当前位置: 安全纵横 > 安全公告

一周安全动态(2014年06月26日-2014年07月03日)

来源:安恒信息 日期:2014-07

2014年07月第一周(06.26-07.03)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 美国独立政府机构改口 称NSA监控项目存在合理

据路透社报道,美国隐私和公民自由监督委员会(PCLOB)在最近的一份报告中改变了对NSA的监控项目的态度--不再反对,反而给予了一定的肯定。该组织表示,这种大规模数据采集项目可以说是一个有效的打击恐怖主义的工具。PCLOB是一个于2004年建立的独立政府机构,它主要为美国总统和国会就反恐问题提供建议。

PCLOB在报告中称,监控项目可以让政府“快速、有效地”收集国外情报,进而提高反恐行动的效率。

不过,该委员会也毫不避讳地在报告中指出,当涉及到美国公民个人隐私问题时,NSA的监控项目又显得不符合宪法的规定了。此外,PCLOB还在报告中提出了一些就监控项目的改进建议,希望能让政府在隐私、公民权力及国家安全之间找到平衡点。

而在今年1月份,这个由5人组成的委员会发布的报告呈现出来的却完全是另外一番态度。当时,PCLOB认为这种大规模的电话记录收集是非法的,它在反恐行动中只起到了很小的作用并且它还表示,政府应当全面停止这样的项目。

1.2 美媒:除“五眼联盟” NSA获权可监控193个国家

据美国《华盛顿邮报》报道,美国前国安局雇员斯诺登泄漏的机密文件显示,除英国、加拿大、澳大利亚和新西兰四个国家外,几乎没有哪国政府未遭到美国国家安全局(NSA)的信息拦截。报道称,美国长期以来与上述四个国家互相不从事间谍活动,这四个国家也与美国组成所谓的“五眼联盟”(Five Eyes),签有不准进行谍报活动协议。

然而,一份2010年的合法证书和其他文件暗示,NSA的特权显然有更大弹性,这其中包括借美国企业入侵目标的任何通讯记录,而不仅是该目标的海外通讯记录。

这份证书经由美国外国情报监视法庭批准,此外,根据斯诺登披露的文件显示,NSA可以收集193个国家的情报,还包括世界银行、国际货币基金组织、欧盟和国际原子能机构等组织。

美国公民自由联盟的副法律主管贾弗说,这些文件显示出政府潜在监控活动的范围有多大,以及法庭在监督方面的作用其实微不足道。

报道强调,NSA虽然没必要将所有国家都当做目标,但它显然有权这样做。

斯诺登去年曝光,美国情报机构窃听多国领导人电话通讯,多达35国领导人出现在监听名单上,引发多国不满。

美国总统奥巴马曾公开保证,非美国公民将与美国公民享受同样的“隐私保护标准”,美国将限制大规模数据收集,通过美德网络对话来缩小两国情报监控分歧。

虽然奥巴马“信誓旦旦”,但迄今美国国会在约束情报机构大规模数据收集方面没有实质动作。上月众议院通过的议案要求国安局不再直接存储美国公民通话记录,在获得法庭许可的情况下才能向电话公司索取通话记录,但不少议员认为大规模监控活动持续展开的可能性依然存在。

1.3 美国官员称FBI和CIA可使用NSA收集的通讯记录

北京时间7月2日早间消息,美国一名情报部门官员近期表示,美国联邦调查局(FBI)和中央情报局(CIA)在处理外国恐怖主义嫌疑人案件时可以查询美国国家安全局(NSA)收集的美国居民的电子通信记录。隐私保护组织近期一直反对允许NSA收集美国居民的电子通信记录,不过此前外界并不清楚,其他情报部门能否访问同样的电子邮件和电话等通信记录。

此次曝光的信息来自美国国家情报主管办公室发送给俄勒冈州民主党参议员罗恩·威登(Ron Wyden)的一封邮件。

根据这封邮件,2013年,CIA针对美国居民的电子通信记录进行了数千次搜索,而FBI并没有记录进行搜索的次数。CIA和FBI被允许为“国外情报信息”而搜索NSA收集的信息。此外,FBI还可以以“寻找及提取犯罪证据”为由进行搜索。

这封邮件是对威登在6月5日一项听证中所提出质疑的回应。威登希望了解,根据《外国情报监控法》,NSA在美国国内进行多少次这样的信息检索。

在这封邮件中,美国国家情报主管办公室法律事务主管德尔德里·沃尔什(Deordre Walsh)表示:“被质疑的查询是合法的、规模有限的,并得到了外国情报监控法院的批准和监督。与一些人所说的不同,法律中没有漏洞,而情报部门也没有 对美国人的通信进行非法或后门式的搜索。”

