当前位置: 安全纵横 > 安全公告

一周安全动态(2014年12月18日-2014年12月25日)

来源:安恒信息 日期:2014-12

2014年12月第四周(12.18-12.25)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 美专家:朝鲜网络基础设施薄弱 孩子都能黑掉它

12月23日朝鲜网络陷入全面瘫痪,这一情形被网络安全专家形容为“朝鲜从全球网络地图消失”,而外界则立即猜测这是美国采取的报复行为。对此,有美国安全专家给予了反驳,认为应归咎于朝鲜薄弱的网络基础设施,称连孩子都能使其瘫痪

据美国“大全新闻网”(Newsmax)12月24日报道, 日前,美国国务院发言人玛丽?哈尔夫(Marie Harf)针对朝鲜断网事件做出回应道,“这应当问问朝鲜,看他们自己的网络是不是瘫痪了。我将会和他们就此事进行确认”。面对对美国的猜测,有美国安全 专家指出,朝鲜的网络基础设施太过薄弱,即便是外行或一个简单的小失误就能使它瘫痪。

美国网络安全研究员奥弗?盖尔(Ofer Gayer)进一步指出,“在伦敦或者纽约,一个大城市街区的互联网协议(IP)地址都比朝鲜多,如果说朝鲜的网络被一种分布式的拒绝服务型(DDoS) 当做攻击目标的话,那嫌疑分子的名单是无穷无尽的”,“任何一个懂如何运作小型DdoS的孩子,在家里都可以完成网络攻击”。

报道称,朝鲜的网络并非首次出现故障,2013年3月,朝鲜的网络就曾出现连接问题。

1.2 日本加强网络防御能力 应对网络攻击威胁

日本官员表示,受索尼影业遭到黑客攻击事件影响,日本担忧其可能遭遇来自朝鲜的网络攻击,日本开始增强本国基础设施的安全性。日本国内多认为索尼美国子公司索尼影业被攻击事件涉及的是美国,但日本官员指出,日本政府正采取积极行动以解决问题。据悉,日本网络防御专家、外交官和议员上周末在日本首相安倍晋三的办公室讨论了相关问题。

日本官员说,政府正努力确保在遭遇网络攻击的情况下,基础功能依然能够运行,并维持电力、供气和交通网络等基础服务。日本国家信息安全中心正要求本国企业增强对网络攻击的防御能力。不过,官员并未透露更多的细节。

索尼影业受到了自称名为“和平卫士”(Guardians of Peace)的黑客小组的攻击,这也是在美企业遭遇到的最大规模的网络攻击。除了计算机网络瘫痪外,大量的邮件和敏感的员工数据被泄露。

索尼在日本的高管拒绝对黑客攻击事件发表评论,但该公司的一位内部人士称,索尼总部的高管预计,随着索尼决定将电影《刺杀金正恩》上映,黑客还将发起新的攻击。索尼此前决定取消上映《刺杀金正恩》,但其于周二宣布,这部电影将于圣诞节在美国200多家电影院上映。

1.3 阿里云称遭全球互联网史上最大黑客攻击 时长达14个小时

今日,阿里云企业认证微博称,在12月20日至21日,阿里云上一家知名游戏公司遭到了一次DDoS攻击,攻击时间长达14小时,攻击峰值流量达到 453.8Gb。具体是哪家游戏公司遭到攻击和遭受攻击的原因,目前阿里尚未透露。阿里云表示,对这次黑客攻击行为表示谴责,并呼吁所有互联网创新企业共 同抵制黑客行为。“面对黑客攻击,阿里云决不妥协。”阿里云在微博中表示。

1.4 黑客再泄露韩核电站文件 要求其立即停运

一名黑客23日再次泄露韩国两座核电站的内部文件,要求核电站所属的韩国水电与核电公司立即停运核电机组。韩联社报道,最新泄露的4份文件看 起来像是两座核电站设施的图表。这两座核电站分别是位于釜山的古里核电站和位于庆州的月城核电站。目前,这些文件的机密程度尚未得到确认。

按照韩联社的说法,这是一周多以来,两座核电站的内部文件第五次遭到泄露。这名黑客曾自称“反对核电集团会长”,之前泄露的文件包括核电站约1万名员工的个人信息、核电站程序运行说明、空调和冷却系统设计图、阀门设计图等。

这名黑客要求韩水核电公司从圣诞节起停运古里一号、三号机组和月城二号机组,称如果不按期停运,将把尚未公开的十万余份资料公诸于众。

古里核电站和月城核电站都位于韩国首都首尔西南约400公里。韩国官员说,虽然内部文件外泄,但两座核电站依然安全,它们最核心的网络与互联网完全隔离。

作为世界第五大核能使用国,韩国现有23座核反应堆,全国三分之一电力供应来自核电。日本福岛核事故以及韩国2012年出现的核设施零配件安全许可造假丑闻,都一度引发韩国民众对核安全的担忧。

