当前位置: 安全纵横 > 安全公告

一周安全动态(2014年07月31日-2014年08月07日)

来源:安恒信息 日期:2014-08

2014年08月第一周(07.31-08.07)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 伊朗核设施工作站曾被黑客入侵并大声播放AC/DC的Thunderstruck

2009到2010年间,伊朗核设施一直遭受着各种网络攻击。其中闹得比较大的有Stuxnet(传闻由美国与以色列联手打造),该病毒导致了该国离心机的罢工。不过黑客的目标也不总是阻碍该国的和工作,因为他们偶尔也会调皮一下,比如劫持某个设施并让它在半夜突然高声点播一曲AC/DC的Thunderstruck。

在今年的黑帽大会(Black Hat 2014)上,芬兰计算机安全专家Mikko Hypponen回忆了当时一名伊朗科学家向他发送的一封邮件,里面提到“播放的音量实在是太大声了”。

在午夜的时候,有几台工作站随机地播放出了一些音乐,而且音量很大。听着好像是AC/DC乐队的Thunderstruck。事发突然,相当奇怪,而且攻击者还设法获得了机器的root权限,并删除了日志。

Thunderstruck来自1990年的《Razor's Edge》专辑,而不是该乐队的名称尾缀。有趣的是,该国只能接受民乐、古典和流行音乐,但是科学家们“原谅”了黑客这次犯下的错。

1.2 最容易被黑客攻破的汽车:英菲尼迪Q50

今天在拉斯维加斯举办的黑帽安全大会上,Valasek和Miller两名黑客公布了他们的研究报告。报告涉及数十种不同品牌和型号的汽车,评估车辆易受车辆黑客攻击的薄弱之处,然后他们给出了一个车辆各个联网部件受攻击可能性的打分和评论手册。

“对于这24种不同的车,我们研究了远程攻击的工作原理,”在安全咨询公司IOActive任职车辆安全研究主任的Valasek如是说道。 “它其实取决于架构:如果你破解了收音机,那么你可以给制动或转向发送信息吗?如果能的话,你该怎么处理这种情况呢?”

Miller 和Valasek采取了与2013年不同的研究手段,这次他们并没真正去黑哪辆车。事实上,他们最近的工作是些“脏活累活”,包括在所有汽车制造商的网站 上注册技工账户,下载汽车技术手册及接线图,分析这些文件透露的计算机网络情况。 “我们想退后一步看看车的全局,要看看那里真正有什么,”Valasek说。

在这两个研究人员的分析中,有3辆汽车被评为“最容易被破解”的:2014款英菲尼迪Q50和吉普Cherokee,以及2015款凯迪拉克Escalade。全部结果归纳如下表,我们能看到2010和2014款丰田普锐斯情况也没好到哪儿去。


加号越多越容易破解

所有这些汽车的评级是基于三个因素:第一个,他们无线“受攻击面”的规模——比如蓝牙,Wi-Fi,蜂窝网络连接,无钥匙进入系统,甚至收音机可读数的轮胎压力监测系统。这些无线电连接的任意一个都能被黑客利用,借此找到安全漏洞,获得登上汽车网络的第一个立足点。

其次,他们检查了车辆的网络架构,这些立足点为更关键的系统比如转向和刹车提供了多少入口。

第三,Miller和Valasek评估了他们所说的汽车“网络体魄”:如自动制动、停车和车道辅助的能力,它们一旦接收了伪造的数字指令,就会把汽车变成失控的疯子。

英菲尼迪Q50架构尤为不安全,这两个研究人员说。这款运动型轿车的无线功能包括远程无钥匙进入,蓝牙,蜂窝连接,无线胎压监测,以及与车主手机上的“个人助理”App交换数据的英菲尼迪连接系统(Infiniti Connection system)。

Miller和Valasek说在Q50的架构中,这些无线电和远程信息处理部件都是直接连接到发动机和制动系统。另外这辆轿车的关键驱动系统中整合了电脑控制的功能,如自适应巡航控制和自适应转向,这给黑客提供了可乘之机,能够手动操纵汽车。

