当前位置: 安全纵横 > 安全公告

一周安全动态(2014年12月25日-2015年01月01日)

来源:安恒信息 日期:2014-12

2014年12月第五周(12.25-01.01)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 2014年七大内部威胁导致的数据泄露事件

从内部威胁的角度来看,2014年对于许多知名企业而言,是遭受到了难以置信破坏性的一年。不怀好意的内部人员利用受感染的POS机和高度复杂的恶 意软件掘取公司知识产权和客户个人信息,如信用卡信息和社会安全号码等。据卡内基梅隆大学软件工程学院,恶意内部人员对组织的威胁,指的是授权访问组织网 络、系统或数据的现任或前任员工、承包商或其他业务合伙人,通过有意乱用或误用该权限,对组织的信息或信息系统的保密性、完整性或可用性造成负面影响的行 为。今天我们就来回顾一下2014年由内部威胁引起的七大安全事件。

一、韩国信用局

2014年一月,据透露韩国信用局2700万条记录被盗,包括姓名、居民身份证号码和信用卡详细信息,波及韩国人口的40%。一家负责韩国信用局信用评分系统的计 算机承包商,因在超过一年半的时间里滥用访问权限秘密复制数据到外部驱动器,而成为该事件的罪魁祸首。目前该承包商已经被确认并逮捕,一起被逮捕的还包括 在信息传播中发挥作用的15人。当局仍在试图确定泄露记录的分布情况,调查还没有结束。

二、英国巴克莱银行

2014年二月,世界十大银行之一的英国巴克莱银行,遗失了27000份客户文件,内容包含从护照和国家保险号码到收入、储蓄、抵押贷款、健康问题和保险政策的所 有信息。泄露数据在黑市的潜在价值可达数百万,因为不良分子可以使用这些被窃信息对毫无戒心个人进行攻击。该银行自身员工涉嫌销售和分销被窃信息。不过到 目前为止,还没有人被捕。

三、美国塔吉特连锁店

同样2014年二月,塔吉特宣布,某受信第三方供暖和空调承包商对这起历史上最大的数据泄露事件负责。在这起内部事件中,塔吉特连锁店顾客的4000万客户信用卡 和借记卡号码连同7000万条包含姓名、地址、电子邮件和电话号码的记录被泄露。此次泄露事件仍在接受联邦调查,目前塔吉特正在处理由受影响银行和信用联 盟提请的诉讼。

四、美国杜邦

2014年三月,美国杜邦公司宣布,其用于纸品和塑料清洁生产的白色颜料专有配方被盗,并在市场上以140亿美元的价格卖给了一家有竞争力的中国公司。杜邦公司某 承包商以2800万美元的合同价售出了该配方。承包商被判经济间谍罪、窃取商业机密罪、干预证人罪、虚假陈述罪等22项罪名。

五、美国石油天然气公司EnerVest

2014年五月,某地方检察官确定,因EnerVest某员工得知自己将被公司解雇,于是恢复了所有网络服务器的出厂设置,断开了关键网络设备,禁用了设备冷却系 统。该流氓员工的行为造成该公司大约30天的全面通信与业务操作中断,EnerVest花费数十万美元用于恢复网络服务器历史数据。

六、美国电话电报公司(AT&T)

2014年六月,据透露美国电话电报公司某员工通过非正当手段获取了约1600个客户账户,并可能查看了客户的社会保障号码和驾照号码。相信该员工窃取这些记录是用于越狱锁定的AT&T手机,让这些手机可以更容易转手。

七、美国UMB银行

2014年九月,据报道UMB银行因某员工在四年时间里生成377张欺诈支票而损失超过65万美元。该员工负责在客户帐户关闭后生成退款支票,利用职务之便签发虚 假退款支票为个人牟利,在公司进行了欺诈调查后承认了对她的指控。由于她的犯罪活动与她正常的日常职责相吻合,造成这些欺诈性交易在很长一段时间都没有被发现。

1.2 传索尼被黑案黑客组织还曾威胁CNN

据美国科技博客瘾科技报道,因索尼影业计划发布电影《采访》(The Interview,又译作《刺杀金正恩》)而对其发动攻击的黑客组织“和平卫士”(The Guardians of Peace)还曾威胁过CNN。报道称,据《The Intercept》杂志获得的美国联邦调查局(FBI)公报显示,“和平卫士”曾在2014年12月20日威胁一家“新闻媒体组织”。

虽然美国联邦调查局并未具体指明是哪家媒体组织,但据The Desk网站的马修·基斯(Matthew Keys)提供的威胁信息副本显示,被威胁的目标是CNN。信息显示,“和平卫士”讽刺CNN针对该组织进行的“调查”,并在一段视频中称其是“白痴”, 但并未警告称其将因此而面对任何特定的后果。

这一信息表明“和平卫士”不排除会对支持索尼影业的其他公司发起攻击的可能性,但到目前为止并 未采取实际行动。自CNN收到上述威胁信息以来的11天时间里,并没有发生任何黑客攻击事件。美国联邦调查局和国土安全部也都在公报中指出,许多黑客组织 都会发出“言过其实的威胁声明”,但却永远不会采取行动。

