当前位置: 安全纵横 > 安全公告

一周安全动态(2014年10月16日-2014年10月23日)

来源:安恒信息 日期:2014-10

2014年10月第三周(10.16-10.23)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 黑客借埃博拉病情制造和传播恶意程序和垃圾邮件

网络犯罪分子和垃圾邮件发送者通常会利用公众事件或普通用户所关心的话题诱导用户接收垃圾邮 件和传播恶意程序,近日随着埃博拉病情的扩散和民众恐慌程度的加剧,攻击者冒充世界卫生组织(WHO)发布虚假安全提示,或者以墨西哥政府名义发布公告, 而在这些煽情文字或图片链接的背后就是各种恶意程序。

根据安全部门最新捕获的恶意程序,黑客会冒充WHO向用户发送携带有DarkComet远程访问木马的邮件,并且能够绕过现有杀毒软件的查杀。一旦安装在用 户电脑上,就允许黑客访问感染者的文件、网络摄像头、录音、密码等等功能。此外来自墨西哥政府的虚假邮件还有教程如何启动微软Word软件中Macro功 能,进而导致下载恶意程序。

这些邮件都包含非常诱人的标题,比如:

● 修订版:埃博拉病毒生存指南

● 对抗致命的埃博拉疫情你需要知道哪些

● 那么如何判断自己是否换上埃博拉?

● 埃博拉病毒爆发:治愈突破方法显现?

● 可怕的健康警告:揭秘埃博拉的治疗过程

● 有没什么方法治愈埃博拉?

● 先是转基因食品,现在又是埃博拉。什么是奥巴马不想让你知道的。

● 埃博拉、转基因,什么是不想让你知道的。

● 令人震惊的健康警报:埃博拉正在迅速扩散

● 埃博拉爆发:联邦紧急措施储存25万塑料棺材

1.2 小企业安全意识薄弱:黑客钟情于入侵并盗打付费电话牟利

对于深知长时联网设备运作和系统漏洞的黑客们来说,只要有机会感染感染移动设备,就能够窃取数据并造成受害者的额外开销。他们有多种方法来实现这点,比如对连锁零售商或银行发动复杂的攻击,高水准的网络钓鱼欺诈,或者直接从取款机盗取现金。此外,黑客们还有更简单的技术攻击手段——比如企业的固定电话网络。

据《纽约时报》报道,在3月份的时候,一家仅7人的建筑事务所竟然在周末无人时产生了16.6万美元的话务支出。

这些高额话费来自向美国之外的增值付费号码拨打的成千上万通电话,如冈比亚、索马里、以及马尔代夫。

据悉,仅在去年,盗打电话就造成了全球47.3亿美元的损失,远高于2011年的10亿美元。显然,黑客们租赁了这些增值服务号码,每分钟的资费高达1美元,而其中有0.24美元会成为它们的非法所得。

然后,黑客们会入侵一家公司的电话系统,并借助高速计算机在周末同时呼出数以百计通电话,以显著“哄抬”其话务支出。最后,他们通过西联汇款、速汇和电汇拿到非法所得。

遗憾的是,小企业总会忽视了对电话网络的维护,因为他们不知道一旦联网,就会很容易受到攻击。TransNexus创始人Jim Dalton表示:“现实非常无情,当你把一台电脑联网时,它会立即启动探测并找出薄弱环节——没有人意识到等待他们的会是高达6位数的天价话费单”。

对于执法机构来说,想要抓捕这些坏蛋也是非常困难的,因为这些犯罪可以跨越多达3个司法管辖区。

2011年的时候,因涉嫌用类似方法获得200万美元的非法所得,美国联邦调查局和菲律宾警方合作逮捕了四名男子。调查机构认为,这些资金被提供给了2008年制造孟买恐怖袭击的武装组织。

1.3 SSL 3.0曝严重漏洞:行业大佬集体封杀

由于SSL 3.0网络协议最近曝出严重安全漏洞,很多相关厂商都开始采取应对措施,苹果也通知开发者,其推送通知服务(APNS)将删除对SSL 3.0的支持,直接在Provider Communication接口中将其禁用。苹果表示,推送通知今后会改用更安全的TLS安全传输层协议,开发者需要注意支持。

如果你的应用在同时使用SSL 3.0、TLS,将不会受到任何影响,但如果只用了SSL 3.0,还请尽快升级。

本月早些时候,Google的一名研究人员发现了SSL 3.0中的一个安全漏洞,称之为“POODLE”(Padding Oracle On Downgraded Legacy Encryption)。攻击者可以向TSL发送虚假错误提示,然后将安全连接强行降级到古老的SSL 3.0,然后就可以利用其中的设计漏洞窃取敏感信息。

Google已经在自己的相关产品中陆续禁止回溯相容,强制使用TLS协议。Mozilla也会在计划于11月25日发布的Firefox 34中彻底禁掉SSL 3.0。微软同样发出了安全通告。国内的不少网站也已经行动起来。

SSL最初是网景(Netscape)公司设计的Web安全传输协议,诞生于1999年,已经相当古老。IETF将其进行了标准化,并改名为TLS。从技术上讲,TLS 1.0、SSL 3.0的差异其实非常微小,但前者更加安全。

1.4 FBI局长要求国会修正法案 为监控用户数据留“后门”

联邦调查局局长James Comey从未放弃他的改革计划,不断劝说美国政府和企业在执法中具备权利访问加密的手机数据。近日Comey将这项提案提到国会上进行讨论,要求修正通信协助执法法案(CALEA )来涵盖更新的技术

