当前位置: 安全纵横 > 安全公告

一周安全动态(2014年09月11日-2014年09月18日)

来源:安恒信息 日期:2014-09

2014年09月第三周(09.11-09.18)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 NSA和GCHQ尝试绘制全球实时互联网地图

美国情报机构的NSA和英国的GCHQ在为秘密行动起代号上是相当有想象力的, 比如代号为“藏宝图( Treasure Map)”的项目甚至还有自己的logo(如图所示),其图像显然是借鉴了好莱坞电影《加勒比海盗》。德国《明镜》杂志根据前NSA合同工Edward Snowden提供的机密文件(PDF)报道了NSA和GCHQ的全球互联网实时地图项目藏宝图。

藏宝图项目的目标是绘制会全球互联网的近实时交互式地图,"任何设备,任何地点和任何时间"。根据文档声明,它寻求识别数据流动的关键设备路由器,在联网的 路由器之间建立连接,每天进行一千六百多万次的路由跟踪(2011年的数据),在中国不知情的数据中心有两台秘密的执行路由跟踪的服务器。藏宝图包含了 BGP(边界网关路由)声明,IP地理位置、操作系统指纹、路由跟踪和路由器配置文件,它不是藏了一个宝藏,而是无数个宝藏。

1.2 NSA 妄图绘制互联网地图 闯入德国电信被曝光

德国明镜周刊报道, 根据已经叛逃至俄罗斯的美国前情报工作者爱德华·斯诺登的最新爆料,现在已经可以用“臭名昭著”来形容的美国情报机构国家安全局(NSA)和它的小伙伴, 英国情报机构国家通信总局(GCHQ)曾经为了执行一项名为“藏宝图”(Treasure Map)的机密项目,黑入了德国电信(Deutsch Telekom)公司的骨干网络。

该项目的终极目的,和项目名称不无关系。根据明镜周刊的报道,该项目试图“绘制一幅包含整个互联网的地图”,地图上面的内容不是平常情报机构截取的数据流,而是程度精细到每一台用户端设备都将被单独标注出来的,成百上千亿的节点。
也就是说,理论上讲通过这个“藏宝图”,情报机构将可以远程对全世界任意一个地点的任意一台设备,包括电脑、平板电脑和智能手机,实时获取自己所需的数据,甚至在需要的情况下发起攻击。

德国电信是德国乃至欧洲最大的电信运营商,全世界第五大电信运营商。在服务国内用户的网络使用需求的同时,还承担了联通整个欧洲大陆基础电信网络的任务,属 跨大西洋光缆 TAT-14 系统(由欧美主要电信公司组成)中的重要一环。该公司发言人对明镜周刊表示,外国情报机构对于该公司网络的此种入侵方式“完全无法接受”。

本次曝光的 NSA-GCHQ-德国电信侵入事件的严重性不容小觑。今年 3 月德国卫星通讯技术公司 Stellar 曝光曾经被 NSA 和 GCHQ 侵入其网络,其卫星被用作攻击行动中枢。该公司 CEO Christian Steffen 曾用“Fuck”这个词公开表达对于英美情报机构侵入该公司网络系统行为的愤慨。据悉,本次英美情报机构入侵和获取机密数据资料的方式,和入侵 Stellar 的方式“如出一辙”。

1.3 无人驾驶汽车:恐遭黑客劫持 全城交通瘫痪

在因温泉而闻名的英国切尔滕纳姆市(Cheltenham),一辆红色大众高尔夫轿车不停地来回移动急刹,想要开进停车位中。这样的停车水平看似是菜鸟司机,其实,这是辆无人驾驶汽车,如此的停车技术并非出自驾驶座上的那人之手。

车辆自身将导航设置在停车位上,并应该安然无恙地将车辆停进既定位置。而坐在驾驶座上的那个人,除了偶尔的换挡操作外,他的双手一直都很随意的放在膝盖上。在这个最新的汽车自动驾驶技术展示中,他纯碎是打酱油的。

