当前位置: 安全纵横 > 安全公告

一周安全动态(2014年09月18日-2014年09月25日)

来源:安恒信息 日期:2014-09

2014年09月第四周(09.18-09.25)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 黑市探秘:用户医疗记录比信用卡信息更值钱

据路透社报道,如今在黑市交易中,用户的医疗记录信息要比信用卡信息更加值钱。上 个月,有消息称全美最大医疗服务提供商Community Health Systems Inc遭遇大规模网络攻击,黑客成功入侵该机构系统,并窃取了约450万病人的信息。此后美国联邦调查局(FBI)介入,并警告全国健康医疗机构,称网络 上开始出现特别针对电脑系统落后、安全保护欠缺,但市值规模高达3万亿美元的医疗产业的黑客团伙。

“黑客发现了新的谋利方式,而健康医疗产业正在成为他们一个成熟的目标,因为病人的数据可以被高价出售。”信息安全公司TrustedSEC LLC首席执行官大卫·肯尼迪(Dave Kennedy)表示,“医院的安全系统很薄弱,因此也最容易被黑客入侵,并获得大量病人信息。”

这些信息包括病人的姓名、生日、保单号码、诊断结果以及账单信息等。诈骗集团会利用这些信息创建假的身份证,用以购买医疗器械或药品,并最终实现倒卖目的。

根据网络犯罪防御机构PhishLabs的威胁情报总监唐·杰克逊(Don Jackson)所给出的数据,病人信息在黑市上的交易价格通常可高达每人10美元,这要比单个信用卡信息高出10到20倍。

2009年到2013年,遭受网络攻击的健康医疗机构在此期间由过去的20%增长至40%。而在今年,受到攻击的机构比例,及被窃取的病人数据,则双双创下了新的记录。

为此种现象起到了助推效果的另一原因,是美国健康医疗服务提供商开始大量采用电子病历。也正因为这种改变,直接导致了像Intermountain Healthcare这样的机构每周至少受到黑客攻击千次以上。

事实上,连续的网络攻击迫使健康医疗服务商和保险商不断要升级自己的信息安全系统,而其中的巨幅开支间接或直接地转嫁到了美国居民身上。这也在一定程度上解释了美国健康医疗保险费用近几年持续高涨的原因。

“在我和医院进行过交流以后,在我和那些信息被盗的人交流过以后,我发现他们都仍在使用非常非常老旧的系统——至少有10年历史的Windows,而且还没有 安装任何补丁。”网络安全机构Accuvant副总裁杰夫·霍恩(Jeff Horne)指出,“医院是要把钱用来添置新的MRI机器,或者激光手术器械,还是用来升级防火墙呢?这是个难题。”

1.2 FBI:越来越多员工攻击雇主网络窃取数据

北京时间9月24日早间消息,美国联邦调查局(FBI)和国土安全部本周表示,一些心怀不满的员工正越来越多地利用互联网云计算服务和其他计算机工具来攻击现任雇主和前雇主。在本周发布至政府网站的一份公共服务通知中,美国政府部门表示,许多员工正在利用Dropbox等云存储服务或其他互联网软件,远程接入公司网络,窃取商业机密和其他数据。

由在职员工和前员工造成的损失可能达到5000至300万美元。不过这些政府部门没有公布具体有哪些公司受害。

FBI对其中一些数据被窃事件展开了大规模调查。在某些事件中,一些员工使用他们的权限去销毁或窃取数据,获得客户信息,以及使用客户帐户来进行欺诈。近期,家得宝和摩根大通遭遇了来自公司外部的攻击,这也表明公司需要警惕内部威胁。

FBI发言人约书亚·坎贝尔(Joshua Campbell)表示:“尽管企业投入了大量资源去应对外部威胁,但企业经理必须知道,内部员工有可能破坏网络系统,从而带来可能的损失。”

此外,这样的攻击也可能有利于员工在新公司的工作。政府部门指出:“在多起事件中,心怀不满的员工或前员工试图通过修改或限制对公司网站的访问,关闭内容管理系统的功能,或是发动分布式拒绝服务攻击来勒索公司,获得经济利益。”

1.3 美国又一家全国连锁店支付系统遭黑客攻击

据外媒报道,继Target、家得宝证实终端支付系统遭到黑客攻击之后,日前,这份表单中又多了一名受害者--美国三明治连锁店Jimmy John。该家公司表示,他们则是在今年的7月31日发现了系统攻击。当一发现这个问题之后,他们立即聘请了安全专家协助该次调查工作。

据了解,黑客攻击了Jimmy John 216家门店的销售终端系统,盗取了大量消费者的信用卡数据。现在,Jimmy John已经将受影响的门面名单公布在了官网上。Jimmy John强调,不在名单上的门面都未受到此次攻击的影响。

