当前位置: 安全纵横 > 安全公告

一周安全动态(2014年10月23日-2014年10月30日)

来源:安恒信息 日期:2014-10

2014年10月第四周(10.23-10.30)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 Linux/Unix中开源应用wget发现严重安全漏洞

在Linux和Unix系统中广泛使用的开源应用wget发现了一个严重安全漏洞,允许攻击者通过FTP创建任意文件和目录,甚至复写整个文件系统。该漏洞是Rapid 7的首席研究官HD Moore最早报告给 GNU Wget项目的。

不同于此前广泛宣传的Heartbleed,ShellShock,POODLE 和Sandworm漏洞,wget这个的严重漏洞没有起什么特别的绰号。利用wget漏洞的测试程序已经发布,确认wget 1.14存在漏洞。

1.2 神秘黑客成功入侵美国白宫计算机网络

一般黑客都针对美零售商,金融机构,政府机构。但是,美国白宫今天证实,总统奥巴马高级员工使用的非机密计算机网络已被神秘黑客入侵。纽约时报报道 表示,目前还不清楚黑客为什么攻击白宫非机密计算机网络,白宫也没有透露攻击的具体细节,只是表示,攻击“并未着眼于破坏数据或硬件,或接管白宫的其他系统。”

显然,黑客的目的只是探测和测绘白宫非保密网络系统。近日,一份类似的报告认为,攻入摩根大通和其他银行的黑客可能一直在寻找这些金融机构采用的保安措施相关数据,以便在日后发动攻击。

英国泰晤士报也报道,在入侵发生后,白宫立即采取行动,捍卫其电脑网络系统,导致系统暂时关闭。

1.3 今年上半年香港网络安全事故大增近两倍

近来香港不少网站成为黑客攻击目标,网络保安事故宗数增加。香港电脑保安事故协调中心表示, 今年上半年香港网络安全事故大增近两倍,客户资料成目标。由香港资讯科技商会主办的2014网络安全会议29日在香港举行,香港特区政府资讯科技总监办公 室副政府资讯科技总监林伟乔在会上表示,网络攻击日益普遍, 而香港近来不少网站都受到攻击。如果未能快速妥善处理,将对公司造成声誉和经济上重大损失,网络安全已经成为风险管理的重要部分。

今年香港的网络安全事故增幅惊人,香港电脑保安事故协调中心高级顾问梁兆昌表示,今年上半年香港网络安全事故大增近两倍,客户资料成目标。

他指出,今年上半年香港网络安全事故有1618宗,同比大增近两倍。其中大部分为僵尸网络,即普通用户的电脑被黑客入侵而不自知,被黑客利用来攻击其他电脑,成为黑客攻击他人的其中一个控制点。保守统计,香港现时共有8000台电脑被控制,成为“隐形僵尸”。

梁兆昌又表示,网络不断发展,网购流行,不少购物网要求客户提供信用卡等信息。黑客近年来喜欢攻击网站服务器,用户资料成为目标。而今年第二季,香港共有8600多个网站服务器被入侵。

梁兆昌建议公司和个人都要做好网络保安措施,企业及互联网用户应养成习惯,为个人电脑及网站服务器安装最新的保安修补程式,以及设置防火墙和防恶意程式。企业更应订立敏感资料的分级及保安政策,作出充分准备,应付大型攻击。

1.4 浙江下沙出现首例网银“骗中骗” 钱被转走是假象

2U盾和验证码都在自己手里,网银里的钱为什么会被人转走?原来,是骗子利用网银的默认功能,用持卡人的钱购买了贵金属和理财产品,造成持卡人钱被转走的假象。所幸,遭遇这场骗局的张先生及时报警,在民警的帮助下识破了骗子的伎俩,避免了经济损失。

网银里3万元不翼而飞

“好心人”主动联系退款

最近,下沙的张先生遭遇了一件离奇的事:银行卡、U 盾、手机都在手中,卡里的钱却没了3万元。

上周,张先生收到一条中国银行的提示信息:银行卡支出3万余元人民币。经过检查,张先生确认自己的银行卡和U盾、手机都在,也没操作过网银。

就在张先生百思不得其解时,他的电话响起,打电话的陌生女子自称是江苏某公司财务,说发现张先生的钱转入了其公司的账户,问张先生是否被骗,并说现在她很忙,稍后再联系张先生商议退款事宜。

挂了电话后,张先生半信半疑地登录网银查看,发现账户内的3万余元果然不翼而飞。张先生冷静地报了警。

接警后,民警立刻赶到张先生的住所询问。正当民警向他了解事情经过时,陌生电话第二次打了进来。对方说,自己是看到了账户异常,所以好心联系张先生,如果要退款,就按照她的提示进行操作。

