当前位置: 安全纵横 > 安全公告

一周安全动态(2014年07月17日-2014年07月24日)

来源:安恒信息 日期:2014-07

2014年07月第四周(07.17-07.24)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 Exodus:世界“最安全”操作系统Tails被发现一严重漏洞

Tails是世界上最受信任的加密平台之一,就连NSA爆料人爱德华·斯诺登也青睐于它。今年五月份的时候,其每日启动次数也超过了11000次。但据安全公司Exodus Intelligence称,该平台或许没有我们想象中的那样安全。该公司表示,他们发现了一个隐蔽的“弱点”,而攻击者可借此让Tails计算机失去匿名性(deanonymize)、甚至远程执行代码,这也让用户暴露在了恶意软件的攻击之下。

Exodus现正与Tails携手封堵该bug,并且有望于下周公布一份完整的漏洞报告。该公司联合创始人Aaron Portnoy表示:“我们不想释放任何细节,因担心有人‘重制’(reproduce)并利用该漏洞”。
在近日于Twitter上发消息称发现该漏洞之后,该公司已承诺将这个bug的细节保留到补丁被成功修补后再公开。当然,这一过程可能需要数月之久。

1.2 黑客如何窃取你的秘密:互联网战场漏洞成武器

美国《时代》周刊7月21日一期发表题为《零世界大战——黑客如何窃取你的秘密》的封面文章,作者是列夫·格罗斯曼。文章称,互联网是一个战场,战利品是你的信息,而漏洞则是武器。


美国《时代》周刊7月21日一期(提前出版)封面

漏洞成为网战武器

网络战不是未来,而是已经存在,并且已经司空见惯。在这场战争中,随处都是战场,漏洞是武器,而黑客则是军火商。

一个软件漏洞的价值能以金钱来衡量,这有点让人匪夷所思。漏洞即错误。通常,我们要花钱修复漏洞。而漏洞大有市场则是我们所处的科技时代更令人匪夷所思的结 果。在这个科技时代,我们的整个世界——我们的商业活动、医疗记录、社会生活和政府——正在一点一点地脱离现实世界,以数据形式进入由软件构成的计算机内 核。很多人出于善意或恶意对这些数据抱有兴趣。其中一些人是间谍,还有一些人是罪犯。漏洞就是他们用以获取数据的武器。

几年前的一个例子能充分说明,是什么让漏洞如此有用。当时,美国和以色列联合研发了一种复杂的计算机病毒,其目的是侵入并破坏位于伊朗纳坦兹市的某个进行铀 浓缩的核设施。这种名为“震网”(Stuxnet)的病毒或许是第一个真正的网络武器。一名双重间谍利用U盘将这种病毒植入核设施的计算机系统。该病毒在 查看整个计算机系统后向主人传回详细的情报,随后开始大规模侵入控制离心机的计算机,并最终导致大约20%的离心机陷入瘫痪。(由于美国和以色列政府在这 个问题上仍然保持沉默,以上均为通过安全专家和媒体提供的事实推演所得。)

是什么让 “震网”病毒如此有效?一个词:漏洞。要成功侵入目标系统,“震网”病毒至少利用了4个不同的系统漏洞,包括一个微软视窗操作系统的漏洞。这些漏洞——更 确切地说,利用这些漏洞所需的知识——本身就像伊朗人正在提炼的浓缩铀,但是以软件的形式存在:它们是昂贵且高度精密的武器,构成了极端复杂的武器系统的 核心。当“震网”病毒从纳坦兹市的核设施扩散并导致全球大约10万台计算机受到感染后,这些漏洞让“震网”病毒具有更大的破坏力。

