当前位置: 安全纵横 > 安全公告

一周安全动态(2015年3月12日-2015年3月19日)

来源:安恒信息 日期:2015-03

2015年3月第3周(3.12-3.19)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 安全专家在硬盘固件中发现NSA的网络间谍程序

本周安全专家在硬盘固件中发现了美国国家安全局(NSA)的网络间谍程序,这些程序非常难以被检测或者删除。来自卡巴斯基的研究者公布了该恶意程序用来“Phone Home”的URL地址,NSA利用这些随机、凌乱的地址来收集硬盘上的敏感数据。

下载完整报告:"Equation group: questions and answers" PDF

自然这些URL地址在被曝光之后意味着NSA可能不会再去使用,但不排除NSA继续使用类似newjunk4u.com 和nickleplatedads.com其他次等的域名继续活跃从事相关的活动,并出售这些已经关闭的域名。

目前已经公布的URL地址包括:

● thesuperdeliciousnews.com
 ● goodbizez.com
 ● coffeehausblog.com
 ● islamicmarketing.net
 ● adsbizsimple.com
 ● amazinggreentechshop.com
 ● suddenplot.com


1.2 OpenSSL再曝一批新漏洞 安全专家认为影响不大

据路透社报道,知名加密软件OpenSSL周四再被曝光一批新漏洞。不过相比一年前让整个计算机行业陷入恐慌的“心脏流血”(Heartbleed),安 全专家们认为此一批新漏洞将不足以造成同等效果的轰动,况且OpenSSL项目维护组早在一周前就发出了警示,并已开始着手进行修复。

"心脏流血"漏洞曝光于2014年4月。该漏洞的发现一度引起行业高度紧张——大批计算机、软件以及网络设备商被迫紧急发布产品修复补丁,大企业客户也不得不数次往返数据中心,以鉴别存在风险的设备。

数日前,OpenSSL项目维护组发出了预警,并表示将会在未来几天发布一批针对新漏洞的安全补丁。这让部分互联网安全观察人士感到担忧,一些人甚至认为新漏洞有可能会成为下一个"心脏流血"。

"你当然需要严肃对待任何一个安全漏洞,不过这一次情况可能不同。我们有一周的时间来做准备。"网络安全机构Tenable Network Security分析师克里斯·托马斯(Cris Thomas)表示。

OpenSSL项目维护组不久前针对旗下四个不同版本的软件发布了一组安全更新,其中12个于近期由各机构安全研究人员提交的漏洞得到修复,也包括一个可能导致系统易遭受DoS攻击的漏洞。

"这样的漏洞不会威胁到OpenSSL的数据加密技术。"Qualys应用安全总监伊凡·里斯迪克(Ivan Ristic)表示。

里斯迪克对新一批的漏洞曝光并不感到担忧,因为大多存在问题的OpenSSL新版本都还尚未被广泛使用。

"这一次的漏洞曝光不是什么大不了的事情。"里斯迪克表示,"我认为人们对此感到恐惧,才正是一切恐慌蔓延的开始。"


1.3 19岁小伙黑客群里买身份信息 转卖可赚2万

2014年下半年,19岁的阿祥(化名)活跃于13个大大小小的黑客QQ群,大肆收购身份信息,然后转手卖给他人盗刷银行卡。简单的复制粘贴,他每条最高可赚2万。

3月16日,郴州嘉禾公安局发布消息称,阿祥因窃取、收买、非法提供信用卡信息被抓。

2014年5月8日,广东警方侦破了"海燕3号"特大信用卡诈骗案,抓获11名利用计算机黑客软件窃取银行卡信息、组织实施网上盗刷的犯罪嫌疑 人。之后,公安部经侦局召集广东、广西、湖南等9个省区经侦部门,再次进行收网行动。该案涉案金额达14.98亿元。此间,在该案中涉嫌信息买卖的阿祥被 抓。