此外,为了防止黑客攻击的再次来袭,Jimmy John已经开始部署相关的防御措施,并在各家商店内安装可对银行卡数据加密的设备。另外,他们还将对第三方供应商审查最新采取的政策和措施是否具有效果。

不过,Jimmy Johns并未公布遭到黑客攻击的缘由。

1.4 香港壹传媒步GMail后尘 数十万明文密码遭泄露

周二在国外某黑客论坛发现,香港媒体大亨壹传媒(nextmedia.com)数十万用户账号信息泄露,包括邮箱,明文密码和手机号在内的账户信息被发布到了论坛上。发布这些账号信息的注册用户表示,用户数据超过50万,更新时间截至2014年9月,验证密码正确性高达80%以上。截止目前为止壹传媒尚未对此事发表任何声明,网站也未提示用户更改密码。

根据发布网站全球排名的Alexa提供的排名信息,该网站目前全球排名1654,香港地区排名第10。




同前段时间炒得沸沸扬扬的gmail数据泄露相似,发布这些账号信息的注册用户也搭建了相关的数据查询网站。如有你有在壹传媒网站注册用户,想要查询你的账 号是不是在泄露的名单里,可以登录该网站,输入自己的邮箱账号即可。为了保险起见,不管你是否在这个名单上,还是换掉你的密码吧。用户可以通过一个名为 “Next Media Has Been Pwned ,Is your password leaked?”的https://pwnnextmedia.com网站查询自己的用户数据是否被窃。

背景:

壹传媒有限公司(简称壹传媒;英语:Next Media Ltd.;港交所:0282)是一家中文传媒企业,成立于1990年,于2000年2月16日透过百乐门出版集团有限公司换取于香港交易所主板上市。于 1999年以前主要从事印刷及分色制版服务及杂志出版,其业务版图横跨香港与台湾,在港台两地出版多份报纸、杂志,曾经在台湾经营电视台——壹电视,及多 媒体平台网络协定电视壹网乐。其他业务包括广告、印刷及分色制版服务。壹传媒旗下的刊物大多有在互联网上提供完整内容并在互联网刊登广告,公司在香港注 册,董事会主席为黎智英,行政总裁为张嘉声。

1.5 黑客入侵他人网银盗取321万元 获刑14年半

王某利用木马程序入侵他人网银,从近百名受害者处共盗取321万元。昨天上午,浦东新区院对这起网上盗窃案作出一审宣判,被告人王某被判处有期徒刑14年6个月,剥夺政治权利4年,罚金人民币3万元。据悉,王某正是2009年攻击上海私车牌拍卖系统的黑客。

1989年出生的王某,山东人,中专文化。2009年7月 18日,王某和周某通过木马病毒软件操纵5000多台电脑,攻击上海私车额度服务网站的服务器,致使服务器无法正常运行,私车额度拍卖活动被迫取消。随 后,王某被嘉定法院判处有期徒刑1年2个月,2010年10月刑满释放。

然而,王某并没有改过自新。2012年11月至2013年1月间, 王某租借虚拟专用服务器和虚拟专用网络后,通过公用网络将木马程序从网络后台植入被害人电脑,当被害人使用该电脑进行网上支付时,木马程序自动运行,篡改 收款方、收款金额,将被害人李某等98人的网银中人民币共计321万元转入一游戏平台为其所控制的游戏账户充值点卡、虚拟金币等。

事后,王某将上述充值点卡等卖给他人套现,并将套现得款在中国联通官网购买联通充值卡后再出售他人,又将销赃得款在泰国通过他人换成泰铢。

2013年1月14日,公安机关从泰国将王某抓获归案。

在法庭上,王某辩称,公诉机关指控其实施网络盗窃所用的支付宝、淘宝、QQ等都不是其本人的;IP轨迹比对方法不科学,IP轨迹即便相同也并非一人所用,本案没有木马源码和传播过程,没有证据确认木马程序是其所投放使用。

法院审理后认为,相关证据经庭审质证足以认定王某实施盗窃犯罪的事实,故王某的当庭辩解,不符合本案已查明的事实和相关法律规定,不予采信。王某在刑满释放5年内再犯新罪,构成累犯,应当从重处罚。综上,法院依法作出上述一审判决。


2 本周关注病毒

2.1 Trojan.Win32.Generic.172CB765(木马病毒)

警惕程度 ★★

该病毒伪装成快播引诱用户下载并安装,病毒运行后打开黑客指定地址,下载配置文件,同时连接百度、UC、音乐FM等网站,下载软件并自动安装运行。此外病毒还会后台打开黑客指定网站,为该网站刷取流量。用户点脑一旦中毒,将被强制安装不需要的软件,同时网速大幅降低。

