当前位置: 安全纵横 > 安全公告

一周安全动态(2015年1月22日-2015年1月29日)

来源:安恒信息 日期:2015-01

2015年1月第四周(1.22-1.29)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 MalDrone-全球首款无人机后门

无人驾驶飞机简称"无人机",是利用无线电遥控设备和自备的程序控制装置操纵的不载人飞机。机上无驾驶舱,但安装有自动驾驶仪、程序控制装置等设备。地面、 舰艇上或母机遥控站人员通过雷达等设备,对其进行跟踪、定位、遥控、遥测和数字传输。可在无线电遥控下像普通飞机一样起飞或用助推火箭发射升空,也可由母 机带到空中投放飞行。回收时,可用与普通飞机着陆过程一样的方式自动着陆,也可通过遥控用降落伞或拦网回收。可反覆使用多次。广泛用于空中侦察、监视、通 信、反潜、电子干扰等。

1916年9月12日,世界上第一架无线电操纵的无人驾驶飞机在美公司生产

近日,研究人员在一家法国公司生产的Parrot AR无人机中发现了漏洞,该漏洞允许恶意黑客远程通过无线电劫持控制该无人机。

Parrot AR 无人机, 是在拉斯维加斯举行的CES 2010大会上首次发布, 你可以使用自己的智能手机等设备非常方便的控制它,该无人机还具备2个摄像头。

安全研究员,拉胡尔·萨西声称已经开发出了首个针对无人机ARM Linux系统的后门程序,名叫:Maldrone [恶意软件无人机]。

拉胡尔称,Maldrone也可以用来攻击其他厂商制造的无人机只要对方在无线电覆盖范围内即可。

无人机后门程序(Maldrone)的特点

Maldrone将获得静默安装在无人驾驶飞机中。交互与所述设备驱动程序和传感器静默监听使用控制器远程控制无人机。

可以从无人机控制者手中获取控制无人机的权限。

可以蔓延到其他无人机。

建立一个后门过程

这个无人机控制器程序program.elf是在导航模板调用串口的时候使用.

以下是相关进程对应的功能接口:

1 /dev/ttyO0 —> rotors and leds
2 /dev/ttyO1 —> Nav board
3 /dev/ttyPA1 — > Motor driver
4 /dev/ttyPA2 —> accelerometer, gyrometer, and sonar sensors
5 /dev/video0 -->
6 /dev/video1 — > video4linux2 devices
7 /dev/i2c-0 
8 /dev/i2c-1
9 /dev/i2c-2
10 /dev/usb-i2c

program.elf编程使用linux系统调用开放读取设备。从中劫持用了无人机各驱动组件控制层面的命令,然后由控制程序来调用,这样实现了接管无人机的过程。


1.2 危险!GHOST(幽灵)漏洞曝光

"GNU C库(Glibc)是GNU系统的三大基础组件(Linux内核,GCC编译器,GLIBC库),一个名为GHOST(幽灵)的glibc高威胁漏洞已经曝光。

这个漏洞影响到了自从2000年以来的几乎所有的 GNU/Linux 发行版,攻击者可以利用 glibc 中的 __nss_hostname_digits_dots() 函数的堆缓冲区溢出漏洞对GNU/Linux进行远程攻击。这个函数由被大量程序使用的 _gethostbyname() 函数所调用的。

RedHat的安全通告中也确认了该高危远程利用,"一个攻击者可以远程利用拿下对端进程当前的权限。" 有人在*EMBARGO*结束前就公开了此漏洞信息。

目前从Qualys的安全通告中 可以看到,这个漏洞在于2013年5月21日的GLIBC 上游代码已经修复,但当时GLIBC社区只把它当成了一个BUG而非漏洞,所以导致GNU/Linux发行版社区没有去做修复工作,目前Qualys宣称 POC可以在32/64位的GNU/Linux上绕过ASLR/PIE/NX的防御组合,未来一段时间Qualys会公布POC到Metasploit 中,这可能对于攻击者而言是一个福音。


1.3 "放大效应"成帮凶:全球最大规模的DDoS攻击已达400Gbps

根据Arbor Network的《10周年基础设施报告》:2014年12月的时候,一家不愿透露姓名的网络服务提供商(ISP)经历了一场通过网络时间协议(NTP)进行"反射放大"的DDoS攻击,并且对其路由线路造成了高达400Gbps的流量压力。也正因为如此,这场攻击轻松拿下了"史上规模最大的DDoS攻击事件"头衔。