美国大肆滥用漏洞

早在“震网”病毒出现之前,为漏洞埋单的想法就已经出现。1995年,美国网景通信公司(Netscape)推出了“漏洞奖金”计划,任何人只要找出该公司 浏览器的漏洞都能获得现金奖励。2002年,美国信息防护公司(iDefense)开始购买各种漏洞。2005年,TippingPoint公司也推出了 类似的购买计划。鉴于公开市场上的“零日漏洞”交易日趋活跃和混乱,这两项计划作为安全的“零日漏洞”处理厂(类似于放射性废物库),提供了一种安全的选 择。(“零日”这个术语是指漏洞的新鲜程度。“零日漏洞”是指漏洞公开的时间为零天,因此还没有人尝试修复它。)如果你发现了一个漏洞,你能以公道的价格 卖给iDefense或TippingPoint公司,而不是卖给出价最高但天知道会做出什么事情来的买家。iDefense和TippingPoint 公司会提醒客户警惕这些漏洞,并与软件开发商合作修复它们。这两家公司还有一个共同点:在2005年和2006年连续两年聘用实习生阿龙·波特努瓦。

波特努瓦是一个超级网络攻击专家。2006年,波特努瓦从美国东北大学辍学,开始全职在TippingPoint公司工作。2012年,他从该公司辞职,并 创立了自己的Exodus公司。在这个不大的精英领域中,还有总部位于法国南部的Vupen公司、马耳他的Revuln公司、美国的Netragard公 司和加拿大的Telus公司。(Netragard公司的信条是:“我们保护你们不受我们这种人的攻击。”)Exodus公司总部位于奥斯汀的一栋办公楼 内,与会计师和地产经纪人为邻。即使以新创立的科技公司为标准,这家公司的总部也过于简朴:仅有一个室内装饰——一面挂在墙上的海盗旗。

Exodus公司9名研究人员的日常工作就是攻击目标软件,寻找侵入系统的办法。他们的目标包括浏览器、电邮客户端、即时通讯客户端、Flash、Java、工业控制系统,以及任何可以被攻击者作为突破口的东西。

通常,Exodus公司的研究人员发现一个漏洞后,会起草一份专业报告和技术文件,说明这个漏洞是什么?在哪里?如何发现它?它在什么版本的软件上运行?如 何修复?等等。最重要的是,Exodus公司会告诉你如何激活并利用这个漏洞。购买Exodus公司的漏洞需要注册成为会员,年费在20万美元左右。

基于漏洞交易提供的漏洞正在被用于犯罪或不道德目的这个假设,对于该行业的评价可谓毁誉参半。总部位于华盛顿特区的Endgame公司多年以来向美国政府出售软件漏洞,它被《福布斯》杂志称为“黑客领域的黑水公司”。

Exodus公司的客户基本可以分为两类:攻击型和防守型。防守型的包括安全公司和反病毒软件开发商,他们希望获取可以用于产品的信息,或为客户提供有关系统威胁的最新信息。攻击型的包括侵入测试者,他们利用Exodus公司的“零日漏洞”模拟攻击自己或别人的网络。

还有一些客户可不是模拟而已。众所周知,美国国家安全局和联邦调查局喜欢在目标计算机上植入监视软件,以收集情报;联邦调查局甚至正在游说法院,以更容易地获得采取这种行动的授权。如何在别人的计算机上植入软件,而又不被别人发现?其中一个办法就是利用漏洞。

根据《华盛顿邮报》对爱德华·斯诺登泄露的机密文件的分析,在美国国家安全局的预算中,有2510万美元用于“额外秘密购买软件漏洞”;还有6.52亿美元 用于代号GENIE的秘密计划——在外国计算机网络上植入恶意代码。截至2013年底,GENIE计划预计已经控制全球大约8.5万台计算机。

根据斯诺登提供的机密文件,2011年美国对中国、俄罗斯、伊朗和朝鲜等国家发起了231次网络攻击。而这还只是2011年的数字。在2015年美国国防预算中,有50亿美元用于网络空间行动,而我们对这个领域却知之甚少。

漏洞黑市令人担忧

鉴于软件漏洞的潜在攻击性,你可能认为,美国政府希望像控制战斗机和地雷交易一样控制软件漏洞交易。但事实上,监管者才着手进行控制。去年12月,由美国和 其他40个国家签署的《瓦瑟纳尔协定》进行了修订,将“侵入软件”纳入受到限制的军民两用技术名单,但到目前为止,这项修订尚未得到落实。美国政府一名高 级官员说,目前,美国政府还不想真正控制这个市场。市场行为更多地依赖自愿和自律。卖给谁?不卖给谁?这让波特努瓦和他的团队有时不得不做出道德选择。

