当前位置: 安全纵横 > 安全公告

一周安全动态(2014年10月01日-2014年10月09日)

来源:安恒信息 日期:2014-10

2014年10月第一周(10.01-10.09)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 犯罪分子用新技术窃取提款机:数百万美元被盗

据PC World网站报道,犯罪分子们已经掌握了一种可以通过恶意程序控制提款机,并从中盗取现金的新技术。迄今为止,全球范围内已经有数百万美元被窃取。网络安全公司卡巴斯基的研究人员周二表示,一种被称为Backdoor.MSIL.Tyupkin的恶意程序,正在被犯罪分子利用来攻击ATM提款机。与其他利用软件漏洞实施远程攻击的病毒程序不同,这种病毒需要与ATM机的实体进行接触安装之后,才能发挥效应。

据卡巴斯基的技术研究员Vicente Diaz透露:“安装恶意软件的罪犯,需要借助CD将病毒程序导入机器内部,然后重启机器之后才能确保ATM机处于他们的控制之下。由于植入病毒的机器允 许犯罪分子使用其内部的各种软件,因此普通的杀毒软件也就对其根本不会起任何作用。这也将威胁级别提升到了一个新的高度。”

卡巴斯基方面拒绝透露究竟那些地区的ATM机已经感染该病毒,但他们表示国际刑警组织已经对此展开了调查。

这种恶意程序最早出现于东欧地区的50多个ATM提款机,但犯罪分子已经通过VirusTotal将该文本上传到了网络,这也意味着包括美国、印度和中国等地区的银行机构也有可能成为“受害者”。

研究员Vicente Diaz还表示,这些有组织的罪犯为了避免暴露目标还采取了不少反侦察的措施。比如他们通常只会在周日或者周一晚上实施盗窃。

最后卡巴斯基的研究员建议银行应该确保提款机实体的自身安全,比如跟更换ATM机的锁芯、安装自动报警装置等。

“Tyupkin病毒只能让那些没有自动报警功能的机器感染病毒,”卡巴斯基的研究员表示。

1.2 施密特:美国监控丑闻将破坏互联网发展

美国监控丑闻对科技公司和经济发展来说无疑产生了负面影响,甚至于这种情况依然继续恶化。本周三美国参议员Ron Wyden就美国政府监控对数字领域经济所产生的影响向诸多美国业内科技巨头负责人发出邀请,在圆桌会议上对这个问题进行深入的讨论。这名来自俄勒冈州的民主党资深参议员在帕罗奥多 (Palo Alto)高中体育馆上发言,讨论美国政府对技术公司的监控对经济的影响和未来的相关风险。


美国参议员Ron Wyden

谷歌执行董事长埃里克·施密特(Eric Schmidt)表示监控丑闻在未来很长时间内将会继续对包括谷歌在内的科技巨头产生影响,他表示:“当前该问题日益严峻并进一步恶化,这样下去必然会严重破坏互联网,我们应该吹散这股恶风。”

同施密特坐在一起的是微软总法律顾问布拉德·史密斯(Brad Smith),他表示:“就像消费者不会把钱存到不信任的银行一样,网民也不会使用不信任的网络。” Dropbox的首席律师Ramsey Homsany表示客户和商家之间所建立起来的信任是网络经济发展的核心引擎,而现在这台引擎已经从内到外腐烂了。

1.3 Windows XP成重灾区 Qbot病毒已感染50万台设备

近日一家可疑的俄罗斯网络犯罪集团所犯的小错误使其进入了安全公司的视线,通过深入挖掘,惊讶的发现该集团已经成功感染了50万台设备,并收集了80万个在线网银凭证根据 安全厂商Proofpoint最新公布的报告,大量WordPress网站被迫妥协执行Qbot特征代码,也就是熟知的Qakbot,是一个危害程 度很大的恶意程序。

Proofpoint随后对恶意程序进行了详细的分析,表示该犯罪集团已经收集了超过80万个交易凭证,其中大部分来自美国五大银行还有其他一部分来自于欧洲。根据报告显示有超过25%感染该病毒的设备都运行Windows XP系统,鉴于在2014年4月微软暂停对Windows XP系统的支持,无疑成为了本次中招的重灾区。

