当前位置: 安全纵横 > 安全公告

一周安全动态(2014年12月11日-2014年12月18日)

来源:安恒信息 日期:2014-12

2014年12月第三周(12.11-12.18)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 ICANN遭黑客钓鱼攻击 员工帐号信息泄露

新浪科技讯 北京时间12月18日早间消息,互联网域名管理机构ICANN周三在一份公告中表示,身份不明的攻击者通过鱼叉式钓鱼攻击攻破了该机构的敏感系统。这些攻击者因此获得了员工电子邮件帐号,以及与ICANN有业务往来的人士的个人信息。

ICANN还表示,在此次攻击中,黑客获得了保存在该机构中央区域数据系统的所有文件的管理员权限,以及该系统账号所有者的姓名、邮政地址、电 子邮件地址、传真和电话号码、用户名,以及经过加密处理的密码。域名注册服务通常使用这一数据库,协助管理目前对数百个新的顶级域名的分配。黑客还获得了 ICANN多个博客的内容管理系统的访问权限。

ICANN的公告显示:“我们认为,此次‘鱼叉式钓鱼’攻击于2014年11月发动。其中的一些电子邮件消息看起来像是从我们自己的域发送给我们的员工。此次攻击导致了多名ICANN员工的电子邮件帐号信息的泄露。”

本月早些时候,ICANN报告称,泄露的账号信息被用于访问区域数据系统。其他被攻破的系统还包括ICANN GAC Wiki,而黑客因此可以查看仅限于内部员工查看的编目页面,以及用户的个人页面。ICANN Whois信息门户和ICANN博客也受到影响。

此次攻击中泄露的最敏感信息主要是中央区域系统账号持有者的个人信息。ICANN建议,账号持有者立即修改账户密码,因为黑客将很容易破解强度较低甚至中等的密码。此外,账号持有者还需要警惕类似的鱼叉式钓鱼攻击,因为此次攻击中泄露了这些账号持有者的个人信息。

目前尚不清楚,其他泄露的数据究竟有多么敏感。根据遭攻击的ICANN员工的职位不同,泄露的信息可能包括未公开的关于顶级域名设置的计划,以 及其他与互联网域名系统有关的机密信息。其他遭到攻击的系统可能不是很敏感。ICANN的网站显示,遭到攻击的区域数据系统是“利益相关方请求访问区域文 件的集中化访问点”。信息安全公司Rapid7首席研究官HD·摩尔(HD Moore)表示,这一系统保存了公开的技术信息,而域名注册机构使用这些技术确保它们控制的顶级域名可以通过互联网访问。
作为互联网域名系统的控制者,ICANN常常受到多种多样的黑客攻击。黑客希望通过ICANN获得了一些机密信息,从而用于攻击其他目标。

1.2 蠕虫利用ShellShock漏洞感染磁盘存储设备

虽然已经到了年底,但是Shellshock带来的影响还远未结束,黑客们还在尝试利用这个漏洞发起更多的攻击。Sans Institute的安全专家发现了一个利用Bash破壳(Shellshock)漏洞的最新蠕虫,该蠕虫的主要攻击目标是台湾威联通(QNAP)公司生 产的磁盘存储系统。尽管台湾威联通十月份的时候已经发布了补丁更新,但仍然还有很多的设备感染了这个蠕虫。
攻击者利用Shellshock漏洞对受害者机器远程执行恶意代码。一旦QNAP系统(安装有SSH服务器)感染了该蠕虫病毒,它首先会创建新的系统管理 员,然后在目标机器上安装一个永久的后门。蠕虫还会把Shellshock漏洞打上补丁,以防止其他的恶意软件利用该漏洞。

除此之外,受感染的设备还会执行一个脚本,该脚本可以操控网络广告JuiceADV欺诈骗局。

一旦蠕虫侵入设备,会进行以下操作:

1、把DNS服务器地址设置为8.8.8.8

2、在端口26创建一个SSH服务器

3、添加一个叫做“request”的管理员

4、下载、复制一个脚本到 cgi-bin:armgH.cgi和exo.cgi

5、修改autorun.sh以运行重启后门

6、下载并安装Shellshock漏洞补丁,然后重启设备

1.3 回顾索尼被入侵过程

11月21日:匿名黑客向索尼影业CEO迈克尔·林顿(Michael Lynton)和其他高管发送了一封警告性的电子邮件,称索尼影业将受到“极大的损害”,如果索尼影业不按要求交钱,该公司将遭到“整体轰击”。