办案民警介绍,从2014年5月起,阿祥加入各种黑客QQ群13个,在QQ群发布收购银行卡卡号、密码、身份证、手机号的信息,卖给盗刷银行卡的人。

据阿祥交代,他提供1条准确的身份信息至少可以卖几千元,最多的一条信息卖了2万元,他通过倒卖信息先后非法获利5.9万元。

办案民警说,"海燕3号"特大信用卡诈骗案中有一个主要犯罪嫌疑人谭某(化名),阿祥先后收购谭某10多条信息,并将其卖给其他人,其中有7条信息成功完成盗刷。

2014年10月20日,阿祥在电脑学校上计算机课时,被嘉禾公安民警依法传唤至公安机关接受调查。民警在他电脑内发现大量邮箱账号和密码信息。

3月16日,潇湘晨报记者从嘉禾公安局了解到,阿祥已被依法刑事拘留,案件已移送审查起诉。


1.4 会计QQ中毒公司损失50万 电信诈骗盯上财会人员

QQ上下载了陌生人发的考试资料后,一家公司会计的信息遭窃,对方随即假冒公司老板,让会计汇款50万。近期,一些不法分子把诈骗目标锁定在了企业财会人群,通过QQ发送一些考试资料文件,并在其中植入木马病毒,窃取对方的信息,然后冒充对方的领导、同事,诱使对方汇款进行诈骗。

今年1月初,青岛一家公司老板李先生到新西兰出差。在他出差第二天,公司财务人员小孙在QQ上看到老板发来的信息,称朋友在新西兰遇到点麻烦,急需用钱,让小孙马上汇50万。小孙随后通过网银把钱转到了老板指定的账号上。

一个小时后,老板李先生打来电话,小孙赶紧问老板汇款收到没有。老板质问小孙为什么要汇款,说他根本没有给小孙发过要求汇款的消息,这时小孙才发现上当并立即报警。警方侦查发现,小孙汇款之后,半个多小时内,这50万元在多地的自动取款机被全部提走。

警方调查发现,让小孙转账的QQ号并不是真正的老板,而是"潜伏"在小孙QQ上的一个假冒账号,但该QQ头像、签名、发信息的语气与老板十分相似,这才导致小孙上当。目前,该案还在进一步侦办中。

民警介绍,近期电信诈骗犯罪呈现新的趋势,不法分子将诈骗目标锁定企业财会人群,由于这类被侵害对象常经手大量资金,一旦上当受骗,就会造成巨额财产损失。 这类诈骗中,不法分子通过搜索财务QQ群并混入其中,以提供热门的专业培训资料、发送"财务考试资料"等名义,吸引群内财会人员注意,诱使其下载资料或点 击事先做好的虚假网页链接,以便向其电脑内植入木马病毒,窃取各种信息,包括QQ的账号、密码。不法分子植入病毒后,会"潜伏"在QQ中了解跟财务人员常 常聊天的"老总"和"客户",并模仿他们聊天时的语言风格,然后再把中毒QQ好友列表中的"客户""老总"等的账号删掉,添加伪装的账号冒充被删掉人员, 模仿他们的语气向财务人员要求汇款,从而造成企业财产损失。

警方提醒,企业财会人员应树立起防诈骗意识,提高甄别诈骗手段的能力和水平,同 时要完善企业财会管理制度,涉及转账、汇款等事宜,最好不要通过QQ等网络工具联系。此外要对电脑定期杀毒,尽量不要点击、下载陌生人发来的文件或链接; 若涉及到汇款问题,一定要通过电话或者见面的方式核实。


1.5 央视315晚会曝光公共场所无密码Wi-Fi可窃取个人信息

央视315晚会曝光免费WiFi的安全问题。央视在315晚会现场表示,黑客利用免费WiFi网络窃取用户的邮箱账号和密码,从而窃取个人更多隐私信息的风险。安全专家建议,用户不要链接不用密码的WiFi网络,转而多使用有秘密的网络以及多用移动数据网络。

 

 


2 本周关注病毒

2.1 Trojan.DL.Win32.VBdl.b(木马病毒)

警惕程度 ★★

病毒运行后,自我复制至C:\WINDOWS\system\wincal.exe ,并设置自身为开机自启动。病毒会后台连接黑客指定服务器,下载其他病毒。电脑一旦中毒,用户将面临隐私信息泄露、网银账密被盗等风险。

