当前位置: 安全纵横 > 安全公告

一周安全动态(2015年1月29日-2015年2月5日)

来源:安恒信息 日期:2015-02

2015年2月第1周(1.29-2.5)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 MalDrone-全球首款无人机后门

2月4日消息,据国外媒体报道,信息安全和隐私似乎是永恒的热门话题,近几个月出现了不少高调的网络攻击和暴行,这导致全世界的中心再次关注于围绕数据保护、加密、隐私和监控的话题。这些占据新闻头条的事件涉及了政府、企业和其它组织、家庭和个人的数据泄露。

网络安全问题近期出现在世界上最显著的平台之一上——美国年度国情咨文,美国总统奥巴马表示:"绝不允许任何国家或者黑客有关闭我们网络,窃取我们的商业机密 或者侵犯美国家庭隐私的能力。我们正在确保政府联合情报机构打击网络威胁,正如我们对抗恐怖主义一样。今晚,我催促国会通过法案以更好打击日益猖獗的网络 攻击和身份窃盗,保护儿童的隐私信息。如果我们不积极行动起来,我们的国家和经济将面临威胁。但如果我们有所作为,我们就能继续保护造福于全世界人民的科技。"

那些非法窃取在线信息和通讯的黑客以及试图保护信息安全的人们已经陷入一场军 备竞赛。每一年都会发生各种黑客攻击,日益进化的网络技术导致安全行业努力利用现有工具抵抗攻击,同时收集有关新威胁的情报。用户也是这一问题的一部分, 他们粗心或者恶意的网络行为让黑客有机可乘,或者直接导致网络漏洞。

2014年顶级安全漏洞

根据电子邮件收发和网络安全解决方案的领先供应商AppRiver,以下是美国2014年的某些主要的安全漏洞:

这还不算全部的名单,但很明显组织性越来越强的网络罪犯正从企业和其它公司里窃取大量机密数据。当出现安全漏洞时,公司或组织担心的并不是丢失宝贵/敏感的数据,而是品牌或者声誉遭遇巨大损失,而这需要大量时间和金钱来修复。

2014 年最高调的网络攻击是11月索尼影视娱乐有限公司(Sony Pictures Entertainment,以下简称索尼影视)被自称为"和平卫士"(Guardians of Peace,简称GOP)的黑客组织窃取公司数据。窃取的100TB数据包含雇员信息(据称包含了47000份社会保险号)。索尼影视被黑客攻击也有政治 因素,因为GOP黑客组织要求索尼影业取消电影《刺杀金正恩》的上映,后者是一部有关密谋刺杀朝鲜领导人金正恩的喜剧。尽管GOP黑客组织的身份目前仍是 个谜,但美国政府将矛头指向朝鲜,但后者拒绝承认与黑客攻击有关。

2015安全预测

供应商、分析师和权威人士每年年初都会对接下来12个月的网络安全进行预测。尽管有些人对"谈论"这一话题饶有兴趣,但不可否认,安全和隐私已经是企业、组 织、个体和政府议程中非常重要的一部分。因此我们调查17个组织发表的前瞻性文章并将产生的130项预测分为以下几类:

名单之首是"新型攻击媒介和平台"和"现有网络安全解决方案的进化",这两类展示了网络安全军备竞赛的现实。在第一类,好几名评论员强调了"广泛使用的旧代 码里的新漏洞"(卡巴斯基实验室),例如Heartbleed/OpenSSL和Shellshock/Bash,而企业移动管理市场领导者Sophos 表示IPv6协议里的漏洞以及UEFI丰富的启动环境里rootkit和bot可能会产生新的攻击媒介。苹果是主要被标记的新平台,例如FireEye认 为"苹果日益增长的企业足迹意味着恶意软件编写者将适应它们的工具箱"。近期销售数字只会更加刺激黑客对苹果产品的"垂涎欲滴"。