尽管如此,滥用漏洞的可能性却切实存在。零日漏洞可不管你侵入的是谁的计算机,或者为什么侵入?今年4月28日,卡巴斯基实验室的研究人员透露,Adobe Flash软件存在一种零日漏洞。如果能诱使目标计算机的使用者访问一个特定的网站,就能利用这个漏洞在目标计算机上植入恶意代码。经研究人员查实,这个 特定的网站属于叙利亚司法部。我们有理由推断,叙利亚政府正在利用零日漏洞监视国内的异见人士。

如果一个不受任何国家控制的政治组织对公共设施发起攻击,那将是一场真正的梦魇。例如,恐怖主义组织。美国联邦调查局在纽约负责网络和特殊行动的前特工玛 丽·加利根说:“如果你能确定其中一种零日漏洞,就能利用它们造成严重破坏。”她以控制工业系统的软件“数据采集与监视控制系统”(SCADA)为例,该 系统就是“震网”病毒攻击的目标。她说:“我们能想到的一切工业系统——制造车间、电网、供水或电梯——都是由与互联网连接的数据设备运行的。真正令人担 忧的是,这是保护力度最弱的环节。”

即使无足轻重的独裁者和网络犯罪分子不能从Exodus公司购买漏洞,他们也能从活跃的漏洞黑市上购买。有人认为这是一个严重的问题,有人则不以为然。兰德公司在今年3月的报告中指出,漏洞黑市是“一些受金钱驱使、具有高度组织性和复杂性的组织的竞技场”。

波特努瓦对黑市漏洞的质量嗤之以鼻。他说,黑市上的大部分漏洞都不具备“零日”新鲜度。通常,犯罪分子会选择那些已经推出安全补丁的较老的漏洞下手,他们要 做的就是在网络上猎捕那些尚未更新软件的目标。根据美国赛门铁克(Symantec)公司《2014年互联网安全威胁报告》,在该公司扫描的所有网站中, 有1/8的网站存在一个未经修复的严重漏洞。

还有一种与黑市截然相反的市场,这个市 场由最初编写存在漏洞的软件的程序员运行。越来越多的大型软件公司意识到,购买自己产品的漏洞并赶在别人利用这些漏洞之前修复它们(有点类似于对出厂产品 进行Beta测试),其实是一种节省成本的办法。2010年,谷歌公司推出奖励发现Chrome浏览器漏洞的计划,并帮助推动了这种趋势。今年,谷歌公司 用于这项计划的支出累计达到330万美元。现在,奖励发现漏洞的做法已经成为惯例,就连网络商店平台Etsy也有类似的计划。微软公司给予发现视窗操作系 统一个严重漏洞的奖金最高达到10万美元。去年,脸谱公司为687个漏洞支付了150万美元的奖金。

数据防护千疮百孔

当然,我们梦想生活在一个没有漏洞的世界:我们的软件完美无瑕,安全性能绝佳。然而,现实却与我们的梦想背道而驰。我们让计算机为我们做得越多,对其安全性 的需求就越迫切;但计算机需要做得越多,它们的软件就必须越复杂,它们的漏洞也就越多。如此就形成了一种恶性循环。以你的笔记本电脑为例,其操作系统由数 千万行代码组成,其安装的应用软件大多数仅完成3/4就匆匆上市。当你的笔记本电脑与数以百万计的其他设备(包括平板电脑和手机)连接,形势就会迅速失控。

修复漏洞有点像排干海洋,你永远也不可能完成。尽管编码水平和标准都在提高,但 提高的速度还不够快。目前,美国国家漏洞数据库列出的漏洞有63239个。去年,研究人员平均每天发现13个漏洞。今年3月,美国联邦政府通报,去年共有 3000家美国公司遭到黑客攻击。保护我们数据的防护墙实际上千疮百孔。与计算机安全领域的人士接触越久,就越会意识到,根本就不存在保护数据的防护墙。