1.4 德媒称美国已破译德国总理默克尔手机加密技术

据法国国际广播电台报道,美国国家安全局可能仍在窃听德国总理默克尔的手机。美方窃听事件曝光后,默克尔及其内阁成员改用加密手机,以防窃听。但德国《周日图片报》报道称,美方情报机构已经破译了该密码技术。

根据《周日图片报》消息,默克尔及其部长们使用的经过加密处理的黑莓智能手机已被美方解密。美国国安局一位驻德高级工作人员证实了这一消息。这位窃听专家表示,改进手机技术没有影响美方工作。但白宫一名发言人表示,白宫不会就此发表评论。

报道称,德国政府已从杜塞尔多夫的安全智能公司购买了约2500个经过加密处理的高安全智能手机。德政府购买加密手机是因为受到美方窃听事件的刺激。美方窃听默克尔的手机有10年以上的历史。默克尔得知消息后,曾生气地表示不应窃听朋友。美国总统奥巴马后来曾许诺称不会再窃听默克尔的手机。不过,《周日图片报》报道说,美方还在继续窃听多位德国政府成员以及德国政界与经济界要人的手机。

但杜塞尔多夫的安全智能公司否认产品存在安全漏洞。该企业向《周日图片报》表示,涉及到的标准加密程序能抵御所有已知的进攻方式,其中包括以超级计算机为基础发起的进攻。

报道指出,美国前情报人员德拉克日前向另一家德国媒体《明镜》周刊表示,“9?11”事件后,德国成为美方全球监听第一号目标。这是美方对德国的某种惩罚,因为肇事者曾在德国生活并秘密碰头。

1.5 2014巴西世界杯安全团队意外泄露Wi-Fi密码

本届世界杯至今为止为出现特别严重的安全事件。而就在近日,一家负责维护世界杯安全工作的公司出现了一件令人啼笑皆非的低级失误:该公司一名工作人员在twitter上发布了一张安全监控中心的照片,而照片上直接出现了世界杯安全团队的WiFi密码……神一样的队友。

这家以色列安全公司一直以来专注于足球赛事的安保工作,并且其对监控技术颇有自信,比如在巴西的潘特纳尔体育场部署了数百枚安全监控摄像头。

1.6 “黑客特攻组”落网

福建安溪的陈金福今年27岁,偶然机会,他得知有人通过黑客技术攻击他人网站,再挂上特定的跳转代码帮赌博网站做推广来赚取报酬。苦于技术不精的他便在网上请蒋君宁、崔义与自己一起从事这项“事业”,并提出了提供食宿、定期发薪等“优厚条件”。

24岁的蒋君宁是广东湛江人,接触到黑客渗透技术后,俨然成了准黑客。他提出要再带一个人过去。此人就是崔义,老家在贵州,今年刚满18岁,还 是一所中专院校计算机系的学生,两人经常在网上探讨网络技术问题。2013年8月,3个人从各自老家来到广东中山,租了一处民房,“黑客特攻组”正式成 立。

在我国,赌博是被法律禁止的。一些不法之徒在境外服务器上开设赌博导航网站,雇用类似陈金福这样的人,专门对在搜索引擎上排名靠前和知名度较高 的网站进行攻击,这样一来,网民在搜索赌博这类关键词时赌博网站就会出现在搜索结果中,而且点击这些网站时出现的并非原来的网站,而是自动跳转到黑客指定 的赌博网站上。被攻击网站的排名越靠前,赌博网站的访问量就越大,参与赌博的人也随之增多,利润随之而来,帮赌博网站实现跳转的人就可以拿到数额不菲的 “推广费”。

蒋、崔两人先对目标网站进行扫描,找到其漏洞后,使用名为“菜刀”的黑客软件实现对被攻击网站的远程操控。他们向网站中强行插入包含有赌博网站网址的跳转代码,从而达到自动转接到赌博网站的目的。

短短几个月里,“黑客特攻组”共向千余个网站植入了“一句话”木马,并成功攻击了其中的数百个,共从上家获取“推广费”14万元之多。

江南中学位于江苏省无锡市,是一所百年名校,每年升学季都有大量的家长到其网站上查阅招生信息。这天,江南中学的网络员张吉突然发现网站打不开 了,搜索点击后变成了一个没听说过的“博讯网”,里面都是各种赌博网站的链接。经过一番折腾,他终于明白了:网站被人黑了!无奈之下,张吉报了警。很快, 陈金福等3人在广东省中山市某小区租住房内落网。

