北京安域领创科技有限公司北京安域领创科技有限公司安全服务通告报告周期 :2016 年 11 月第三周 (2016 年 11 月 14 日 -11 月 20 日 )

Size: px

Start display at page:

Download "北京安域领创科技有限公司北京安域领创科技有限公司安全服务通告报告周期 :2016 年 11 月第三周 (2016 年 11 月 14 日 -11 月 20 日 )"

都禹
4 years ago
Views:

1 安全服务通告报告周期 :2016 年 11 月第三周 (2016 年 11 月 14 日 -11 月 20 日 )

2 目录 1 本周漏洞通告漏洞一 :Microsoft Windows 远程执行代码漏洞漏洞二 :Microsoft Windows 本地权限提升漏洞漏洞三 :IBM BigFix Platform 远程命令注入漏洞漏洞四 :OpenSSL 拒绝服务漏洞漏洞五 :HP Business Service Management 远程代码执行漏洞漏洞六 :F5 BIG-IP ASM 拒绝服务漏洞漏洞七 : 多款华为防火墙设备存在拒绝服务漏洞本周病毒木马通告本周流行病毒木马统计 Worm.VB.fa( 蠕虫病毒 ) Trojan.Win32.BHO.hdz( 木马病毒 ) 病毒木马防范措施安全事件通告本周国内外安全事件通告 MalwareMustDie 关闭博客网站 Linux 爆新漏洞, 长按回车键 70 秒即可获得 root 权限英国最大的移动运营商 Three 遭黑客入侵 600 万用户数据泄漏秒攻破任意密码保护的 PC 前言告急!GitHub 百万用户信息疑似泄漏紧急预警通知... 35

3 4.1 关于 Jenkins CLI 漏洞情况的通报漏洞简介漏洞危害漏洞影响范围修复措施关于 nginx 提权漏洞情况的通报漏洞简介漏洞危害漏洞影响范围修复措施关于 CryptsetupInitrd LUKS root Shell 权限提升漏洞的安全公告漏洞简介漏洞危害漏洞影响范围修复措施关于 OpenSSL 存在多个拒绝服务漏洞的安全公告漏洞简介漏洞危害漏洞影响范围修复措施... 42

4 1 本周漏洞通告 1.1 漏洞一 :Microsoft Windows 远程执行代码漏洞发布时间更新时间 CNVD-ID 漏洞危害级别 CNVD 高危 Microsoft Windows Server 2008 SP2 Microsoft Windows 7 SP1 Microsoft Windows Vista sp2 Microsoft Windows Vista Microsoft Windows Windows Server 2012 Microsoft Windows 8.1 影响产品 Microsoft Windows RT 8.1 SP0 Microsoft Windows Server 2012 R2 Microsoft Windows 10 Microsoft Windows Microsoft Windows Microsoft Windows Server 2016 Microsoft Windows Server 2008 R2 SP1 漏洞类型远程代码执行 1

5 Microsoft Windows 是美国微软 (Microsoft) 公司发布的一系列操作系统漏洞描述当 Windows 映像文件加载功能无法正确处理格式不正确的图像文件时, 存在远程代码执行漏洞攻击者可以执行任意代码用户可参考如下供应商提供的安全公告获得补丁信息 : 漏洞解决方案漏洞二 :Microsoft Windows 本地权限提升漏洞发布时间更新时间 CNVD-ID 漏洞危害级别 CNVD 高危 Microsoft Windows Server 2008 R2 SP1 Microsoft Windows Server 2008 SP2 Microsoft Windows 7 SP1 影响产品 Microsoft Windows Vista sp2 Microsoft Windows 8.1 Microsoft Windows Server 2012 R2 Microsoft Windows RT 8.1 Microsoft Windows server 2012 Gold 2

6 Microsoft Windows 10 Gold Microsoft Windows Microsoft Windows 漏洞类型本地权限提升 Microsoft Windows 是美国微软 (Microsoft) 公司发布的一系列操作系统漏洞描述 Windows Common Log File System (CLFS) 驱动程序未正确处理内存对象存在权限提升漏洞允许攻击者利用该漏洞提升权限用户可参考如下供应商提供的安全公告获得补丁信漏洞解决方案息 : y/ms 漏洞三 :IBM BigFix Platform 远程命令注入漏洞发布时间更新时间 CNVD-ID 漏洞类型漏洞危害级别 CNVD 远程命令执行高危 IBM BigFix platform 9.0 影响产品 IBM BigFix platform 9.1 IBM BigFix platform 9.2 3