1.5 揭秘朝鲜121局:黑客培养基地

是的,索尼被黑事件的风波还没有结束,毕竟传说中的“肇事者”是地球上最神秘的国家——朝鲜。不论朝鲜是否承认对此次黑客事件负责,但舆论导向却是空前的一致:大家都觉得,朝鲜拥有全世界最顶尖的黑客团队。


121局:闻风丧胆的朝鲜神秘的网络部队

英国《每日电讯》发布了一段关于朝鲜黑客的视频,揭秘了朝鲜神秘的网络部队“121局”。朝鲜政府格外格外重视该部队,军方甄选了最优秀顶尖的数学、科学人 才,数十年来培养其网络作战能力。这批电脑精英精通计算机和互联网技术,身份保密,在朝鲜属于能力最为出众、酬劳丰厚的人群,被政府授予最高等级的对待。

2007 年叛逃到韩国的朝鲜人Jang Se-yul,早前就读于朝鲜的顶级工科学校Mirim University(现在更名为 University of Automation朝鲜自动化大学)。不过他并不是一名“天生的黑客”,他的本专业是战争策略 (War Game Strategy),主攻网络战争模拟领域。随后,Jang与其他黑客们修读了121局开设的课程。在毕业后,Jang加入了朝鲜政府侦察总局,121局便是旗下的精英间谍机构。也就是在那时,他开始接触121局中的顶级黑客们。

针对此事,科技媒体Business Insider专访Jang Se-yul,以下便是他的报道实录。

核心宗旨:攻击敌对国家

121局的核心宗旨是让朝鲜摆脱对其他国家的依赖,发展自有力量的黑客军团,攻击敌对国家的政府中心数据,窃取尽可能多的信息,同时引发对手的国内政治混乱,取得网络战役的先机。

Jang透漏称,121局大约由1800名“网络战士”组成,绝大多数黑客均来自Mirim University。这些黑客需要经过重重严格的选拔,甄选通过率仅为五十分之一。

新招募的黑客一般都是青少年,此后他们就需要在121局中接受高强度、严苛的训练:每天上6节专业课,每堂课90分钟,学习方方面面的编程和操作系统只是, 从C语言到Linux。Jang表示,他们会花费大量的时间钻研微软的系列软件,例如找到Windows系统的漏洞,或者是攻击美国、韩国的信息局网络。

与CIA媲美的国际顶尖水平

Jang认为,朝鲜的黑客军团已经达到了国际顶尖水平,甚至可以与Google或者CIA(美国中央情报局)相媲美。“尤其是写代码的能力,我自信的觉得他们甚至比这些大公司、政府组织更强,因为121局的黑客们均是从小培养的,钻研这方面的技术已经太多年。”

这些黑客们会分为不同的组别,专注攻击不同的国家地区,例如美国、朝鲜和日本。黑客一旦被分进特定的“国家组”,他们会花费将近两年时间卧底进入该国家,学 习当地的语言文化知识。从一定程度上来说,能够走出朝鲜,去国外挣“洋钱”,这也是为什么朝鲜人民普遍追崇这种黑客“金饭碗”工作。

121局的黑客们会收到国家的格外优待:拿着政府的高薪酬,每人会分到一套首都平壤的房子,而且国家允许他们的家人也可以搬到平壤居住,这无疑都是极其诱人的条件。

黑客战士:一生忠诚 奉献朝鲜

Jang 表示,他们或许是朝鲜人中最喜爱自己国家的人群。事实上,这些黑客们当然是可以自由的使用互联网,第一时间掌握到国外的最新动态,并且也深知自己的国家是 非常“封闭保守”的。但是这些从未动摇121局黑客们为国效力的决心。“哪怕是别人强制性的劝说,甚至是给他们提供韩国总统府的工作,他们也不会背弃自己 的国家。”Jang如是说。

面对“西方列强”的重重夹逼,朝鲜政府深知自己在传统军事方面势单力薄,并没有多少的优势。但是在网络战场上,他们可以通过黑客行为先发制人,掌握战争先 机。这就是为什么从80年代开始,在国家有太多方面亟待改善的情况下,朝鲜政府耗费如此大的力气进行黑客培训,并且内部代号为“Secret War”。

朝鲜政府:忍了20多年就趁现在根据Jang的描述,朝鲜的黑客通过“打游击战”的形式,攻击韩国政府的服务器。虽然至今仍不知道121局黑客军团的水平深浅,但是可以肯定的 是,他们拥有超强的破坏力,可以轻易的窃入巨头公司的网络。Jang坚信,这次的索尼被黑事件“确定无疑”是朝鲜政府的指使。“美国政府绝对不能小瞧了这 件事。朝鲜黑客们正躲在秘密的角落监视其每一个动作,美国现在处于不安定的网络环境中,毕竟朝鲜已经为此奋战了20年之久。”