大部分预测属于第二类("现有网络安全解决方案的进化"),包括Immuni Web的观点:如果单独使用或者没有人为干预"自动化安全工具和解决方案将不再高效"。全球性网络安全设备供应商Fortinet认为黑客将规避沙盒技 术,并通过"在攻击中加入不相关内容阻碍调查者或者蓄意栽赃不相关的黑客"来转移调查者的注意力。同时互联网数据中心(IDC)分析师预测"到2017 年,90%的企业的终点将是利用某种形式的硬件保护以确保企业的完整性"和"到2018年,25%的之前单独购买的安全应用程序将直接集成到企业的应用程 序里"。

好几个预测类型都指出了特定的新攻击类型和平台,尤其是物联网、移动科技、 社交网络、大数据和分析、云服务、零售终端和支付系统、网络技术、开源软件、第三方攻击和恶意广告。这显示了随着整个世界通过网络相连,黑客攻击的机会越 来越多,例如近期发现的一个弱点使得通过基于Linux的控制软件就可以劫持无人机(或者无人驾驶飞行器)。

在第三类IoT里,整合Web、信息和数据安全防护解决方案提供商Websense指出"你的冰箱不是一个IT威胁,工业传感器才是。"也就是说,网络罪犯 更可能攻击自动化行业,例如发电或者油气开采里的M2M通讯,而非试图"融化你的智能冰箱里的黄油或者煮沸牛奶"。Sophos对此表示赞同,它表示 "ICS/SCADA与现实世界安全之间的差距只会越来越大。"在IoT这一栏的另一端,市场调研公司Forrester预测2015年"一个可穿戴设备 的数据泄露会刺激联邦贸易委员会FTC采取行动"——而那些想要实施基于可穿戴设备的员工健康项目的企业应该三思了。

很多评论员表示第四类的移动平台将日益吸引黑客和网络罪犯的注意力,尤其是现在移动支付系统,例如Apple Pay已经日益成熟。Websense也认为黑客将以移动设备为目标,"不仅是为了攻破手机密码并从设备里窃取数据,更是作为一种媒介获取设备在云端存储 的日益增多的数据资源"。

社交网络是黑客日益关注的另一个焦点,正如企业资安防护技 术全球厂商BigCoat表示:"攻击工具将从社交网络里获得信息而以更好地方式实现个性化攻击。大多数攻击目标都有一定的社会背景,这增加了功效和简易 性。黑客将利用他们对攻击目标的了解来获取至关重要的系统和数据。"

至于大数据和分 析,商业软件厂商Varonis Systems警告salami攻击(一次只窃取一小部分资产)的兴起:"即使加密或者匿名化后,通过社交网络、信用卡交易、网络摄像头和数字足迹收集的 大量数据可以拼凑成一张令人感到害怕的完整画面。这不仅威胁了个体,也威胁了政府组织、企业和业务合作伙伴。。。2015年,一个重要的大数据举措将受到 salami攻击的阻碍"。而另一个积极方面便是,美国软件公司赛门铁克预测"机器学习将成为对抗网络犯罪的游戏改变者。"

云服务是网络安全的另一个战场,Varonis Systems认为"云和基础设施即服务(IaaS)公司将就它们管理和保护数据的能力彼此竞争,同时为顾客提供提高生产率的功能性。。。无法提供相同程 度的访问控制、数据保护和提高生产率的云公司将无法获得顾客最至关重要的数据"。与此同时,IDC认为安全软件本身应该进入云:"企业将把安全软件作为一 种服务(SaaS)。在2015年底,15%的安全保障将通过SaaS来提供,到2018年这一比例将达到33%。"

好几名评论员注意到2014年零售商面临的大量高调攻击——这一趋势预计在2015年将继续延续:"黑客以零售ATM机为目标(卡巴斯基实验室)";"零售 漏洞——2014年只是冰山一角"(Damballa)。因此,Forrester预测"2015年零售安全预算将翻倍"。2015年预测的其它新型攻击 方式包括开源软件和脆弱的第三方,例如供应链的连接或者恶意软件感染的广告(恶意广告)。

高调的安全漏洞还将持续成为2015年的新闻热点("显著的数据泄露将导致网络安全问题持续受到关注"——赛门铁克)。然而,Websense尤为关注健康 数据,这主要是考虑到"没有任何类型的记录能包含这么详尽的个人验证信息(PII),后者可以被用于一系列的后续攻击和各种类型的诈骗"。