7 IBM BigFix platform 9.5 IBM BigFix Platform( 前称 IBM Endpoint Manager, Tivoli Endpoint Manager) 是美国 IBM 公司的一套系统漏洞描述管理软件该软件提供远程控制补丁管理软件分发操作系统部署网络访问保护等功能 IBM BigFix Platform 存在远程命令注入漏洞, 攻击者可利用该漏洞在受影响的应用程序上下文中执行任意命令目前厂商已经发布了升级补丁以修复此安全问题, 补丁获漏洞解决方案取链接 : swg 漏洞四 :OpenSSL 拒绝服务漏洞发布时间更新时间 CNVD-ID 漏洞类型漏洞危害级别 CNVD 拒绝服务漏洞高危影响产品 OpenSSL OpenSSL OpenSSL 是 OpenSSL 团队开发的一个开源的能够实现漏洞描述安全套接层 (SSL v2/v3) 和安全传输层 (TLS v1) 协议的通用加密库, 它支持多种加密算法, 包括对称密码哈希 4

8 算法安全散列算法等 OpenSSL 版本存在拒绝服务漏洞, 攻击者可能利用此漏洞导致拒绝服务条件漏洞解决方案目前厂商已经发布了升级补丁以修复此安全问题, 详情请关注厂商主页 : 1.5 漏洞五 :HP Business Service Management 远程代码执行漏洞发布时间更新时间 CNVD-ID 漏洞危害级别漏洞类型 CNVD 高危远程代码执行影响产品 HP Business Service Management >=9.20,<=9.26 HPE Business Service Management(BSM) 是美国惠普企业 (Hewlett Packard Enterprise,HPE) 公司的一套漏洞描述集成了网络服务器应用程序和业务事务监控的端到端管理解决方案 HP Business Service Management 存在远程代码执行漏洞, 允许攻击者利用该漏洞在受影响的应用程序上下文中执行任意代码目前厂商已经发布了升级补丁以修复此安全问题, 补丁获漏洞解决方案取链接 : /public/display?docid=emr_na-c

9 1.6 漏洞六 :F5 BIG-IP ASM 拒绝服务漏洞发布时间更新时间 CNVD-ID 漏洞危害级别 CNVD 中危影响产品漏洞类型 F5 BIG-IP ASM F5 BIG-IP ASM 拒绝服务漏洞 F5 BIG-IP ASM(Application Security Manager) 是美国 F5 公司的一款网络安全产品 ASM 是一款综合的 web 应用防火墙, 能够保护应用和数据免受已知或未知的威胁, 漏洞描述抵御绕过标准保护的木马病毒, 同时还能为应用程序打补丁 F5 BIG-IP ASM 存在远程拒绝服务漏洞攻击者利用该漏洞导致拒绝服务目前厂商已经发布了升级补丁以修复此安全问题, 补丁获漏洞解决方案取链接 : k/17/sol html 6

10 1.7 漏洞七 : 多款华为防火墙设备存在拒绝服务漏洞发布时间更新时间 CNVD-ID 漏洞危害级别 CNVD 高危 Huawei USG9520 V300R001C01 影响产品 Huawei USG9560 V300R001C01 Huawei USG9580 V300R001C01 漏洞类型拒绝服务 Huawei USG 和 9520 都是中国华为公司的 USG9500 系列防火墙设备漏洞描述多款华为防火墙设备存在拒绝服务漏洞由于对 DHCP 报文的某些字段校验不充分, 一个未经认证的攻击者可以向受影响设备发送特殊的 DHCP 请求报文, 成功利用这个漏洞可以导致设备拒绝服务用户可参考如下厂商提供的安全补丁以修复该漏洞 : 漏洞解决方案 /2016/huawei-sa firewall-cn 7

11 2 本周病毒木马通告 2.1 本周流行病毒木马统计 Worm.VB.fa( 蠕虫病毒 ) 病毒危险级别 : 病毒运行后, 劫持原系统文件, 供恶意软件加载, 并修改注册表键值, 隐藏文件扩展名实现自身为开机自启动, 设置不显示系统隐藏文件, 劫持安全模式启动电脑一旦中毒, 用户将面临系统运行缓慢乃至宕机的风险 Trojan.Win32.BHO.hdz( 木马病毒 ) 病毒危险级别 : 病毒运行后查找主流杀毒软件进程, 并尝试将其结束同时病毒还将修改用户的注册表, 以便实现开机自启动除此之外, 该病毒还在后台连接黑客指定网址, 并为恶意网址刷流量, 占用大量网络资源用户一旦中毒, 有可能出现网络拥堵等现象 2.2 病毒木马防范措施针对出现的计算机病毒, 我们可以采用以下的措施进行防护 : 安装正版防病毒软件, 并及时进行升级, 不使用盗版或者来历不明的软件, 特别不能使用盗版的杀毒软件, 对未知程序要使用查毒软件进行检查, 未经检查的可执行文件不能拷入硬盘, 更不能使用, 将硬盘引导区和主引导扇区备份下来, 并经常对重要数据进行备份当计算机屏幕出现一些无意义的显示画面或异常的提示信息屏幕出现异常滚动而与行同步无关系统出现异常死机和重启动现象系统不承认硬盘或硬盘不能引 8

