当前位置: 安全纵横 > 安全公告

一周安全动态(2015年4月23日-2015年4月30日)

来源:安恒信息 日期:2015-04

2015年4月23日-4月30日安全周报

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 “4.29首都网络安全论坛”顺利召开

2015年4月24日-25日,由北京市公安局主办,公安部第三研究所《信息网络安全》杂志、北京网络行 业协会和信息网络安全公安部重点实验室联合承办的“4.29首都网络安全日之首都网络安全论坛”在京顺利召开。本次论坛的主题是“助力网络安全信息通报和 等级保护工作 维护国家安全”。公安部网络安全保卫局郭启全总工程师、北京市公安局网络安全保卫总队白鸥副总队长、公安部第三研究所刘晓京副所长分别到会并致辞。本次论 坛由公安部第三研究所金波所长助理和中国计算机学会信息安全专业委员会严明主任主持。

论坛针对北京在我国信息网络安全工作中的重要地位,旨在不断提升信息化水平的同时有效应对网络安全挑战,特邀请了信息安全主管部门领导,行业信 息化建设负责人,信息安全领域权威专家、学者以及信息安全产品、服务提供商等相关人士共聚一堂,围绕互联网安全热点话题进行讨论,为依法管网、有效实现网 络安全可控建言献策。

中国工程院沈昌祥院士做了“新型信息技术应用安全的可信保障”的主题发言。沈院士指出,要深刻领会习总书记“没有网络安全,就没有国家 安全”的重要指示精神,要解决信息化核心技术设备受制于人的问题,必须从计算模式和体系结构上创新驱动,创新发展可信计算技术和产业化,这是建设我国成为 “技术先进、设备领先、攻防兼备”的网络强国的重要举措。

国家质检总局信息中心陈鑫处长、中国人民银行金融信息中心袁慧萍处长、交通运输部科技司信息化管理处邹力处长、国网北京电力公司赖祥生 总工程师、中国科学院软件所丁丽萍研究员、公安部第三研究所网络身份技术事业部严则明书记、公安部信息安全产品检测中心检测部陆臻主任、信息安全等级保护 关键技术国家工程实验室赵勇博士等领导和专家出席会议并发言。来自信息安全企业界的代表围绕论坛主题,结合自身研究成果发表了精彩的演讲。

来自中国科学院、中国工程院、国内知名高校和知名企事业单位的专家,以及中央部委、大型央企、北京市重要信息系统部门的信息安全相关负责同志,共200余人参加了本次论坛。


1.2 第二届北京网络安全技术大赛拉开帷幕

备受首都各界关注的第二届“首都网络安全日”于2015年4月28日至30日在北京展览馆正式拉开帷幕。作为本届“首都网络安全日”的亮点活动之一“第二届北京网络安全技术大赛”,更是吸引了北京乃至全国的网络信息安全从业者与相关专业高校生的热切关注。

“第二届北京网络安全技术大赛”由北京网络行业协会、中国警察网主办,北京永信至诚科技有限公司、杭州安恒信息技术有限公司承办。活动将围绕当前网络安全尖端技术,邀请各大安全厂商从业人员、大专院校学生和在京企事业单位信息中心相关人员共同参与,通过举办网络技能大赛,强化安全技术研究,同时促进培养网络安全尖端人才。在经过了初赛阶段的鏖战之后,目前共有30支参赛队伍脱颖而出,在“首都网络安全日”活动上“决战紫禁之巅”。

本届大赛在上届基础上创新、发展,分为对抗和夺旗两种方式,并邀请权威专家设立了技术委员会和监督委员会、透明公正地完成全部组织和筹备过程,强化大赛的创新性、专业性及公正性,营造良好的行业及社会效应。

第二届北京网络安全技术大赛现场

在网络信息安全领域,网络信息安全大赛就如同军事上攻防实战演习一般,集实战性、仿真性、趣味性、学习性于一体;既是对各类型网络安全人才学习与实践成果的一次突出检验,更是一次相互切磋、提升能力水平的难得机会,也将为信息安全领域的人才培养积累丰富的实战案例。

同时,赛事现场展示出的激烈程度、技术含量以及所呈现的视觉效果,丝毫不亚于一部科幻大片,令人格外震撼。但由于举办高水平的网络信息安全大赛对竞赛现场的场景搭建以及技术支撑有着超高的要求,这也使得此类赛事的举办并不常见;而一旦举行,就会成为业界瞩目的焦点。