援引The Hill报道称Comey在国会上提出要求更新1994年颁布的这项法律,起草相关条文迫使通信运营商和移动设备制造商向联邦官员提供管理电子监控的权 利。很多新兴的通信技术并不涵盖在CALEA法案中,这允许诸如谷歌苹果在内的科技巨头能够利用相关的政策来保护用户数据,这就导致执法机构在没有逮捕证 的情况下很难获取信息。


▲联邦调查局局长James Comey


▲来自加利福尼亚州的美国国会众议员Lofgren(左)和Issa(右)在国会上无情抨击了Comey的提案

1.5 香港特区政府网站成功防范黑客入侵

人民网香港10月22日电 香港特区政府商务及经济发展局局长苏锦梁今日表示,特区政府十分重视网络攻击问题,当得知有黑客组织试图发动攻击时,会启动机制向各政府部门发出指引,确保资讯系统安全,防患不良影响。

苏锦梁提到,前段时间曾有黑客试图攻击特区政府网站,特区政府立即采取适当应对措施,使得特区政府电子服务受影响不大。他同时提到,目前警方的调查仍进行中,警方执法是公平公正。


2 本周关注病毒

2.1 Trojan.PSW.Win32.AliPay.pn(木马病毒)

警惕程度 ★★

该病毒运行后,会查找并结束网购软件的安全进程和微软更新进程。病毒通过创建傀儡进程,运行恶意文件,从而篡改支付订单。中毒电脑将在用户毫无察觉的情况下,购买电话充值卡,并将卡号和密码发送至黑客指定服务器。

2.2 Worm.Script.VBS.Agent.cc(蠕虫病毒)

警惕程度 ★★

该病毒运行后遍历磁盘,将自身复制到多个目录下,并将自身设置成开机自启动,使用户在打开txt、chm、reg时先运行病毒文件,从而链接黑客指定地址,下载更多恶意程序。

2.3 Trojan.PSW.QQPass!47FC(木马病毒)

警惕程度 ★★★

该病毒以“QQ刷钻机.EXE ”命名,引诱网民下载点击,病毒运行后以登录为由欺骗用户输入用户名及密码,后台连接黑客指定服务器,将用户账号信息发送至黑客指定地址。电脑一旦中毒,用户将面临QQ号被盗的风险。


3 安全漏洞公告

3.1 PHP 'libxmlrpc/xmlrpc.c'缓冲区溢出漏洞

PHP 'libxmlrpc/xmlrpc.c'缓冲区溢出漏洞

发布时间:

2014-10-22

漏洞编号:

BUGTRAQ ID: 70666
CVE ID: CVE-2014-3668

漏洞描述:

OPHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。PHP在"object_custom()"函数(ext/standard/var_unserializer.re)的实现上存在整数溢出漏洞,攻击者可利用此漏洞造成受影响应用崩溃。此漏洞仅影响32位版本。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.php.net/downloads.php
PHP:
http://php.net/ChangeLog-5.php#5.6.2
http://php.net/ChangeLog-5.php#5.5.18
http://php.net/ChangeLog-5.php#5.4.34
http://bugs.php.net/68113
Symeon Paraschoudis:
http://bugs.php.net/68044
http://bugs.php.net/68027

3.2 PHP 'exif_thumbnail()' 函数堆缓冲区溢出漏洞

PHP 'exif_thumbnail()' 函数堆缓冲区溢出漏洞

发布时间:

2014-10-22

漏洞编号:

BUGTRAQ ID: 70665
CVE ID: CVE-2014-3670

漏洞描述:

PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。PHP在 "date_from_ISO8601()" 函数 (ext/xmlrpc/libxmlrpc/xmlrpc.c)的实现上存在边界错误,攻击者可利用此漏洞造成越界内存读取。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.php.net/downloads.php
PHP:
http://php.net/ChangeLog-5.php#5.6.2
http://php.net/ChangeLog-5.php#5.5.18
http://php.net/ChangeLog-5.php#5.4.34
http://bugs.php.net/68113
Symeon Paraschoudis:
http://bugs.php.net/68044
http://bugs.php.net/68027

3.3 多个Hitachi产品安全漏洞

多个Hitachi产品安全漏洞

发布时间:

2014-10-22

漏洞编号:

BUGTRAQ ID: 70678

漏洞描述:

HITACHI日立集团是全球最大的综合跨国集团之一,于20世纪60年代来到中国,成为早期进入中国市场的少量外资企业之一。主要产品是空调、冰箱等电器。
多个日立产品在实现上存在安全漏洞,目前影响未知。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.hitachi.co.jp/Prod/comp/soft1/security/

3.4 Drupal Database Abstraction API SQL注入漏洞

Drupal Database Abstraction API SQL注入漏洞

发布时间:

2014-10-17

漏洞编号:

CVE ID: CVE-2014-3704

漏洞描述:

Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成。
Drupal 7.32之前版本对数据库摘要API接收到的某些输入没有在"Database::expandArguments()" 方法(includes/database/database.inc) 内有效过滤,这可导致注入任意SQL代码,操纵SQL查询。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://drupal.org/node/
SA-CORE-2014-005:
https://www.drupal.org/
SA-CORE-2014-005
Stefan Horst:
https://www.sektioneins.de/advisories/advisory-012014-drupal-pre-auth-sql-injection-vulnerability.html

3.5 PHP拒绝服务漏洞

PHP拒绝服务漏洞

发布时间:

2014-10-17

漏洞编号:

BUGTRAQ ID: 70611
CVE ID: CVE-2014-3669

漏洞描述:

PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。PHP 5.5.18之前版本在实现上存在拒绝服务漏洞,攻击者可利用此漏洞造成受影响应用崩溃。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.php.net/downloads.php