当前位置: 安全纵横 > 安全公告

一周安全动态(2015年3月26日-2015年4月2日)

来源:安恒信息 日期:2015-04

2015年3月26日-4月2日安全周报

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 侵入高校网站篡改考试成绩 一“黑客”获刑六年

近日,市第二中级人民法院依法驳回上诉人(原审被告人)刘某的上诉,裁定维持东丽区人民法院以犯破坏计算机信息系统罪,判处其有期徒刑六年的一审判决。

现年19周岁的刘某只有初中文化。原审另一被告人董某(大学文化)通过网络文章了解到全国各大高校普遍使用正方教务系统作为教务管理系统,储存学生的个人信息及考试成绩,后董某自行研发制作出正方教务系统漏洞的软件,并数次侵入高校的正方教务系统进行测试。2013年4月7日,董某以网名“北方 狼”在乌云网发布名为任意获取正方教务管理系统账号密码漏洞的帖子,并对正方教务系统漏洞进行详细描述。刘某浏览乌云网发现董某的帖子后,通过QQ和董某 联系,希望学习侵入正方教务系统的方法,并允诺给予报酬。董某表示同意,后通过网络告知刘某侵入方法并作侵入视频演示,刘某学会后董某将其制作的软件 EXP通过QQ传输给刘某,双方约定报酬人民币5000元,后董某通过网上银行实得人民币4950元。

刘某学会侵入教务系统的方法后,通过互联网查找相关需修改成绩的帖子。此后,刘某侵入多所大学网站,先后为20余名在校学生将不合格成绩改为合格成绩,非法获利人民币18万余元。2013年11月12日,刘某被抓获归案,后其协助公安机关将董某抓获。

东丽区人民法院经审理于2014年10月11日作出(2014)丽刑初字第459号刑事判决。认定刘某犯破坏计算机信息系统罪,判处有期徒刑六 年;董某犯传授犯罪方法罪,判处拘役六个月,缓刑六个月。后刘某不服,提出上诉,辩称公安机关出具的户籍证明记录内容有误,其出生日期应为1996年5月 5日,其在犯罪时未满18周岁,属于未成年人,应当依法减轻处罚。市第二中级人民法院审查后认为,刘某辩护人提供的证据材料,不能否认刘某在公安机关户籍 的登记日期。所以法院委托天津市公安局物证鉴定中心对刘某的骨龄进行了鉴定,结论为“根据送检X光片所示刘某的六大关节骨骼发育情况,综合评定其骨龄应在 19.5周岁以上”。根据骨龄鉴定结论,二中院认定上诉人刘某当前的年龄应为19.5周岁以上。故驳回上诉,维持原判。


1.2 智慧城市能走多远,取决于信息安全走多远

在刚刚结束的2015年“两会”上,对信息安全,包括个人信息、网络安全等进行立法又一次被众多与会的全国人大代表和政协委员们提出,在国家网络信息安全、个人信息安全保护等方面,都有推动立法的呼声。全国人大代表及政协委员们呼吁通过建立健全法律法规等途径确保信息安全,而2015政府工作报告中也明确指出,要建立全国统一的社会信用代码制度和信用信息共享平台,依法保护企业和个人的信息安全。同时,全国政协第十二届全国委员会第三次会议上也宣 布,网络安全法已被列入了相关立法计划。

这些代表、委员之中,许多人本身就是业界专家、学者,或者从事信息化相关工作的政府官员,这说明了 整个业界都已意识到了信息安全的重要性,并给予了高度重视。智慧城市建设以物联网、云计算等大数据技术体系为支撑,数据信息巨大,并涉及到政务、商业、生 活等方方面面,一旦出现信息泄露、数据丢失等安全问题,后果将不堪设想。因此,智慧城市的信息安全问题不容忽视。我国近年来智慧城市建设实践中,信息安全 作为重要一环,在进行整体规划和顶层设计之时,并未被忽视,各省市的智慧城市规划设计大多都建立了完善的体系系统,在信息安全方面也都有比较完善的规划设计。

由于网络空间的特殊性,决定了信息安全将是至始至终伴随信息化建设而生的艰巨任务。一个全面的信息安全体系,包括网络信息系统安全测 评、风险评估及技术服务、信息安全认证、信息安全管理等多项工作组成。只有经过精心的顶层设计和完善的基础建设,并且从技术和管理两个方面共同着手,这样 的信息安全体系才是智慧城市以及我们国家全面信息化进程健康推进的基石。