吉普的2014款Cherokee也没好到哪里去,它们的无线功能和Wi-Fi功能大同小异,像平行泊车辅助这样更加自动化的驾驶功能会在高速行驶时被触 发。“所有这些功能看起来都棒极了,”Miller说。 “不过他们彼此之间能够对话沟通(还能被黑客搭讪)也是够吓人的。”

相比之下,他们点名表扬了奥迪A8,它就是一个网络布局强大的例子。在其内部网络上,它的无线功能与其驱动功能是分离的,它有一个网关,会拦截从已经“僵尸化”的无线电里发送给方向盘和刹车的指令。

英菲尼迪发言人Kyle Bazemore对此做出了回应:“他们都没黑过一辆Q50,所谓没有调查研究就没有发言权。”不过这位发言人也表示,英菲尼迪正在积极检视研究者们的结 论。 “由于“黑进”汽车电子系统的可能性在增加,我们会继续将安全功能集成到我们的车辆里,以帮助抵御网络攻击。”Bazemore补充道。

丰田和通用都没有立即回应这个评论。克莱斯勒发言人在一份声明中写道,公司将“努力核实这些说法,如有必要,我们会纠正他们。”该公司还谴责Miller和 Valasek在将结果公布于众之前都没和他们商量一下:“为解决网络安全威胁,我们赞成负责任的披露协议。因此,我们希望安全专家能首先与我们分享他们 的发现,这样我们也许能达成合作性的解决方案。不这么办的话只会让那些别有用心的人渔利。”

Miller和Valasek反驳说,他们已经与交通运输部和汽车工程师行业协会分享了这份报告。他们的目标是利用公众舆论推动汽车企业去思考自己的安全架构。

毕竟,汽车被黑的可能性正越来越大;研究人员分析了随着时间的推移,车辆们是如何变得越来越数字化,也因此更不安全的。

例如,英菲尼迪在2006至2014年间,将Q50里电子控制单元(ECUS)的数量增加了三倍多;吉普和路虎揽胜在2010至2014年间也将ECUS的数目几乎翻了一番。

同时汽车与智能手机和互联网的连接日益紧密,在某些情况下,汽车连接的是广为黑客喜爱的“靶子”——车内中控网络浏览器。 “我们的主要意思是:企业在给汽车加东西之前需要考虑安全性,尤其是当这些东西具有远程连接或网络属性的时候。”Valasek说道。

Miller和Valasek也建议汽车制造商应该开动脑筋,积极挫败黑客。黑客二人组造了一个汽车入侵检测系统的原型,这是一个价值150美元的设备,可以直接插入汽车的网络监控和屏蔽可疑的命令。

这两位早期研究靠DARPA资助的研究人员,并不是第一个探测汽车无线安全性的家伙。 2010年,加州大学圣地亚哥分校和华盛顿大学的研究人员通过蓝牙和GSM信号破坏掉测试车的网络。

1.3 调查显示信息安全官在企业中普遍缺乏应有的尊重和地位

尽管当下企业对于信息安全工作的重视程度不断提高,但各位首席信息安全官(CISO)们仍然需要经历一个漫长而又艰难的时间才能赢得其他各位“首席”高管们的尊重。在一项对美国企业203位首席执行官、首席信息安全官和首席财务官以及其他企业高管的调查中,有74%的受访者表示首席信息安全官没有资格在企业领导层中获得一席之地。

有超过六成的受访者则认为首席信息安全官在企业非信息安全的领导岗位上能够取得成绩。另有44%的受访高管表示首席信息安全官应该对企业信息数据遭到攻击而负责。与此同时,有超过一半的受访者不相信负责信息安全的高级管理人员应该对企业遭遇网络攻击而负责。上述调查由市场调查机构Opinion Matters代表信息安全公司ThreatTrack Security于今年6月至7月间发起。