2.2 Trojan.Script.VBS.Dole.b(木马病毒)

警惕程度 ★★

该病毒会在用户打开Excel的时候即执行病毒文件,然后自我复制到启动文件夹中,保证这个文件随时更新,并修改用户的文件,将恶意代码注入办公文档,严重影响Office性能和正常功能,甚至导致文档无法正常打开。同时该病毒会影响Office的运行速度,还会搜索Outlook程序按通讯簿,定时发送带毒邮件,扩大其传播范围,严重影响企业用户正常工作。

2.3 Trojan.Win32.Generic.16B45D4B(木马病毒)

警惕程度 ★★

病毒运行后,检测局域网运行状况,收集用户隐私信息,发送至黑客指定网址。同时,病毒还将下载其他恶意程序。用户电脑一旦中毒,将面临隐私信息泄露,网银账密被盗等风险。


3 安全漏洞公告

3.1 GNU Bash 环境变量远程命令执行漏洞

GNU Bash 环境变量远程命令执行漏洞

发布时间:

2014-09-24

漏洞编号:

BUGTRAQ ID: 70103
CVE ID: CVE-2014-6271

漏洞描述:

GNU Bash(Bourne again shell)要类似UNIX的shell,广泛使用在Linux系统内,最初的功能仅是一个简单的基于终端的命令解释器。
GNU Bash 4.3及之前版本在评估某些构造的环境变量时存在安全漏洞,向环境变量值内的函数定义后添加多余的字符串会触发此漏洞,攻击者可利用此漏洞改变或绕过环境 限制,以执行shell命令。某些服务和应用允许未经身份验证的远程攻击者提供环境变量以利用此漏洞。此漏洞源于在调用bash shell之前可以用构造的值创建环境变量。这些变量可以包含代码,在shell被调用后会被立即执行。
此漏洞可能会影响到使用ForceCommand功能的OpenSSH sshd、使用mod_cgi或mod_cgid的Apache服务器、DHCP客户端、其他使用bash作为解释器的应用等。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.gnu.org/software/bash
http://ftp.gnu.org/gnu/bash/
参考:
https://bugzilla.redhat.com/show_bug.cgi?id=1141597
https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/
https://bugzilla.redhat.com/attachment.cgi?id=938976

3.2 Xen 'x86_emulate.c'本地权限提升漏洞

Xen 'x86_emulate.c'本地权限提升漏洞

发布时间:

2014-09-24

漏洞编号:

BUGTRAQ ID: 70057

漏洞描述:

Xen是一个开源虚拟机监视器,由剑桥大学开发。
Xen在'x86_emulate.c'的实现上存在本地权限提升漏洞,可以访问客户端操作系统的本地攻击者可利用此漏洞获取提升的权限或造成拒绝服务。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://lists.xen.org/archives/html/xen-announce

3.3 Xen 'HVMOP_track_dirty_vram()'本地拒绝服务漏洞

Xen 'HVMOP_track_dirty_vram()'本地拒绝服务漏洞

发布时间:

2014-09-24

漏洞编号:

BUGTRAQ ID: 70055

漏洞描述:

Xen是一个开源虚拟机监视器,由剑桥大学开发。
Xen在'HVMOP_track_dirty_vram()'的实现上存在本地拒绝服务漏洞,可以访问客户端操作系统的本地攻击者可利用此漏洞使主机操作系统崩溃。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://lists.xen.org/archives/html/xen-announce

3.4 Zend Framework Sqlsrv驱动程序多个SQL注入漏洞

Zend Framework Sqlsrv驱动程序多个SQL注入漏洞

发布时间:

2014-09-24

漏洞编号:

BUGTRAQ ID: 70011

漏洞描述:

Zend Framework (ZF) 是一个开放源代码的 PHP5 开发框架,可用于来开发 web 程序和服务。
Zend Framework在实现上存在多个SQL注入漏洞,攻击者可利用这些漏洞对下层数据库执行未授权操作。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://framework.zend.com/security/advisory/

3.5 nginx SSL会话固定漏洞

nginx SSL会话固定漏洞

发布时间:

2014-09-24

漏洞编号:

BUGTRAQ ID: 70025
CVE ID: CVE-2014-3616

漏洞描述:

nginx是一款使用非常广泛的高性能web服务器。
nginx 0.5.6-1.7.4版本在实现上存在会话固定漏洞,攻击者可利用此漏洞劫持任意会话或访问敏感信息。

安全建议:

nginx是一款使用非常广泛的高性能web服务器。
nginx 0.5.6-1.7.4版本在实现上存在会话固定漏洞,攻击者可利用此漏洞劫持任意会话或访问敏感信息。