当前位置: 安全纵横 > 安全公告

一周安全动态(2014年08月21日-2014年08月28日)

来源:安恒信息 日期:2014-08

2014年08月第四周(08.21-08.28)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 NSA内部搜索系统曝光:可查询全球通讯数据

据新闻网站The Intercept报道,美国国家安全局(以下简称“NSA”)2007年启动了一个名为ICREACH的搜索系统,使得美国20多个机构的成员可以快速过滤美国人和外国人的通讯元数据。该系统的目的是方便相关机构迅速找出其感兴趣的人,并帮助探员监视国内外“情报目标”的活动。


NSA内部搜索系统曝光:可查询全球通讯数据


ICREACH搜索系统的界面

且不论ICREACH遍历8500亿元数据记录的技术能力(这一数据容量仍在增长),ICREACH最大的资产之一或许就是它直观的界面。内部文件显示,该系统“像谷歌一样”,研究人员只需要输入电子邮箱或电话号码等简单的“过滤器”,便可详细查找元数据记录。

这并非ICREACH这个名字首次对外公布,专门报道“棱镜门”的记者格伦·格林沃尔德(Glenn Greenwald)撰写的《无处可藏》(No Place To Hide)一书就包含了一张幻灯片,凸显出通过ICREACH获取的元数据类型。

ICREACH最初主要是为了采集外国通讯网络中的信息,但The Intercept却发现,该系统也包含了“数百万没有任何不当行为的美国公民的记录”。

元数据包括了电话或信息的发送者和接收者,还可用于判断设备信息。虽然这看起来并不会构成太大威胁,但倘若汇总起来,便可了解某个人在何时做过什么事情。由 于可供众多部门使用,因此该系统的能量不容小觑。而相关内部文档是几年前编写的,因此目前还不清楚ICREACH此后是否已经扩大了范围,或改变了方向。

1.2 网络攻击致至少2.5万名美国国土安全部职工信息遭泄

据外媒报道,美国政府职工成为了最近一起网络攻击的受害者。据一名美国政府通讯员披露,该网络攻击导致敏感信息泄露,内容包括了政府机构职工的的社保号码、生日、教育及犯罪背景、家庭成员、亲戚及熟人等信息。受牵连的人数至少有2.5万。由于这次网络攻击的目标是专门负责托管美国国土安全局等政府机构的US Investigations Services(USIS)公司,所以这次泄露的数据非常复杂。

据路透社报道,这次攻击影响的范围包括了来自移民和海关执法局、美国海关与边境保护等部门职工的个人信息。此外,它还可能获取了一些卧底人员的信息。USIS发表声明称,这次的网络攻击让机密数据曝光给了未经授权的用户,目前他们还无法确定这些数据是否已经给截走。

关于这次攻击的报道最先于本月月初披露。截止到目前,USIS只透露了此次攻击所影响的范围。专家指出,如果这次攻击由其他国家的黑客所为,那么国土安全局 的职工将在未来很有可能遭遇敲诈。据悉,国土安全局则是美国政府在9.11事件之后建立的一个专门防止其国土遭到恐怖袭击及管理边境等任务的机构。自发生 这次的网络攻击之后,国土安全局已经停止了在USIS的托管。

1.3 美国千余商店收银系统遭攻击:泄露交易数据

美国国土安全部上周五表示,超过1000家美国企业正受到一轮信息安全攻击。此次攻击瞄准了店内收银系统。国土安全部敦促所有公司对可能存在的恶意软件感染进行检查。UPS上周早些时候表示,该公司的系统感染了名为“Backoff”的POS恶意软件,可能导致去年1月至8月期间51家UPS门店的约10.5万条用户交易数据泄露。

在这些数据泄露事故中,恶意软件通常会攻击POS系统,当用户使用银行卡刷卡支付时窃取数据。

国土安全部周五表示,过去一年中,情报部门已经对多家感染“Backoff”恶意软件的企业网络做出了响应。此外,许多受害的公司很可能并不清楚自己的网络已被感染。另一方面,7家POS系统提供商也确认,多家客户受到恶意软件的影响。

国土安全部表示,在这些案例中,信息安全攻击者远程接入了店内系统,删除了用户支付数据。

过去一年中,已有多家零售商和其他公司遭遇了数据泄露事故,其中包括塔吉特、Neiman Marcus Group、连锁百货商店Supervalu Inc和连锁餐厅P.F. Chang's China Bistro Inc。去年圣诞节期间,在塔吉特遭到的攻击事件中,数千万信用卡和贷记卡信息出现泄露。