12 导系统计算机自动产生鸣叫系统引导或程序装入时速度明显减慢, 或异常要求用户输入口令文件或数据无故地丢失, 或文件长度自动发生了变化磁盘出现坏簇或可用空间变小, 或不识别磁盘设备编辑文本文件时, 频繁地自动存盘等现象时, 使用反病毒软件进行检测发现病毒立即清除, 将病毒危害减小到最小限度备份硬盘引导区和主引导扇区的数据, 经常对重要的数据进行备份定期给系统打补丁, 将系统补丁升级至最新对插入电脑的光盘,u 盘进行杀毒后再运行禁止访问不良网页, 或打开非法链接的邮件关闭系统不使用的端口服务, 如 3389, 等 9

13 3 安全事件通告 3.1 本周国内外安全事件通告 MalwareMustDie 关闭博客网站著名的反恶意软件组织 MalwareMustDie 决定关闭其博客网站, 以抗议 NSA( 美国国家安全局 ) 利用黑客工具入侵无辜国家的教育和公共服务器 Shadow Brokers( 影子经纪人 ) 团队之前曾泄露 NSA 黑客工具, 其文件内容可任意下载此外, 该组织还公布了其他文件, 包括 NSA 入侵过的 49 个国家的 IP 地址多家新闻媒体的安全专家认为这些节点与方程式组织的活动有关从公布的目标列表来看, 日本是受影响第二大的国家, 但却并不在方程式组织的目标列表之中因此,MalwareMustDie 团队开始关注该事件同时, 安天 CERT 逆向了方程式组织使用恶意软件感染 Linux 和 Solaris 平台进行入侵活动的结果, 并公开了除了哈希以外的全部细节信息图 1: 逆向方程式使用的 Linux 和 Solaris 恶意软件 MalwareMustDie 团队的研究人员开始挖掘细节并发现, 通过在特定时期内的环境列 10

表中可访问的部分追踪到了未知可疑恶意代码及活动, 其时期和活动与之前公开提到的内容一致到目前为止, 该团队正避免公开披露发现结果这次调查之后, 有新证据表明大学或学院互联网服务供应商 (ISP) 公共邮件服务有线电视网络国家 NIC 网络娱乐网络政府办公区等遭到了非授权访问和恶意活动攻击

14 表中可访问的部分追踪到了未知可疑恶意代码及活动, 其时期和活动与之前公开提到的内容一致到目前为止, 该团队正避免公开披露发现结果这次调查之后, 有新证据表明大学或学院互联网服务供应商 (ISP) 公共邮件服务有线电视网络国家 NIC 网络娱乐网络政府办公区等遭到了非授权访问和恶意活动攻击因为调查根据 ShadowBrokers( 影子经纪人 ) 泄露的列表展开, 所以假设攻击者所属国家的间谍组织应为此次事件负责图 2: 影子经纪人公布的标有 PITCHIMPAIR & INNOVATION 代号的日本被感染节点列表根据平台使用情况, 该事件调查的事实或许还与明镜周刊 (DerSpiegel) 之前报 11

道的 NSA 被泄露的文件有关 : 图 3: 明镜周刊对 NSA 入侵查询的描述图片译文 : (TS//SI//RELFVEY)TAO/ATO 持久化 POLITERAIN(CAN) 团队正需要有创新意识的实习生我们的任务是通过使用低级编程攻击硬件来远程降级或破坏对手的计算机路由器服务器和网络使能设备我们的实习生将学会 : l (U//FOUO) 为

15 道的 NSA 被泄露的文件有关 : 图 3: 明镜周刊对 NSA 入侵查询的描述图片译文 : (TS//SI//RELFVEY)TAO/ATO 持久化 POLITERAIN(CAN) 团队正需要有创新意识的实习生我们的任务是通过使用低级编程攻击硬件来远程降级或破坏对手的计算机路由器服务器和网络使能设备我们的实习生将学会 : l (U//FOUO) 为 LINUX Windows Solaries 及 Apple OS 编写驱动程序 l (U//FOUO) 在组环境中使用 SVN l (TS//SI//REL) 反向工程嵌入式系统 l (TS//SI//REL) 提供符合 Up-sec 和拒绝性要求的代码 l (TS//SI//REL) 恢复被攻击的设备 l (U//FOUO) 与多个中小企业合作打造独特产品 12

l (TS//SI//REL) 开发攻击者思维模式 (TS//SI//REL FVEY)POLITERAIN 总会积压一些下面会列出的需要产品化的小型攻击我们欢迎开放的意见, 但我们重点关注固件 BIOS BUS 或驱动程序级别的攻击实习生可以在 4-6 个月左右完成以下项目大多数项目都足够特殊到在机密机构简介或发表一个友好国家被指入侵其联盟国的服务, 这个结论让人难以接受,