2 本周关注病毒

2.1 Backdoor.Win32.Serv.w(后门病毒)

警惕程度 ★★

病毒运行后将自身复制到“%AllUsersProfile%\「开始」菜单\程序\启动”目录下,并通过修改注册表实现开机自启动。同时,病毒还会查找并关闭国内外主流杀毒软件,监视用户的显示器信息和键盘、鼠标操作信息。用户电脑一旦中毒将沦为黑客“肉鸡”,硬盘中存储的隐私信息、机密文件及用户进行网银操作时使用的用户名、密码、动态密码等信息均面临严重的泄露风险。

2.2 Worm.Win32.Agent.vq(蠕虫病毒)

警惕程度 ★★

该病毒运行后将把自己拷贝到%system%\txomou.exe,并把属性设为隐藏,修改注册表实现开机自启动。同时,病毒还将从黑客指定网址下载其他恶意程序至用户电脑,并感染htm文件,使用户在浏览网页时打开黑客指定网址。用户电脑一旦中毒,将成为黑客为恶意网站刷流量的工具,同时还将面临隐私信息泄露,网银账密被窃等风险。

2.3 Trojan-Spy.Win32.Zbot.sivr(木马病毒)

警惕程度 ★★★★

该病毒伪装成音乐文件,引诱用户下载。病毒运行后自我复制至临时文件夹下,并删除本体,自动运行复制程序。病毒将会收集电脑内的网络账密,发送至黑客指定网址。电脑一旦中毒,将面临各类网络账号被盗,隐私信息泄露等风险。


3 安全漏洞公告

3.1 多个IBM DB2产品远程拒绝服务漏洞

多个IBM DB2产品远程拒绝服务漏洞

发布时间:

2014-12-24

漏洞编号:

BUGTRAQ ID: 71734
CVE ID: CVE-2014-8901

漏洞描述:

IBM DB2是一个大型的商业关系数据库系统。
IBM DB2 9.5-FP10, 9.7-FP10, 9.8-FP5, 10.1-FP4, 10.5 FP5之前版本,在实现上存在远程拒绝服务漏洞,经过身份验证的远程用户通过构造的XML查询,利用此漏洞可造成cpu资源耗尽,导致拒绝服务。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www-01.ibm.com/support/docview.wss?uid=swg21692358

3.2 PHP "Unserialize()"安全漏洞

PHP "Unserialize()"安全漏洞

发布时间:

2014-12-22

漏洞编号:

CVE ID: CVE-2014-8142

漏洞描述:

PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。PHP 5.4.36之前版本,"process_nested_data()"函数在实现上存在释放后重利用漏洞,攻击者通过向"unserialize()" 函数传递构造的输入,利用此漏洞可破坏内存;"var_push_dtor()"函数在实现上存在空指针间接引用漏洞,攻击者通过 向"unserialize()"函数传递构造的输入,利用此漏洞可造成崩溃。成功利用这些漏洞可造成任意代码执行。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
PHP:
http://php.net/ChangeLog-5.php#5.4.36
https://bugs.php.net/bug.php?id=68594
Charlie Eriksen:
https://bugs.php.net/bug.php?id=68545

3.3 IBM WebSphere Portal跨站脚本漏洞

IBM WebSphere Portal跨站脚本漏洞

发布时间:

2014-12-24

漏洞编号:

BUGTRAQ ID: 71728
CVE ID: CVE-2014-6215

漏洞描述:

IBM WebSphere Portal是一个框架——包括运行时服务器、服务、工具和许多其他特性——您可以使用这些特性将企业集成到单个称为门户的可自定义界面中。
IBM WebSphere Portal存在跨站脚本漏洞,允许已通过身份验证的远程攻击者利用此漏洞执行任意web脚本或HTML。

安全建议:

用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:
http://www-01.ibm.com/support/docview.wss?uid=swg21691458

3.4 Symantec Web Gateway命令注入漏洞

Symantec Web Gateway命令注入漏洞

发布时间:

2014-12-22

漏洞编号:

CVE ID: CVE-2014-7285

漏洞描述:

Symantec Web Gateway是一款Web安全网关硬件设备。
Symantec Web Gateway管理控制台的PHP脚未能正确过滤用户提交的输入,允许攻击者注入任意OS命令并以WEB权限执行。

安全建议:

Symantec Web Gateway 5.2.2已经修复该漏洞,建议用户下载更新:
http://www.symantec.com/business/web-gateway

3.5 BSD mailx本地任意命令执行漏洞

BSD mailx本地任意命令执行漏洞

发布时间:

2014-12-24

漏洞编号:

CVE ID: CVE-2004-2771

漏洞描述:

BSD mailx是UNIX系统上用来处理邮件的工具,使用它可以发送,读取邮件。
BSD mailx处理email地址存在安全漏洞。特殊的合法email地址可使本地攻击者通过shell元字符来执行任意命令。

安全建议:

用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=278748