数据泄露已经给美国的零售商和银行造成了很大的压力,迫使其从老式磁条卡转向新一代的芯片卡。目前,芯片卡已经在欧洲和全球其他一些地区得到广泛使用。

1.4 开学了 高校学生成黑客攻击目标

安全机构BitSight Technology最新研报显示,开学上课后,黑客经常将高校学生作为攻击目标,而大学校园在应对网络安全威胁时,显得力不从心。BitSight Technology在报告中指出,在保障网络安全方面,高校投入的工作远不及零售和医疗健康领域。BitSight创始人兼CTO史蒂芬?波伊尔(Stephen Boyer)表示,随着学年的推进,校园网络安全防护很可能变弱,因为众多学生和设备涌入校园网。

BitSight追踪了2013年7月到2014年6月间,重大体育赛事时高校的网络安全表现,包括东南联盟、大西洋海岸联盟、大十二联盟以及常青藤联盟赛事,期间,高校网络安全表现都出现显著下滑情况。

波伊尔表示,对于网络罪犯而言,高校学生是名副其实的“金矿”,黑客会盗取后者个人信息获利,范围包括社会保障号、信用卡信息等等。此外,波伊尔还补充称, 黑客将目标锁定在高校,还因为这里会有极具价值的研究成果。“高校是知识产权的宝库,这很难从金钱上量化,但如果某人侵入实验室中学生的设备,可能就会获 得他们两年来的研究成果”,他说。

波伊尔还指出,考虑到高校与其他机构,包括政府在内的合作,如果出现上述问题,会将其他关键部门置于危险境地。

这份研报还显示,流氓软件或恶意软件是高校校园网络最大威胁,包括伪装成浏览器插件的木马、在线广告病毒,以及针对Windows和OS X在内的操作系统病毒。

波伊尔认为,在这面表现欠佳的高校,应该聘请相关技术人员,以维护校园网安全。“意识到网络安全是系统性问题非常重要”,他说,“我们处在同一网络中,如果一个地方出现问题,会导致其他区域也不安全,特别是高校。”

1.5 研究发现安全修补漏洞速度远远慢于黑客利用速度

数据安全公司Heimdal Security经过对数个软件漏洞的分析得出结论,尽管软件安全漏洞与缺陷已经被发现,但是企业对修补各种漏洞的反应过慢,为黑客利用这些漏洞进行攻击 留下了很多空间与时间。因此用户数据大部分都处于极大的风险之中,Heimdal发现60%至90%的黑客攻击都得益于此现状。

同时该安全司指出,目前网络中漏洞被利用的最多的包括四个软件环境:甲骨文公司的Java运行时环境,Adobe公司的Acrobat Reader及Flash Player,还有苹果公司的QuickTime。其中Java运行时环境在2012年被爆出48项漏洞与缺陷,2013年这一数字剧增至 180,2014年至今已经有90项漏洞。根据CVE Details数据,四大产品的CVSS(计算机漏洞严重性系统)指数,Java运行时系统为7.8,而Adobe两款产品均达到了9.2(10分为最严重)。

这些漏洞均被快速而广泛地修补了吗?据Heimdal安全公司的CEO Morten Kjaersgaard称,事实并非如此。“这些主要产品的漏洞危害性十分严重,但是并没有得到及时的修复,我们的数据显示举例来说,Apple Quicktime的漏洞修复补丁发布后,至少需要12月全网主要企业才会全面应用修补”

这些产品在企业及个人用户系统上的装机率非常高,而应用修复补丁的过程如此之慢,这不免引起人们对互联网数据安全的再一次担忧。


2 本周关注病毒

2.1 Trojan.Win32.FakeIcon.ah(木马病毒)

警惕程度 ★★

该病毒运行后在系统目录下新建一个以数字命名的文件夹,在注册表中添加本身,实现开机自启动,并尝试关闭电脑内杀毒软件并阻止其升级,最终连接黑客指定服务器,下载其他病毒样本,同时盗取用户大量隐私信息。

2.2 Trojan.Win32.Scar.k(木马病毒)

警惕程度 ★★

该病毒运行后自我复制并启动指定服务,注入到windows系统更新程序中,以获取中毒电脑的信息,同时发送到黑客指定服务器,下载更多病毒到中毒电脑中。

2.3 Trojan.win32.Generic.16E37063(木马病毒)

警惕程度 ★★
该病毒运行后自我复制到IE目录下,重命名为taskmgr.exe,伪装系统文件,将原文件自删除,通过注册表,将taskmgr.exe文件设置为开机启动项,后台连接黑客指定网址,下载恶意文件至电脑,该恶意文件利用系统漏洞,窃取电脑中的隐私信息,上传至黑客指定服务器。电脑一旦中毒,用户将面临隐私信息泄露,各类网络账号被盗等风险。


