当前位置: 安全纵横 > 安全公告

一周安全动态(2014年10月31日-2014年11月06日)

来源:安恒信息 日期:2014-11

2014年11月第一周(10.31-11.06)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 EMV芯片卡存重大安全隐患 每张卡最高可窃取100万

传统磁条卡存在极大的安全隐患,在窃取磁条信息后黑客能非常方便进行复制进行消费,为此美国宣布自2015年10月1日开始禁止使用磁条卡,转而使用更加安全的EMV芯片卡。不过援引《连线》报道英国纽卡斯尔大学的研究人员声称EMV芯片卡事实上也存在很大的安全漏洞,并成功窃取英国国内正常使用的VISA卡上的金额。

研究人员表示由VISA研发的EMV芯片卡并不能识别非英国货币的交易,因此通过该漏洞能够进行非法转账,最高可达到999,999.99的流通货币。而更 为重要的是EMV芯片卡通常支持非接触式交易传输,所以黑客能够非常容易的对智能手机、钱包等进行攻击,导致消费者在完全不知情的情况下完成交易转账。而 该漏洞基本上能够绕过£20交易上限,所以黑客可以窃取更多的金额。

发现该漏洞的研究人员表示,甚至只需要一部手机就能建立一部POS终端,从身边人的钱包里读取芯片卡上的信息。所有的交易检测都在卡片上,而不是在终端机上。只需预先设置好转账额,然后用手机靠近受害者的钱包,即可完成交易。在实际测试时,用时不到一秒钟。

1.2 可能有多达1200万网站因Drupal漏洞被入侵

开源内容管理系统Drupal发出警告, 如果没有在安全修正发布7小时内打上补丁,那么使用Drupal 7的网站可以假定他们已经遭到了攻击者入侵。自动攻击工具已能利用漏洞去控制网站。安全公司Sophos的分析师Mark Stockley说,这一警告令人震惊。

他估计全世界大约有10亿个网站,其中 5.1% 的网站是使用Drupal管理内容,有多达1200万个网站需要用户手动打上补丁,而大多数网站不太可能及时打上补丁。他认为Drupal不应该依靠用户去安装安全更新,而应该采用自动更新推送安全修正。比如另一个流行的开源内容管理系统Wordpress就采用自动更新推送补丁。

1.3 NSA局长称他们会分享漏洞情报 但有所保留

美国国家安全局(NSA)局长Mike Rogers称,他们会分享发现的大部分漏洞情报,但不会所有都公开。在发现了一个可能被用于渗透进目标网络的漏洞后,NSA在决定是否分享漏洞情报前会考虑许多因素,包括受影响的软件有多流行,软件主要部署在什么地方。

Rogers说,奥巴马总统要求他们发现漏洞后默认的决定应该是分享。但NSA还担负着情报收集的使命,要渗透进入目标的网络可能需要没有公开的漏洞。

1.4 中国反钓鱼网站联盟:双11小心三类钓鱼网站

记者6日从中国反钓鱼网站联盟(以下简称“联盟”)获悉,截至2014年10月31日,联盟当月已认定并处理了钓鱼网站已逾3033个。值得一提的是,以天猫等知名电商网站为仿冒对象的钓鱼网站也呈现增长趋势。中国反钓鱼网站联盟提示,双11抢购要小心三类钓鱼网站。今年双11电商大战已经进入倒计时阶段,淘宝、京东、苏宁易购等电商巨头早已摩拳擦掌,积极备战。同时,广大消费者也准备好了钱包,等待着各大平台网促活动上线的那一刻。与此同时,一些不法分子也摩拳擦掌,希望趁此机会大捞一笔。

该联盟秘书处相关负责人表示,电商及银行网站已成为“双十一”前后钓鱼网站重点仿冒的对象,亟需引起电商、金融行业及广大网民的重视和警惕,注意利用中网“可信网站”验证随时核验购物网站的真实身份,避免误入钓鱼网站的“陷阱”。

近几年,双11已经成为电商促销、网民狂购的节日,所有电商都期待在双11这一天赚的盆满钵满,网民也希望在这一天买到货真价实的优惠商品。但是在互联网沸 腾的时候,无孔不入的不法分子也开始趁机作乱,他们抓住双11各商家均大力促销的时机,浑水摸鱼,达到诈骗网民钱财的目的。

据介绍,双十一前后,主要有三类钓鱼网站骗局亟待防范,其一,以天猫等电商网站为仿冒对象,其二以中行等银行网站为仿冒对象,其三则是以财付通等第三方支付网站为仿冒对象。

与此同时,钓鱼网站的行骗手法也有三大特点:其一,紧贴主题。不法分子设下的各类骗局或陷阱,无一不是紧贴电商平台打出的各种促销主动的主题,诱惑网民参 与;其二,大小兼顾。无论是一线知名的电商平台,还是二线电商平台,只要是双十一期间交易渠道,都是不法分子紧盯与仿冒的重点对象。其三,浑水摸鱼。不法 分子制作的仿冒网站从网页内容到宣传口号,都是亦步亦趋紧跟主流电商平台,普通的网民很难辨认真伪。

联盟秘书处相关负责人表示,双十一期间面对电商的大力促销,不论是常规的价格比拼,还是新兴起的物流速度争夺,亦或是“真的”的表白,广大网民都应时刻保持高度警惕和重视,牢记随时借助中网“可信网站”验证,先验证网站真伪,再参与抢购下单,以免落入不法分子设置的骗局。