Arbor的统计数据来自其下330名客户的Peakflow SP传感器,并且支持对重要的ISP进行手动调查。

在Arbor自己的记录中,规模最大的一次DDoS攻击也仅为325Gbps。此外,2013年的时候,少数攻击者突破了245Gbps的峰值。

2013年全年,Arbor记录在案的DDoS攻击事件中,就有39次突破了100Gbps。2014年的时候,这一数字迅速增加到了4倍(159次)。

如果你仔细观察,会发现2013年的大规模攻击,大多发生于最后一个季度(并且在2014年延续了这一趋势)。

至于史上规模最大的那次400Gbps DDoS攻击事件,则是Arbor通过第三方报告获知的,因此这里没能给出更加"气势磅礴"的细节描述。

值得警惕的是,越来越多的攻击利用了网络基础协议和服务的"放大效应"。2013年年初的时候,就发生了一起臭名昭著的、针对国际反垃圾邮件组织Spamhaus的攻击事件。

在本次事件中,攻击者利用了一项叫做"DNS放大"的方案,从而唤起了大量潜在的流量,并且导致了其他人的竞相模仿。

此外,网络时间协议(NTP)的欺骗技术也被用到了一年前针对CloudFlare的攻击事件中,Arbor记录下的流量峰值为325Gbps。

更坏的消息是,可被DDoS攻击者利用的互联网协议还有非常之多,包括日益严重的SSDP(简单服务发现协议)、Chargen(字符生成器协议)、DVMRP SNMP、以及DNS等——上述攻击方式均在2014年被检测到了100Gbps+的DDoS流量。


1.4 俄大型约会交友网站两千万账户名遭泄漏

据信息安全公司Easy Solution发现,俄罗斯大型约会交友网站Topface约2000万账户名及电邮地址遭泄露,并被黑客放在在线网络犯罪论坛上拍卖。Topface 称,尚未发现安全方面的漏洞,但正全力积极调查。幸运的是,密码(至少不是明文密码)并没有被泄漏,而且大部分涉及账户都采用如Facebook的其他服 务账户登录,Topface方面并不保存任何信息。

理论上来说,被泄漏的账户凭证并不能透露用户信息。当然并不排除黑客使用电邮地址结合弱口令猜测得到登录权。据报道,泄漏的账户50%属于俄罗斯用户,40%为来自欧盟区的用户,且多使用微软的Hotmail/Outlook邮箱服务。


1.5 全球最安全手机BlackPhone被发现漏洞可造成隐私泄露

最近有安全研究者发现了BlackPhone中一个漏洞,该漏洞允许攻击者解密用户信息、窃取通讯录并控制设备的重要功能,而这些重要功能是为了更好地防护他人的嗅探监听。

什么是BlackPhone?

BlackPhone号称是全球最安全的手机,是在斯诺登事件后推出的以保护隐私为目标的手机。它采用定制版安卓系统,并且使用Silent Circle加密即时通讯应用,Spider Oak 加密数据存储,并且具备反追踪和反wifi嗅探等功能。

来自澳大利亚Azimuth安全公司的Mark Dowd指出,黑客们只需获得用户的Silent Circle ID或者电话号码就可远程利用这个漏洞。攻击者可偷偷地解密并阅读信息、读取通讯录、监控电话的地理位置信息、向手机的外部存储中编写代码或文本,并且列举存储在设备上的账户。他将该漏洞报告之后,BlackPhone修复了这个漏洞。

该漏洞存在SilentText中。SilentText是与BlackPhone捆绑在一起的安全文本信息应用程序,它是Google Play中的一款免费安卓app。一个名为libscimp的组件包含一种内存破坏漏洞,后者是某种类型的混淆漏洞。Libscimp是BlackPhone对Silent Circle即时通讯协议(SCIMP)的执行,并且在可扩展消息在线协议(XMPP)顶层运行。SCIMP用于创建发送文本信息人们之间的安全端对端信道。它会处理通过信道的加密数据传输。

幸运的是,官方已经帮用户修复了这个漏洞。但是这件事告诉我们,无论厂商吹嘘使用了多么高级别的防护,没有一个设备是绝对安全的。


2 本周关注病毒

2.1 Trojan.Spy.Win32.Gamker.a(木马病毒)

警惕程度 ★★

该病毒运行后尝试关闭电脑中的杀毒软件,并调用电脑中的浏览器在黑客指定网址下载其他病毒。同时,病毒将检测网银相关的关键字,并且监控中毒电脑的进程,打开键盘监控功能,记录用户的账号和密码等信息,并通过明文的形式保存起来发送给黑客。用户电脑一旦中毒,将面临网银账户被洗劫的风险。

2.2 Trojan.Spy.Win32.Hijclpk.b(木马病毒)

警惕程度 ★★

病毒运行后创建文件:lpk.dll,自我复制到其他目录,伪装成系统文件,并自我隐藏。此外,病毒还将下载其他病毒至电脑,窃取电脑中的敏感信息及重要文件,电脑一旦中毒用户将面临隐私信息泄露,网络账密被盗等风险。