我们如此成功地创造了一个相互连通的“天堂”,在这里,信息可以自由流动,我们又如此迫不及待地想生活在这个“天堂”,以至于我们已经无法按照自己的意愿控 制信息的流动。其结果是,一场新的战争。这场战争并不引人瞩目,但持久、广泛。它模糊了军事与民事、个人与公共、政治与商业的界限。其受害者损失的是个人 数据和知识产权,等他们发现自己遭受了攻击,往往已为时过晚。美国政府一名高级官员说:“零日漏洞将一直存在。这不仅仅涉及保护措施——网络空间的‘防护 墙’、‘护城河’和‘铁丝网’。你必须在一种假设下工作:有时,坏人会侵入。”

1.3 欧洲中央银行承认存在安全漏洞 有个人资料被盗

欧洲央行(ECB)承认,系统安全漏洞导致个人资料被窃取。欧洲央行宣布一个链接到它的公共网站数据库被入侵,导致相关个人资料被盗。网络罪犯能够在用户在银行网站注册、访问和其他活动过程中,抓住一个数据库存储的细节,进行信息盗取,幸运的是这个数据库是与欧洲央行内部系统数据库存储硬盘是独立的。

欧洲央行称,“没有内部系统或市场敏感数据被破坏,然而电子邮件地址,物理地址和电话号码都被偷了。”

欧洲央行表示,大部分的数据是加密的,但注册者的联系信息。据英国广播公司(BBC),大约20000个电子邮件地址和较少的电话号码和物理地址也被盗取。盗窃曝光后,欧元央行收到一封匿名电子邮件,告诉欧洲央行用钱交换数据。

央行现在联络那些电子邮件地址或其他数据可能被盗取的用户,同时作为防范措施,系统上的所有密码已经改变了。

“欧洲央行非常重视数据安全,”该组织表示,“德国警方以收到盗窃报警,并已经开始调查。”

1.4 取代Cookie的追踪工具:访问网页就如留下指纹

研究人员发现,有一种非常难以摆脱的新型在线追踪工具被用来尾随从白宫官网到色情网站YouPorn.com的热门网站的访问者。据普林斯顿大学和比利时鲁汶大学的研究人员披露,这种名为“帆布指纹鉴别”的追踪技术的运作原理是:引导访问者的网络浏览器绘出隐藏图像。由于不同的计算机 (如包含不同的字体、不同的软件、不同的时钟设置等特征)绘出的图像略有不同,那些图像可用于给每名用户指派一个唯一识别码。

与其它的追踪工具一样,帆布指纹用于根据人们访问的网站创建个人配置文件。那些文件有助于向他们推送相关的广告、文章和其它类型的内容。

不过该类技术极难屏蔽,标准的网络浏览器隐私设置或者AdBlock Plus等反追踪工具都无法阻拦它。

研究人员发现,在最热门的10万个网站当中,有5%有帆布指纹鉴别的计算机代码,那些代码主要来自一家名为AddThis的公司。所涉网站使用了 AddThis的社交媒体共享工具。其它的帆布指纹鉴别代码制造者包括德国数字营销商Ligatus和加拿大约会网站Plentyoffish。

AddThis CEO里奇·哈里斯(Rich Harris)称,公司是在今年早些时候开始测试帆布指纹鉴别技术,让其作为替代传统的用户追踪途径“cookie”的潜在方式。

“我们想要找到一个cookie替代品。”哈里斯受访时表示。

他说,公司在启动测试之前考虑过帆布指纹鉴别的隐私影响,但最终认定“它符合现行的法规政策”。

他补充道,公司仅使用通过帆布指纹收集的数据进行内部研发,如果用户在其电脑上安装了AddThis选出式cookie,那公司是不会利用收集回来的数据定向投放广告或者提供个性化服务的。