在笔者所参与的一些智慧城市建设实践当中,在规划设计层面的问题被解决的同时,在管理与技术方面的问题,往往还是非常明显的。最近,笔者所在的上海互联网软件有限公司在为一家大型园区管理企业开发建设信息安全体系时发 现,客户在信息安全管理方面,在思想观念和业务实践中都还存在很多的盲区和死角。例如在讨论数据安全时,客户最关心的是加密、防外部攻击等技术手段,但对健全IT设备、机房等的操作、管理制度却还停留在非常初级的阶段,对设施设备的安全保障也只知道应该保障供电安全,对防水、防风,以及机房等关键设施的安全保障、实时监控都还只有模糊的概念,需要技术供应商提供非常详细的解决方案。

实际上,由于物联网、云计算等新兴技术的高速发展,相应的信 息安全保障技术还没有达成十分成熟的程度,智慧城市的建设中还存在着许多相对比较脆弱的问题。例如,对智慧城市而言,云端数据资源的高度共享性,使得云平台在恶意软件作用下,产生数据丢失、IP和身份窃取、金融欺诈和盗窃等隐患。又比如分布式拒绝服务攻击(DDoS)也具有快速摧毁整个云基础架构的潜力,并且当云平台受到攻击时,所有相关账户也将牵涉其中,导致该平台服务的用户受到不可估量的损失。比较典型的案例就是2010年的蠕虫病毒震网(stuxnet),其感染了全球超过45000个网络,给各国的电力部门带来了巨大的威胁和破坏。

目前,智慧城市建设的技术供应商都在不 断强调事前加密、安全监控等手段,加强对云服务的安全保障,但信息基础设施安全保障体系仍需要通过长期的应用和发展慢慢完善。而加强管理手段,是这一保障 体系非常重要的一环,通过管理手段的优化,提高管理水平,也是在技术手段力有不逮之时,补强短板的最好方法。建立合理、有效的安全组织架构,配备和设立安 全决策、管理、执行以及监管的责任人、岗位和机构,明确角色与责任,是比起技术手段来更易实现的方法,也是迫切需要建立的管理手段。此外,建立信息安全等 级评测和保护体系,加强信息安全应急处置能力等,都是在管理方面需要提高的内容。

当然,另一方面,技术手段也具有同样的重要的作用。智慧城市建设运用多种新型IT技术手段,而这些技术的快速发展,往往远超决策者和建设者们的想像,使得信息安全经常落后于技术发展。这就要求我们在规划设计和建 设时,要充分考虑到技术的前瞻性,为整个智慧城市体系的升级、拓展留有足够的余地。

在智慧城市信息核心技术上,我国已经开始逐步摆脱早先由 于IBM、Oracle和EMC等业界巨头在智慧城市建设领域特别是业务信息系统、数据库管理和业务解决方案市场占据主导地位而产生的“IOE”依赖症, 包括“BAT”、联想、浪潮等国内企业,已经在这一领域慢慢赶了上来,并在国内的智慧城市建设市场占据了一席之地。但在核心技术的基础上,应用层的信息安全技术仍略显不足,在信息终端、数据监控、设备监控、存储安全等领域,技术创新的脚步仍然更不上核心技术的高速发展。

如前文提到的那家大型 园区管理企业的信息安全体系建设中,在信息安全监控软件上,从最初的终端监控应用软件开始,上海互联网软件有限公司在两年多的规划建设期里,持续的对应用 软件做着升级更新,不断配合新技术、新设备的应用进行技术创新,形成了以724服务器云监控平台产品为核心的系列信息安全监控应用软件。然而即使是这样, 在客户的应用实践和与业界的交流探讨中,笔者仍然发觉存在一些信息安全方面需要再行提高和加强的应用点,这也说明了在技术层面上,信息安全建设将会是随着 智慧城市建设的推进长期的过程。

作为新一代城市生活形态,智慧城市能走多远,取决于信息安全走多远。智慧城市为人们构建了一幅美好的蓝图, 但在建设智慧城市的过程中必须要高度重视信息安全,只有建立完整的信息安全保障体系,有效保障各类信息、数据的安全,建设安全可靠的智慧城市,才能真正把智慧城市建设得更加美好。


1.3 中国暂停针对外国科技公司的银行技术限制

据路透社报道,美国财政部高级官员周一表示,中国已经同意推迟执行新的银行技术限制。美国此前抱怨称,新的技术限制将会对外国公司构成不公平的监管压力。中国在本月表示,反恐法的起草工作正在进行。新法律要求外国公司提交加密密钥等代码。此前,中国金融领域起草的新规定推动国有银行采购本国厂商的技术。

