当前位置: 安全纵横 > 安全公告

一周安全动态(2014年07月24日-2014年07月31日)

来源:安恒信息 日期:2014-07

2014年07月第五周(07.24-07.31)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 工程师为炫技“偷”用户数据受审

为了向同事炫耀自己有本事,30岁的男子王某利用263公司的系统漏洞入侵对方服务器,登录263管理员账号并导出了1.6万余条信息。昨天上午,因涉嫌 非法获取计算机信息系统数据罪,王某在昌平法院受审。因此案是昌平地区首例涉及计算机安全的案件,副院长翟永峰亲自出庭担任合议庭审判长,并当庭宣判,判 处王某有期徒刑3年,缓刑5年。

>>案由

工程师入侵263公司被公诉

昨天上午9点半,已被取保候审的被告人王某被带入法庭,王某个头不高,手臂上有一块大面积的文身。今年30岁的王某,案发前是普信恒业科技发展(北京)有限公司安全测试工程师。

据检察机关指控,去年8月9日至8月10日,王某为炫耀计算机水平,利用北京263企业通信有限公司计算机系统存在的网络漏洞,入侵该公司服务器,窃取并导出该公司企业用户通讯录1.6万余组。去年12月10日,王某被警方抓获。12月14日被取保候审。

检察机关认为,王某已涉嫌非法获取计算机信息系统数据罪。

“没有异议,我认罪”,王某当庭说,他发现了通信公司的系统漏洞,出于好奇、炫耀的心理,入侵了对方的系统,导出了数据。

>>供述

入侵是为炫耀自己技术高超

王某供述,他大学学的计算机,毕业后入职,工作职责是安全工程师,负责公司网络安全。

据其讲述,事发前,他了解到很多公司都存在一个公开的漏洞,“当时网络上公开了这种漏洞,京东百度当时都有这个漏洞,但是他们在最快时间修复了”,王某说,因为自己公司是263的客户,于是他出于好奇,拿263做了个试验,发现真的可以直接进入。

入侵之后,王某获得了263企业邮箱管理员的权限,他又设置了一个“超级密码”(相当于原来的密码还可以用,超级密码也同时可以用),进入管理平台。此后, 为了显示自己的水平,王某又编写了一个自动化批量导出程序,将别人手动导出需要五六天的用户信息,用六七个小时自动导出。

导出之后,王某将信息存放在自己的电脑中,还将一些文件截图,发给做网络安全的同事,“我想证明这个漏洞有多大的危害,我们公司的系统也可能存在这个漏洞,所以我和同事商量应该先把自己公司的漏洞修复”。

>>判决

未造成严重后果获缓刑

王某说,自己不懂法,没有考虑到事情的后果,现在很后悔。“企业邮箱名、员工姓名、手机号,都是企业私有的信息。”王某说,不过他没有拿这些信息做别的事情,就一直存放在电脑里。王某表示,希望有机会可以向263道歉,如果对方有损失的话,他愿意赔偿。

昨天上午,经过审理,法院对案件当庭作出宣判,因王某导出信息后,仅是存放在自己电脑中,并未做其他用处,因此法院从轻判处他有期徒刑3年,缓刑5年,罚金6000元,并没收了他的笔记本电脑。

>>庭外

法院副院长审案前请教专家

庭审后,翟永峰告诉记者,非法获取计算机信息系统数据罪,为2009年《刑法修正案七》新设置的罪名。5年来,昌平地区只有这一例案件,属于新型案件。翟永峰透露,因为案件类型很新颖,在开庭前,他和合议庭成员,都特意向熟悉类似案件的专家进行了请教。

1.2 美国智库:“棱镜门”阻碍美国科技行业发展

北京时间7月30日午间消息,美国智库新美国基金会周二发布报告称,倘若美国国家全局(以下简称“NSA”)的监控权利无法得到抑制,便有可能令美国科技公司的更多业务遭到海外竞争对手蚕食。这份由新美国基金会下属的开放技术学会(Open Technology Institute)发布的报告,呼吁NSA停止批量搜集用户数据,并允许科技企业更加详细地对外披露,他们究竟向美国政府提交了哪些信息。

阻碍发展

美国参议院周二提交的议案也将体现这份报告的部分内容。

该报告还援引了微软和思科部分高管的担忧称,NSA的监控项目可能会破坏规模达1500亿美元的云计算服务市场。由于企业都在快速将软件和数据转移到远程服务器,使得这类服务实现了快速扩张。