为了确保本次大赛顺利进行,本届大赛主办方特别指定了国内知名网络信息安全服务商担任本届赛事的技术支撑单位。大赛主办方表示,这是经过多方对比研究和借鉴过往的实践经验做出的选择。

第二届北京网络安全技术大赛现场

选手们全神贯注的投入在比赛当中

参赛的选手们


1.3 Stuxnet的低级bug导致它意外曝光

在RSA 2015会议上,安全研究人员称Stuxnet蠕虫的一个低级的bug导致它意外曝光。 Stuxnet蠕虫设计破坏伊朗核工厂铀浓缩离心机,其开发者被认为是美国和以色列。Stuxnet是设计尽可能长的潜伏在伊朗的计算机控制系统中,但一 个编程错误使蠕虫扩散到了 Windows 95和Windows 98等不支持的操作系统上,导致电脑蓝屏死机,从而引起了怀疑,使它曝光于世界。

研究人员称,Stuxnet的开发者错误的将and和or字符交换,导致蠕虫安装在任何Windows操作系统上,其中包括它不支持的Windows 95和98。

 

1.4 黑客在体内植入NFC芯片 绕过安全扫描

根 据黑客以往的攻击模式,我们可以很容易地对任何实施了数字犯罪的人进行物理识别。苍白的皮肤,帽衫和笔记本电脑将会构成非常好的检测样本。如果你认为黑客 一直是这样老套的形象,那么你就大错特错了。真正的黑客在攻击企业网络的时候,会刻意避免使用老套的办法,而且还会使用工具来试图隐藏他们所实施的攻击, 这些对于黑客来说都是常识。

对于那些能够忍受疼痛的 人来说,生物学攻击将会是一种新颖的攻击方法,在这种方式中,黑客会在皮肤表层之下植入一个有计算能力的装置,并且可以顺利通过物理扫描和数字扫描设备。 Seth Wahle以前是一名美国海军的士兵,现在是APA Wireless公司的工程师,他在自己左手的大拇指和食指之间的部位植 入了一个芯片。这个芯片有NFC(近距离无线通信)天线,它可以与安卓手机的网络进行通信,而且还可以要求这些设备开启网络链接。用户一旦同意打开链接, 便安装了恶意文件。他们的手机将会与一个远程计算机相连接,攻击者便可以进一步窃取和利用这些移动设备上的数据了。简单来说,就是这些安卓设备被攻击了。 在一个提供给福布斯网站的示例中,Wahle在他的笔记本电脑上使用Metasploit渗透测试软件去强迫一个安卓设备为他充满笑容的脸庞拍下了一张照 片。

这张安全专家Seth Wahle的自拍照是用一个被攻击的安卓设备拍摄的,他用自己手中的NFC芯片向这个安卓设备发送了一个恶意链接,从而完成了这次攻击。

他 将会在五月份举办的迈阿密黑客大会上展示他这种独特的攻击方法,参加会议的还有董事会秘书兼安全顾问Rod Soto。他们承认这是一个原创的研究,使用 的是现成的工具和我们已知的NFC攻击技术,但是在皮下植入芯片的攻击方法会给犯罪分子提供一个特殊的攻击方式,同时还扩充了他们社会工程学的“攻击工具 包”。

与此同时,航空公司和联邦政府正在严厉打击那 些企图测试航空通讯系统的行为,可植入的芯片将会提供一个很巧妙的绕过机场或其他高安全性场所的电子检查仪的方法。Wahle说到:“他将芯片植入之后, 军队仍然会录用他,尽管每天都会通过扫描仪,但是这个芯片从来没有被发现过。如果他们想要检测到这个芯片,他们得让我通过x光扫描仪才行。”

Soto说:“这个被植入的芯片几乎可以绕过所有的安全检测设备,接下来我们将会证明这一点。”

Soto警告称:“鉴于现在NFC技术已经在商业中得到了广泛的应用,植入芯片将会提供一个进入各种类型网络的路径。芯片中更加复杂和精致的代码将会使潜在的安全问题变得更加的严重,尤其是通过这个芯片来利用一个0 day漏洞(一个没有被修复的,没有被公开的漏洞)。”

图中显示的是Seth Wahle的手,分别是植入芯片之前和之后的样子。

但是植入的过程是非常恶心的。Wahle说,植入所使用的注射器比他想象的要大得多,他花费了40美金,并在一个没有执照的业余医生的帮助之下将芯片植入了 手中,植入的过程就足以让他呕吐了。他说,他不得不通过黑市上医生来完成芯片的植入,因为佛罗里达州有严格的身体改造法案。他首先得获得这个芯片,这种芯 片原本是由中国公司Freevision(下面的图片展示的是他们所设计的动物产品和Wahle所使用的注射器尺寸)设计给耕牛使用的。而且,这种芯片只 有888字节的内存,并且被包装在Schott 8625 玻璃胶囊中,并且很难被觉察到。

