当前位置: 安全纵横 > 安全公告

一周安全动态(2015年1月29日-2015年2月5日)

来源:安恒信息 日期:2015-02

2015年2月第1周(1.29-2.5)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 商场刷卡不安全 数字扒窃数秒窃取银行卡信息

据英国每日邮报报道,近期在车站和购物中心开始出现一种新型的数字扒窃。这种数字扒窃具有一种新科技,无需接触你钱包即可轻易窃取你的银行卡信息。这些罪犯站在15厘米远处利用RFID读写器(Radio Frequency Identification的缩写)获取银行信息,这一行为被称为“数字撇沫”。ABC7 I-Team小组近期揭示了小偷如何利用感应刷卡无线电技术轻易窃取个人银行卡信息。

站在15厘米远处利用RFID读写器即可获取银行信息

美国芝加哥信息安全性和合规性解决方案的领先提供商Trustwave的安全专家大卫·布莱恩(David Bryan)站在拥挤的购物区域,他身后的背包里装有可以读取银行卡信息的设备。

Trustwave的安全专家大卫·布莱恩

"这一科技是高频RFID,"布莱恩说道。"它利用13.56Mhz使得卡和读取器之间进行通信。在这个例子里,我使用了低功率嵌入式Linux电脑和一个容易买到的RFID读取器。它由USB电池驱动,可以塞进一个背包里。"

除了作为一个设备,数字扒窃还能够在手机里下载RFID应用程序。如果一个读取器或者装有RFID应用程序的智能手机处于够及范围内,它就能读取银行卡被用于支付购买的商品时传输的无线信号。

这一信息可以被输入一台机器里以复制这张卡,这台机器只需要300至400美元即可买到。安全公司诺顿表示今年70%的信用卡很容易受到数字扒窃的攻击。 "这种设备可以读取不同的RFID标签,包括MiFare卡, EMV 卡,以及很多类型的RFID 标签。"由于RFID总是处于开启状态,有些支付专家表示它比近场通信技术技术(NFC)更易受到攻击。"这展示了感应支付卡读取技术并不是安全的银子弹 (喻为一劳永逸的良方)。"布莱恩说道。

这种RFID技术会将银行信息通过无线电信号传输,能够在几秒钟的时间内获取这些细节。

"RFID 支付卡需要配有一个移动设备,后者会生成特定交易的一次性支付卡号——而非拥有永不过期的静态支付卡。在拥挤的车站,如果某人有RFID支付卡,且我站的 足够近,或者拥有一个足够大的天线,我就可以轻而易举的获取这些数据。"布莱恩先生还利用背包里的读取器靠近手提电脑从而轻易的窃取了信息。"卡背面的三 位数字密码可以缓和可能的恶劣后果,"电子隐私信息中心(Epic)的总裁马克·罗登伯格(Marc Rotenberg)这样表示。

谨防数字扒窃的场所包括拥挤的购物中心和繁忙的车站,在这些地点交易持续进行。

读取器无法读取这三位密码,但没有这三位数字密码也可以伪造银行卡并在店里出示使用。"我们对于(这三位数字密码)的启用存在一些疑问,因为如果不要求出示银行卡,那么使用这三位密码是没有意义的。" 罗登伯格说道。

使用箔的专业钱包会阻挡这些无线电频率信号,但真实的威胁仍然存在。Apple Pay通过不在iPhone上存储任何数字来克服这一问题。美国大通银行(Chase)的一名发言人告诉ABC7 I-Team他们的银行卡将停止使用这种无线电技术。"使用这些技术并没有错,但目前需要更多措施来保证人们的信息安全。"


1.2 美国安全专家警告:2015年黑客将转战医疗领域

国安全专家警告医疗保险公司,2015年将是医疗领域网络犯罪多发年。目前,美国保险公司和医疗部门的个人数据在黑市要价很高。美国第二大医疗保险商Anthem上周遭遇黑客攻击,拥有近8000万条医疗记录的数据库遭泄露。去年医院管理公司Community Health Systems曾经丢失了450万的医疗记录。

过去的十年里,网络犯罪分子的攻击集中在银行和零售领域。大部分以窃取财务数据,比如网上银行密码和信用卡信息为目的。但是,随着这些公司提高自身安全防 护,使用偷来的信用卡号码已经变得愈加困难。这促使黑客转向安全防护不太完善的医疗机构,同时数字医疗数据量急剧增长也造成了更多机会。