美国官员称,中国现在“暂停”执行新的银行技术限制规定。在此之前,美国财政部长杰克•卢(Jack Lew)与中国高级官员进行了会谈。

美国商业软件联盟(BSA)、软件与信息产业协会对此表示欢迎。BSA的成员包括Adobe、苹果、IBM、微软、甲骨文。软件与信息产业协会代表着谷歌等科技公司以及汤森路透等金融机构。

 

1.4 美国总统奥巴马签署命令 允许针对网络攻击进行制裁

美国总统奥巴马签署了一项行政命令,制裁对美国发动数字 攻击的个人或者团体。奥巴马表示,那些发动网络攻击,威胁美国国家安全,外交政策或经济健康或美国金融稳定的个人或者团体,美国政府有权力冻结他们的资 产,使其更难和美国公司做生意,并限制他们从他们的错误行为中获利的能力。这项行政命令主要针对海外的威胁,但是也被允许对国内公司进行制裁,即那些窃取 商业机密,破坏美国国家经济健康的个人或者团体。

但是不会制裁那些被僵尸网达利用的网络用户或者帮助企业测试和改善网络安全的个人或者团体。根据这项行政命令,攻击必须满足四个条件之一:袭击关键基础设施如电网;破坏重要的计算机网络;窃取知识产权或商业秘密;受益于窃取机密和财产。

奥巴马列举了影响美国经济和网络安全的几个事件,如伊朗2012年针对美国银行发起的一系列拒绝服务攻击,针对Target和家得宝公司的攻击,导致客户付款信息显著泄漏的攻击事件,以及朝鲜2014年策划对索尼的网络攻击。


1.5 受诫礼攻击:SSL/TLS又曝新漏洞,可明文读取传输数据

SSL/TLS协议是一个被广泛使用的加密协议,而研究人员近日了曝出一个名为“受诫礼”的新型攻击手段,能够窃取通过SSL和TLS协议传输的机密数据,诸如银行卡号码,密码和其他敏感信息。

这种攻击利用了一个RC4加密算法中的一个长达13年的漏洞。众所周知RC4算法不怎么安全,但事实让人大跌眼镜——互联网上30%的TLS流量加密使用的都是RC4算法。

受诫礼(BAR-MITZVAH)攻击

这种攻击方法被取名为“受诫礼(Bar-Mitzvah)”,与之前多数的SSL攻击手段不同,这种攻击甚至不需要在客户端和服务器间实施中间人攻击。

安全公司Imperva的研究员Itsik Mantin周四在新加坡举行的Black Hat亚洲安全会议上展示了他的研究,题为《对使用RC4算法的SSL进行攻击》。

Bar Mitzvah攻击实际上是利用了"不变性漏洞",这是RC4算法中的一个缺陷,它能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密码,信用卡数据和其他敏感信息泄露给黑客。

研究人员在其报告中写道:

"RC4算法的安全性已经被质疑了很多年了,特别是它的初始化机制。但是,直到最近几年我们才呼吁弃用RC4。这次的研究中,我们跟进2013年RC4的研究,并且发现它对于很多使用了RC4的系统上的已知漏洞的影响很显然被低估了。"

Bar Mitzvah攻击是首个仅仅需要被动嗅探和监听SSL/TLS连接就可以进行攻击的方法,它不需要中间人攻击。不过研究人员称,要劫持会话可能还是要用到中间人攻击。

安全建议

在等候"RC4全面废弃"的同时,管理员们也应该考虑如下的步骤防止这类的攻击:

1、Web应用管理员们应该在应用TLS配置中禁止RC4

2、Web用户(特别是超级用户组)应该在浏览器TLS配置中禁止RC4

3、浏览器厂家应该考虑移除RC4的支持


2 本周关注病毒

2.1Backdoor.Win32.Hupigon.cu(后门病毒)

警惕程度 ★★

该病毒通过网络传播,病毒会偷窃用户隐私信息,还可能远程控制用户计算机,给用户计算机安全带来极大危害。

2.2 Worm.Win32.Viking.pk(蠕虫病毒)

警惕程度 ★★

该病毒同时具有文件型病毒、蠕虫病毒、病毒下载器等类病毒的特点,进入用户的电脑之后,它会从网上疯狂下载多个木马到中毒电脑中,窃取用户的网络游戏密码,严重时造成系统完全崩溃。