加密和隐私仍出现在2015年的安全预测里。据BlueCoat表示,加密是把双刃剑:"使用加密将继续保护顾客隐私。而隐匿在加密之后的恶意软件将躲避大 多数企业的检测,这些企业试图在员工隐私和加密背后隐藏的攻击之间找到平衡点"。例如Sophos从政治角度谈到:"随着情报局监视以及数据泄露被披露, 公众的安全意识和隐私担忧越来越强烈,加密最终将变成某种默认状态。某些组织,例如法律部门和情报局可能对此不满,因为他们认为这对安全性将产生有害的影响。"

好几项预测主要是监管、承诺和网络保险的联合。在安全泄露通知法律问题 上,Varonis Systems强调了中部-大西洋分化:"在欧盟的数据将更安全(这多亏了数据保护条例),但是在美国呢?"这一问题再次强调了Nephapsis的预测 "一家美国公司将卷入重大的欧盟数据泄露事件"。顾客信息泄露后"上百万美金的罚款和起诉"的前景导致Forrester预测"1亿美金的网络保险将成为 规范,"这一观点得到了FireEye的回应。

好几名评论员也提到了组织安全策略的 进化。FireEye认为"越来越少的企业会运行自己的安全运营中心(SOC)",企业应该"从和平时期转向战时心态",虽然网络安全问题导致IDC预测 "截止2018年,75%的首席安全官CSO和首席信息安全官CISOs将向公司CEO,而非首席信息官CIO直接汇报"。

FireEye 和Damballa也重点强调了高级隐形网络攻击的情报侦测及预防,这俩家公司致力于为这一领域提供专业的解决方案。FireEye认为企业将资金转向投 入"高级监测、响应和取证",而Damballa表示2014年下半年组织投资了"威胁监测和响应"并预测这一趋势将在2015年延续。

国家赞助以及政治驱使的攻击类型也被一些评论员提及:"黑客们将坐在电脑前开展新型的网络战"(Websense);"间谍软件 (espionageware)的崛起"(BlueCoat);"网络间谍攻击将会继续并且以更高频率发生"(McAfee);"以政治报复为目的的黑客 将会攻击普通公民"(Neohapsis);Websense提醒网络战争/恐怖主义将会更多地由所谓的无附属单位的个体所主导,他们虽然与政府无关,但 却打着支持民族国家事业的口号。

勒索软件(Ransomware),一种黑客用于劫 持用户资产或资源并以此为条件向用户勒索钱财的恶意软件,被预测在未来将以更大的范围和更高的频率出现。BlueCoat预测勒索软件将会对受感染的用户 要价更高。Lancope认为未来将出现勒索软件膨胀;赛门铁克预计诈骗份子将继续开发这种以敲诈勒索为目的的软件;McAfee更是认为勒索软件会在攻 击手段、加密方法以及目标用户选择上更智能。

剩余的预测类型包括生物测定学、多因素认证、网络犯罪和网络安全技能,令人惊讶的是后者只被提到了一次,Sophos表示"全球技能的间隔将继续增大,其中应急响应和教育是关键重心"。

展望

有关网络安全有一件事是肯定的:公司只依赖防火墙和安装杀毒软件来保护网络安全是远远不够的。首席安全官和首席信息安全官需要持续监测进化的威胁,将"如果我们被攻击"的观点转变为"当我们被攻击了"的状态。

公司组织的社会、移动、大数据、云服务以及其它数字化转换策略毫无疑问将面临新型网络攻击,后者将不断的测试目前的网络安全工具箱——防火墙、杀毒软件、 VPN、入侵检测/保护系统、高级威胁防护等等。如果这些还不够,那么需要投资新的防护措施、技能熟练的员工来操作它们以及投资网络保险。


1.2 黑客利用"美女"诱使叙利亚叛军"交出"机密军事数据

据外媒报道,来自安全公司FireEye的调查显示,近几年来,亲阿萨德黑客组织对叙利亚叛军采取了catfishing的战略方针。这些黑客则会利用美女的照片来诱使叛军上钩,然后再在他们所使用的电脑或移动设备中植入恶意软件。 据悉,这些黑客会为“美女”创建Facebook、Skype等所有人气社交媒体账号,之后则借助这些平台跟叛军联系。