被盗的医疗数据可以用于骗取医疗服务或处方药,或者实行其他金融犯罪。犯罪分子还可以使用窃取的数据来增加行骗的说服力,提高诈骗成功率。


1.3 美大型医保企业Anthem网络被黑:数据泄露波及8000万客户

作为美国知名的大型医保企业,拥有超过8000万名客户的Anthem,在改名前曾经叫做WellPoint。不幸的是,由于其IT技术设施的安全性过于薄弱,导致其8000万名客户的详细信息被泄露——包括姓名、地址、就业信息、以及社保号码等。在新创建的AnthemFacts.com网站上,公司CEO发表了一份备忘录,称Anthem本身也是“非常复杂的外部网络攻击”的受害者。

Anthem CEO Joseph R. Swedish还概述了具体有哪些信息已被攻击者所染,但是明确表示"无证据表明客户的信用卡和医疗记录(如声明和测试结果)被泄露"。

Anthem在备忘录中还提到,在该公司发现系统被攻击之后,马上就与美国联邦调查局取得了联系、并且着手对之进行补救——“救火队员”同为索尼影业所邀请的Mandiant(火眼/FireEye旗下的安全部门)。

最后,Anthem在备忘录中还提到,该公司会单独联系每个现任和前任雇员,以发掘本次泄露的幕后细节,并且知情人士可以拨打1-877-263-7995这个热线电话进行反馈

当然,最令我们好奇的是,AnthemFacts.com这个域名,早在去年12月中旬的时候就已经被注册了(我们不得不怀疑本次攻击发生的时间与索尼PSN网络遭受的为同一时期)。


1.4 美国防部下属机构研发新搜索引擎 瞄准黑暗网络

美国国防部高级研究计划局(DARPA)正在研发一个新的搜索引擎,通过更好地掌握“黑暗网络”(Dark Web)以及分析网络数据之间的关系,帮助执法部门和其他机构追踪非法活动。该项目名为“Memex”,目前已经推进了1年的时间,由17个不同的团队和DARPA共同研发。

谷歌和必应的搜索结果受到热门程度和排名的影响,且只能获取约5%的互联网内容,而Memex的目标是获取更多的互联网内容。Memex的项目经理怀特(Dr. Chris White)表示:"我们想要解决的主要问题是改变搜索结果全部按照广告和排名展示的情况。"

怀特还在《60分钟》节目中演示了该搜索引擎。为了完成目标,Memex不仅会获取被商业搜索引擎忽视的数百万一般网页的内容,还会覆盖到数千个所谓的"黑暗网络",如知名的毒品买卖网站"丝绸之路"(Silk Road)。

采用.onion域名的这些"黑暗网站"只能通过TOR浏览器才能够访问,访客还必须知道某个网站的具体地址。尽管现在已经存在一些网站来指引部分隐藏服务网站,且已经有一个名为Grams的地下黑市搜索引擎,大多数隐藏服务依然没有被发现。

隐藏服务上的内容是公开的,没有密码保护,只是难以通过商业搜索引擎找到这些内容。怀特介绍称,Memex项目的一个目的就是找出TOR的流量有多少和隐藏 服务网站有关。"我们想要建立一个自动机制,该机制能够找到隐藏服务网站,并获取上面的公开内容。Darpa团队还希望找到可更好地理解此类网站工作原理 的方法,"怀特说。

除了要获取此前未被发现网站上的内容外,Memex的研发团队还希望运用自动机制对内容进行分析,从而发现对执法部门、军方和私营行业有用的隐藏关系。

Memex项目目前有了8个合作方,他们正在进行相关测试。怀特并未透露合作方的具体身份,但他们计划在多个领域测试该系统,第一个就是参与贩卖人口的网站。同样的技术也可以被运用到跟踪埃博拉爆发等领域中。


1.5 索尼被黑警醒美国:新建网络反恐部门CTIIC

据国外媒体报道,美国即将建立一个全新的网络反恐部门“网络威胁情报整合中心(the Cyber Threat Intelligence Integration Center,简称CTIIC)”,可在美国遭遇网络入侵时发挥聚合各方信息的效用。在近期索尼影业和摩根大通遭黑客攻击事件的阴影下,奥巴马在最近的国 情咨文演讲中承诺要增进美国的网络安全,CTIIC这一部门的建立即是相应举措之一。