有分析人士指出,上述调查结果显示出企业的首席信息安全官们距离赢得其他高管尊重的目标上还有相当长的一段奋斗之路。事实上,包括许多巨头企业在内对于任命首席信息安全官的问题并不十分重视,比如美国零售商塔吉特公司和内曼-马库斯百货公司都是在自身遭遇到数据攻击之后才任命了各自的首位首席信息安全官。尽管表面上戴着“首席”的光环,但许多企业的首席信息安全官同“高管”的身份并无太大的关系,企业更多的时候把他们摆在了“救火队员”的位置上,在遭遇到信息安全威胁时才会想到他们。过去很多年里,首席信息安全官们经常抱怨他们在自己所在的企业中并无太大的话语权,企业也并没有在他们的建议下在保护网络技术安全方面做出实质性的改变。

ThreatTrack Security公司总裁兼首席执行官朱利安-韦茨( Julian Waits)在接受记者采访时表示,首席信息安全官在企业频遭冷眼的原因在于首席信息安全官在企业的角色被误读。通常情况下,企业的其他高管都将首席信息安全官看作是同技术打交道的“高级工人”,而首席信息安全官作为企业董事会成员在抵御信息安全威胁方面的成果也没有得到应有的感激和重视。

上述调查结果还显示,超过半数的受访企业“首席”高管认为其所在企业中的首席信息安全官为防范网络攻击做出了有价值的贡献,同时他们也承认首席信息安全官并未在企业董事会中获得相应的权利和重视。仅有25%的受访者认为首席信息安全官在完成企业日常的信息安全防范工作上较为出色。

一方面企业高管担忧企业因为受到信息安全方面的攻击而遭受损失,另一方面他们却不愿意给予首席信息安全官更大范围的授权去处理信息安全问题。在众多介绍调查的企业高管中,多数人表示因为担心信息安全工作会影响企业的商业行为而不愿授予首席信息安全官更多职能权利。超过四分之一的受访者表示首席信息安全官所做出的采购信息安全设备的决定会对企业的财务状况带来负面影响。

令人感到意外的是,多数接受调查的首席执行官在首席信息安全官和首席信息官之间对于前者的态度更为宽容。许多首席信息官表示企业遭受信息数据安全威胁的责任应该落在首席信息安全官的身上,不过更多的首席执行官相较于首席信息官给予了首席信息安全官工作业绩更高的评价。

1.4 俄罗斯黑客盗窃的12亿密码在黑市上或价值数十亿美元

据外媒报道,数据安全公司FireEye首席执行官戴维·德沃尔特(David DeWalt)称,俄罗斯一群黑客据传从42万家网站窃取到12亿个用户名密码,这些密码在黑市上或价值数十亿美元。每个用户名或账户都可以卖出数美元。 德沃尔特说:“黑客们在网络黑市上出售这些被窃取的用户名密码,很多时候实际上都卖给了公司,特别是那些发送垃圾邮件或广告的公司。

但是这些信息非常重要,特别是掌握了10亿以上的用户名密码后,它们就会变得非常有价值。”

德沃尔特还称,实际上,公司才是最容易遭黑客袭击的目标,而非公民个人。FireEye近来一项研究显示,接受研究的公司中,约有97%都曾遇到过数据被窃的经历。德沃尔特说:“我们发现许多大零售商、大银行定期会遭到黑客袭击。对于俄罗斯黑客来说,大公司的核心基础设施才是最有价值的袭击目标。”

德沃尔特说,他对近来的袭击并不感到惊讶。尽管他没有透露太多细节,但称对于美国执法机构来说,阻止外国黑客入侵很难。德沃尔特说:“在我们建立更好的管理模式、更好的公司之前,我们将继续看到这些犯罪组织不断发动袭击。

1.5 大学生“准黑客” 不为利益为“炫技”

七夕前后,一款名为“××神器”的恶意手机病毒大面积爆发,感染了上百万手机。该病毒会偷偷向受感染手机的通讯录群发包含有某链接的短信信息。由于所发短信会根据目标用户名字作为抬头,因此极具欺骗性。用户点击该链接后,病毒便会被下载和安装。被新感染的手机又会以相同的方式发短信引诱其他用户上钩。除了传播性极强外,该病毒还会盗取用户账号、密码、身份证等个人资料。

令人意外的是,经公安机关调查,该病毒竟出自大一学生李某之手。据李某交代,他制作此款恶意程序仅仅是“为了好玩儿”、“想做一款能够大范围传播的软件以证明自己”。由于警方侦破及时,大量公民个人信息并未被泄露给第三方。目前,李某因涉嫌非法获取公民个人信息被警方刑事拘留。