11月24日:索尼电影公司的电脑显示“GOP入侵”信息,攻击者威胁,如果在格林威治时间晚上11:00点之前其要求没有得到满足,他们将公布窃取的数据。目前还不清楚黑客的要求是什么,但最后期限之后他们并没有立即公布数据。

11月28日:据Recode报道,索尼影业认为黑客来自朝鲜,并为此寻找证据。

11月29日:据Variety报道,索尼影业被黑可能与描述塞斯·罗根(Seth Rogen)暗杀朝鲜领导人金正恩的电影《The Interview》有关。路透社曾报道,朝鲜威胁索尼影业,如果索尼发布这部电影,朝鲜将采取“无情的对策”。

12 月1日:索尼影业遭到黑客攻击,四部尚未上映的影片的种子出现在流行的文件共享网站上。这四部影片分别是《Annie》、《Mr. Turner》、《Still Alice》和《To Write Love on Her Arms》。索尼原本计划在2015年发布这几部电影。索尼影业开始与FBI合作,以寻找攻击者。

12月2日:GOP泄露的第一批索尼影业内部数据出现在文本共享网站。这批被泄漏的数据系索尼影业工作人员的财务信息,其中包括许多高层管理人员的薪酬。

12月3日:GOP泄露的第二批数据出现在文本共享网站。这批数据包括索尼存储的明文密码,以及该公司的安全证书和其他证书。据报道,这批数据还包含德勤公司(Deloitte)员工的薪酬。

12月5日:攻击者通过电子邮件威胁索尼影业员工,但GOP随后公布另一批数据,并否认自己恐吓邮件的发送者。

12月7日:朝鲜官员否认朝鲜与索尼影业遭遇的黑客攻击有关,但对这些黑客表示称赞。索尼发布一份内部备忘录,称这次攻击是“前所未有的、独一无二的”,“足以让FBI向其他机构发出警报。”

彭博社报道,FBI已查明这些攻击源于曼谷一家酒店,但不能确定这些攻击者是酒店的客人还是仅仅使用了该酒店的公共WiFi。

《The Interview》中的演员塞斯·罗根和詹姆斯·弗兰科(James Franco)在一个电视采访节目中现身,嘲笑那些攻击索尼影业的黑客。

12月8日:黑客公布新的一批数据,包括演员Brat Pitt的电话号码,以及一些名人用于隐蔽身份的别名。

12月9日:黑客通过包含索尼影业被泄露的安全证书的恶意软件对目标计算机发出了攻击。黑客警告索尼影业,“我们再次向你发送我们的警告”,“立即停止上映恐怖主义电影。”FBI否认这次攻击与朝鲜有关。

索尼电影公司高管的邮箱也被泄露。这些邮箱中的某些邮件因与已经被取消的史蒂夫·乔布斯(Steve Jobs)传记电影有关,引起了媒体的关注。

12月10日:有报道称,索尼电影创建虚假的电影“种子”,以阻止用户下载其被泄露的电影种子。

12月11日:拒TheVerge报道,索尼影业曾经在今年2月遭遇了黑客的隐秘攻击。

12月12日:据Fusion r报道,下载索尼影业的数据的用户可能会导致FBI上门。据Recode报道,索尼影业在攻击之前就知道自己在网络安全方面的缺陷。

12月13日:有报道称,索尼影业将取消的拍摄《The Interview》。黑客在当天公布了一批更大的新数据,并承诺送上一个更大的“圣诞礼物”。

1.4 黑客称已获取塞尔维亚全国公民数据库

有黑客组织声称已获得塞尔维亚全国公民数据,如果该消息被确认,此次数据泄露事件 ,将引起当地政府强烈反映。

虽然目前该消息还没有得到塞尔维亚当局的证实,但是就目前的消息来看黑客不但可以访问塞尔维亚公民身份信息的网络,并且可以随意盗取塞尔维亚几乎所有公民的信息,目前黑客已经放出了相关泄密数据的部分截图。

目前黑客宣布已经通过电子邮件的方式将泄密数据提供给了塞尔维亚日报BLIC,和新闻门户网站InSerbia。

报道中提到,黑客自称:

"我们拥有整个塞尔维亚的所有公民信息,可以清楚的知道他们的身份证号,知道他们在哪里工作,在哪里生活,甚至是他们的电话号码等敏感信息"

从黑客的言论中,我们猜测这可能是一批对塞尔维亚网络经常不满的当地黑客所为,因为他们提到当地警方更关注的是国内的网络攻击,而不是阿尔巴尼亚的黑客们。

“我们之所以将这些数据公之于众,第一个也是最主要的原因就是:我们国家的网络警察一直在费劲心思追查国内的黑客,而忽略了阿尔巴尼亚黑客对我们的危害,所以现在我给了他们更多追查我们的理由,但是最终他们会发现这一切都是徒劳”
除此之外本次攻击还因为当地黑客的“爱国情怀”,恰恰证明了塞尔维亚的网络是非常脆弱的。

邮件中还提到:

“之所以攻击的第三个原因是:在多次的善意提醒之后,我们国家的网络还是非常的脆弱,没有得到改进,所以我们采取相应的措施帮助当局对此提高更多的重视”

如果最终该消息得到证实,受影响的公民数量将是惊人的。公民们并不知道这些泄密的数据最终会被用于何处、造成何种影响,但是过去也有类似的案例可以让我们参 考。早在几年前,韩国就出现了类似的公民身份系统被攻陷,泄漏的数据大概影响到了80%的韩国公民,而那起事件在韩国当地造成了大概6.5亿美元的经济损失。

1.5 “蹭网神器”遭黑客攻击 150万条WiFi密码被盗

上海某科技有限公司开发了一款免费Wi-Fi热点软件,成为不少“网虫”追捧的蹭网神器。不过,“蹭网神器”蹭别人的同时,自己也被黑客盯上了。

近日,杨浦警方破获了一起非法获取计算机信息系统数据案,一家科技公司开发的免费Wi-Fi热点软件的数据库遭到黑客攻击,一周内被盗取Wi-Fi密码150万条。目前,7名犯罪嫌疑人已被抓获,其中两人被批捕。

专家表示,该公司开发的该款App带有下上线下互动功能,所有的Wi-Fi热点和密码都是让用户使用后上传分享的,这样软件后台数据库就会搜集到全市各地的 Wi-Fi热点和密码,整理后放到App软件内供用户使用。显然,只要使用这款软件越多,分享的Wi-Fi 热点也越多。

今年10月,该公司发现其开发的免费Wi-Fi热点软件的密码数据库发生服务器异常,一周内Wi-Fi密码被盗100多万条,经济损失近百万元。

接报后,杨浦公安分局网安支队侦查发现所有被盗数据通过数千台电脑被发往了一家位于南京的科技公司后台。

经查,犯罪嫌疑人张某系南京某科技公司负责人。他发现上海某科技公司开发的同类型软件下载率挺高,广告收益颇丰,也想开发类似的软件,于是想到了“借壳上 市”:盗取该软件数据库。警方解释:“使用电脑下载使用该软件的用户,在不知情的情况下会自动根据远程指令连接目标公司数据库。”十几万使用该软件的用户 电脑就沦为了“肉机”,先后侵入被害公司数据库。
10月30日警方在南京抓获涉嫌非法获取计算机信息系统数据的张某、沈某等7名犯罪嫌疑人。

经审讯,张某等人交代了利用木马病毒大规模攻击被害公司数据服务器,并大量窃取使用对方Wi-Fi热点密码的犯罪事实。
目前,张某、沈某已被依法批准逮捕,其余5名犯罪嫌疑人已被采取刑事强制措施,案件在进一步审理中。


2 本周关注病毒

2.1 Worm.Win32.Autorun.eyr(蠕虫病毒)

警惕程度 ★★

病毒运行后自我复制至系统文件夹内,并设置自身为隐藏属性。病毒将修改注册表,实现开机自启动,后台连接黑客指定网址,大量占用网络流量。用户电脑一旦中毒,将面临系统运行缓慢,网速被占用等情况,严重者可至系统宕机。