Qbot 会使用名为“hooking”的浏览器技术来偷窃在线网银帐号。尽管通常来说在线银行都会采用SSL/TLS加密,但是Qbot能够嵌入到浏览器中阅读已 经完成传输后的字符。当用户在受感染WordPress网站之后设备就会感染,在访问其他网站的时候会对其进行注入。

1.4 摩根大通黑客案给白宫和华尔街敲响警钟

外媒刊文称,美国总统奥巴马及美国国家安全顾问已经从开始接收有关摩根大通及其他9家大型金融公司今夏遭遇大规模黑客攻击一案的定期简报,这项最新举 措旨在向最高级的美国国家安全官员提供有关黑客攻击的信息更新,正如这些官员会收到有关俄罗斯入侵乌克兰或“伊斯兰国”(ISIS)攻击活动的信息更新一 样。

但据熟知内情的官员透露,在摩根大通黑客案中,没人能向奥巴马告知他最想知道的信息:这次黑客攻击背后的动机是什么?

“有个问题会一次又一次地浮现脑海:‘这只是一桩平凡无奇的盗窃事件,抑或是普京的报复行动?’”一名高级官员这样说道,他所指的“报复行动”是指俄罗斯可能因美国方面对其实施制裁而作出的反击。“而这个问题的答案则是:‘我们无法确知。’”

时至今日,距离摩根大通首次发现其遭遇黑客攻击的日子已经过去了三个多月,但攻击的来源仍旧不明,而且并无证据表明任何组织机构利用被盗数据窃取了任何资 金。然而,随着其他被攻击对象渐渐浮出水面,整个华尔街都笼罩在疑云之中。据熟知内情的消息人士透露,到目前为止,至少四家公司——花旗集团、 E*Trade Financial、汇丰银行和ADP——都已发现,被用于渗透摩根大通网络的一个网址曾试图侵入它们的系统。

消息人士称,在收到摩根大通的举报以后,美国联邦调查局(FBI)将据信是黑客用于侵入摩根大通计算机网络系统的IP地址带到了其他金融机构,目的是希望查明这些机构的系统入侵者是不是同一批黑客。此外,这些银行还彼此共享了相关信息。

这些金融机构中的三家均拒绝就此置评,而ADP发言人吉姆·杜菲(Jim Duffy)则表示,该公司“发现了基于互联网的流量,这些流量来自于那些被指(黑进摩根大通系统的)犯罪分子”。但他同时补充道,ADP并未“发现与这种扫描我们的防御系统有关的任何事件”。

摩根大通曾在此前表示,黑客已经获取了其客户姓名和一些电子邮件地址,但并未足够深入地渗透该行的计算机网络系统,因此并未拿到会计信息。该行还称,在受到此次黑客攻击事件影响的7600万个家庭账户中,并无证据表明发生了任何非法的银钱转移活动。

联邦调查局已经针对此案启动了一项刑事调查程序,此外美国特工处(Secret Service)也已插手。但在华尔街内部,这些黑客攻击事件的规模和广度——再加上黑客身份或动机不明——所凸显的问题不只是大多数美国金融机构都容易 受到攻击,同时也证明尽管这些金融机构已经投入巨资来开发探测技术,但却仍旧难以找到攻击的源头。而正是由于难以追踪攻击来源的缘故,想要拘捕这些事件背 后的黑客变得近乎不可能。

“人们付钱可不是为了遭受攻击的。”美国国家安全局局长迈克尔·罗杰斯(Michael S. Rogers)在今年早些时候接受采访时说道。“这是我们所面临的最大挑战之一。”

其他让人心存疑惑的问题则包括,金融机构是否应有义务公布这种攻击行为。有消息人士透露,以伊利诺伊州总检察官丽莎·梅迪甘(Lisa Madigan)和康涅狄格州总检察官乔治·杰普森(George Jepsen)为首的多名州级总检察官已经针对摩根大通黑客案启动了调查程序,试图查明这家美国最大银行是否曾及时地向其客户发出有关黑客攻击事件的警告 通知。消息人士称,任何延宕——也就是从摩根大通得知大量信息被窃取到其向客户发出警告通知之间的时间落差——都可能会令客户面临风险。