民警意识到这可能是一个骗局,就以家属的身份接过电话,对方要求提供手机验证码等信息。办案民警一面与骗子周旋,拖延时间,一面拨打银行客服咨询。在银行客服的指导下,民警通过操作很快将张先生的钱款转了回来。

钱被转走是假象

联系受害人退款才是骗局

随后,警方弄清了骗子的整套骗局。这种诈骗方式还是具有一定迷惑性的。

首先,骗子通过某些途径窃取了持卡人的网银账号和密码等信息。但仅凭这些信息,还不能诈骗成功。骗子还使用了网银的默认功能——不需要U 盾即可进行贵金属、理财产品交易。

骗子用账号和密码进了网银后,用卡里的钱购买这些产品,造成持卡人的钱被转走的假象。由于没有U 盾不能转账,骗子再主动联系持卡人,利用持卡人的恐慌心理,谎称退款,指挥持卡人进行所谓的退款操作——其实是转账操作,最终将持卡人的钱转走。

据办案民警介绍,这种骗局上半年在全国其他地方也有出现,但在开发区还是第一例,属于新型的通讯诈骗。

民警提醒:

要留意网银的默认功能

眼下虽然各家银行纷纷针对网银捆绑了安全性能很高的U 盾,但一些银行的网银不需要U 盾即可购买贵金属、理财产品、信用卡还款等。因此,持卡人在开通网银时,一定要留意这些默认功能,以免被骗子钻了漏洞。

市民应该怎么防范这样的陷阱呢?

民警提醒,首先不要在公用电脑或公共场合登录网银,使用完网银后应及时退出登录;开启账号保护功能,并在设置登录账号密码时,以字符代替部分数字,提高安全等级。

此外,不少银行的网银都有“登录短信提醒”、“登录短信验证”等功能,开启这项功能可降低网银被盗的风险。

1.5 网络核心设备企业遭外企围剿 先遭断血再被恶意收购

作为保障国家网络安全、发展互联网产业的重要环节,我国于2006年将“核高基”(核心电子器件、高端通用芯片、基础软件)列为与载人航天、探月工程并列 的16个重大科技专项之一。不过,《经济参考报》记者调研发现,我国网络核心设备企业正在遭受外企的全面围剿,其中主要涉及直接市场打压、知识产权、恶意 收购三个方面。同时税收、融资、国内市场保护缺乏等问题也严重阻碍着国内企业的创新发展。

税收是外企7倍 融资难缺乏造血基础

“我们的税收是人家的7倍,这些真金白银都是企业创新的血液,我们血液都不足,怎么创新发展?又谈何追赶世界巨头?”
记者调研了解到,税收、融资等问题已经成为国内网络核心基础设施企业创新发展、追赶世界巨头的重要障碍。

以核心芯片为例,国内企业在中国市场的主要竞争对手是美国高通和台湾联发科技两大世界巨头。国内一家著名芯片企业副总裁告诉记者,台湾地区为了扶持本地产 业,联发科技等集成电路企业没有增值税,其《促进产业升级条例》还规定,集成电路企业购买研发工具、兼并收购等成本可直接抵扣所得税,他们的所得税抵扣之 后一般在1%至2%,而大陆企业的所得税是15%。

该芯片企业副总裁还说,“我们的税收是人家的7倍,这些真金白银都是企业创新的血液,我们血液都不足,怎么创新发展?又谈何追赶世界巨头?”

同时,现有的税收政策还造成企业大量资金的积压。锐迪科微电子(上海)有限公司副总裁赵国光说,“我国出口退税的周期是半年,几千万的资金就长期压在那里动 不了,而国外的出口退税周期普遍短于我们,本来国内企业资金实力都不够雄厚,几千万的资金对企业发展的影响是很大的。”

他还表示,我国的个人所得税制度已成为制约引进高端人才的障碍。“如果你的收入在中国要缴40%的个人所得税,在美国只需要缴15%,你会来中国工作吗?”

除了税收问题,融资问题也是企业发展面临的一大困难。锐迪科等多家企业反映,多数国内企业尚处幼年,按照相关政策,很难在国内上市,缺乏造血的基础。目前的税收负担和融资渠道问题直接阻碍企业创新发展。

遭外企打压

被恶意收购兼并

“他根本不想让你冒芽,你有了自主技术,在产业化缺钱的时候他就想办法收购你,此前美国高通就一直想收购我国龙头企业展讯,我们很多企业都是国家大力扶持起来的,被外企买走太可惜了。”

《经济参考报》记者调研发现,发展中的我国网络核心设备企业正在遭受外企的全面围剿,其中主要涉及直接市场打压、知识产权、恶意收购三个方面。

一 是利用市场优势地位对国内企业进行打压。一位不愿透露姓名的芯片企业负责人举例说,“外企对国内芯片企业的打压是非常霸道的,在中国市场,他与我们的客户 是共同的,他们利用自己在芯片市场的垄断地位威胁客户称,如果用国内企业的芯片,就提价、断货、不给优质服务等等,让我们的客户不敢用我们的产品。”

