当前位置: 安全纵横 > 安全公告

一周安全动态(2014年11月20日-2014年11月27日)

来源:安恒信息 日期:2014-11

2014年11月第四周(11.20-11.27)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 首届世界互联网大会21日闭幕 中方提出九点倡议


国家互联网信息办公室主任鲁炜为世界互联网大会永久会址乌镇授牌


国家互联网信息办公室副主任任贤良致辞


中共浙江省委常委、宣传部长葛慧君致辞

11月21日,首届世界互联网大会在浙江桐乡乌镇闭幕。这是中国举办的规模最大、层次最高的互联网大会。中方提出促进网络空间互联互通、尊重各国网络主权等九点倡议。

在闭幕式上,中共中央宣传部副部长、国家互联网信息办公室主任鲁炜将世界互联网大会永久会址的牌匾授予乌镇。

中方提出“促进网络空间互联互通、尊重各国网络主权”等九点倡议

本次大会为期3天,据国家互联网信息办公室副主任任贤良介绍,来自全世界近100个国家和地区的逾1000位政府官员、国际机构负责人、专家和 企业家等围绕着“互联互通·共享共治”主题,就国际互联网治理、移动互联网、互联网新媒体、网络空间法治化、网络名人、跨境电子商务、网络安全、打击网络 恐怖主义等10多个分议题深入交换意见,共商互联网发展大计,达成了广泛共识。

中方呼吁国际社会齐心协力,携手建立多边、民主、透明的国际互联网治理体系,共同构建和平、安全、开放、合作的网络空间,并提出九点倡议,具体 包括:促进网络空间互联互通、尊重各国网络主权、共同维护网络安全、联合开展网络反恐、推动网络技术发展、大力发展互联网经济、广泛传播正能量、关爱青少 年健康成长以及推动网络空间共享共治。

任贤良表示,通过本次大会,中国与世界的互联互通,有了一个国际平台,国际互联网的共享共治有了一个中国平台。借助这样一个平台,中国希望与世界一道,不断促进网络空间的互联互通,永葆互联网蓬勃的生命力。

他期待,“世界互联网大会永久落户古城乌镇,正如二十世纪初,茁壮成长的亚洲借助博鳌亚洲论坛,促进、深化了本地区内和本地区与世界的交流、协调与合作,首届世界互联网大会必将成为不断发展的中国互联网走向世界的重要窗口和桥梁。”

全力实施“宽带中国”战略,中国互联网发展将重点围绕五个方面

韩国前议长金炯旿在致辞中引用了不少中国典故,他用“庄生梦蝶”比喻现代互联网大会在千年古镇乌镇的召开。

“野径云俱黑,江船火独明”,他还用杜甫《春夜喜雨》其中的一句诗表达了对世界互联网大会的期待,“是江上的一艘船,照亮黑暗,指引我们这一段由信息技术引领的人类文明的变化。”

加勒比地区电信联盟主席、牙买加科技信息能源部部长菲利普·鲍威尔则表示,本届大会体现了发展中国家的合作需求,有助于同心协力缩小数字鸿沟,积极融入新兴市场互联网市场。

工业与信息部副部长尚冰在致辞中透露,首届世界互联网大会过后,中国互联网发展将重点围绕五个方面的工作:建设宽带发展的新平台,全力实施“宽 带中国”战略,进一步加大宽带网络基础设施的建设力度,实现移动宽带与固定宽带的发展;进一步拓展互联网在工业、农业、金融、商贸、物流、教育、医疗卫 生、社保等服务,以及社会管理各个领域中的应用;汇聚并大力培养在各产业链的创新优秀人才,支持企业在技术、应用、产品、管理以及商业模式等方面加大创新 力度,提升中国互联网产业的核心竞争力;打造安全可信的网络空间,健全互联网行业的法律法规体系,加大网络数据和个人信息的保护力度,打击网络犯罪、网络 恐怖活动;在互联网技术、业务、标准、治理等领域,与世界各国、地区、企业以及相关国际组织开展合作。