2.2 Worm.Win32.FakeFolder.c(蠕虫病毒)

警惕程度 ★★

病毒运行后,病毒在C:\WINDOWS\system32下创建lbkxuwwmad和cfnaicqdme两个文件夹,分别拷贝自身为explorer.exe,smss.exe,随后启动这两个程序。病毒还将在桌面创建钓鱼网站的快捷方式,劫持杀毒软件进程,并通过用户的QQ、迅雷账号实现在我传播。电脑一旦中毒,用户将面临电脑运行缓慢、网络资源被大量占用、遭遇网络钓鱼诈骗等风险。

2.3 Trojan.PSW.Win32.QQPass.eyg(木马病毒)

警惕程度 ★★★★

病毒伪装文件夹引诱用户点击,运行后,病毒会修改注册表,实现开机自启动,并将自身属性设置为隐藏。病毒还会后台连接黑客指定网址,下载其他病毒至用户电脑,盗取用户的QQ账密。电脑一旦中毒,用户将面临QQ账号丢失,亲朋好友遭遇恶意诈骗等风险。


3 安全漏洞公告

3.1 Apache Camel XPath任意文件读取漏洞

Apache Camel XPath任意文件读取漏洞

发布时间:

2015-03-17

漏洞编号:

CVE ID:CVE-2015-0264

漏洞描述:

Apache Camel是Apache基金会下的一个开源项目,它是一个基于规则路由和中介引擎,提供企业集成模式的Java对象的实现,通过应用程序接口(或称为陈述式的Java领域特定语言(DSL))来配置路由和中介的规则。


Apache Camel XPath处理非法XML字符串或XML GenericFile对象存在安全漏洞,允许远程攻击者通过XML外部实体声明来读取任意文件。

安全建议:

Apache Camel 2.13.4和2.14.2已经修复该漏洞,建议用户下载更新:
http://camel.apache.org/


3.2 Apache Camel任意文件读取漏洞

Apache Camel任意文件读取漏洞

发布时间:

2015-03-17

漏洞编号:

CVE ID:CVE-2015-0250

漏洞描述:

Apache Camel是Apache基金会下的一个开源项目,它是一个基于规则路由和中介引擎,提供企业集成模式的Java对象的实现,通过应用程序接口(或称为陈述式的Java领域特定语言(DSL))来配置路由和中介的规则。


Apache Camel XML转换设置存在安全漏洞,允许远程攻击者通过包含XML外部实体声明的SAXSource来读取任意文件。

安全建议:

Apache Camel 2.13.4和2.14.2已经修复该漏洞,建议用户下载更新:


http://camel.apache.org/

3.3 Citrix Netscaler NS10.5 HTTP头污染WAF绕过漏洞

Citrix Netscaler NS10.5 HTTP头污染WAF绕过漏洞

发布时间:

2015-03-17

漏洞编号:

 

漏洞描述:

Citrix NetScaler是一款网络流量管理产品


Citrix NetScaler存在安全漏洞,允许攻击者利用漏洞通过HTTP头污染绕过WAF防护,进行未授权访问。

安全建议:

目前没有详细解决方案提供:
https://www.citrix.com


3.4 PHP堆缓冲区溢出漏洞

PHP堆缓冲区溢出漏洞

发布时间:

2015-03-17

漏洞编号:

CVE ID:CVE-2014-9705

漏洞描述:

PHP是一种通用开源脚本语言。


PHP 5.6.5及更早版本中的enchant_broker_request_dict()函数存在堆缓冲区溢出漏洞,远程攻击者可利用此漏洞覆盖4个字节的堆缓冲区,造成拒绝服务或执行任意代码。

 

安全建议:

用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:


http://php.net/archive/2015.php#id2015-02-19-2

3.5 HP ArcSight Enterprise Security Manager (ESM)多个未明安全漏洞

HP ArcSight Enterprise Security Manager (ESM)多个未明安全漏洞

发布时间:

2015-03-13

漏洞编号:

CVE ID:CVE-2014-7885

 

漏洞描述:

HP Arcsight是一款统一安全解决方案,实现高级关联分析、日志管理和用户活动监控等。


HP ArcSight Enterprise Security Manager (ESM) 6.8之前版本存在未明安全漏洞,允许通过验证攻击者利用漏洞进行攻击。

安全建议:

用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:


https://h20564.www2.hp.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c04562193