根据美国联邦政府和伊利诺伊州政府的现行法律,摩根大通并不需要向客户发出有关黑客攻击的警告通知,原因是该行判定被盗的仅有联系人信息而已。

消息人士称,梅迪甘办公室的检察官正在讨论是否对伊利诺伊州2006年出台的一项法律作出修改,要求公司必须在客户的财务信息(包括社会保障卡和账户信息 等)被盗时及时发出通知。消息人士透露,目前存在争议的一个问题在于,是否应该扩大这项法律的覆盖范围,使其将另一种情况也涵盖在内,即黑客仅窃取了客户 的非财务信息,如电子邮件地址等。

“我们已多次就被黑事件对客户发出通知,而且并未看到这一事件导致欺诈活动的水平反常升高——首先是在8 月份发出了通知,然后是在9月中旬,最近则是在上周。”摩根大通发言人帕特里夏·韦克斯勒(Patricia Wexler)说道。“我们认真地进行了足够深入的内部调查,获取了最全面的信息,希望确保我们能充满自信地宣称并无财务信息被盗取。”

消息人士透露,梅迪甘和杰普森的办公室人员在周二与摩根大通的相关官员举行了一次电话会议,对这桩黑客攻击事件进行了讨论。自塔吉特去年被黑以来,这两个周的检察官每月都会召开电话会议。

摩根大通多次表示,被盗的客户姓名、电话号码、住址和电邮地址等信息均未带来任何欺诈事件。另外,该行还指出其客户账户中并无银钱被盗。但安全顾问则警告称,对于黑客来说,电邮地址已经足够他们从事“钓鱼”活动,诱使客户向其提供更多的个人信息。

一名熟知内情的消息人士称,曼哈顿地区的美国检察官普利特·巴拉拉(Preet Bharara)正在对摩根大通被黑案展开调查。
但 是,想要找到幕后黑客是一项难度极高的任务。对于这一点,咨询公司FTI Consulting的高级董事总经理托马斯·布朗(Thomas G.A. Brown)颇有体会,他深知想要追踪海外犯罪分子并将其绳之以法有多么困难。直到最近加盟FTI Consulting以前,布朗一直都担任曼哈顿地区美国检察官办公室的计算机和知识产权犯罪部门主管,曾负责起诉俄罗斯人亚历山大·加里宁 (Aleksandr Kalinin),此人被控在2011年黑进了纳斯达克股票市场的计算机系统。但直到今天,加里宁仍逍遥法外。

在谈及拼凑出一名黑客的肖像有多么困难时,布朗说道:“这跟有人被枪杀并横尸街头,然后有人目击到嫌犯携枪逃窜根本就无法相提并论。”

而据熟知摩根大通内部调查的数名消息人士透露,在上周的调查中,搜寻并判定黑客到底盗走了什么信以及为何要盗走这些信息已经变得更具紧迫性。与摩根大通此前 的初步认识相比,这桩在今年夏天发生的黑客攻击事件实际上要广泛得多。消息人士称,今夏负责调查这一事件的人员将被盗账户的数量锁定在100万个左右;但 在上周,随着内部调查的不断深入,这个数字已呈现出几何级增长的趋势。根据该行高管向董事会提交的数据,共有7600万个家庭账户被盗。

与这一数字相比,其他信息披露则显得更加微妙。在8月份提交监管文件时,摩根大通称其董事会和审计委员会对重大的网络攻击事件“时常感到惊讶”。在2013年提交的监管文件和此前的季度财报中,这一措辞则并未出现过。

与此同时,此次事件的规模之大以及攻击活动发生以后三周都未被探测到的事实则引发了一个问题,那就是分部遍及全球、员工总数多达26万人的摩根大通是否“过大而无法保证安全”。

