务的复杂性,因此需要采用最好的科技。中情局去年已跟亚马逊签订6亿美元(约37.4亿元人民币)合约,亚马逊将在中情局内建立和管理一套私人云端系统。此举被视为当局肯定亚马逊网络服务(AWS)的安全性及可信性。

沃尔夫还表示,中情局除采用亚马逊的服务器外,同时也希望使用其现有的软件。“我认为双方不单在运作服务器方面具创新意念,也希望把这些创意从商业应用带到 中情局任务当中。”沃尔夫特别提到亚马逊的“Kinesis”和“Redshift”服务能处理和分析大量数据,正是中情局希望采用的软件 。

1.6 美国NSA再次获得大规模数据收集授权

北京时间6月23日下午消息,美国司法部和和国家情报主管办公室上周五发布联合声明称,美国外国情报监控法庭已批准,再次授权美国国家安全局(NSA)在90天内进行大规模电话记录收集活动。美国国会正尝试通过新的立法来限制NSA的数据收集行为。不过美国政府部门认为,由于目前相关的立法尚未生效,因此仍寻求延续这样的做法。

美国情报机构前雇员爱德华·斯诺登(Edward Snowden)去年6月曝光了NSA的大规模电话数据收集行为。由于这一项目遭到了激烈批评,美国总统奥巴马今年1月提议对项目进行调整,例如要求政府 部门不得大规模收集或持有此类数据,而除紧急情况之外,任何对电话记录数据库的访问都必须得到外国情报监控法庭的批准。

今年3月,奥巴马表示,电话记录数据应当被保留在电信公司内部,不过美国国会应当首先通过适当的立法。

相关的《美国自由法案》于今年5月通过了众议院批准,目前仍有待参议院的批准。这一法案解决了NSA大规模获取电话记录的问题。不过公民权利组织认为,众议院批准的法案留下了漏洞,而NSA仍将可以大规模收集电话记录。

奥巴马政府支持众议院通过的这一妥协的法案,不过一些科技公司认为,由于法案存在漏洞,因此无法对此表示支持。一些权利组织希望,参议院能恢复最初版本的立法草案。

美国司法部和国家情报主管办公室的联合声明敦促参议院尽快通过这一立法,而美国政府已准备好与国会合作,明确这一法案将禁止大规模数据收集行为。


2 本周关注病毒

2.1 Trojan.Win32.Mnless.dyr(木马病毒)

警惕程度 ★★

病毒运行后自我复制并设置文件为隐藏属性,同时添加注册表项实现自启动,最终导致链接黑客指定地址并下载恶意程序。

2.2 Worm.Win32.VB.nk(蠕虫病毒)

警惕程度 ★★

病毒运行后自我复制至大量系统文件夹,修改注册表,劫持Photoshop、Excel、Word等常用办公软件的调试程序,该类软件出现崩溃时病毒会立刻运行。病毒运行后将大量占用系统资源,降低系统运行速度,严重者可导致电脑宕机。除此之外,病毒会感染所有接入电脑的U盘及移动硬盘,实现大范围传播。

2.3 Trojan.Win32.Generic.1620885C(木马病毒)

警惕程度 ★★★★

病毒运行后将自身添加到防火墙白名单中,并后台连接黑客指定地址,下载其他病毒至用户电脑。黑客可利用该病毒窃取硬盘中的文件,并盗取各类网络账号及银行卡账密。


3 安全漏洞公告

3.1 Apache Struts ParametersInterceptor任意代码执行漏洞

Apache Struts ParametersInterceptor任意代码执行漏洞

发布时间:

2014-06-25

漏洞编号:

CVE ID: CVE-2014-0112

漏洞描述:

Struts是用于构建Web应用的开放源码架构。
Apache Struts 2.3.16.2之前版本ParametersInterceptor没有正确限制访问getClass方法,这可使远程攻击者篡改ClassLoader并执行任意代码。
该漏洞是由于对CVE-2014-0094修补不完整而导致。

安全建议:

Apache Group已经为此发布了一个安全公告(s2-021)以及相应补丁:
s2-021:ClassLoader manipulation
链接:
http://struts.apache.org/release/2.3.x/docs/s2-021.html