让自动驾驶汽车带着我们抵达目的地,这听起来有种科幻小说的感觉,但实际上,无人驾驶技术确实存在,而且即将大量应用于现实世界。而这其中有一点让人难以判断,即无人驾驶车辆同时出现的相关风险。

即便汽车制造商能够推出可靠的汽车,有效地应对意外事故,自动驾驶汽车仍旧可能面临来自黑客的威胁。这些黑客或可能劫持车辆,进行远程操纵,将其用于犯罪目的,甚至将其作为武器使用。

位于伦敦的咨询公司KPMG信息保护部门主管维尔-罗卡尔(Wil Rockall)表示,“黑客能够重新设定交通系统,让一个城市的交通完全堵塞,甚至绑架民众。从驾驶者,道路使用人员,到开发人员的人为错误,都可能会导致这样的危险出现。”

S级自动驾驶操作

但是,这种最糟糕情况的预想无法阻止无人驾驶技术的推送。位于波士顿的市场研究机构Lux Research表示,到2030年,无人驾驶汽车市场规模将达到870亿美元。大众汽车公司在今年8月所展示高尔夫轿车自动导航停车技术,也仅仅是无人 驾驶技术潮流的一个例子而已。

今年5月,谷歌(微博)展示了一份无人驾驶汽车原型机草图。去年,一辆梅赛德斯-奔驰S级轿车在德国拥挤的道路上自主行驶了100公里,此外,该品牌母公司戴姆勒集团(Daimler AG)还正在研发自动驾驶卡车。

让监管部门及立法机构头疼的是,由在线导航系统来控制汽车。今年7月,英国《卫报》曾报道称,美国联邦调查局人为,黑客或能够控制自动驾驶汽车,并将其作为 “致命武器”使用。尽管如此,自动驾驶技术仍旧有其益处。美联邦调查局的报告承认,无人驾驶汽车让警方能够更加方便地对联网汽车进行监控。

“绊脚石”

宝马汽车股份有限公司(Bayerische Motoren Werke AG)发言人加文-沃德(Gavin Ward)表示,“无人驾驶汽车面临的最大障碍是,汽车安全和赔偿。这些问题细节内容仍有待确定。”这家德国汽车厂商已经在德国的高速公路上对无人驾驶技 术进行了测试。

另一家德国汽车厂商,大众汽车其发言人在技术展示现场表示,为了进一步推动无人驾驶汽车技术,对于网络犯罪的相应策略也十分关注。

谷歌拒绝就无人驾驶技术所面临的风险置评。

英国研究机构Thatcham Research的首席技术官安德鲁-米勒(Andrew Miller)表示,为了减少黑客所带来的风险,无人驾驶汽车将需要“更多的安全性能”,而这就需要不断地对汽车进行监控。他表示,“软件和加密进程在快 速更新,而围绕其所产生的犯罪也在以同样的速度递增。”

除了远程操作劫持汽车这种最糟糕的情况,在自动驾驶技术的推动下,发生事故后谁才是责任方,这将不再是个难以界定问题。因为,相关的责任被转嫁给了汽车制造商,司机会因此减轻不少负担。

不再有疲劳驾驶

KPMG保险实践部门合伙人穆雷-莱斯别克(Murray Raisbeck)表示,由于自动驾驶机汽车并不会出现疲劳犯困的情况,“这些汽车就像是一个可怕的机器人,因此,你出现事故的频率将会大大降低。然而,一旦出现错误,事故的严重性也会大幅加剧。”

驾驶责任方的转变或许会将事故保险负担问题,转嫁至汽车制造商、供应商及开发人员身上,而消费者的保险赔付支出将会减少。美国保险监管协会 (National Association of Insurance Commissioners)认为,无人驾驶汽车或会对汽车保险业造成冲击,在美国,该保险业务一年的价值便达到2000亿美元。

安联保险集团(Allianz SE)家庭及汽车保险产品经理阿伦-盖恩斯(Alan Gairns)表示,“无人驾驶汽车具体会对我们造成哪些影响,目前很难细说,但我们清楚,早晚会有问题出现。”