3 安全漏洞公告

3.1 PHP多个任意文件覆盖漏洞

PHP多个任意文件覆盖漏洞

发布时间:

2014-08-26

漏洞编号:

BUGTRAQ ID: 69375
CVE ID: CVE-2014-5120

漏洞描述:

PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。PHP 5.4.32之前版本、5.5.16之前版本,GD组件的gd_ctx.c没有确定路径名是否缺少%00序列,这可使远程攻击者通过构造的输入调用imagegd, imagegd2, imagegif, imagejpeg, imagepng, imagewbmp, imagewebp函数利用此漏洞,覆盖任意文件。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://php.net/ChangeLog-5.php
https://bugs.php.net/bug.php?id=67730

3.2 phpMyAdmin多个跨站脚本漏洞

phpMyAdmin多个跨站脚本漏洞

发布时间:

2014-08-26

漏洞编号:

BUGTRAQ ID: 69268
CVE ID: CVE-2014-5273

漏洞描述:

phpmyadmin是MySQL数据库的在线管理工具,主要功能包括在线创建数据表、运行SQL语句、搜索查询数据以及导入导出数据等。
phpMyAdmin 4.0.10.2之前版本, 4.1.14.3之前版本, 4.2.7.1之前版本存在多个跨站脚本漏洞,经过身份验证的远程用户通过browse table页(相关js/sql.js)、ENUM编辑页(相关js/functions.js)、monitor页(相关js/server_status_monitor.js)、query charts页(相关js/tbl_chart.js)、table relations页(相关libraries/tbl_relation.lib.php),利用此漏洞可注入任意Web脚本或HTML。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:https://github.com/phpmyadmin/phpmyadmin/commit/3ffc967fb60cf2910cc2f571017e977558c67821
https://github.com/phpmyadmin/phpmyadmin/commit/90ddeecf60fc029608b972e490b735f3a65ed0cb
https://github.com/phpmyadmin/phpmyadmin/commit/647c9d12e33a6b64e1c3ff7487f72696bdf2dccb
http://www.phpmyadmin.net/home_page/security/PMASA-2014-8.php
https://github.com/phpmyadmin/phpmyadmin/commit/cd9f302bf7f91a160fe7080f9a612019ef847f1c
https://github.com/phpmyadmin/phpmyadmin/commit/2c45d7caa614afd71dbe3d0f7270f51ce5569614

3.3 JBoss Enterprise Application Platform身份验证绕过漏洞

JBoss Enterprise Application Platform身份验证绕过漏洞

发布时间:

2014-08-25

漏洞编号:

BUGTRAQ ID: 69332
CVE ID: CVE-2014-3464

漏洞描述:

JBoss企业应用平台(JBoss Enterprise Application Platform,EAP)是J2EE应用的中间件平台。
CVE-2013-2133漏洞修复不完整,JBoss Enterprise Application Platform在实现上存在安全绕过漏洞,即使授权失败,也会对出站消息执行JAX-WS处理程序,攻击者可利用此漏洞调用JAX-WS处理程序,绕过某些安全限制并执行未授权操作。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.jboss.org/

3.4 PHP 'cdf_read_property_info()' 函数拒绝服务漏洞

PHP 'cdf_read_property_info()' 函数拒绝服务漏洞

发布时间:

2014-08-22

漏洞编号:

BUGTRAQ ID: 69325
CVE ID: CVE-2014-3587

漏洞描述:

PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。PHP内fileinfo模块的CDF解析器没有正确处理CDF格式的畸形文件,该漏洞可导致崩溃。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:https://github.com/php/php-src/commit/2fefae47716d501aec41c1102f3fd4531f070b05#diff-d41d8cd98f00b204e9800998ecf8427e
https://bugs.php.net/bug.php?id=67717

3.5 DISCUZ EDITPOST文件SQL注入漏洞

DISCUZ EDITPOST文件SQL注入漏洞

发布时间:

2014-08-13

漏洞编号:

BUGTRAQ ID: 69269
CVE ID: CVE-2014-5274

漏洞描述:

Discuz!是用PHP开发的互联网论坛软件。
Discuz! 5.x、6.x、7.x版本某编辑功能对于用户提交的数据存在拼接问题,导致用户输入的数据可以直接拼接进入代码和SQL语句中,从而造成SQL注入漏洞以及代码执行漏洞。
在服务端某默认功能开启的前提下,并且拥有一个普通用户账号,便可利用此漏洞。该漏洞影响目前Discuz! 7.x及其之前版本,官方已发布声明不在更新这些版本了,所以这个问题将会一直存在。这个问题限制条件易于突破,影响范围比较广泛,漏洞触发的话可以获取 管理员密码,进一步获取webshell,危害很大。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.discuz.net/