植入耕牛的芯片,被黑客Seth Wahle用来执行安卓设备的攻击。

Wahle在黑市花了40美金植入芯片时所使用的注射器模型。

当然了,基于植入芯片的攻击也有其明显的缺陷,但是我们可以通过各种各样的方法来克服这些缺点。例如,根据Wahle的攻击白皮书中所描述的,当手机被锁定 或者设备被重启时,Wahle和Soto所编写的恶意安卓文件与攻击者服务器的链接将会断开,但是如果让软件在设备启动时就自动运行,并且作为设备的后台 服务来运行的话,这个问题就可以解决了。鉴于流氓代码必须手动进行安装和配置,而且还需要一些像样的社会工程学的帮助,为了对恶意文件进行伪装,我们可以 使用Google Play签名并且强制设备进行安装,这样将可以减少大量社会工程学方面的工作。

Kevin Warwick 声称他时第一个将NFC芯片植入体内的人,并且告诉福布斯杂志:“这个特殊的应用正在被测试,因为它为一些可能的危险提供了一些攻击的思路,这样是非常棒 的”。Warwick现在是英国雷丁大学控制论的教授,同时在安全系统的禁止拾取技术方面也有一定研究。他说:“这种植入的新片并不会在机场等场合被发 现,因为芯片内所含有的金属部件远远比手上的手表或者结婚戒指所含有的金属要少得多。我在2002年植入神经的一根铂丝甚至都没有被发现。实际上,我手臂 内仍然还有一些金属线,而且我还经常乘坐航班。”

在 迈阿密,Wahle和Soto正准备公布芯片植入的细节步骤,这些步骤对于一个想要植入一个芯片的黑客来说是必要的,包括怎样获得这种芯片和怎样对芯片进 行编程。这将会是恶意黑客生物攻击民主化的开端吗?Soto补充说到:“这仅仅是生物攻击领域的冰山一角,而且任何人都可以轻易做到。”

 

1.5 中国网络空间安全发展报告(2015)发布

今天在北京发布的《网络空间安全蓝皮书》称,面对新一代网络信息技术引发的网络安全威胁和各国网络安全战略的博弈态势,新一届中央领导集体在网络安全领域的 一系列"国家行动",有条不紊且振奋人心。作为联合国常任理事国和全球新兴的网络大国,中国正在加快融入并尝试重塑国际网络空间治理新格局。

蓝皮书全称为《中国网络空间安全发展报告(2015)》,由上海社科院信息研究所和社科文献出版社共同发布。全书汇集了中国20余位相关专家学者的最新研究成果,全面分析了中国网络安全的总体现状与发展对策。

报告在论及网络空间安全顶层设计布局背景时,从网络安全的理念认知和机构设置两方面进行总结。

一方面,2013年11月,党的十八届三中全会通过《中共中央关于全面深化改革若干重大问题的决定》提出了依法管理网络的16字方针,目的是整合相关机构职能,形成从技术到内容、从日常安全到打击犯罪的互联网管理合力,确保网络正常应用和安全。

另 一方面,全会宣布成立国家安全委员会,进一步为我国网络空间安全奠定基础。更引人注目的是,2014年2月,中央宣布成立网络安全和信息化领导小组,习近 平亲自担任组长,提出努力把我国建设成网络强国的战略部署,标志着我国网络空间安全管理体制的重大突破,更意味着我国网络空间安全顶层设计雏形初现。

报告认为,尽管中国网络安全的顶层设计还需要不断推进和细化,但上述战略部署和体制创新,对中国网络空间安全未来的全局工作具有极为重大的指导意义。

谈到全球网络空间治理,报告称,近年来,作为联合国常任理事国和全球新兴的网络大国,中国正在加快融入并尝试重塑国际网络空间治理新格局。主要表现为:积极参与相关国际规则的制定、主动搭建国际交流平台、为全球治理贡献智慧和路径、直接参与重大事项决策等。   

尤其是在"直接参与重大事项决策"方面,报告提及2015年1月,全球互联网治理联盟选举新一届联盟委员会成员,在20名新委员中,中国有两人当选,其中国家互联网信息办公室主任鲁炜是亚洲和大洋洲地区唯一的政府官员代表,阿里巴巴董事局主席马云是亚洲和大洋洲地区唯一的私营部门代表。这一系列重大的突破表明,随着中国更加广泛和主动参与全球网络空间治理实践,全球网络空间国际治理体系将迎来一个全新的发展格局。   