1.4 美国和“伊斯兰国”的网络战

美国东部时间本周三21时,美国总统奥巴马宣布了打击极端组织“伊斯兰国”(简称IS或ISIS或ISIL)的战略方案。而与此同时,美国官员已经陷入了一场激烈的、高科技猫鼠游戏,他们的对手是与该恐怖组织有联系的网络高手。

美官方微博遭“举报”以致频繁被删

数月以来,美国国务院办公室展开了针对“伊斯兰国”的网络战攻势,通过在社交网站T w itter发布微博消息以及在Y ouT ube发布视频,以揭发该极端组织的残忍。

但“伊斯兰国”及其追随者们采取了令人惊讶的反击战术:他们利用美国互联网大公司的“服务条款”,不断举报美国政府发布的微博或视频存在“过度暴力”或是“垃圾信息”。

“他们真的是非常有组织性、系统性,战术也极其复杂,”恐怖主义分析师J·M·伯杰说道,“他们比这个国家里的大多数人都更了解社交网站的运作原理。”

美国国务院反恐办公室发布的攻击伊斯兰国的T w itter消息,最近几次都出现刚发布不久就被删除的情况。

美国国务院的一名官员证实,这些微博是在“伊斯兰国”支持者发动“有组织的运动”后消失的,这些极端组织网络战士在美国国务院反恐办公室的官网张贴恐怖组织旗帜并宣布其发起了垃圾信息举报运动“就是为了让它们被删除”。

在另一个案例中,美国国务院反恐办公室发布了一段名为《欢迎来到伊斯兰国的土地》的视频,为网友带来了非常具冲击力的恐怖画面:伊斯兰国武装分子鞭打和处决平民,还针对正在清真寺做祈祷的人发起了自杀式炸弹袭击。

但这段视频在发布一天内就从YouT ube网站消失了。美国国务院官员表示,尽管他们没有直接证据,但其怀疑是伊斯兰国的追随者们利用了互联网公司的“服务条款”,标记该视频“过度暴力”,从而导致视频被系统删除。

这名美国国务院官员说,伊斯兰国阻止美国官方信息传递的能力不但是令人沮丧的,而且还充满讽刺:“我们展示的是他们的暴行。”

美国国务院随后联系了YouT ube公司并向其解释了发布《欢迎来到伊斯兰国的土地》这段视频的“教育”目的,经过交涉,该视频得到恢复,迄今它已经被浏览了近60万次,不过其访问存在限制,禁止未满18岁的网络用户浏览。

美国官员不得不承认,伊斯兰国及其追随者们删除美国政府网络信息的行为(即使只是暂时的),展现了该组织复杂而非凡的社交媒体战术。美国国家反恐中心主任马修·奥尔森上周发表公开言论,把这些战术描述为“任何极端组织最复杂的宣传机器”的一部分。

伊斯兰国拥有一大批专职网络战士

此外,分析人士还指出,伊斯兰国的网络战士既积极又敏捷,他们能够熟练制作和发布高分辨率视频,发起标签活动,甚至利用系统创建T w itter“僵尸账号”自动发布、转发微博。

伊斯兰国的这些网络战行动也越来越没有下限,本周,一个T w itter账号甚至呼吁伊斯兰国的支持者去攻击和暗杀T w itter公司员工,以报复该公司封掉与该组织有关的部分“宣扬暴力”的T w itter账号。恐怖主义分析师伯杰指出:“他们肯定有一个营的人来专职做这些。”

而美国国务院反恐办公室最近创建了自己的 Facebook页面,还专门注册了一个T w itter账户“走开前再想想”,本周,该账号发布了一条信息:“澳大利亚女孩和伊斯兰国战士结婚,她在叙利亚死于枪击。”但紧接着,一个名为阿布·尤素 福的T w itter账号就在美国国务院反恐办公室T w itter账号下贴出了三张照片,一张是覆盖着美国国旗的棺材,一张是无家可归者,一张是美国士兵把枪伸进自己嘴里,这些照片配的信息是:“美国士兵没有 幸福人生,他们的选择只有三个—1、死于战斗;2、无家可归;3、自杀。