FireEye报告指出,这种手段使用非常广泛且成功率颇高。据统计,亲阿萨德黑客组织已经通过这种方式从来自8个不同国家的12,356名叛军那里获得了逾7.7GB的数据。


1.3 报告:宝马劳斯莱斯等豪车存安全漏洞 黑客可远程开门

据彭博社报道,德国汽车协会ADAC在一份报告中称,利用车辆数字服务系统中的一个安全漏洞,黑客能够数分钟内远程打开宝马、Mini以及劳斯莱斯等车辆的车门。ADAC表示,搭载宝马“互联驾驶”(ConnectedDrive)系统的220万辆汽车,均易遭受攻击。宝马方面声称,该公司已对系统进行升级,修复了相关漏洞。当车辆连入宝马服务器时,系统会自动进行升级。

"宝马对此问题处理迅速,并增加了车辆安全性",该公司一份声明中表示。

此外,宝马还透露,黑客不能通过该漏洞开走车辆,主要问题风险会出现在车载数字服务方面。而诸如远程访问或车内预热等无线功能,需要新的安全系统层来保护消费者和车辆安全。


1.4 国务院:关于促进云计算创新发展 培育信息产业新业态的意见

近日,国务院印发《关于促进云计算创新发展培育信息产业新业态的意见》(以下简称《意见》),为促进创业兴业、释放创新活力提供有力支持,为经济社会持续健康发展注入新的动力。

《意见》提出,要加快发展云计算,打造信息产业新业态,推动传统产业升级和新兴产业成长,培育形 成新的增长点,促进国民经济提质增效升级。到2017年,我国云计算服务能力大幅提升,创新能力明显增强,在降低创业门槛、服务民生、培育新业态、探索电 子政务建设新模式等方面取得积极成效,云计算数据中心区域布局初步优化,发展环境更加安全可靠。到2020年,云计算成为我国信息化重要形态和建设网络强 国的重要支撑。

《意见》从壮大新业态、强化产业支撑、加强安全保障三个方面提出了六项主要任务。一是增强云计算 服务能力,大力发展公共云计算服务,引导企业采用安全可靠的云计算解决方案。支持云计算与物联网、移动互联网、互联网金融等的融合发展与创新应用,积极培 育新业态新模式。二是提升自主创新能力,突破云计算和大数据关键核心技术,加强需求对接和市场应用,促进产业链协同创新。三是探索电子政务云计算发展新模 式,鼓励应用云计算整合改造现有电子政务信息系统,实现整体部署和共建共用,加大政府采购云计算服务力度,大幅减少政府自建数据中心数量。四是加强大数据 开发与利用,出台政府机构数据开放管理规定,在疾病防治、灾害预防、社会保障、电子政务等领域开展大数据应用示范。五是统筹布局云计算基础设施,加快信息 网络基础设施优化升级,支持绿色云计算中心建设,避免云计算数据中心和相关园区盲目建设。六是提升安全保障能力,研究完善云计算信息安全政策法规,加强评 估审查和监测,支持云计算安全产品的研发生产和推广应用

《意见》明确,促进云计算发展,一要完善市场环境,完善准入制度和相关网络政策,逐步建立云计算 信任体系。二要建立健全相关法规制度,出台政府和重要行业采购使用云计算服务相关规定,明确安全管理责任。三要加大财税政策扶持力度,完善政府采购云计算 服务配套政策,明确相关适用税收优惠政策。四要完善投融资政策,引导设立云计算创业投资基金,加大融资和信贷支持。五要建立健全标准规范体系,研究制定云 计算技术、服务、设施和安全保密等方面的标准规范。六要加强人才队伍建设,重点培养和引进云计算领军人才和技术带头人,完善人才激励机制,支持应用人才培 训。七要积极开展国际合作,支持云计算企业整合国际创新资源,加强国内外企业研发合作,积极参与国际标准制定。