2.3 ackdoor.Win32.Rbot.gcy(后门病毒)

警惕程度 ★★★★

病毒运行后自我复制至系统目录,释放恶意DLL文件,并启动svchost.exe 进程加载。病毒还会设置自身为开机自启动,开启后门,执行黑客命令。电脑一旦中毒,用户将面临隐私信息泄露、网络账号被盗,银行卡被盗刷、电脑成为黑客肉鸡等风险。


3 安全漏洞公告

3.1 glibc gethostbyname缓冲区溢出漏洞

glibc gethostbyname缓冲区溢出漏洞

发布时间:

2015-01-28

漏洞编号:

BUGTRAQ  ID: 72325
CVE(CAN) ID: CVE-2015-0235

漏洞描述:

glibc是GNU发布的libc库,即c运行库。glibc是linux系统中最底层的api,几乎其它任何运行库都会依赖于glibc。

glibc 2.18之前版本中,__nss_hostname_digits_dots()函数存在堆缓冲区溢出漏洞,gethostbyname()及 gethostbyname2() glibc函数调用时会用到该函数。如果远程攻击者可以调用这些函数中的任意一个,即可利用此漏洞以当前用户权限执行任意代码。虽然2013年5月21日 已经修复了此漏洞(介于glibc-2.17及glibc-2.18之间的版本),但并未当成漏洞,目前现在影响例如:Debian 7 (wheezy), Red Hat Enterprise Linux 6 & 7, CentOS 6 & 7, Ubuntu 12.04等大多数的Linux发行版。

此漏洞触发严重依赖应用程序调用gethostbyname()的方式,需要满足多个条件才能触发漏洞。目前看绝大多数的本地SUID程序和服务程序不受 影响。目前已知受影响的应用程序为exim4邮件服务程序,如果设置了对HELO和EHELO命令进行额外安全检查(非默认配置),则可以远程执行任意代码。

 

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.gnu.org
https://sourceware.org/git/?p=glibc.git;a=commit;h=d5dd6189d506068ed11c8bfa1e1e9bffde04decd


3.2 GNU patch 'set_hunkmax()'函数拒绝服务漏洞

GNU patch 'set_hunkmax()'函数拒绝服务漏洞

发布时间:

2015-01-26

漏洞编号:

BUGTRAQ  ID: 72286
CVE(CAN) ID: CVE-2014-9637

漏洞描述:

GNU patch是GNU项目的一部分,可以将原始文件更新到打完补丁的版本。

GNU patch在实现上存在耗尽内存导致的段错误,攻击者通过构造的diff文件,利用此漏洞执行拒绝服务攻击。

 

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://git.savannah.gnu.org/cgit/patch.git/commit/?id=0c08d7a902c6fdd49b704623a12d8d672ef18944

 


3.3 Bugzilla命令注入及安全限制绕过漏洞

Bugzilla命令注入及安全限制绕过漏洞

发布时间:

2015-01-18

漏洞编号:

CVE(CAN) ID: CVE-2014-8630

漏洞描述:

Bugzilla是一个开源的缺陷跟踪系统。

Bugzilla没有正确过滤某些输入,这可导致注入并执行任意shell命令,要成功利用此漏洞需要 "editcomponents" 权限;WebServices模块没有正确限制XML及JSON APIs内的API方法,这可导致访问受限制功能。

 

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

Bugzilla:
http://www.bugzilla.org/security/4.0.15/

John Lightsey:
https://bugzilla.mozilla.org/show_bug.cgi?id=1079065

David Lawrence:
https://bugzilla.mozilla.org/show_bug.cgi?id=1090275


3.4 Linux Kernel Crypto API CVE-2013-7421本地安全绕过漏洞

Linux Kernel Crypto API CVE-2013-7421本地安全绕过漏洞

发布时间:

2015-01-27

漏洞编号:

Bugtraq ID:72322
CVE ID:CVE-2013-7421

漏洞描述:

Linux kernel是一个开源的操作系统。

Linux kernel Crypto API存在安全漏洞,允许本地用户通过request_module()加载系统上任意安装的内核模块。

 

安全建议:

用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:
https://lkml.org/lkml/2013/3/4/70


3.5 PHP Calendar扩展远程整数溢出漏洞

PHP Calendar扩展远程整数溢出漏洞

发布时间:

2015-01-22

漏洞编号:

Bugtraq ID:72267

漏洞描述:

PHP是一种在电脑上运行的脚本语言,主要用途是在于处理动态网页,包含了命令行运行接口或者产生图形用户界面程序。

PHP Calendar Extension扩展存在一个缓冲区溢出漏洞,允许远程攻击者利用漏洞提交特殊请求使应用程序崩溃。

 

安全建议:

用户可参考如下厂商提供的安全补丁以修复该漏洞:
http://php.net/manual/zh/book.calendar.php