“短期的痛点在于损失销量和面临商业挑战。”代表苹果和甲骨文等公司利益的美国贸易组织BSA/The Software Alliance政策总监克里斯·霍普芬斯伯格(Chris Hopfensperger)说。

微软副总法律顾问约翰·弗兰克(John Frank)表示,该公司的客户比以往更关心内容存储在哪里,以及这些内容的使用方式和安全保障。

不过,微软发言人杰克·伊万斯(Jack Evans)透露,该公司的业务尚未受到太大影响。

棱镜门

微软已经与雅虎和谷歌等公司结成同盟,共同呼吁美国政府限制NSA的间谍行为。

该同盟在声明中表示,美国国会的议案也将有助于恢复信心,结束美国政府对互联网元数据的批量搜集行为,并加大美国监控项目的透明度。

自从“棱镜门”2013年6月曝光以来,美国网站托管服务提供商Servlnt的海外客户已经减少了30%。

事实上,自从NSA前雇员爱德华·斯诺登(Edward Snowden)曝光“棱镜”监控项目以来,外界对科技公司的信任便一直面临挑战。斯诺登披露的文件显示,美国科技公司需要应法院要求,将部分用户数据提 交给情报部门。文件还表明,NSA通过入侵海底光纤窃取数据,甚至通过植入后门的方式直接拦截路由器、服务器和网络设备中的数据。

收入减少

Servlnt COO克里斯蒂安·道森(Christian Dawson)还担任互联网基础设施联盟(Internet Infrastructure Coalition)主席,该组织代表戴尔、Rackspace Hosting等公司的利益。他表示,国际云计算服务提供商现在都在利用“棱镜门”来推广自家产品。Servlnt的客户对道森表示,他们已经无法忍受自己的数据被美国企业托管。

开放技术学会称,要降低美国公司面临的业绩下滑和业务流失等负面影响,还必须采取更多措施,例如通过立法来限制NSA对外国人的监视,并制定政策来规范美国政府在电脑中安装恶意软件的流程。

美国智库信息技术与创新基金会预计,海外客户因为担心间谍项目而放弃购买美国企业的产品,可能导致美国科技公司在今后三年损失350亿美元收入。

中国业绩

思科是首批受到“棱镜门”影响的企业之一,该公司CEO约翰·钱伯斯(John Chamber)在去年11月的财报电话会议上表示,此事已经对思科在中国的销量产生了影响,还导致其他国家的客户迟迟不肯购买该公司的设备。

钱伯斯在5月15日发给美国总统奥巴马的公开信中表示,人们对自由开放的互联网的信心因为美国政府监控项目的曝光而受到影响,他还呼吁对此制定新的规则。

思科发言人拒绝对该公司的销量是否会继续下滑发表回应,只是表示,该公司将在8月13日公布第三财季业绩。

德国政府已经宣布,由于受到间谍项目的影响,该国计划取消与Verizon电信公司的合同。

道森和霍普芬斯伯格都表示,很难对美国企业因为“棱镜门”而损失的业务进行具体量化。“如果客户直接使用非美国企业的服务,你永远不会知道你因此损失了一单生意。”霍普芬斯伯格说。

1.3 美国举行“网络卫士”演习,检验政府应对网络事故的能力

美国联邦政府举行了一场大规模网络演习“网络卫士14-1”,来自军队、执法部门、民间机构、学术界和商业界、国际盟友的500余人参加了这次演习。这次演习为期两周,在2014年7月17日拉下帷幕,演习的目的是检验军队和联邦机构如何在战役和战术层面相互配合,以保护美国国家网络基础设施,预防、减轻这些基础设施面临的网络攻击并迅速从攻击中恢复。

美国网络司令部牵头组织了这次演习活动,演习在位于弗吉尼亚的美国联邦调查局国家学院举行。“网络卫士”演习也吸引了来自学术界、私营行业和国家事业机关的观察员。据国防部官员,这是此类演习中规模最庞大的一次,有550多名参与者,为2013年演习参与者人数的双倍。