索尼影业已同时在院线和网上开播《采访》,截至目前都并未遭受任何攻击。对黑客组织来说,现在攻击CNN不会有多大效果。

1.3 韩国核电站发现恶意软件连接到控制系统

韩国核电站工作人员在例行巡视过程当中发现,一台感染有恶意软件的设备连接到控制核反应堆的空气间隙系统。目前,还没有证据表明,恶意软件在系统当中复制传播,而且也没有迹象表明该恶意软件会对核反应堆系统产生不利影响。但是就核电站数字安全本身来说,核电站系统断离互联网,并且严禁无授权使用U盘是绝对必要的。

韩国能源部长发表声明,这种恶意软件是最有可能是工作人员未 经授权使用U盘而引入系统当中。之前臭名昭著的Stuxnet蠕虫漏洞攻击伊朗核控制系统也采用了相同方式。自从Stuxnet攻击之后到现在,基于 USB的攻击更加危险,这要归功于基于固件的攻击,传统杀毒软件无法检测这些攻击。

韩国水电与核电有限公司于本月初从经过彻底检查之后,该公司已经向公众保证,其控制系统目前处于安全状态。当地执法部门也正在调查朝鲜参与攻击的可能性,虽然目前没有确凿的证据证明朝鲜参与其中。

1.4 东欧黑客团伙入侵银行系统 直接从ATM机取走现金

一组来自俄罗斯和乌克兰的有组织黑客犯罪团伙,近年来在东欧等数十家金融机构进行金融犯罪活动,包括侵入它们的内部网络,安装恶意软件,并直接从ATM提 款机上盗取现金。据专家称,这些犯罪团伙会将这种方法运用至更广泛的西方国家(如西欧和美国)银行机构中,不少犯罪分子会首先从用户的账号资料入手,而这 个团伙专长在直接黑入银行系统,以巧妙的方式从金融机构直接拿走现金。

一些团伙成员被认为是参与一起俄罗斯央行200万美元劫案的东欧黑客,他们曾使用了自制银行木马Carberp来入侵银行系统并窃取账户,曾在2012年被 捕。根据今日福克斯IT和IB的报道,总部设在荷兰和俄罗斯的信息安全公司发现,这伙团队改变了策略,采用了先用恶意软件和网络钓鱼攻击入侵银行内部系 统,再直接从银行ATM机等终端抽取现金的方式来进行犯罪活动。截至目前,该团伙共计从东欧各家银行窃取1500万美元。据悉该团伙共袭击了50家俄罗斯 银行,当然这群团伙做事也留下了有趣的痕迹,比如在一个感染目标银行系统的恶意软件包含着“LOL BANK FUCKING(哈哈,银行弱爆了)”的文本字符,在其发送的感染邮件中一组加密密钥包含着字符串“自己玩去(go fuck yourself)”的MD5哈希值。

据报告,这伙团队还将把目标放在更多西方国家的金融机构,安全公司正在研究有效应对方案,望各个金融机构提高警惕,加强防护措施,警方也将加大侦查力度。

1.5 指纹识别也不安全:黑客组织可从照片复制指纹

欧洲最大的黑客联盟“Chaos计算机俱乐部”表示,该组织已经可以通过几张手指照片复制出人们的指纹。在德国汉堡举行的第31届Chaos计算机俱乐部大会上,网名为“Starbug”的简恩·克里斯勒(Jan Krissler)介绍了,他如何复制德国国防部长乌尔苏拉·范德莱恩(Ursula von der Leyen)的指纹。

众所周知,如果某人触摸了某个表面光洁的物体,例如玻璃和智能手机,那么可以通过这些物体去复制他的指纹。而克里斯勒此次展示的是,即使无法获得第一手被接触过的实物,指纹信息同样可以被获取。

克里斯勒表示,只要使用“相机拍摄的标准照片”,就可以获得某人的指纹。由于指纹可以被用于进行身份识别,因此他认为,“未来,政治人物出现在公开场合时将需要佩戴手套”。

克里斯勒表示,他使用了商业软件VeriFinger去提取指纹,而指纹来源是10月份一次公开发布会上范德莱恩手指的近距离照片。拍照者从多个角度进行了拍摄,从而获得指纹的完整图像。

如果所有人都可以以这种简单的方式去获取他人的指纹,那么指纹被用于信息安全认证的前景将受到极大的挑战。

不过,即使可以通过复制指纹而入侵某一系统,例如智能手机或高度机密的设施,那么这也并不意味着,指纹在突然之间就失去了用途。完美的指纹认证系统尚不存在,而指纹毫无疑问有着自身的用途。在很多情况下,相对于个人识别码,指纹仍然更安全。此外,指纹也可以与密码等其他信息安全措施配合使用,从而带来更好的安全性。