在今年夏天的这桩事件发生以前,摩根大通以及E*Trade和花旗集团等许多金融机构都曾被黑过。去年6月份,新泽西州总检察官保罗·费舍曼(Paul J. Fishman)对8名嫌犯提出起诉,指控其与一桩黑客攻击事件有关,该事件中有1500万美元资金被盗。本案的第一被告现在仍逍遥法外,据悉此人目前居 住在乌克兰。

费舍曼在当时提出指控时表示:“作为一场全球阴谋的部分内容,网络犯罪分子侵入了最受人信任的一些金融机构,盗取了美国人的钱银和身份信息。”

1.5 四成路由高危易被黑客攻击

网络流量被他人占用、网页恶意跳转、强制性广告弹窗……瑞星公司昨日发布的路由安全报告显示,有四成路由处于高危状态。

调查报告显示,60%的网民已经使用安全级别最高的WPA2模式来加密WiFi密码,但仍有5%的网民在使用极不安全的WEP模式,另有35%的网民不知道自己使用的加密模式是什么。此外,40%的网民表示不介意他人的蹭网行为。

对此,安全专家指出,WiFi密码是路由器最重要的安全防护之一,一旦黑客破解WiFi密码,就意味着能够监听到网民在上网时发送和接收到的所有数据,包括浏览网页、在网上填写的用户资料和账号密码、收发的邮件和聊天记录等,路由器处于高危状态,随时可能遭遇黑客攻击。


2 本周关注病毒

2.1 Trojan.Win32.Generic.16B45D4B(木马病毒)

警惕程度 ★★

病毒运行后,检测局域网运行状况,收集用户隐私信息,发送至黑客指定网址。同时,病毒还将下载其他恶意程序。用户电脑一旦中毒,将面临隐私信息泄露,网银账密被盗等风险。

2.2 Worm.Win32.VobfusEx.e(蠕虫病毒)

警惕程度 ★★

该病毒伪装成文件夹图标引诱用户点击,病毒运行后,在系统目录下创建多个文件,并将自身复制到%System32%文件下,重命名为system3_.exe。病毒还会修改注册表实现开机启动,并自我复制到各磁盘根目录下。 病毒还将收集用户隐私信息,上传至黑客指定网址。用户电脑一旦中毒,将面临隐私信息泄露、网银账密被盗、电脑成为黑客肉鸡等风险

2.3 Trojan.Win32.Generic.172CBC9F(木马病毒)

警惕程度 ★★★

该病毒通过捆绑正常软件进行传播,用户在不正规的下载渠道下载文件容易遭遇该类病毒的袭击。病毒运行后,释放 c:\docume~1\admini~1\locals~1\temp\851578.ini文件,并调用系统regini.exe进行注册,修改浏览器主页为2345网址导航,后台连接黑客指定地址,下载推广软件安装至用户电脑。电脑一旦中毒,将面临网络资源和系统资源被大量占用,系统运行过慢等问题。


3 安全漏洞公告

3.1 GNU Bash不完整修复远程代码执行漏洞

GNU Bash不完整修复远程代码执行漏洞

发布时间:

2014-10-08

漏洞编号:

BUGTRAQ ID: 70166
CVE ID: CVE-2014-6278

漏洞描述:

Bash,Unix shell的一种,在1987年由布莱恩·福克斯为了GNU计划而编写。
GNU Bash 4.3 bash43-026及之前版本没有正确解析环境变量值中的函数定义,这可使远程攻击者通过构造的环境,利用此漏洞执行任意代码或者。此漏洞源于CVE- 2014-6271, CVE-2014-7169, CVE-2014-6277的不完整修复。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.gnu.org/software/bash
http://lcamtuf.blogspot.com/2014/09/bash-bug-apply-unofficial-patch-now.html
https://www.suse.com/support/shellshock/
http://support.novell.com/security/cve/CVE-2014-6277.html
https://kb.bluecoat.com/index?page=content&id=SA82GNU Bash:
http://ftp.gnu.org/gnu/bash/bash-4.3-patches/bash43-027
http://ftp.gnu.org/gnu/bash/bash-4.2-patches/bash42-050
http://ftp.gnu.org/gnu/bash/bash-4.1-patches/bash41-014
http://ftp.gnu.org/gnu/bash/bash-4.0-patches/bash40-041
http://ftp.gnu.org/gnu/bash/bash-3.2-patches/bash32-054
http://ftp.gnu.org/gnu/bash/bash-3.1-patches/bash31-020
http://ftp.gnu.org/gnu/bash/bash-3.0-patches/bash30-019
http://ftp.gnu.org/gnu/bash/bash-2.05b-patches/bash205b-010