2014年5月28日,江苏省无锡市北塘区检察院以涉嫌非法控制计算机系统罪对陈金福、蒋君宁、崔义依法批准逮捕。


2 本周关注病毒

2.1 Trojan.Win32.Fednu.utc(木马病毒)

警惕程度 ★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.2 Trojan.Win32.Fednu.ure(木马病毒)

警惕程度 ★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.3 Trojan.Win32.Generic.16D15818(木马病毒)

警惕程度 ★★★★

病毒运行后连接黑客指定网址,下载其他恶意程序,并下载一个配置文件,经过解密后,病毒将得到海量网址为黑客刷取流量,并并执行广告弹窗。中毒电脑将会出现网速变慢、网络流量被占用及系统运行缓慢等问题。


3 安全漏洞公告

3.1 Cisco Small Cell DHCP消息处理远程任意命令执行漏洞

Cisco Small Cell DHCP消息处理远程任意命令执行漏洞

发布时间:

2014-07-03

漏洞编号:

BUGTRAQ ID: 68307
CVE ID: CVE-2014-3307

漏洞描述:

Cisco Small Cell技术可以在Wi-Fi产品中集成3G及4G服务。
Cisco Small Cell产品正在实现DHCP客户端中允许未经身份验证的物理位置临近的攻击者执行任意命令并可能完全控制受影响设备。此漏洞源于没有正确解析特制的DHCP消息。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://tools.cisco.com/security/center/publicationListing.x#~CiscoSecurityResponse

3.2 Discuz! 7系列SQL注入漏洞

Discuz! 7系列SQL注入漏洞

发布时间:

2014-07-02

漏洞编号:

 

漏洞描述:

Discuz! 是用PHP开发的互联网论坛软件。
Discuz! 7.2及以下版本中权限查看功能对gids变量的处理存在逻辑问题,导致防注入的措施被绕过,从而造成SQL注入漏洞。 黑客可远程获取网站所有敏感数据信息,甚至获取网站控制权限。

安全建议:

该漏洞影响目前discuz7版本,而且无需任何条件即可利用此漏洞,该版本目前使用量非常广,造成的危害极大。我们建议使用此软件的用户获取最新版本:http://www.discuz.net/

3.3 EMC Smarts Network Configuration Manager会话固定漏洞

EMC Smarts Network Configuration Manager会话固定漏洞

发布时间:

2014-07-01

漏洞编号:

BUGTRAQ ID: 68259
CVE ID: CVE-2014-2509

漏洞描述:

EMC Smarts Network Configuration Manager (NCM)是管理和配置网络的解决方案。Smarts Network Configuration Manager 9.3之前版本的Report Advisor (RA)组件存在会话固定漏洞,可使远程攻击者通过会话cookie劫持Web会话。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.emc.com/products-solutions/index.htm
http://archives.neohapsis.com/archives/bugtraq/2014-06/0168.html

3.4 Cisco IOS安全限制绕过漏洞

Cisco IOS安全限制绕过漏洞

发布时间:

2014-06-30

漏洞编号:

BUGTRAQ ID: 68261
CVE ID: CVE-2012-3946

漏洞描述:

Cisco IOS是多数思科系统路由器和网络交换机上使用的互联网络操作系统。
Cisco IOS 15.3(2)S之前版本允许远程攻击者通过IPv6数据包绕过接口ACL限制,执行未授权操作。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.cisco.com/c/en/us/td/docs/ios/15_3s/release/notes/15_3s_rel_notes/15_3s_caveats_15_3_2s.html

3.5 PHP Fileinfo组件'cdf_count_chain()'函数远程拒绝服务漏洞

PHP Fileinfo组件'cdf_count_chain()'函数远程拒绝服务漏洞

发布时间:

2014-06-30

漏洞编号:

BUGTRAQ ID: 68238
CVE ID: CVE-2014-3480

漏洞描述:

PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。PHP Fileinfo组件的函数cdf_count_chain()处理某些CDF文件的maxsector时存在问题,可导致远程攻击者造成受影响应用拒绝服务。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.php.net/downloads.php

3.6 PHP Fileinfo组件远程拒绝服务漏洞

PHP Fileinfo组件远程拒绝服务漏洞

发布时间:

2014-06-30

漏洞编号:

BUGTRAQ ID: 68239
CVE ID: CVE-2014-3478

漏洞描述:

PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。PHP Fileinfo组件的函数mconvert()没有正确处理截断的pascal字符串大小,可导致远程攻击者造成受影响应用拒绝服务。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.php.net/downloads.php