2.3 Worm.Win32.FakeFolder.v(蠕虫病毒)

警惕程度 ★★

病毒运行后,自我复制至系统目录,创建c:\documents and settings\administrator\「开始」菜单\程序\启动\安全卫士.lnk,实现开机启动,在系统中添加启动项c:\windows\System32\ppsap.exe,以此伪装成安全卫士及PPS加速器,躲避安全软件查杀。此外病毒还会向浏览器收藏夹内强行植入推广链接,并强制打开黑客指定网店,为该网店刷取流量。电脑一旦中毒,用户将遭遇恶意推广,甚至被恶意引导在网上消费,进而遭受经济损失。


3 安全漏洞公告

3.1 Apache Cassandra远程执行任意代码漏洞

Apache Cassandra远程执行任意代码漏洞

发布时间:

2015-04-02

漏洞编号:

CVE(CAN) ID: CVE-2015-0225

漏洞描述:

Apache Cassandra是一套开源分布式数据库管理系统,由Facebook开发,用于储存特别大的数据。

Cassandra默认配置中,对所有网络接口绑定了未经身份验证的JMX/RMI接口,由于RMI是传输及远程执行序列化Java的API,那么只要可以访问该接口,攻击者即可用当前用户权限执行任意代码。

安全建议:

Apache Group已经为此发布了一个安全公告(CVE-2015-0225)以及相应补丁:CVE-2015-0225:Apache Cassandra remote execution of arbitrary code

链接:https://wiki.apache.org/cassandra/JmxSecurity


3.2 Cisco CUCDM SQL注入漏洞

Cisco CUCDM SQL注入漏洞

发布时间:

2015-04-02

漏洞编号:

CVE(CAN) ID: CVE-2015-0684

漏洞描述:

Cisco Unified Communications Manager是企业级IP电话呼叫处理系统。

Cisco Unified Communications Domain Manager Application Software的图形管理功能存在sql注入漏洞,由于没有有效验证用户提供的输入,经过身份验证的远程攻击者利用此漏洞可执行sql注入攻击,访问敏 感信息等。

安全建议:

Cisco已经为此发布了一个安全公告(alertId=38114)以及相应补丁:
alertId=38114:Cisco Unified Communications Domain Manager Application Software SQL Injection Vulnerability

链接:http://tools.cisco.com/security/center/viewAlert.x?ale
rtId=38114


3.3 Websense TRITON 跨站脚本漏洞 

Websense TRITON 跨站脚本漏洞

发布时间:

2015-03-27

漏洞编号:

CVE(CAN) ID: CVE-2015-2747

漏洞描述:

Websense TRITON AP-WEB是实时Web安全解决方案。

Websense TRITON 7.8.3之前版本、V-Series 7.7版本,在DLP ForensicsPreview中存在多个跨站脚本漏洞,通过构造的email
或HTTP请求,触发DLP策略,远程攻击者利用此漏洞可注入任意Web脚本或HTML。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主
页下载:

https://www.securify.nl/advisory/SFY20140904/websense_
datasecurity_dlp_incident_forensics_preview_is_vulnerable
_to_cross_site_scripting.html


3.4 GnuTLS libtasn1 "_asn1_ltostr()" DER解码缓冲区溢出漏洞

GnuTLS libtasn1 "_asn1_ltostr()" DER解码缓冲区溢出漏洞

发布时间:

2015-03-31

漏洞编号:

 

漏洞描述:

GNU Libtasn1是用C语言编写的独立库,用于操作包括DER/BER编码解码的ASN.1对象。GnuTLS使用Libtasn1处理X.509结构,GNU Shishi使用Libtasn1处理Kerberos V5结构。

GnuTLS libtasn1 4.4之前版本在"_asn1_ltostr()"函数(lib/parser_aux.c)的实现上存在安全漏洞,可导致栈缓冲区溢出,恶意用户利用此漏洞可执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

https://www.gnu.org/software/libtasn1/

http://lists.gnu.org/archive/html/help-libtasn1/2015-03/msg00002.html


3.5Ecava IntegraXor DLL漏洞

Ecava IntegraXor DLL漏洞

发布时间:

2015-04-01

漏洞编号:

CVE(CAN) ID: CVE-2015-0990

漏洞描述:

IntegraXor是用于创建及运行基于Web的SCADA系统人机接口。

IntegraXor SCADA Server 4.2.4488之前版本,在处理重命名的恶意DLL时存在安全漏洞,如果攻击者在默认安装位置移植了不安全的DLL后,则可在受影响应用中执行恶意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.integraxor.com/download/rc.msi?4.2.4488