1.5 调查显示我国计算机病毒感染率首次现回升

国家计算机病毒应急处理中心最新发布的2013年全国信息网络安全状况与计算机和移动终端病毒疫情调查结果显示,计算机用户发生过信息网络安全事件的比例较上一年上升17.9%,感染病毒、木马仍然是用户面临的最主要威胁。我国计算机病毒感染率为54.9%,比上年上升了9.8%,在连续5年下降后回升,但上升幅度趋缓。

调查表明,在发生的网络安全事件中,76.4%感染病毒、木马,高居首位;其次是垃圾邮件和网络钓鱼/网络欺诈,分别占58.9%和47.0%;21.5%的用户遭受网络攻击。

浏览器仍然是病毒、攻击的最主要入口。用户在使用浏览器过程中遇到的最主要安全问题是浏览器设置被篡改,占67.8%,随后的是感染“恶意软件/流氓软件” 和“网络钓鱼/网络欺诈”,分别占59.7%和42.7%。27.5%的用户遭遇了隐私泄露或数据丢失,安全事件的发生率比2012年均有显著增长。

调查结果显示,2013年,网络钓鱼和网络欺诈已经成为网民面对的最主要安全威胁,其传播途径也逐渐转向信任度高、交互性强的微博、微信平台。垃圾短信和钓 鱼(欺诈)信息是造成移动终端安全问题的主要途径,分别占调查总数的65.8%和64.7%。尤其是钓鱼(欺诈)信息,比上一年上涨26.3%,成为 2013年最突出的移动终端安全问题。网站浏览和骚扰电话分列第三、第四位,分别占53.1%和43.5%,与上年相比有较大幅度的提升。

调查结果显示,受经济利益的驱动,网上银行、网络支付等仍然是病毒的主要攻击目标,在盗取钱财的同时,不法分子还会窃取用户的私密信息。微博也成为新的关注 点。针对大型企业、重点行业的病毒传播和攻击增多。2013年通过网络下载或浏览传播病毒的比例占85.2%,比上年上升了9.8%,连续第五年占据病毒 传播主要途径的首位,操作系统、浏览器和应用软件中存在的大量未修补的漏洞,是联网用户的重大安全隐患,也是不法分子用来传播病毒、挂马和发动攻击的最主 要途径。

下载应用软件中含有的病毒、木马等恶意程序仍然是威胁用户安全的主要因素,尤其是各类游戏网站和低俗网站更是病毒、木马散布的温床。通过移动存储介质传播的比例为26%,比上年上升了3.4%。通过电子邮件的比例却略有下降,为14.8%。

2 本周关注病毒

2.1 Trojan.Script.VBS.StartPage.uu(后门病毒)

警惕程度 ★★

病毒运行后,利用系统文件加载病毒脚本,篡改桌面上所有快捷方式,使用户在点击貌似正常的图标后,运行病毒,访问黑客指定的恶意导航网址。由于病毒会篡改所有桌面快捷方式,导致用户在不经意间疯狂访问恶意网站,从而使用户电脑速度变慢、网速下降甚至在访问恶意网站后,电脑被下载大量盗号木马,使自身利益受到进一步损害。

2.2 Trojan.Script.VBS.StartPage.ut(后门病毒)

警惕程度 ★★

病毒运行后,利用系统文件加载病毒脚本,篡改桌面上所有快捷方式,使用户在点击貌似正常的图标后,运行病毒,访问黑客指定的恶意导航网址。由于病毒会篡改所有桌面快捷方式,导致用户在不经意间疯狂访问恶意网站,从而使用户电脑速度变慢、网速下降甚至在访问恶意网站后,电脑被下载大量盗号木马,使自身利益受到进一步损害。