2.2 Trojan.Spy.Win32.Zbot.gag(木马病毒)

警惕程度 ★★

病毒运行后在系统目录下创建2个随机5个英文字母的目录,并在2个随机名目录内各衍生一个病毒文件,同时修改注册表,实现开机自启动。除此之外,该病毒还会调用衍生的病毒EXE文件,调用CMD命令行删除自身原文件,并收集个人电脑上的windows帐户信息,发送至黑客指定服务器。用户一旦中毒,电脑的操作权限将对黑客全面开放,届时,硬盘中的所有数据都面临丢失、被盗或被篡改的风险。

2.3 Backdoor.Win32.Berbew.I(黑客后门病毒)

警惕程度 ★★★★

该病毒运行后自我复制至系统目录下,生成恶意dll文件,修改注册表,盗取用户各类网络账密并发送至黑客指定地址,同时,病毒将获取系统权限,向黑客开启后门。电脑一旦中毒,用户将面临网络账密被盗,隐私信息泄露,电脑沦为黑客肉鸡等风险。


3 安全漏洞公告

3.1 Symantec Web Gateway命令注入漏洞

Symantec Web Gateway命令注入漏洞

发布时间:

2014-12-17

漏洞编号:

BUGTRAQ ID: 71620
CVE ID: CVE-2014-7285

漏洞描述:

Symantec Web Gateway 提供了网络内容过滤和强大的数据泄露防护功能。
SAP Business Objects在实现上存在远程权限提升漏洞,远程攻击者可利用此漏洞获取提升的权限并执行未授权操作。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.symantec.com/business/security_response/

3.2 SAP Business Objects远程权限提升漏洞

SAP Business Objects远程权限提升漏洞

发布时间:

2014-12-17

漏洞编号:

BUGTRAQ ID: 71694
CVE ID: CVE-2014-9320

漏洞描述:

SAP BusinessObjects是一款商务智能软件和企业绩效解决方案。
SAP Business Objects在CORBA调用的实现上存在权限提升漏洞,未经身份验证的攻击者可利用此漏洞获取SI_PLATFORM_SEARCH_SERVER_LOGON_TOKEN,然后通过CORBA用系统级别的权限执行未授权操作。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:https://service.sap.com/sap/support/notes/2039905

3.3 Apache HTTP Server 'mod_proxy_fcgi'拒绝服务漏洞

Apache HTTP Server 'mod_proxy_fcgi'拒绝服务漏洞

发布时间:

2014-12-15

漏洞编号:

BUGTRAQ ID: 71657
CVE ID: CVE-2014-3583

漏洞描述:

Apache HTTP Server是Apache软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,由于其多平台和安全性被广泛使用,是最流行的 Web服务器端软件之一。它快速、可靠并且可通过简单的API扩展,将Perl/Python等解释器编译到服务器中。
Apache HTTP Server 2.4.10版本在"mod_proxy_fcgi"中存在越界内存读取漏洞,恶意的FastCGI服务器可发送构造的响应,在读取堆内存或栈缓冲区后造成崩溃。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://svn.apache.org/viewvc?view=revision&revision=1638818
http://svn.apache.org/viewvc/httpd/httpd/branches/2.4.x/CHANGES?view=markup&pathrev=1627749

3.4 Apache Struts CSRF绕过漏洞

Apache Struts CSRF绕过漏洞

发布时间:

2014-12-12

漏洞编号:

CVE ID: CVE-2014-7809

漏洞描述:

Struts是用于构建Web应用的开放源码架构。
Apache Struts 2.0.0-2.3.20版本生成的令牌值可被预测,这可使远程攻击者利用此漏洞绕过CSRF保护机制。

安全建议:

目前厂商已经发布了升级补丁 Struts 2.3.20 修复这个安全问题,请到厂商的主页下载:
http://struts.apache.org/download.cgi#struts2320
http://struts.apache.org/docs/s2-023.html

3.5 Apache CloudStack未经身份验证LDAP绑定漏洞

Apache CloudStack未经身份验证LDAP绑定漏洞

发布时间:

2014-12-12

漏洞编号:

CVE ID: CVE-2014-7807

漏洞描述:

Apache CloudStack是部署和管理大型虚拟机网络的开源软件。
Apache CloudStack 4.3.2之前版本、4.4.2之前版本在实现上存在安全漏洞,远程攻击者在不输入密码的情况下进行登录请求,利用此漏洞可绕过身份验证。

安全建议:

目前厂商已经发布了升级补丁Apache CloudStack 4.3.2以修复这个安全问题,请到厂商的主页下载: http://httpd.apache.org/