随着互联网技术的普及,类似李某这样仅为“炫技”而误入“歧途”的青少年屡见不鲜。今年4月,大二学生葛某通过攻击国内两个大型物流网站,非法获取公民个人信息1400多万条。事后葛某因涉嫌非法获取和出售公民个人信息被刑拘。2011年,四川某大学生“黑客”入侵中山市某学校数据库修改50多名学生成绩,获刑两年。2008年,一个由十余名大学生组成的网络“黑客团”先后入侵了江西、湖北、贵州、江苏等11个省的政府网站,修改数据700余项,最终被警方以涉嫌破坏计算机信息系统罪、涉嫌伪造公文罪逮捕。

在网络世界里,“黑客”(Hacker)一词原本指的是热心于计算机技术、水平高超的电脑专家。如今,该词已被用于泛指那些专门利用计算机病毒搞破坏的家伙。在黑客阵营中,也分为相互对立的两派:“黑帽”与“白帽”。“黑帽”指的是专门制作病毒木马,攻击和破坏网络、计算机的人;“白帽”指的是专门从事网络、计算机技术防御的人。后者通常受雇于各大IT公司,攻击和搜寻网络产品存在的漏洞,目的是在“黑帽”找到它之前修好它。有人将这两个角色形象地比作《哈利·波特》中的“伏地魔”和《指环王》中的“甘道夫”。一个代表黑暗势力,一个带来光明。

现实社会中,“白帽”所占的比例并不小。据统计,国内最知名的网络漏洞报告平台“乌云”旗下的“白帽子”已经达5000人之多。他们专门提交产品的安全漏洞,以便企业及时做出更新。京东商城、支付宝、开心网等一些事先未被发现的安全漏洞正是通过该平台最先发布而引起当事方重视的。

参加比赛是“白帽”实现自我的另一途径。今年3月,来自中国的“白帽子”团队“Keen Team”在加拿大举办的“黑客大赛(Pwn20wn)”上,连续攻破了苹果和微软桌面操作系统,获得双料冠军。赛事主办方提供微软、苹果、谷歌等知名软件厂商的最新产品作为攻击对象,总奖金超过100万美元。“Keen Team”团队成员大多数来自微软,其主要工作即为世界最著名的顶尖操作系统发现漏洞。过去5年,该团队向微软、苹果、谷歌等全球知名厂商提交了数百个“严重”级别的安全漏洞,曾经被福布斯杂志评价其“发现的苹果漏洞是苹果整个安全团队发现的两倍还多”。

2 本周关注病毒

2.1 Worm.Win32.Gamarue.n(蠕虫病毒)

警惕程度 ★★

该病毒运行后会注入系统进程,并运行其他病毒程序,自我复制至系统文件夹下,修改注册表,实现开机自启动。然后病毒会远程连接黑客指定地址,下载其他病毒至电脑,并收集电脑中的隐私信息,发送给黑客。用户电脑一旦中毒将面临隐私信息泄露的风险。

2.2 Worm.Win32.Gamarue.m(蠕虫病毒)

警惕程度 ★★

该病毒运行后会注入系统进程,并运行其他病毒程序,自我复制至系统文件夹下,修改注册表,实现开机自启动。然后病毒会远程连接黑客指定地址,下载其他病毒至电脑,并收集电脑中的隐私信息,发送给黑客。用户电脑一旦中毒将面临隐私信息泄露的风险。

2.3 Worm.Win32.Autorun.dkg(蠕虫病毒)

警惕程度 ★★★

该病毒运行后自我复制至系统文件夹,实现开机自启动,并创建自动运行文件。此外,病毒还会修改注册表,增加注册表项,后台连接黑客指定网址,为垃圾网站刷取流量,并关闭IE进程,使系统出现异常。电脑一旦中毒,将出现大量网络资源被占用,电脑运行缓慢,浏览器无故退出等问题。

3 安全漏洞公告

3.1 OpenSSL中间人安全限制绕过漏洞

OpenSSL中间人安全限制绕过漏洞

发布时间:

2014-08-06

漏洞编号:

BUGTRAQ ID: 69079
CVE ID: CVE-2014-3511

漏洞描述:

OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高强度加密,现在被广泛地用于各种网络应用程序中。
OpenSSL SSL/TLS服务器代码内存在漏洞,当ClientHello消息片段化后,服务器会和TLS 1.0协商,而非更高版本的协议协商,这可使中间人攻击者通过修改客户端TLS记录,强行降级到TLS 1.0,虽然服务器和客户端都支持更高的协议版本 。

安全建议:

OpenSSL Project已经为此发布了一个安全公告(secadv_20140806.txt)以及相应补丁:
secadv_20140806.txt:OpenSSL Security Advisory [6 Aug 2014]
链接:http://www.openssl.org/news/secadv_20140806.txt

3.2 IBM WebSphere Portal 开放重定向漏洞

IBM WebSphere Portal 开放重定向漏洞

发布时间:

2014-08-06

漏洞编号:

BUGTRAQ ID: 69047
CVE ID: CVE-2014-4760

漏洞描述:

IBM WebSphere Portal是一个框架——包括运行时服务器、服务、工具和许多其他特性——您可以使用这些特性将企业集成到单个称为门户的可自定义界面中。
WebSphere Portal 8.0.0.0-8.0.0.1、WebSphere Portal 7.0.0.0-7.0.0.2、WebSphere Portal 6.1.5.0-6.1.5.3、WebSphere Portal 6.1.0.0-6.1.0.6版本存在开放重定向漏洞,允许远程攻击者执行钓鱼攻击,攻击者通过特制的URL利用此漏洞可将受害者重定向到任意网站。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www-304.ibm.com/support/docview.wss?uid=swg21680230

3.3 IBM InfoSphere Master Data Management产品未授权访问漏洞

IBM InfoSphere Master Data Management产品未授权访问漏洞

发布时间:

2014-08-05

漏洞编号:

BUGTRAQ ID: 69027
CVE ID: CVE-2014-3064

漏洞描述:

IBM InfoSphere Master Data Management是主数据管理解决方案。
IBM InfoSphere Master Data Management - Collaborative Edition 10.0, 10.1, 11.0、IBM InfoSphere Master Data Management Server for Product Information Management 9.0, 9.1的GDS组件存在安全漏洞,经过身份验证的远程用户通过特制的UNIX文件参数,利用此漏洞可读取任意文件。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www-01.ibm.com/support/docview.wss?uid=swg21677299

3.4 Samba nmbd NetBIOS名称服务远程代码执行漏洞

Samba nmbd NetBIOS名称服务远程代码执行漏洞

发布时间:

2014-08-04

漏洞编号:

CVE ID: CVE-2014-3560

漏洞描述:

Samba是一套实现SMB(Server Messages Block)协议、跨平台进行文件共享和打印共享服务的程序。
Samba 4.0.0 - 4.1.10版本在nmbd NetBIOS名称服务的实现上存在远程代码执行漏洞,恶意浏览器可发送数据包覆盖目标名称服务程序的堆,然后以超级用户权限执行任意代码。

安全建议:

Samba已经为此发布了一个安全公告(CVE-2014-3560)以及相应补丁:
CVE-2014-3560:Remote code execution in nmbd
链接:http://www.samba.org/samba/security/CVE-2014-3560
补丁下载:http://samba.org/samba/patches/

3.5 Cisco IOS及IOS XE Software拒绝服务漏洞

Cisco IOS及IOS XE Software拒绝服务漏洞

发布时间:

2014-08-07

漏洞编号:

BUGTRAQ ID: 69066
CVE ID: CVE-2014-3327

漏洞描述:

Cisco IOS是多数思科系统路由器和网络交换机上使用的互联网络操作系统。
Cisco IOS及IOS XE Software在实现上存在远程拒绝服务漏洞,成功利用后可使攻击者造成受影响设备重载、拒绝服务合法用户。此漏洞源于对畸形EnergyWise UDP数据包的处理。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://tools.cisco.com/security/center/publicationListing.x#~CiscoSecurityResponse