二 是知识产权围剿。赵国光说,国内的核心设备企业发展到现在,外企开始利用知识产权优势对我们展开围剿。一方面,只要我们一个新产品上市,外企就会起诉称侵 犯了他的专利,如此前爱立信起诉酷派、诺基亚起诉展讯,均称中国企业侵犯了他们的专利;另一方面,外企利用自己在知识产权方面的积累,对国内企业收取高额 专利费,例如专利费本来应该按照芯片的价格来收,而美国高通却利用知识产权优势,强行按照整机的价格收取,企业的大部分利润就这样被收走了。

三 是恶意收购兼并。曙光信息产业股份有限公司总裁历军说,除了利用市场、知识产权的优势打压之外,近几年外企对我国刚刚冒尖、又有自主技术的企业兼并收购十 分普遍。“他根本不想让你冒芽,你有了自主技术,在产业化缺钱的时候他就想办法收购你,此前美国高通就一直想收购我国龙头企业展讯,我们很多企业都是国家 大力扶持起来的,被外企买走太可惜了。”
多名国内企业负责人表示,我国自主核心设备企业发展到现在,正是要做大做强的时候,外企就会利用自己的优势从这三个方面进行全方位的“围剿”,一般都是“先断血,再收购”。

在国外饱受刁难

国内又成政府采购“弃儿”

我们自主设计的金融IC卡芯片也获得了与国外企业一样的技术认证,但国内的银行就是不认可、不采购,而去大量采购国外产品。

多家国内企业反映,其他国家均公开对本国企业进行市场保护,优先采购其产品,排挤他国企业,而我国却仍给予外企“超国民待遇”,拒绝采购自主产品,导致国内企业的“本土优势”无从发挥。

国民技术股份有限公司总裁孙迎彤说,经过这七、八年的研发和引进技术,我国大部分产品在技术方面并不比国外产品落后。“我们自主设计的金融IC卡芯片也获得 了与国外企业一样的技术认证,但国内的银行就是不认可、不采购,而去大量采购国外产品,目前我国现存的5.9亿张金融IC卡的芯片都是国外同一家企业的, 不仅影响我国芯片产业的健康发展,还给我国的金融信息安全造成了很大的隐患。”

上海一家集成电路企业负责人告诉记者,“在韩国成立一个公 司,他就会先评估自己的公司和你的差距,再进行相应的市场保护,他们对优先采购本国的产品是有明文细则的,而我们在国内并没有类似的本土优势。比如,不久 前韩国三星公司到陕西西安建厂,直接声明不采购中国的所有设备。我们的产品卖给外国,他们以保护本国产业为由拒绝购买,现在三星到中国建厂,为什么不能要 求他们优先采购我们的产品?”

“国内总是强调公平竞争,我们却在国外饱受刁难。”中兴通讯股份有限公司副总裁常金芸说,其他国家不希望中国企业强大,华为和中兴已经被美国政府以“莫须有”的罪名赶出了美国市场。另外,美国高通公司看到中国企业越来越强大,直接向美国政府申诉,将展讯、锐迪科等中国企业的增值税优惠直接撤销。

常金芸、孙迎彤等企业负责人表示,事实证明,国外企业都是受政府保护的,我们为什么不能公开受到政府的扶持?我们的产品在技术上已经不再落后,为什么有关政 府部门不能鼓励优先采购我们的产品?我们不是主张国家打着“自主创新”的旗号保护落后企业,只是想和外企在同一起跑线上竞争。


2 本周关注病毒

2.1 Worm.Script.VBS.Agent.cd(蠕虫病毒)

警惕程度 ★★

该病毒运行后遍历磁盘,将自身复制到多个目录下,并将自身设置成开机自启动,使用户在打开txt、chm、reg时先运行病毒文件,从而链接黑客指定地址,下载更多恶意程序。

2.2 Backdoor.Win32.Depyot.a(后门病毒)

警惕程度 ★★

该病毒运行后,后台链接挂马网址,下载恶意程序,并修改注册表,以实现开机自启动。同时病毒还将通过解密,得到远程控制程序PoisonIvy RAT,远程连接黑客指定网址。中毒电脑将被远程控制,黑客可随意翻阅硬盘上的数据,并控制摄像头等电脑外接设备,届时用户的个人文件及私密信息都将面临巨大风险。

2.3 Worm.Win32.Autorun.ttg(蠕虫病毒)

警惕程度 ★★★

该病毒运行后伪装成安全软件程序自我复制至系统文件夹,同时伪装成用户自有文件夹,复制至所有硬盘分区中,被复制的文件夹将被设置为隐藏及只读属性。此外,病毒还将修改注册表,实现开机自启动,并后台连接黑客指定网址,下载其他病毒程序。电脑一旦中毒,用户将面临电脑运行缓慢,网络资源被大量占用,隐私信息泄露、网银账密被盗等风险。