2 本周关注病毒

2.1 Trojan.Win32.Downloader.bi(木马病毒)

警惕程度 ★★

该病毒运行后会关闭大量杀毒软件进程并创建注册表劫持项以躲避对其查杀。病毒会创建IE浏览器进程,从黑客指定的服务器上下载病毒种子文件和木马病毒。

2.2 Worm.VB.aew(蠕虫病毒)

警惕程度 ★★

该病毒运行中毒后会下载恶意程序并保存到本机,同时添加注册表项实现自启动,以达到占用系统资源,使电脑运行缓慢等目的,严重者可出现宕机等现象。

2.3 Backdoor.Win32.Prexot.B(后门病毒)

警惕程度 ★

病毒运行后设置自身为开机自启动,结束杀毒软件进程,后台连接FTP下载文件并运行 ftp.members.lycos.co.uk,下载其他恶意程序,并接收黑客指令,开启后门。电脑一旦中毒,用户将面临隐私信息泄露、各类网络账密被盗等风险。


3 安全漏洞公告

3.1 HP TippingPoint SMS及vSMS JBoss RMI远程代码执行漏洞

HP TippingPoint SMS及vSMS JBoss RMI远程代码执行漏洞

发布时间:

2015-04-28

漏洞编号:

CVE(CAN) ID: CVE-2015-2117

漏洞描述:

HP TippingPoint SMS是TippingPoint产品的网络安全管理系统。

HP SMS、vSMS 4.1 patch 3之前版本、4.2 patch 1之前版本没有
对JBoss RMI请求进行身份验证,这可使远程攻击者利用此漏洞执行
任意代码。此漏洞位于TCP端口4444上的RMI组件中。


安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

https://h20564.www2.hp.com/portal/site/hpsc/public/
kb/docDisplay?docId=emr_na-c04626974



3.2 SQLite 拒绝服务漏洞

SQLite 拒绝服务漏洞

发布时间:

2015-04-27

漏洞编号:

CVE(CAN) ID: CVE-2015-3414

漏洞描述:

SQLite是嵌入式数据库。

SQLite 3.8.9之前版本,没有正确实现排序规则顺序名称
的取消引用,上下文独立的攻击者通过构造的collate子句,
利用此漏洞可造成拒绝服务(未初始化内存访问及应用崩溃)。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

https://www.sqlite.org/src/info/eddc05e7bb31fae74daa
86e0504a3478b99fa0f2


3.3 novnc会话劫持漏洞

novnc会话劫持漏洞

发布时间:

2015-04-24

漏洞编号:

CVE(CAN) ID: CVE-2013-7436

漏洞描述:

noVNC是用HTML5 Canvas及WebSockets实现的基于浏览器的VNC客户端。

noVNC 0.5之前版本没有对https会话的cookie设置安全的标识,这可使
远程攻击者截获http会话传输,获取cookie。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

https://bugzilla.redhat.com/show_bug.cgi?id=1193451

https://github.com/kanaka/noVNC/commit/ad941faddead70
5cd611921730054767a0b32dcd


3.4 IBM WebSphere Application Server SNMP实现敏感信息泄露漏洞

IBM WebSphere Application Server SNMP实现敏感信息泄露漏洞

发布时间:

2015-04-28

漏洞编号:

CVE ID:CVE-2015-0174

漏洞描述:

IBM WebSphere Application Server是一款商业性质的WEB应用服务程序。


IBM WebSphere Application Server (WAS) 8.5 SNMP实现不正确处理配置数据,允许远程攻击者利用漏洞获取敏感信息。


安全建议:

用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:
http://www-01.ibm.com/support/docview.wss?uid=swg21697368


3.5 IBM WebSphere Application Server WebSphereOauth20SP.ear权限提升漏洞

IBM WebSphere Application Server WebSphereOauth20SP.ear权限提升漏洞

发布时间:

2015-04-29

漏洞编号:

CVE ID:CVE-2015-1885

漏洞描述:

IBM WebSphere Application Server是一款商业性质的WEB应用服务程序。


当使用OAuth grant type密码时,WebSphere Application Server Full Profile and Liberty Profile存在安全漏洞,允许远程攻击者利用漏洞提升权限。

 

安全建议:

用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:
http://www-01.ibm.com/support/docview.wss?uid=swg1PI36211
http://www-01.ibm.com/support/docview.wss?uid=swg1PI33202