Michal Zalewski:
http://lcamtuf.blogspot.com/2014/09/bash-bug-apply-unofficial-patch-now.html
http://lcamtuf.blogspot.com/2014/10/bash-bug-how-we-finally-cracked.html


3.2 Bugzilla未授权帐户创建漏洞

Bugzilla未授权帐户创建漏洞

发布时间:

2014-10-09

漏洞编号:

BUGTRAQ ID: 69774
CVE ID: CVE-2014-2377

漏洞描述:

Bugzilla是一个开源的缺陷跟踪系统,它可以管理软件开发中缺陷的提交,修复,关闭等整个生命周期。广泛使用在开源项目中,例如 Apache Software Foundation, Linux kernel, LibreOffice, OpenOffice, OpenSSH, Eclipse, KDE, GNOME, 各种Linux发行版等。
Bugzilla在实现上存在未授权帐户创建漏洞,允许攻击者创建新的Bugzilla帐户,在最终化帐户创建时覆盖某些参数,导致用不同于最初请求的电子邮件创建用户。被覆盖的登录名根据组正则表达式设置自动添加到组内。

安全建议:

Bugzilla已经为此发布了一个安全公告(4.0.14)以及相应补丁:
4.0.14:4.0.14, 4.2.10, 4.4.5, and 4.5.5 Security Advisory
链接:http://www.bugzilla.org/security/4.0.14/
补丁下载:http://www.bugzilla.org/download/
参考:https://bugzilla.mozilla.org/show_bug.cgi?id=1074812

3.3 PHP 'efree()'函数远程代码执行漏洞

PHP 'efree()'函数远程代码执行漏洞

发布时间:

2014-10-08

漏洞编号:

BUGTRAQ ID: 70259
CVE ID: CVE-2014-3622

漏洞描述:

PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。
PHP 5.6及其他版本在'efree()'函数的实现上存在远程代码执行漏洞,成功利用后可导致在webserver上下文中执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.php.net/downloads.php

3.4 Apache HTTP Server mod_cache拒绝服务漏洞

Apache HTTP Server mod_cache拒绝服务漏洞

发布时间:

2014-10-08

漏洞编号:

CVE ID: CVE-2014-3581

漏洞描述:

Apache HTTP Server是Apache软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,由于其多平台和安全性被广泛使用,是最流行的 Web服务器端软件之一。它快速、可靠并且可通过简单的API扩展,将Perl/Python等解释器编译到服务器中。
Apache HTTP Server 2.4.10版本在"cache_merge_headers_out()"函数(modules/cache/cache_util.c)中存在空指针 间接引用错误,攻击者通过值为空的content-type字段,利用此漏洞可造成崩溃。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://svn.apache.org/viewvc/httpd/httpd/branches/2.4.x/CHANGES?view=markup&pathrev=1627749

3.5 phpMyAdmin脚本插入漏洞

phpMyAdmin脚本插入漏洞

发布时间:

2014-10-08

漏洞编号:

CVE ID: CVE-2014-7217

漏洞描述:

phpmyadmin是MySQL数据库的在线管理工具,主要功能包括在线创建数据表、运行SQL语句、搜索查询数据以及导入导出数据等。
phpMyAdmin 4.0.10.4, 4.1.14.5之前版本, 4.2.9.1之前版本没有正确过滤 table search 及 table structures内的输入,这可导致插入任意HTML及脚本代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.phpmyadmin.net/home_page/security/PMASA-2014-11.php