《意见》强调,各地区、各部门要高度重视云计算发展合作,认真抓好贯彻落实,出台配套政策措施,着力加强政府云计算应用的统筹推进等工作。


1.5 "黑客"称手机销售网站有漏洞 花1元能中iPhone

近日,山东潍坊的吴女士向本报打来电话称,湖北赤壁的一名网络黑客王某伦吹嘘发现了某手机销售网站的漏洞,只花1块钱就可以百分百中奖,拿到一部苹果 iPhone手机。王某伦在网上发布了这些信息后,全国各地近百位网友以500元到4500元不等的价格,找他帮忙弄手机,结果大部分网友只收到一个U 盘,而吴女士等人则收到一个空盒子。

发现被骗后,有多名网友选择报警,一名网友在当地警方了解到,王某伦曾因"非法入侵计算机系统"被拘留,共有24条犯罪记录。

“黑客”称花1元钱能中iPhone手机

据吴女士介绍,3年前,她在网络论坛上看到王某伦的QQ号码,想着有些网络问题方便咨询,便主动加了对方好友。不过,几年来,双方并未有过交流。前不久,王 某伦开始在自己的QQ空间陆续发布了一些信息,自称掌握了"1元云购"商城的漏洞,只用花1元钱,就能百分百中得iPhone手机一部。此外,还有不少人 在空间留言,声称已经收到了手机,经检测绝对是正品。

看到这些图文并茂的信息,加上对方黑客的身份,吴女士一下也动了心,主动与王某伦联系起来。"不同型号的iPhone价格不同,我给他支付宝打了3000块钱,让他帮我弄一部iPhone6。"吴女士于1月30号晚上,向王某伦提供的支付宝账号打了钱。

为了笼络这些求购手机的网友,王某伦还建了一个"云购计划群",把这些打了款的人都拉了进去。吴女士发现,群里还有不少托,一直有人说收到了手机。然而,1月31日,有网友开始在群里破口大骂,称手机没收到,只收到一个U盘。

"还没等到其他人说话,他就把大家都禁言了。"眼见事情败露,王某伦干脆把这些人都踢了出去,而吴女士事后得知,有几名网友收到的是空盒子,还有人收到了一只安全套。

为了维权,那些被骗的网友建了一个QQ群出谋划策,武汉晚报记者发现,里面共有91名网友,他们的支付宝记录均有截图。"还有一部分人没有进群,涉案金额至少有10万。"吴女士说。

各地网友报警揪出“惯犯”

昨天下午,记者与另外一名受骗者马女士取得联系,她邀请记者加入了部分受害网友创建的"王某伦犯罪证据群",这里面共有16名网友,他们负责整理收集到了大 量证据。马女士提供的一张图片显示,王某伦在公安信息网上留有案底,其基本信息栏显示,初中文化水平的他,专长为计算机技术,职业为不便分类的其他从业人 员,曾于2010年2月被关押。

近日,河南驻马店的受骗网友张先生,到当地警方报案,民警在查询王某伦的个人信息时发现,他竟然有24条违法记录。"我仔细看了下,全部都是'非法侵入 计算机系统',民警还感叹这样的人怕不好管。"张先生说,这一次,他如果不退钱,那就是诈骗罪了。目前,已经有部分网友准备向湖北赤壁市警方报案。值得一提的是,昨天下午,记者正通过QQ与这些受害网友在"王某伦犯罪证据群"交流时,突然无法正常登陆,居然被盗号了!截至发稿前仍未恢复正常。

"他虽然只是黑客圈的一名娱乐人士,但盗号这点技术还是有的。"当得知记者的遭遇后,吴女士在电话里说道。


2 本周关注病毒

2.1 Trojan.Script.BAT.StartPage.fn(木马病毒)

警惕程度 ★★

该病毒会在桌面上生成一个和原来的IE图标完全相同的图标,用户打开这个假的IE图标就会访问黑客指定的网站。病毒还会劫持浏览器的搜索引擎和多种第三方浏览器软件,到达提高网站点击率的目的。