1.2 刘云山:维护网络安全 建设网络强国

刘云山在首届国家网络安全宣传周启动仪式上强调
维护网络安全 建设网络强国

11月24日,首届国家网络安全宣传周启动仪式在北京中华世纪坛举行。中共中央政治局常委、中央书记处书记、中央网络安全和信息化领导小组副组长刘云山在启动仪式上发表讲话,并参观了网络安全公众体验展。新华社记者 张铎 摄

11月24日,首届国家网络安全宣传周启动仪式在北京中华世纪坛举行。这是刘云山在启动仪式后参观企业展台,并与中国银联负责人交谈,询问企业的发展情况。新华社记者 张铎 摄

新华网北京11月24日电 首届国家网络安全宣传周启动仪式24日在北京中华世纪坛举行。中共中央政治局常委、中央书记处书记、中央网络安全和信息化领导小组副组长刘云山在启动仪式 上发表讲话,并参观了网络安全公众体验展。他指出,网络信息人人共享、网络安全人人有责,要不断增强全民网络安全意识,切实维护网络安全,着力推进网络空 间法治化,为建设网络强国提供有力保障。

刘云山说,互联网的互联互通,给我国经济发展提供强劲动力,给社会进步注入巨大活力。越来越多的人通过互联网获取信息、学习交流、购物娱乐、创业兴 业,上网用网、在线互动已成为许多人的生活状态。在充分享受互联网种种便利的同时,要清醒看到网络攻击、网络诈骗、网络侵权时有发生,网上黄赌毒、暴力恐 怖以及网络谣言等有害信息屡禁不止,严重危害国家安全、损害人民利益。维护网络安全、规范网络秩序、净化网络环境,已成为广大群众的共同呼声。

刘云山指出,网络安全、网络发展相辅相成,离开了安全堤坝,网络就不可能健康发展、持续发展。依法维护网络安全,是全面推进依法治国的重要内容。要 进一步完善互联网建设管理的法律法规,着力健全国家网络安全保障体系,坚决打击网上违法犯罪活动,切实增强网络安全工作的主动性有效性。要积极参与互联网 的国际对话合作,促进解决网络安全面临的突出问题,共同构建和平、安全、开放、合作的网络空间,推动建立多边、民主、透明的国际互联网治理体系,确保网络 信息既自由流动又安全流动、有序流动,更好维护国家网络空间安全和发展利益,维护人民群众网络信息合法权益。

刘云山强调,维护网络安全就是维护每个网民、每个公民自身的安全,设立国家网络安全宣传周就是顺应社会期盼,推动形成共建网络安全、共享网络文明的 良好环境。要大力宣传互联网建设管理的政策法规,宣传上网用网行为规范,引导人们增强法治意识,做到依法办网、依法上网。要大力普及网络安全常识,帮助人 们掌握维护网络安全的技能和方法,提升抵御和防范网上有害信息的能力。要大力倡导积极健康向上的网络文化,弘扬社会主义核心价值观,增强网民的道德自律, 让网络更多地发出好声音、传播正能量,使网络空间真正清朗起来。

马凯、刘奇葆、郭声琨出席上述活动。

国家网络安全宣传周定于每年11月最后一周举行。今年宣传周的主题是“共建网络安全,共享网络文明”,将在全国开展网络安全公众体验、公益短片展播、网络安全知识讲座、网络安全技能竞赛、制发网络安全手册等系列活动。

1.3 网络安全迫在眉睫:硕士考试报名信息泄露

据经济之声《天下公司》报道,如今的互联网时代,大家或多或少都经历过这样的情况:刚网购完东西,就接到类似产品的推销电话,或者刚报完名考试,卖考题、 卖答案、办培训班的就打来电话了……个人信息的泄露,防不胜防。这次就发生在报名参加2015年全国硕士研究生招生考试的用户身上。

2015 年全国硕士研究生招生考试即将于2014年12月27日至29日举行。就在11月25日,教育部还召开了考试安全工作视频会议。但就在开考的前一个月,网 上出现有人出售截止到2014年11月份的130万考研用户的信息。乌云网联合创始人邬迪今天接受《天下公司》采访时说,有乌云网用户透露,怀疑考研报名 数据遭到泄露。