演习中,网络司令部、国民警卫队、预备役部队和国家安全局支持国土安全部和联邦调查局对针对关键国家基础设施的模拟国外攻击做出反应。

如果国内网络发生事故,美国联邦机构分别拥有不同的、互补的角色。国土安全部是负责协调保护、预防、减缓和从一次网络事故恢复的领导机构。美国司法部和联邦调查局负责调查、追查、阻止和起诉国内网络犯罪,以及收集、分析和分发国内网络情报。美国国防部负责保护美国免受攻击,收集、分析和分发国外威胁情报,并支持美国国土安全部的保护、预防和恢复作用。国民警卫队的职责是帮助受网络事故影响的州,允许联邦军队能够专注于他们的传统核心任务。据美国国防部消息,这次演习的大多数参加者都来自22个州的国民警卫队人员。

“网络卫士”还包括一些网络保护分队,这是美国网络司令部的任务保护部队(Mission Protection Force)的一部分。这些分队保护美国国防部的信息网络,提供外国情报和评估以及为国家防御提供现役能力,以支持军方的需求。

1.4 苹果承认iOS系统存在后门

据国外媒体报道,不久前知名iOS黑客乔纳森·扎德尔斯基(Jonathan Zdziarski)披露iOS存在若干后门,在特定的情况下可以获取到用户的个人信息,苹果日前简介承认了这一点,表示iPhone与iPad等产品预装的iOS操作系统存在若干之前并未泄露的“诊断功能”,同时公布了这三个后门的相关信息。

乔纳森·扎德尔斯基曾经是iOS越狱团队的一员,也出版过多部有关iOS开发的书籍。上周末扎德尔斯基正式公布了他的这一发现。

扎德尔斯基披露的这三个后门存在于6亿台iPhone和iPad的操作系统内,通过这些后门可以获取到大量的用户个人信息,然后可以将这些信息传输到在手机信任列表里的设备,例如不少用户会将iPhone用数据线连接到电脑,而这些电脑就是“可信任设备”。尽管这些后门只有通过这些可信任设备来进入,一定程度上降低了信息泄露的可能性,但手段高超的攻击者依然可以通过这一信任机制来获取到这些信息。

苹果之前从来没有对公众提及这些iOS服务。扎德尔斯基表示,这些服务在获取用户个人信息时不会通知用户,也不需要获得用户的许可,更无法被用户关闭。

而在周二晚上发布的一份声明中,苹果将这三个后门描述为“iOS的诊断功能,用户帮助企业IT部门,开发者和AppleCare检测故障”,苹果也公布了这三个后门的一些详情。

1. com.apple.mobile.pcapd

pcapd支持将iOS设备上获取的诊断数据包传输到一台可信任设备上。这项服务可用户检测和诊断iOS设备上的应用和企业VPN连接。

2. com.apple.mobile.file_relay

file_relay支持从设备内有限制地复制诊断信息,这一服务独立于用户生成的备份之外,无法接触到用户设备上所有的数据,同时由iOS数据保护措施所限制。苹果工程部在内部设备上使用file_relay来验证用户设置,AppleCare在用户的许可前提下也会使用这一服务从用户的设备上手机相关的诊断数据。

3. com.apple.mobile.house_arrest

iTunes调用house_arrest进行iOS设备与应用之间的文档发送和接收,Xcode也会调用这一服务,在一个应用的开发过程中帮助传输测试数据。

苹果的这份声明中还表示:正如扎德尔斯基发现的那样,第三方确实可以通过Wifi访问一台可信任设备,从而调用这些服务。但苹果方面既没有确认也没有否认最关键的一个问题:这些服务是否会在用户不知情,或者无需用户统一的情况下工作。

苹果还特别强调,file_relay能调用的只是很有限的一些数据,但扎德尔斯基回应说,该服务能够获取到iPhone的44种数据源,其中包括电话纪录、短信记录、语音邮件、GPS数据等一些极度私密的信息。大部分情况下这些个人信息和诊断数据可以没有任何交集。

1.5 汽车系统连接漏洞凸显 黑客可轻易破解

你认为你的汽车足够安全么?硬件性能的强弱就能决定一切么?或许你不曾知道,只要你的汽车存在任何形式的系统连接,就会出现漏洞,这也就是说,黑客就能通过漏洞,轻而易举的入侵你的汽车系统。