9·11 恐怖袭击事件之后,研究人员认为,如果安全服务部门能够共享信息,这次袭击事件便很可能被阻止。基于此,CTIIC这个新设机构将能够"游走"在美国国家 安全局(NSA)、联邦调查局(FBI)、国土安全部(NHS)和国家反恐中心(NCTC)之间,将这些机构所拥有的网络可疑行动的数据聚合在一起,使相 关决策者在网络危机发生之际,能掌握全貌、心中有数。

在索尼影业遭到黑客袭击之后,FBI、NSA以及CIA得出了各自不同的结论,未能提 供一个统一的答案。但高层希望得到的是一项统一的分析结果。显然,这一状况最终促成了CTIIC的组建。该机构将拥有50名左右员工,划拨的预算约为每年 3500万美元,但并不会展开任何监督工作。

 


2 本周关注病毒

2.1 AdWare.Script.BAT.StartPage.l(广告型病毒)

警惕程度 ★★

病毒运行后修改注册表,劫持用户主页至黑客指定网址,并在电脑中安装恶意推广软件。用户电脑一旦中毒,将面临浏览器主页被篡改,不断收到恶意推广弹窗等风险。

2.2 Trojan.Win32.VbEx.b(木马病毒)

警惕程度 ★★

病毒运行后遍历电脑内所有进程,并关闭防毒软件,删除杀毒软件的注册表项,同时连接网络下载恶意程序到本地,盗取电脑内网游帐号密码等信息。

2.3 Trojan.PSW.Win32.QQPass.eyg(木马病毒)

警惕程度 ★★★★

病毒伪装成文件夹图标,诱骗用户点击。病毒运行后设置自身为开机自启动,释放恶意程序C:\Program Files\Windows Media Player\c\,伪装成系统进程,并盗取用户的QQ账号和密码。电脑一旦中毒,用户将面临QQ账号被盗,隐私信息泄露等风险。


3 安全漏洞公告

3.1 Tomcat 全系报请求漏洞

Tomcat 全系报请求漏洞

发布时间:

2015-02-09

漏洞编号:

CVE-2014-0227

漏洞描述:

chucked 请求包含一个受损的 chunk 可能导致 Tomcat 读取部分请求的 body 做为一个新请求。

安全建议:

解决办法:
- - Upgrade to Apache Tomcat 8.0.9 or later
- - Upgrade to Apache Tomcat 7.0.55 or later
- - Upgrade to Apache Tomcat 6.0.43 or later (6.0.42 contains the fix but was not released)

官方消息:
http://mail-archives.apache.org/mod_mbox/www-announce/201502.mbox/%3C54D87A0F.7010400@apache.org%3E

3.2 PHP libmagick 'src/softmagic.c'越界读漏洞

PHP libmagick 'src/softmagic.c'越界读漏洞

发布时间:

2015-02-06

漏洞编号:

BUGTRAQ  ID: 72505

漏洞描述:

PHP是广泛使用的通用目的脚本语言。

PHP 5.0及其他版本在实现上存在越界读漏洞,攻击者可利用此漏洞在受影响应用上下文中执行任意代码。

 

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.php.net/downloads.php


3.3 PHPCMS任意代码执行漏洞

PHPCMS任意代码执行漏洞

发布时间:

2015-02-12

漏洞编号:

CNVD-2015-00304

漏洞描述:

PHPCMS是一款开源的内容管理系统。

PHPCMS前台存在任意代码执行漏洞,允许攻击者利用此漏洞执行任意代码。

 

安全建议:

修改string2array函数的实现方式。修改参数被eval直接执行的方式。否则无法治本。


3.4 PostgreSQL安全绕过漏洞

PostgreSQL安全绕过漏洞

发布时间:

2015-02-11

漏洞编号:

CNVD-2015-01040

漏洞描述:

PostgreSQL是一款对象关系型数据库管理系统,支持扩展的SQL标准子集。

PostgreSQL存在安全绕过漏洞,允许攻击者绕过某些安全限制、执行未经授权的操作。

 

 

安全建议:

用户可以联系供应商获得补丁信息:
http://www.postgresql.org/


3.5 Apache WSS4J安全绕过漏洞

Apache WSS4J安全绕过漏洞

发布时间:

2015-01-30

漏洞编号:

Bugtraq ID:72557

CVE ID:CVE-2015-0227

漏洞描述:

WSS4J是Java实现的OASIS Web服务安全(WS-Security)规范框架。

Apache WSS4J存在安全绕过漏洞,由于程序未能充分处理用户提供的输入。攻击者可利用此漏洞绕过某些安全限制、执行未经授权的操作。

 

 

安全建议:

用户可以联系供应商获得补丁信息:
http://activemq.apache.org/