邬迪:昨天我们对外预警了四六级考试官网的一个漏洞,在下面的评论里,有网友就提供了一个线索:他怀疑考研报名的这个数据库 被“脱裤”了。就是说这些报名信息被人拿走了,因为很多人都接到这种卖考题、卖答案、办补习班的那种电话。网友说了,我们觉得这个事情很严重,就马上发动 了白帽子等社区力量帮我们调查。正好很巧,有个白帽子说,他在群里看到过有人在公然出售这个数据。

邬迪刚提到的“白帽子”,简单说就是这样一种黑客,他可以识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是公布这个漏洞,让系统可以在被其他人利用之前来修补漏洞。与之相反,那些研究攻击技术非法获取利益的,就是所谓黑帽子了。

乌云网联合创始人孟卓表示,根据社区白帽子提供的线索,乌云网了解到,卖家所出售的数据可不光涉及到考研用户的姓名、性别,而是包含一系列敏感数据,并且卖家已经是二道贩子、三道贩子,甚至更多,也就说相关信息已经被多次转卖。

孟卓:这个数据当中包括考研者叫什么名字、性别,还有手机号码、座机号码、身份证号、家庭住址、邮编、学校、报考的专业等敏感信息,非常详细。整个数量大约 130万,卖家的打包价是1万5000。后来问,这个数据是不是独家的?卖家说不是,这个数据很多人都有了,所以才会卖这个价格。

孟卓告诉记者,不少考研报名者已经多次接到骚扰电话:卖考题、卖答案、办培训班……不胜其烦。

孟卓:其实我们看到10月份的时候,有白帽子在乌云网上报过相关的这个漏洞。我们为了核实,根据一些数据也跟上面的报名者联系,打了几个电话,确实是报名考研的人,接过很多电话,各种被骚扰。我们打电话问的时候,有的报名者已经很不耐烦,就说你们到底要干嘛!

对信息被泄露的考生来说,目前并没有太好的办法规避风险,至少别轻信那些售卖考题的。乌云网联合创始人邬迪表示,对于数据泄露的原因,目前乌云网正在进一步调查的过程中。

邬迪:这个泄露环节很多,比如像系统漏洞导致的泄露就是很直接的,也是网络上的攻击者经常用的一种,就是外部的人通过一些漏洞进去把数据库“脱裤”,这也是 乌云网上看到的最多的。另外,也有可能是内部原因比如管理不当等。我们现在只是猜测,正在调查中,还没办法确定到底是什么原因。

作为立足计算机厂商和安全研究者之间的安全问题反馈及发布平台,用户可以通过乌云网在线提交发现的网站安全漏洞,企业用户也可通过平台获知自己网站的漏报。邬迪坦言,现在发现的漏洞越来越多,每年都以成倍的速度在增长。

邬迪:现在每天后台都能看到有几百个漏洞在提交,一般200个以上。目前的趋势看,漏洞的数量是迅速递增的。去年一年,我们大概收到4万多个漏洞,前年是2 万多个,再往前是1万多。我们最初收集到的更多的是互联网公司的漏洞,现在这块也比较多。过去没有在互联网上的一些系统,比如政府、金融的一些系统都是在 局域网或者要去柜台办理的,但近年来,这些系统也逐渐搬到互联网上,出了很多问题,漏洞在增加。

邬迪说,要防范并及时弥补漏洞,并不容易。

邬迪:一些大型的金融机构、互联网企业等,一般有专职的安全团队去做,但是对于普通企业,特别是互联网金融、O2O等很多创业型公司,早期可能就是程序员、 开发人员做一些业务,但现在能力上、经济实力上或者关注点上还没到安全这一块,所以问题比较多,短期内也比较难解决,可能会原来越多。

1.4 顶级间谍软件Regin背后的故事

10个国家约100个组织或系统遭受到Regin攻击,其中俄罗斯、沙特阿拉伯承担了多数, 另外的分布在墨西哥、爱尔兰、印度、阿富汗、伊朗、比利时、澳地利和巴基斯坦。上周日赛门铁克长达22页的报告,揭示了先进隐形恶意软件Reign从 2008年起,就在监视政府、公司和个人,该软件还可以针对不同的数据要求进行定制。此事对于整个安全界来说,都是一个挑战。换句话说,病毒检测软件是干 什么吃的?面对高级间谍工具就如此的无能为力么?