据CNN的一份调查数据显示,就在2014年,截至目前,有超过半数的美国成年人曾尝试入侵他人的设备,包括笔记本、平板电脑、手机、和汽车。


只要有连接 黑客就能轻易入侵控制汽车系统

就如同入侵你的电脑、手机和平板电脑,黑客也能通过类似的方式入侵到你的汽车系统,从而通过键盘,来控制你的行车方式和安全。据悉,美国曾有一个黑客入侵汽车系统的案例,作案黑客用电脑控制了汽车的刹车装置,从而让刹车失灵,驾驶者随即发生了车祸。

此前曾有人认为,汽车漏洞属于汽车本身,但据专业人士称,所有的能被黑客入侵的漏洞,都与汽车本身无关,而是来自于任何形式的一个连接,包括有线和无线网络。

现如今,汽车与科技的联系愈发紧密,车联网和智能车载系统也愈发普及,所以连接带来的安全隐患,是需要我们重新重视的一大问题。


2 本周关注病毒

2.1 Trojan.Win32.Mnless.dyr#RSUNPACK.a(木马病毒)

警惕程度 ★★

该病毒运行后自我复制至系统文件夹,将自身设置为开启即自动,并每天定时运行。除此之外,病毒还将修改注册表,设黑客指定的恶意网址为可信任站点,后台连接该网址,下载其他恶意程序至电脑。电脑中毒,将面临系统运行缓慢、网络账号被盗,隐私信息泄露等风险。

2.2 Worm.Win32.Gamarue.o(蠕虫病毒)

警惕程度 ★★

该病毒运行后会注入系统进程,并运行其他病毒程序,自我复制至系统文件夹下,修改注册表,实现开机自启动。然后病毒会远程连接黑客指定地址,下载其他病毒至电脑,并收集电脑中的隐私信息,发送给黑客。用户电脑一旦中毒将面临隐私信息泄露的风险。

2.3 Trojan.Win32.Generic.16E19309(木马病毒)

警惕程度 ★★★★

该病毒运行后创建互斥体 "qiwuyeiu2983" 判断系统中是否有实例存在,有则退出,否则添加注册表项,将自身添加至防火墙的白名单中,后台连接黑客指定地址,下载其他病毒,并盗取用户的网络帐号及隐私文件。


3 安全漏洞公告

3.1 Linux Kernel本地权限提升漏洞

Linux Kernel本地权限提升漏洞

发布时间:

2014-07-30

漏洞编号:

BUGTRAQ ID: 68940
CVE ID: CVE-2014-3534

漏洞描述:

Linux Kernel是Linux操作系统的内核。
Linux kernel的ptrace子系统没有正确过滤psw蒙版值,未授权本地用户可利用此漏洞设置地址空间控制位,然后获取内核内存的读写权限。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=dab6cf55f81a6e16b8147aed9a843e1691dcd318

3.2 IBM WebSphere Portal 开放重定向漏洞

IBM WebSphere Portal 开放重定向漏洞

发布时间:

2014-07-30

漏洞编号:

CVE ID: CVE-2014-3054

漏洞描述:

IBM WebSphere Portal是一个框架——包括运行时服务器、服务、工具和许多其他特性——您可以使用这些特性将企业集成到单个称为门户的可自定义界面中。WebSphere Portal 7.x、8.x-8.0.0.1 CF12版本的Unified Task List (UTL) Portlet在实现上存在多个开放重定向漏洞,这可使远程攻击者将用户重定向到任意网站或执行钓鱼攻击。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://xforce.iss.net/xforce/xfdb/93529
http://www.ibm.com/support/fixcentral/

3.3 IBM WebSphere Portal信息泄露漏洞

IBM WebSphere Portal信息泄露漏洞

发布时间:

2014-07-30

漏洞编号:

CVE ID: CVE-2014-3056

漏洞描述:

IBM WebSphere Portal是一个框架——包括运行时服务器、服务、工具和许多其他特性——您可以使用这些特性将企业集成到单个称为门户的可自定义界面中。
WebSphere Portal 7.x、8.x-8.0.0.1 CF12版本的Unified Task List (UTL) Portlet在实现上存在多个漏洞,这可使远程攻击者获取环境变量的敏感信息及JAR版本。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://xforce.iss.net/xforce/xfdb/93529
http://www.ibm.com/support/fixcentral/

3.4 IBM WebSphere Portal 跨站脚本漏洞

IBM WebSphere Portal 跨站脚本漏洞

发布时间:

2014-07-29

漏洞编号:

BUGTRAQ ID: 68928
CVE ID: CVE-2014-3057

漏洞描述:

IBM WebSphere Portal是一个框架——包括运行时服务器、服务、工具和许多其他特性——您可以使用这些特性将企业集成到单个称为门户的可自定义界面中。
IBM WebSphere Portal Unified Task List (UTL) Portlet在实现上存在跨站脚本漏洞,远程攻击者可通过特制的URL利用此漏洞在受害人Web浏览器上下文中执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://xforce.iss.net/xforce/xfdb/93529
http://www.ibm.com/support/fixcentral/

3.5 IBM WebSphere Portal SQL注入漏洞

IBM WebSphere Portal SQL注入漏洞

发布时间:

2014-07-29

漏洞编号:

BUGTRAQ ID: 68929
CVE ID: CVE-2014-3055

漏洞描述:

IBM WebSphere Portal是一个框架——包括运行时服务器、服务、工具和许多其他特性——您可以使用这些特性将企业集成到单个称为门户的可自定义界面中。WebSphere Portal 8.0.0.0-8.0.0.1、WebSphere Portal 7.0.0.0 - 7.0.0.2版本在实现上存在SQL注入漏洞,远程攻击者可发送特制的SQL语句,利用此漏洞查看、添加、修改或删除后端数据库内的信息 。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://xforce.iss.net/xforce/xfdb/93529
http://www.ibm.com/support/fixcentral/

3.6 多个HP及H3C VPN防火墙模块产品拒绝服务漏洞

多个HP及H3C VPN防火墙模块产品拒绝服务漏洞

发布时间:

2014-07-29

漏洞编号:

BUGTRAQ ID: 68916
CVE ID: CVE-2013-4840

漏洞描述:

惠普(HP)是面向个人用户、大中小型企业和研究机构的全球技术解决方案提供商。惠普(HP)提供的产品涵盖了IT基础设施,个人计算及接入设备,全球服务,面向个人消费者、大中小型企业的打印和成像等领域。
HP及H3C VPN Firewall Module产品SECPATH1000FE 5.20.R3177之前版本,SECBLADEFW 5.20.R3177之前版本存在安全漏洞,这可使远程攻击者利用此漏洞造成拒绝服务。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://itrc.hp.com
https://h20564.www2.hp.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c03993467
https://h20564.www2.hp.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c03993467

3.7 Apache HTTP Server 'mod_cache'模块远程拒绝服务漏洞

Apache HTTP Server 'mod_cache'模块远程拒绝服务漏洞

发布时间:

2014-07-28

漏洞编号:

BUGTRAQ ID: 68863
CVE ID: CVE-2013-4352

漏洞描述:

Apache HTTP Server是Apache软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,由于其多平台和安全性被广泛使用,是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩展,将Perl/Python等解释器编译到服务器中。
Apache HTTP Server 2.4.6版本的mod_cache模块中,modules/cache/cache_storage.c的函数cache_invalidate存在安全漏洞,当启用了缓存转发代理后,允许远程HTTP服务器通过触发缺失主机名值,造成拒绝服务。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://svn.apache.org/viewvc/httpd/httpd/trunk/modules/cache/cache_storage.c?r1=1491564&r2=1523235&diff_format=h
http://httpd.apache.org/security/vulnerabilities_24.html
http://svn.apache.org/viewvc/httpd/httpd/trunk/modules/cache/cache_storage.c

3.8 多个Red Hat JBoss产品远程任意代码执行漏洞

多个Red Hat JBoss产品远程任意代码执行漏洞

发布时间:

2014-07-28

漏洞编号:

BUGTRAQ ID: 68890
CVE ID: CVE-2014-3518

漏洞描述:

JBoss企业应用平台(JBoss Enterprise Application Platform,EAP)是J2EE应用的中间件平台。
Red Hat JBoss Enterprise Application Platform (JEAP) 5.2.0、Red Hat JBoss BRMS 5.3.1、Red Hat JBoss Portal Platform 5.2.2、Red Hat JBoss SOA Platform 5.3.1内使用的JBoss Remoting的jmx-remoting.sar没有正确实现JS4 160规范,这可使远程攻击者执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://rhn.redhat.com/errata/RHSA-2014-0887.html