2 本周关注病毒

2.1 Trojan.Spy.Win32.Gamker.a(木马病毒)

警惕程度 ★★

该病毒运行后尝试关闭电脑中的杀毒软件,并调用电脑中的浏览器在黑客指定网址下载其他病毒。同时,病毒将检测BUH、BANK、ACCOUNT、 CASH、KASSA、DIREK、FINAN、OPER、FINOTDEL、DIRECT、ROSPIL等网银相关的关键字,并且监控中毒电脑的进程, 打开键盘监控功能,记录用户的账号和密码等信息,并通过明文的形式保存起来发送给黑客。用户电脑一旦中毒,将面临网银账户被洗劫的风险。

2.2 Worm.Mail.NetSky.lz(蠕虫病毒)

警惕程度 ★★

病毒运行后自我复制直系统文件夹下,修改注册表实现开机自启动,同时病毒还将在硬盘各分区中大量自我复制,并通过电子邮件软件实现自我传播。用户电脑一旦中毒,将面临系统运行缓慢,硬盘资源被大量占用等问题。

2.3 Backdoor.Win32.Gpigeon2010.aay(后门病毒)

警惕程度 ★★★

病毒运行后伪装成某知名安全卫士软件,释放 Copysss.bat文件到C盘根目录, 释放dll文件2683578_360.temp到Temp文件夹,修改注册表,实现开机自启动,用户电脑一旦中毒,将面临隐私信息泄露、机密文件被盗、电脑沦为黑客肉鸡的风险。


3 安全漏洞公告

3.1 PHP Double Free拒绝服务漏洞

PHP Double Free拒绝服务漏洞

发布时间:

2014-12-31

漏洞编号:

BUGTRAQ ID: 71800
CVE ID: CVE-2014-9425

漏洞描述:

PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。PHP存在拒绝服务漏洞,攻击者可以利用此漏洞使受影响的应用程序崩溃,拒绝服务合法用户。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://php.net/

3.2 IBM Security AppScan Enterprise任意代码执行漏洞

IBM Security AppScan Enterprise任意代码执行漏洞

发布时间:

2014-12-31

漏洞编号:

CVE ID: CVE-2014-6119

漏洞描述:

IBM Security AppScan Enterprise是美国IBM公司的一套Web应用安全测试解决方案。前称IBM Rational AppScan Enterprise,该方案支持同时扫描多个Web应用、生成漏洞报告以及智能化修补等。
IBM Security AppScan Enterprise存在任意代码执行漏洞,允许远程攻击者通过精心编制的可执行文件执行任意代码。

安全建议:

用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:
http://www-01.ibm.com/support/docview.wss?uid=swg21693035

3.3 IBM DB2拒绝服务漏洞

IBM DB2拒绝服务漏洞

发布时间:

2014-12-30

漏洞编号:

CVE ID: CVE-2014-8901

漏洞描述:

IBM DB2是一个大型的商业关系数据库系统,面向电子商务、商业资讯、内容管理、客户关系管理等应用,可运行于AIX、HP-UX、Linux、Solaris、Windows等系统。IBM DB2 9.5至FP10,9.7至FP10,9.8至FP5,10.1至FP4,FP5之前的10.5版本存在拒绝服务漏洞,允许已通过身份验证的远程用户通过精心编制的XML查询导致拒绝服务。

安全建议:

用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:
http://www-01.ibm.com/support/docview.wss?uid=swg1IT05938

3.4 IBM WebSphere Portal XML注入漏洞

IBM WebSphere Portal XML注入漏洞

发布时间:

2014-12-30

漏洞编号:

CVE ID: CVE-2014-6193

漏洞描述:

IBM WebSphere Portal是一个框架——包括运行时服务器、服务、工具和许多其他特性——您可以使用这些特性将企业集成到单个称为门户的可自定义界面中。
IBM WebSphere Portal 8.0.0 至 8.0.0.1 CF14,CF04之前的8.5.0版本存在XML注入漏洞,允许已通过身份验证的远程用户通过XML注入式攻击写入页。

安全建议:

用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:
http://xforce.iss.net/xforce/xfdb/98567

3.5 Netcore(Netis)路由器53413/UDP后门服务漏洞

Netcore(Netis)路由器53413/UDP后门服务漏洞

发布时间:

2014-12-30

漏洞编号:

 

漏洞描述:

Netcore是深圳市磊科网络通讯制作商,主要产品涉及无线路由器、无线网卡、网卡 、集线器、交换机、宽带路由器、二三四层交换机、光终端。
Netcore/Netis的大量路由器产品在实现上存在可以轻易利用的后门漏洞,攻击者可利用硬编码的后门口令访问该后门服务,可执行任意命令以及上 传、下载文件,获取WEB登录口令等操作,可完全控制受影响产品。此后门监听在53413/UDP端口。可以从受影响设备的WAN端利用,即攻击者可从互 联网上任何地方利用此漏洞。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.netcoretec.com/
支持Netcore路由器的开源固件,请参考:
http://www.dd-wrt.com/site/index
http://www.polarcloud.com/tomato