10个国家约100个组织或系统遭受到Regin攻击,其中俄罗斯、沙特阿拉伯承担了多数,另外的分布在墨西哥、爱尔兰、印度、阿富汗、伊朗、比利时、澳地利和巴基斯坦。

Regin 的第一个版本在2008年至2011年期间活动,赛门铁克在一年前已经开始分析第二个版本。通过取证分析发现,Regin有可能早在2006年就已经被激 活。实际上,Regin这个名字并不是赛门铁克的命名的,而是沿用了早就知道这种恶意软件的安全圈内人的叫法。

如果这个软件的确已经有8年 的历史,这将预示着设计该软件的“民族国家”(Nation-states),已经获得了避开最新的安全检测产品的高超能力。(编者注:Nation- state,意指有着确定疆界和领土的,国民在文化、语言、民族认同感和信仰方面高度统一的国家)

赛门铁克之所以等了将近一年的时间,才公开Regin的讨论,是因为分析这个软件是一件非常困难的工作。除了单点链接执行(执行完一个阶段后才会执行下一阶段),它还使用了对等通信技术(P2P),而不是中央控制系统来盗窃数据。

该软件由哪个国家开发,赛门铁克并未指出,也没有说明所有的受害者是如何感染上Regin的。至今为止只提到了一台计算机,通过雅虎的即时通信软件被感染。 有可能是该用户点击了即时通信软件发过来的恶意链接,但更有可能的是Regin的控制者掌握了雅虎软件的漏洞,无需用户的操作就能感染他的计算机。

“从对计算机所做的一切来看,这是一种非常高级的威胁,”赛门铁克研究人员O’ Murchu表示。“我们认为在把自身安装到目标计算机的这一过程上,这些攻击有着非常高级的手段。”

某些跨国的电信企业尤其受到Regin的关注。攻击者似乎得到了GSM手机基站的登录凭证,通过登录这些基础设施,改变手机基站的配置,实施对电话和通信设备的访问和监控。

“我们并不认为Regin是针对企业的网络犯罪行为,”O’ Murchu说道。“它更像是间谍行为。”

1.5 电子香烟也能传播恶意软件 USB漏洞防不胜防

据国外媒体报道,电子香烟可帮助吸烟者戒烟,有助于健康,但不良厂商生产的电子香烟可能在充电时就会神不知鬼不觉地让用户的电脑感染上病毒。电子香烟或已 成为恶意软件的携带者。许多电子香烟可通过USB进行充电,通常有两种方式:使用数据线连接,或把电子香烟直接插入USB端口。某些不良厂商可能会在电子 香烟中植入恶意软件。这样恶意软件就可能蔓延到电脑等设备中。

据社交新闻网站Reddit报道,一名高管发现电脑感染恶意软件,但无法确定来源,IT人员寻找所有传统的感染源但无果后,决定尝试其它的可能性。

后来IT人员发现,该高管电子香烟的充电器中含有恶意软件的硬编码(hardcode),当连接到电脑的USB端口时,恶意软件就会与植入者联系并感染电脑系统。

安全软件公司趋势科技(Trend Micro)的安全顾问里克?弗格森(Rik Ferguson)表示,这则报道的内容完全有可能发生。他表示,“电子 产品植入恶意软件的现象已经出现了几年,比如数码相框、MP3播放器等产品可能会感染上病毒。”例如,2008年,有人发现三星数码相框的安装盘中带有恶 意软件。

更令人担心的是名为“BadUSB”的攻击,这种攻击会对USB设备进行硬件级别的重新编程。安全实验室SRLabsSRLabs指出,“广泛使用的USB控制器芯片,包括拇指驱动器(thumb drive)中使用的同类芯片,无法防御这类的重新编程。”