1.5 皮尤:2025年之前很可能发生致命网络攻击

美国皮尤研究中心表示,今后10年的网络安全状况情况很可能会进一步恶化,甚至造成重大伤亡或巨额财产损失。根据皮尤研究中心互联网项目的一份报告,回答调查问卷的1600名网络安全专家中,有61%认为今后很可能发生致命网络攻击,导致大规模灾难。

此次问卷调查的项目是,“你是否认为2025年以前,大规模的网络攻击会造成广泛的损害?”问题中的“广泛的损害”是指生命造成大量伤亡,或大量财产的丢失被盗或被损害。目前有越来越多的设备连接到互联网,但其中很多设备没有把安全问题放在首位,这让黑客变得有机可乘。

而且未来的联网设备领域将越来越多的关系到人的生命安全。美国宇航局的一位项目经理表示。“当前可以威胁的目标包括网络交易、电力网络和空中交通等。但是未 来的攻击目标可以扩大到自动驾驶汽车、无人机以及基础设施建设甚至是强大的人工智能。一旦黑客控制了这些目标每一个都是致命的。”

不过,另外39%的专家表示,网络攻击是能够阻止的。此次调查是为纪念互联网诞生25周年而进行的系列调查之一,调查对象是随机抽取的1642名网络专家。

 

2 本周关注病毒

2.1 Trojan.Win32.Marko.a(木马病毒)

警惕程度 ★★

该病毒是黑客用于制造僵尸网络的工具。病毒通过多层运行病毒代码,躲避反病毒软件的静态查杀,运行后将创建傀儡进程%systemroot%\system32\wuauclt.exe,并后台连接黑客指定服务器,上传电脑信息,同时接受远程服务器发来的指令,使电脑完全暴露在黑客的掌控之中。用户电脑一旦中毒,将面临隐私信息泄露,网银账密被窃的威胁。

2.2 Worm.Script.VBS.Agent.ce(蠕虫病毒)

警惕程度 ★★

病毒运行后查找主流杀毒软件进程,并尝试将其结束。同时病毒还将修改用户的注册表,以便实现开机自启动。除此之外,该病毒还在后台连接黑客指定网址,并为恶意网址刷流量,占用大量网络资源。用户一旦中毒,有可能出现网络拥堵等现象。

2.3 Adware.iBryte!4849(恶意推广病毒)

警惕程度 ★★★

该病毒运行后篡改Google Chrome、Internet Explorer、FireFox等浏览器的默认搜索,后台连接黑客指定网址刷取流量,并向电脑强制弹出恶意广告弹窗。病毒还会向浏览器强制安装工具栏,同时篡改浏览器主页。用户电脑一旦中毒,将面临浏览器遭篡改、网络资源被大量占用、频繁收到恶意广告弹窗等风险。


3 安全漏洞公告

3.1 APT apt-get命令远程代码执行漏洞

APT apt-get命令远程代码执行漏洞

发布时间:

2014-11-03

漏洞编号:

CVE ID: CVE-2014-0490

漏洞描述:

apt是软件包管理工具dpkg的高级前端。
APT 1.0.9之前版本中,apt-get下载命令没有正确验证软件包的签名,这可使远程攻击者通过构造的软件包,执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.debian.org/security/
http://www.debian.org/security/2014/dsa-3025

3.2 多个DNS解析器DNS缓存投毒漏洞

多个DNS解析器DNS缓存投毒漏洞

发布时间:

2014-11-04

漏洞编号:

BUGTRAQ ID: 70879
CVE ID: CVE-2014-4883

漏洞描述:

DNS(Domain Name System,域名系统)是域名解析服务器,可把域名指向网站空间IP,让人们通过注册的域名可以方便地访问到网站的一种服务。
多个DNS解析器在实现上存在DNS缓存投毒漏洞,攻击者可利用此漏洞从合法站点转移数据到攻击者控制的站点,成功利用后可操纵缓存数据,执行中间人攻击等。

安全建议:

暂无

3.3 Linux Kernel本地拒绝服务漏洞

Linux Kernel本地拒绝服务漏洞

发布时间:

2014-11-03

漏洞编号:

BUGTRAQ ID: 70854
CVE ID: CVE-2014-8559

漏洞描述:

Linux Kernel是Linux操作系统的内核。
Linux kernel的fs由于没有正确使用rename_lock在实现上存在死锁问题,本地攻击者可利用此漏洞造成拒绝服务。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.kernel.org/

3.4 SAP HANA SQL注入漏洞

SAP HANA SQL注入漏洞

发布时间:

2014-11-06

漏洞编号:

CVE ID: CVE-2014-8588

漏洞描述:

HANA是一个软硬件结合体,提供高性能的数据查询功能,用户可以直接对大量实时业务数据进行查询和分析,而不需要对业务数据进行建模、聚合等。
SAP HANA存在SQL注入漏洞。攻击者可以利用此漏洞执行任意的SQL命令。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://erpscan.com/advisories/erpscan-14-013-sap-hana-metadata-xsjs-sql-injection/

3.5 tnftp任意命令执行漏洞

tnftp任意命令执行漏洞

发布时间:

2014-11-04

漏洞编号:

BUGTRAQ ID: 70792
CVE ID: CVE-2014-8517

漏洞描述:

tnftp是一个unix操作系统上的ftp客户端。
tnftp存在任意命令执行漏洞。攻击者可利用此漏洞执行任意命令。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.netbsd.org/