3 安全漏洞公告

3.1 tnftp ftp客户端任意命令执行漏洞

tnftp ftp客户端任意命令执行漏洞

发布时间:

2014-10-30

漏洞编号:

CVE ID: CVE-2014-8517

漏洞描述:

tnftp是广泛使用的NetBSD FTP客户端。
tnftp存在安全漏洞导致攻击者可以执行任意命令。此漏洞影响多个版本Linux(Fedora, Debian, NetBSD, FreeBSD, OpenBSD)及Apple Yosemite 10.10。
受害者使用 "ftp http://server/path/file.txt" 命令,而没有使用"-o"参数来指定输出文件时,恶意服务器可以通过tnftp来执行任意命令。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://ftp.netbsd.org/pub/pkgsrc/current/pkgsrc/net/tnftp/README.html
参考:
http://seclists.org/oss-sec/2014/q4/459
http://seclists.org/oss-sec/2014/q4/459
http://seclists.org/oss-sec/2014/q4/460
http://netbsd.org/

3.2 GNU Wget符号链接漏洞

GNU Wget符号链接漏洞

发布时间:

2014-10-28

漏洞编号:

BUGTRAQ ID: 70751
CVE ID: CVE-2014-4877

漏洞描述:

GNU Wget是一个免费的软件包,用于使用HTTP、HTTPS和FTP协议检索文件。
GNU Wget在实现上存在符号链接漏洞,攻击者可利用此漏洞访问受限制目录以外的文件,获取敏感信息,执行其他攻击 。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://git.savannah.gnu.org/cgit/wget.git/commit/?id=18b0979357ed7dc4e11d4f2b1d7e0f5932d82aa7

3.3 Dell EqualLogic目录遍历漏洞

Dell EqualLogic目录遍历漏洞

发布时间:

2014-10-28

漏洞编号:

BUGTRAQ ID: 70760
CVE ID: CVE-2013-3304

漏洞描述:

Dell EqualLogicis是基于iSCSI的存储网络系统产品。
Dell EqualLogic 固件版本6.0及其他版本在实现上存在目录遍历漏洞,成功利用后可使攻击者访问任意系统文件。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.dell.com/support/drivers/us/en/

3.4 Apache CXF SAML SubjectConfirmation安全限制绕过漏洞

Apache CXF SAML SubjectConfirmation安全限制绕过漏洞

发布时间:

2014-10-27

漏洞编号:

BUGTRAQ ID: 70736
CVE ID: CVE-2014-3623

漏洞描述:

Apache CXF是一个开源服务框架,用于使用JAX-WS、JAX-RS等前端编程API编译和开发服务。
Apache CXF 2.7.13之前版本、Apache CXF 3.0.2之前版本与TransportBinding结合使用时,没有正确实现SAML SubjectConfirmation方法,在实现上存在安全限制绕过漏洞,攻击者可利用此漏洞绕过某些安全限制,执行欺骗攻击。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://svn.apache.org/viewvc?view=revision&revision=1624308
http://svn.apache.org/viewvc?view=revision&revision=1624287
http://svn.apache.org/viewvc?view=revision&revision=1624262
参考:
http://cxf.apache.org/security-advisories.data/CVE-2014-3623.txt.asc?version=1&modificationDate=1414169368341&api=v2

3.5 Citrix NetScaler Application Delivery Controller及Gateway任意代码执行漏洞

Citrix NetScaler Application Delivery Controller及Gateway任意代码执行漏洞

发布时间:

2014-10-23

漏洞编号:

BUGTRAQ ID: 70696
CVE ID: CVE-2014-7140

漏洞描述:

Citrix NetScaler ADC是应用交付控制器,可以优化企业服务交付。Citrix Access Gateway是一款通用的SSL VPN设备。
Citrix NetScaler Application Delivery Controller (ADC)及Citrix NetScaler Gateway的管理接口存在安全漏洞,未经身份验证的攻击者可利用此漏洞执行任意代码。

安全建议:

Citrix已经为此发布了一个安全公告(CTX200206)以及相应补丁:
CTX200206:Vulnerability in Citrix NetScaler Application Delivery Controller and NetScaler Gateway Could Result in Arbitrary Code Execution
链接:http://support.citrix.com/article/CTX200206
补丁下载:
NetScaler ADC Firmware
https://www.citrix.com/downloads/netscaler-adc/firmware.html
NetScaler ADC Virtual Appliance
https://www.citrix.com/downloads/netscaler-adc/virtual-appliances.html
NetScaler Gateway Product Software
https://www.citrix.com/downloads/netscaler-gateway/product-software.html