弗格森指出,若将植入的恶意软件和“BadUSB”攻击结合起来,便可能产生一定的破坏力,如禁用USB端口,或通过设备管理功能只允许经授权的设备被使用。

他表示,对于消费者而言,应对方法是运行已更新病毒库的杀毒软件对新买的电子产品进行扫描,或只使用可信赖的设备,如知名商家的产品,来避免可能的风险。


2 本周关注病毒

2.1 Trojan.Win32.Lapka.a(木马病毒)

警惕程度 ★★

病毒运行后病毒会代码远程注入到Svhost.exe进程中,结束自身进程,达到“隐身”的目的,同时病毒将创建新进程,调用CMD中的Del命令删除原病毒文件,以规避杀毒软件查杀。除此之外,病毒还会后台连接黑客指定地址,接收黑客发出的指令,中毒电脑将感染更多病毒,严重影响用户的资料安全和隐私安全。

2.2 Trojan.DL.Win32.MyDown.cmg(木马病毒)

警惕程度 ★★

病毒运行后尝试关闭杀毒软件进程,关闭windows自带防火墙,修改windows系统注册表,实现开机自启动,并使电脑无法进入安全模式。同时,该病毒将尝试后台连接98个黑客指定网址,下载大量病毒,用户电脑一旦中毒,将面临网银被盗、隐私信息泄露等风险。

2.3 Worm.Mail.NetSky.lz(蠕虫病毒)

警惕程度 ★★

病毒运行后自我复制直系统文件夹下,修改注册表实现开机自启动,同时病毒还将在硬盘各分区中大量自我复制,并通过电子邮件软件实现自我传播。用户电脑一旦中毒,将面临系统运行缓慢,硬盘资源被大量占用等问题。


3 安全漏洞公告

3.1 Hikvision DVR DS-7204远程缓冲区溢出漏洞

Hikvision DVR DS-7204远程缓冲区溢出漏洞

发布时间:

2014-11-27

漏洞编号:

BUGTRAQ ID: 71300
CVE ID: CVE-2014-4880

漏洞描述:

Hikvision DVR DS-7204是硬盘录像机产品。
Hikvision DVR DS-7204(固件版本2.2.10)在RTSP请求基本身份验证解析代码的实现上存在缓冲区溢出漏洞,攻击者可利用此漏洞在受影响设备上下文中执行任意代码。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.hikvision.com/en/products_show.asp?id=506

3.2 GNU补丁'pch.c'整数溢出漏洞

GNU补丁'pch.c'整数溢出漏洞

发布时间:

2014-11-27

漏洞编号:

BUGTRAQ ID: 71307

漏洞描述:

GNU patch是GNU项目的一部分,可以将原始文件更新到打完补丁的版本。
GNU patch在实现上存在整数溢出漏洞,成功利用后可使攻击者在受影响应用上下文中执行任意代码。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://savannah.gnu.org/projects/patch/

3.3 WordPress 'comment'字段HTML注入漏洞

WordPress 'comment'字段HTML注入漏洞

发布时间:

2014-11-25

漏洞编号:

BUGTRAQ ID: 71237

漏洞描述:

WordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL 数据库的服务器上架设属于自己的网站。
WordPress在'comment'字段的实现上存在HTML注入漏洞,成功利用后可使攻击者在受影响浏览器上下文中运行HTML及脚本代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://wordpress.org/

3.4 WordPress密码重置邮件安全限制绕过漏洞

WordPress密码重置邮件安全限制绕过漏洞

发布时间:

2014-11-25

漏洞编号:

BUGTRAQ ID: 71231

漏洞描述:

WordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL 数据库的服务器上架设属于自己的网站。
WordPress 4.0.1, 3.9.3, 3.8.5, 3.7.5在实现上存在安全限制绕过漏洞,攻击者可利用此漏洞绕过某些安全限制,执行未授权操作。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://wordpress.org/

3.5 Huawei P7-L10 'PackageInstaller'模块远程安全绕过漏洞

Huawei P7-L10 'PackageInstaller'模块远程安全绕过漏洞

发布时间:

2014-11-21

漏洞编号:

BUGTRAQ ID: 71196

漏洞描述:

Huawei P7-L10是一款智能手机产品。
Huawei P7-L10在'PackageInstaller'模块的实现上存在远程安全绕过漏洞,攻击者可利用此漏洞绕过某些安全限制,执行未授权操作。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://support.huawei.com/enterprise/