领导普林斯顿大学研究团队的计算机科学教授埃尔文德·纳拉亚南(Arvind Narayanan)反驳道,迫使用户去相信自己的话并非AddThis的最佳隐私保护方式。

AddThis并未通知相关网站它们被置入代码。据其发言人称,这是因为他们需要在活跃环境下展开研发项目,以获得最佳的测试效果。

她补充道,公司并没将收集回来的任何数据用于定向广告投放和提供个性化服务——不管是来自帆布指纹还是来自传统的cookie追踪的数据。

YouPorn.com发言人回应称,公司“对于AddThis包含可能危害我们的用户隐私安全的追踪软件全不知情”。YouPorn已在AddThis的技术被曝光后将它从YouPorn.com移除。

1.5 报告:黑客可借漏洞攻击手机银行客户端

安卓系统安全问题一直以来被业界所诟病。近日有安全报告指出,安卓手机系统漏洞严重威胁网民支付安全。利用安卓系统漏洞,黑客可以对手机银行客户端实施注入攻击,截获用户银行账号密码,造成财产损失。进行测试的16款手机银行客户端均未能防御此类攻击。

据中国互联网络信息中心(cnnic)的数据显示,由于中国手机支付用户规模成倍增长(同比增长126.9%),截止2013年12月已达1.25亿,移动支付成为大趋势。而伴随这一趋势产生的移动支付安全问题也“水涨船高”。近年来,由于遭受木马、恶意插件等恶意程序入侵导致的网银、支付账户被盗案件频频发生,网民移动支付安全受到严重威胁。

为了检验手机银行客户端的安全性,本次报告针对当前世面上最流行的16家银行的手机银行客户端应用进行了一次全面的安全性测评。结果显示,在防范进程注入测试(利用安卓系统漏洞对应用恶意注入)中,所有16款手机银行客户端的表现不佳,没有任何一款银行客户端能够对这类攻击进行防护。

“相比于单个应用程序的漏洞,安卓系统和linux内核的漏洞往往影响更加广泛,恶意程序利用内核漏洞可以攻击不同厂商生产的多种机型。”安全专家指出,恶意程序的制作者往往倾向于使用系统内核漏洞进行攻击。但实际上,对开源的安卓系统而言,由手机厂商在源码基础上再开发所引入的漏洞往往更多。

根据在2013年的一项研究显示,70%的手机安全漏洞是由厂商定制所引起的。一些中小手机厂商对此并不重视,甚至没有能力修补自身系统中存在的安全漏洞。

由于这些漏洞得不到及时修复,木马程序有机会借助这些漏洞提升root权限,完成对银行客户端的注入。一旦木马注入到客户端进程中,将可轻而易举的获取用户账号和密码,造成网民银行账户信息泄漏和直接财产损失。


2 本周关注病毒

2.1 Worm.Win32.VB.nk(蠕虫病毒)

警惕程度 ★★

病毒运行后自我复制至大量系统文件夹,修改注册表,劫持Photoshop、Excel、Word等常用办公软件的调试程序,该类软件出现崩溃时病毒会立刻运行。病毒运行后将大量占用系统资源,降低系统运行速度,严重者可导致电脑宕机。除此之外,病毒会感染所有接入电脑的U盘及移动硬盘,实现大范围传播。

2.2 Trojan.Win32.Generic.16DF66CD(木马病毒)

警惕程度 ★★

病毒运行后,会在中毒电脑桌面上替换用户IE快捷方式,使得用户打开IE时自动访问黑客指定网址,从而盗刷用户上网流量。

2.3 Trojan.Win32.Generic.16DF65DD(木马病毒)

警惕程度 ★★★★

该病毒运行后结束杀毒软件主进程及主动防御进程,后台连接黑客指定地址,下载海量病毒至电脑。中毒电脑将面临系统运行缓慢、重要文件损毁、网银账号被盗、隐私信息泄露等风险。


3 安全漏洞公告

3.1 OpenSSH 多个远程拒绝服务漏洞

OpenSSH 多个远程拒绝服务漏洞

发布时间:

2014-07-23

漏洞编号:

BUGTRAQ ID: 68757
CVE ID: CVE-2010-4755

漏洞描述:

OpenSSH是SSH协议的开源实现。
OpenSSH 5.8及更早版本,sftp.c的process_put函数及sftp-glob.c的remote_glob函数存在安全漏洞,这可使经过身份验证的远程用户通过特制的不匹配任何路径名的glob表达式,利用此漏洞造成拒绝服务。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://cvsweb.netbsd.org/cgi-bin/cvsweb.cgi/src/crypto/dist/ssh/Attic/sftp-glob.c#rev1.13.12.1
http://cvsweb.netbsd.org/cgi-bin/cvsweb.cgi/src/crypto/dist/ssh/Attic/sftp.c#rev1.21.6.1

3.2 phpMyAdmin js/functions.js多个跨站脚本漏洞

phpMyAdmin js/functions.js多个跨站脚本漏洞

发布时间:

2014-07-23

漏洞编号:

CVE ID: CVE-2014-4986

漏洞描述:

phpmyadmin是MySQL数据库的在线管理工具,主要功能包括在线创建数据表、运行SQL语句、搜索查询数据以及导入导出数据等。
phpMyAdmin 4.0.x、4.1.x、4.2.x版本中,js/functions.js存在多个跨站脚本安全漏洞,经过身份验证的远程用户通过特制的表格名或列名,利用此漏洞可注入任意Web脚本或HTML。

安全建议:

C目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.phpmyadmin.net/home_page/security/PMASA-2014-6.php

3.3 phpMyAdmin server_user_groups.php访问限制绕过漏洞

phpMyAdmin server_user_groups.php访问限制绕过漏洞

发布时间:

2014-07-23

漏洞编号:

CVE ID: CVE-2014-4987

漏洞描述:

phpmyadmin是MySQL数据库的在线管理工具,主要功能包括在线创建数据表、运行SQL语句、搜索查询数据以及导入导出数据等。
phpMyAdmin 4.1.14.2、4.2.6之前版本中,server_user_groups.php存在安全漏洞,经过身份验证的远程用户通过viewUsers请求,利用此漏洞可绕过目标访问限制并读取MySQL用户列表。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://github.com/phpmyadmin/phpmyadmin/commit/395265e9937beb21134626c01a21f44b28e712e5
https://github.com/phpmyadmin/phpmyadmin/commit/45550b8cff06ad128129020762f9b53d125a6934
http://www.phpmyadmin.net/home_page/security/

3.4 Apache HTTP Server远程拒绝服务漏洞

Apache HTTP Server远程拒绝服务漏洞

发布时间:

2014-07-21

漏洞编号:

BUGTRAQ ID: 68740
CVE ID: CVE-2014-0117

漏洞描述:

Apache HTTP Server是Apache软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,由于其多平台和安全性被广泛使用,是最流行的 Web服务器端软件之一。它快速、可靠并且可通过简单的API扩展,将Perl/Python等解释器编译到服务器中。
Apache HTTP Server 2.4.9, 2.4.8, 2.4.7, 2.4.6版本启用了反向代理后,mod_proxy模块允许远程攻击者通过特制的 HTTP Connection报文头,利用此漏洞可造成拒绝服务(子进程崩溃)。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://httpd.apache.org/security/vulnerabilities_24.html

3.5 HP Data Protector 'crs.exe'操作码1091目录遍历漏洞

HP Data Protector 'crs.exe'操作码1091目录遍历漏洞

发布时间:

2014-07-24

漏洞编号:

BUGTRAQ ID: 68856

漏洞描述:

HP Data Protector软件是企业环境中单个服务器自动备份和恢复的软件,支持磁盘存储或磁带存储目标。
HP Data Protector在crs.exe的实现上存在安全漏洞,crs.exe默认监听在随意的TCP端口。在解析操作码1091时,进程存在目录遍历,可导致创建任意文件,远程攻击者可结合其他漏洞在当前用户上下文中执行任意代码。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://itrc.hp.com