2.2 Trojan.Win32.Generic.1632CE3D(木马病毒)

警惕程度 ★★

该病毒运行后通过伪造的腾讯中奖消息框,通知用户中奖信息,让用户访问钓鱼网站,并让用户输入一系列的个人信息,达到诈骗用户个人信息及钱财的目的。

2.3 Trojan.PSW.Win32.QQPass.eyg(木马病毒)

警惕程度 ★★★★

病毒伪装成文件夹图标,诱骗用户点击。病毒运行后设置自身为开机自启动,释放恶意程序C:\Program Files\Windows Media Player\c\,伪装成系统进程,并盗取用户的QQ账号和密码。电脑一旦中毒,用户将面临QQ账号被盗,隐私信息泄露等风险。


3 安全漏洞公告

3.1 多个Cisco产品跨站脚本漏洞

多个Cisco产品跨站脚本漏洞

发布时间:

2015-02-04

漏洞编号:

Bugtraq ID:72475
CVE ID:CVE-2014-8021

漏洞描述:

Cisco AnyConnect Secure Mobility Client是一个移动客户端VPN工具。Cisco HostScan Engine是一个主机扫描引擎。


Cisco AnyConnect Secure Mobility Client和 Cisco Host Scan不正确校验用于构建DOM中applet路径的URL,允许攻击者进行跨站脚本攻击,构建恶意URI,诱使用户解析,可获取敏感信息或劫持用户会话。

安全建议:

用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:
https://tools.cisco.com/bugsearch/bug/CSCup82990
https://tools.cisco.com/bugsearch/bug/CSCuq80149


3.2 Adobe Flash Player 远程代码执行漏洞

Adobe Flash Player 远程代码执行漏洞

发布时间:

2015-02-03

漏洞编号:

Bugtraq ID:72429
CVE ID:CVE-2015-0313

漏洞描述:

Adobe Flash Player是一款Flash文件处理程序。

Adobe Flash Player存在一个未明安全漏洞,允许攻击者构建恶意SWF文件,诱使用户解析,可以应用程序上下文执行任意代码。目前已经在网络上积极利用。

 

安全建议:

目前没有详细解决方案提供:
http://www.adobe.com


3.3 VMware vSphere Data Protection证书验证安全限制绕过漏洞

VMware vSphere Data Protection证书验证安全限制绕过漏洞

发布时间:

2015-02-02

漏洞编号:

Bugtraq ID:72367
CVE ID:CVE-2014-4632

漏洞描述:

VMware vSphere Data Protection是一款Vmware的数据保护应用解决方案。


VMware vSphere Data Protection没有正确校验vCenter服务器的SSL证书,允许可进行中间人攻击的攻击者执行未授权备份和恢复操作。

 

安全建议:

VMware vSphere Data Protection 5.8.1,5.5.9已经修复该漏洞,建议用户下载更新:
https://my.vmware.com/group/vmware/get-download?downloadGroup=VDP58_1
https://my.vmware.com/group/vmware/get-download?downloadGroup=VDP55_9


3.4 HP LaserJet Printers多个授权绕过漏洞

HP LaserJet Printers多个授权绕过漏洞

发布时间:

2015-01-30

漏洞编号:

Bugtraq ID:72348

漏洞描述:

HP LaserJet Printers是激光打印机系列。


HP LaserJet Printers存在多个安全漏洞,允许攻击者未授权访问打印机设置,如http://site/info_deviceStatus.html,或可在"Print Information Pages"中未授权打印测试文档。

 

 

安全建议:

目前没有详细解决方案提供:
http://www.hp.com


3.5 Linux Kernel 'fs/fhandle.c'本地竞争条件漏洞

Linux Kernel 'fs/fhandle.c'本地竞争条件漏洞

发布时间:

2015-01-30

漏洞编号:

Bugtraq ID:72357
CVE ID:CVE-2015-1420

漏洞描述:

Linux kernel是一个开源的操作系统。


Linux Kernel 'fs/fhandle.c'存在竞争条件错误,本地攻击者可以利用该漏洞读取过多数据使系统崩溃或者读取敏感信息。

 

 

安全建议:

用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:
http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/log/fs/fhandle.c