3.2 JBoss Seam远程代码执行漏洞

JBoss Seam远程代码执行漏洞

发布时间:

2014-06-25

漏洞编号:

BUGTRAQ ID: 68174
CVE ID: CVE-2014-0248

漏洞描述:

JBoss Seam是一个Java EE5框架,把JSF与EJB3.0组件合并在一起,从而为开发基于Web的企业应用程序提供一个最新的模式。
JBoss Seam在AuthenticationFilter的日志记录实现上存在安全漏洞,成功利用后可使攻击者在受影响应用上下文中执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.jboss.org/

3.3 IBM Security Access Manager远程代码执行漏洞

IBM Security Access Manager远程代码执行漏洞

发布时间:

2014-06-25

漏洞编号:

BUGTRAQ ID: 68137
CVE ID: CVE-2014-3073

漏洞描述:

IBM Security Access Manager 软件是高度可扩展的用户认证、授权和Web SSO解决方案。
IBM Security Access Manager (ISAM) for Mobile 8.0、IBM Security Access Manager for Web 7.0、8.0版本存在安全漏洞,可使远程攻击者执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.ibm.com/support/fixcentral/
http://xforce.iss.net/xforce/xfdb/93790
http://www-01.ibm.com/support/docview.wss?uid=swg1IV61563
http://www-01.ibm.com/support/docview.wss?uid=swg21676699

3.4 多个华为产品'eSap'平台远程堆缓冲区溢出漏洞

多个华为产品'eSap'平台远程堆缓冲区溢出漏洞

发布时间:

2014-06-23

漏洞编号:

BUGTRAQ ID: 68130

漏洞描述:

华为技术有限公司是一家总部位于中国广东省深圳市的生产销售电信设备的员工持股的民营科技公司,于1987年由任正非创建于中国深圳,是全球最大的电信网络解决方案提供商,全球第二大电信基站设备供应商。
多个华为产品在实现上存在多个堆缓冲区溢出漏洞,攻击者可利用这些漏洞造成拒绝服务。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://support.huawei.com/enterprise/

3.5 Symantec Data Insight Management Console跨站脚本漏洞

Symantec Data Insight Management Console跨站脚本漏洞

发布时间:

2014-06-25

漏洞编号:

BUGTRAQ ID: 68160
CVE(CAN) ID: CVE-2014-3432

漏洞描述:

Symantec Data Insight是企业数据管理解决方案。
Symantec Data Insight 4.5之前版本没有正确验证或过滤管理控制台上某些表格的字段值,在实现上存在跨站脚本执行漏洞,未经身份验证的攻击者可诱使经过身份验证的用户单击恶意 链接或在受影响字段注入恶意脚本利用此漏洞,成功利用后可造成任意html脚本执行。

安全建议:

Symantec已经为此发布了一个安全公告(SYM14-012)以及相应补丁:
SYM14-012:Security Advisories Relating to Symantec Products - Symantec Data Insight Management Console HTML Injection and Cross-Site Scripting
链接:http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=secu
补丁下载:https://symantec.flexnetoperations.com/

3.6 Symantec Data Insight Management Console HTML注入漏洞

Symantec Data Insight Management Console HTML注入漏洞

发布时间:

2014-06-25

漏洞编号:

BUGTRAQ ID: 68161
CVE ID: CVE-2014-3433

漏洞描述:

Symantec Data Insight是企业数据管理解决方案。
Symantec Data Insight 4.5之前版本没有正确验证或过滤管理控制台上某些表格的字段值,在实现上存在HTML注入漏洞,未经身份验证的攻击者可诱使经过身份验证的用户单击恶意链接或在受影响字段注入恶意脚本,成功利用此漏洞后可造成任意html脚本执行。

安全建议:

Symantec已经为此发布了一个安全公告(SYM14-012)以及相应补丁:
SYM14-012:Security Advisories Relating to Symantec Products - Symantec Data Insight Management Console HTML Injection and Cross-Site Scripting
链接:http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=secu
补丁下载:https://symantec.flexnetoperations.com/