2.3 Worm.Win32.VobfusEx.e(蠕虫病毒)

警惕程度 ★★★

该病毒伪装成文件夹图标引诱用户点击,病毒运行后,在系统目录下创建多个文件,并将自身复制到%System32%文件下,重命名为system3_.exe。病毒还会修改注册表实现开机启动,并自我复制到各磁盘根目录下。 病毒还将收集用户隐私信息,上传至黑客指定网址。用户电脑一旦中毒,将面临隐私信息泄露、网银账密被盗、电脑成为黑客肉鸡等风险。


3 安全漏洞公告

3.1 phpMyAdmin Micro History功能跨站脚本漏洞

phpMyAdmin Micro History功能跨站脚本漏洞

发布时间:

2014-09-16

漏洞编号:

BUGTRAQ ID: 69790
CVE ID: CVE-2014-6300

漏洞描述:

phpmyadmin是MySQL数据库的在线管理工具,主要功能包括在线创建数据表、运行SQL语句、搜索查询数据以及导入导出数据等。
phpMyAdmin在实现上存在跨站脚本漏洞,攻击者可利用此漏洞在受影响站点用户浏览器上下文中执行任意脚本代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.phpmyadmin.net/home_page/security/
http://www.phpmyadmin.net/home_page/security/PMASA-2014-10.php

3.2 Ecava Integraxor SCADA Server信息泄露漏洞

Ecava Integraxor SCADA Server信息泄露漏洞

发布时间:

2014-09-16

漏洞编号:

BUGTRAQ ID: 69774
CVE ID: CVE-2014-2377

漏洞描述:

Ecava IntegraXor是创建和运行基于Web的SCADA系统的人机接口的工具集。
Ecava IntegraXor SCADA Server Stable 4.1.4360、Beta 4.1.4392及之前版本存在安全漏洞,允许远程攻击者通过应用标签获取完整路径名。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.integraxor.com/download/rc.msi?4.2.4458
https://ics-cert.us-cert.gov/advisories/ICSA-14-224-01

3.3 Ecava Integraxor SCADA Server任意文件读写漏洞

Ecava Integraxor SCADA Server任意文件读写漏洞

发布时间:

2014-09-16

漏洞编号:

BUGTRAQ ID: 69767
CVE(CAN) ID: CVE-2014-2375

漏洞描述:

Ecava IntegraXor是创建和运行基于Web的SCADA系统的人机接口的工具集。
Ecava IntegraXor SCADA Server Stable 4.1.4360、Beta 4.1.4392及之前版本存在安全漏洞,远程攻击者通过CSV导出功能,利用此漏洞可读写任意文件、获取敏感信息、造成拒绝服务。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.integraxor.com/download/rc.msi?4.2.4458
https://ics-cert.us-cert.gov/advisories/ICSA-14-224-01

3.4 Ecava Integraxor SCADA Server SQL注入漏洞

Ecava Integraxor SCADA Server SQL注入漏洞

发布时间:

2014-09-16

漏洞编号:

BUGTRAQ ID: 69772
CVE ID: CVE-2014-2376

漏洞描述:

Ecava IntegraXor是创建和运行基于Web的SCADA系统的人机接口的工具集。
Ecava IntegraXor SCADA Server Stable 4.1.4360、Beta 4.1.4392及之前版本存在安全漏洞,允许远程攻击者执行任意SQL命令。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.integraxor.com/download/rc.msi?4.2.4458
https://ics-cert.us-cert.gov/advisories/ICSA-14-224-01

3.5 cURL/libcURL远程安全限制绕过漏洞

cURL/libcURL远程安全限制绕过漏洞

发布时间:

2014-09-15

漏洞编号:

BUGTRAQ ID: 69748
CVE ID: CVE-2014-3613

漏洞描述:

cURL/libcURL是命令行传输文件工具,支持FTP、FTPS、HTTP、HTTPS、GOPHER、TELNET、DICT、FILE和LDAP。
cURL/libcURL 7.1 - 7.37.1版本没有正确处理cookie域内的IP地址,在实现上存在远程安全限制绕过漏洞,攻击者可利用此漏洞绕过安全限制,执行未授权操作。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://curl.haxx.se/