16 l (TS//SI//REL) 开发攻击者思维模式 (TS//SI//REL FVEY)POLITERAIN 总会积压一些下面会列出的需要产品化的小型攻击我们欢迎开放的意见, 但我们重点关注固件 BIOS BUS 或驱动程序级别的攻击实习生可以在 4-6 个月左右完成以下项目大多数项目都足够特殊到在机密机构简介或发表一个友好国家被指入侵其联盟国的服务, 这个结论让人难以接受, 但证据确凿通过入侵和恶意软件实施大规模攻击活动需要攻击者当局的批准, 显然当局认可并授权执行了攻击活动调查的当前结论是,MalwareMustDie 作为一个众所周知的对抗任何形式恶意软件的实体组织, 四年以来, 其博客网站一直发布反恶意软件研究和分析博客, 旨在反对恶意软件网络犯罪及利用恶意软件在互联网上实施破坏行为, 现决定关闭博客网站 malwaremustdie.org, 恢复时间不确定, 并在 twitter 页面发表声明 : 图 4:MalwareMustDie 针对 NSA 入侵的抗议声明官方抗议声明 : 13

17 我们不进行抗议, 也并非有此目的的组织然而,DFIR 和 RE 从公共网络中发现的恶意对象表明,NSA 或 CIA( 或任何美国机构 ) 正利用或曾利用 rootkit 安装木马后门 ( 恶意软件 ) 不能容许在一些友好国家的大学和教育网络有线网络公共 NIC 服务器和政府服务器中形成缓冲攻击平台, 而批准执行的人必须对此行动负责为此, 我们决定关闭 MMD 博客网站, 恢复时间不确定美国有关实体机构和研究人员禁止直接访问通信与研究另外, 我们会在研究中停止使用美国的服务或产品由于 NSA 或 CIA 自己就可获得许多信息, 美国公民完全可以通过本国间谍实体机构询问我们所能提供的所有研究信息, 不必直接访问本站本文为 MalwareMustDie 团队的官方声明错了便是错了, 无论你是谁如果我们无法行得正, 那么将永远无法扼制互联网中的不正之风为此, 我们决定关闭 MMD 博客网站, 恢复时间不确定美国有关实体机构和研究人员禁止直接访问通信与研究另外, 我们会在研究中停止使用美国的服务或产品博客标题表明了 MalwareMustDie 的立场 : 以任何目的在任何活动中使用恶意软件都不能被接受错了便是错了, 无论你是谁如果我们无法行得正, 那么将永远无法扼制互联网中的不正之风这是正确的立场, 因为恶意软件必须扼杀 14

Cryptsetup 存在的一个漏洞 (CVE-2016-4484) Cryptsetup 是在 Linux 统一密钥设置

18 3.1.2 Linux 爆新漏洞, 长按回车键 70 秒即可获得 root 权限按住回车 70 秒, 黑客就能在 linux 系统绕过认证, 进而获取 root 权限, 并能远程控制经过加密的 linux 系统漏洞来源这个安全问题来源于 Cryptsetup 存在的一个漏洞 (CVE ) Cryptsetup 是在 Linux 统一密钥设置 (Linux Unified Key Setup, LUKS) 中用来加密磁盘的软件, 而 LUKS 则是 Linux 系统中标准的磁盘加密 15

漏洞其实是出现在系统后 Cryptsetup 处理密码输入错误的时候, 它会允许用户多次重试输入密码而当用户输入错误 93 次后, 程序就会给用户一个带 root 权限的 shell(busybox) 也就是说, 如果你重复 93 次输错密码, 或者持续按回车键大概 70 秒, 你就能够获得 root initramfs (initial RAM filesystem) shell

19 漏洞其实是出现在系统后 Cryptsetup 处理密码输入错误的时候, 它会允许用户多次重试输入密码而当用户输入错误 93 次后, 程序就会给用户一个带 root 权限的 shell(busybox) 也就是说, 如果你重复 93 次输错密码, 或者持续按回车键大概 70 秒, 你就能够获得 root initramfs (initial RAM filesystem) shell 获取 shell 之后, 你就可以复制修改或者破坏整个硬盘, 或者也可以使用网络传输数据漏洞能被远程利用西班牙安全研究员 Hector Marco 和 Ismael Ripoll 发现了这一漏洞, 影响范围覆盖几乎所有的 Linux 发行版, 包括 Debian, Ubuntu, Fedora, Red Hat Enterprise Linux (RHEL) 和 SUSE 16

20 研究人员在今年奥地利维也纳举行的 DeepSec 会议上演示了细节 : 黑客可以从受影响系统中获取 root initramfs shell 并且漏洞的成功率非常高, 因为他不依赖某个特定的系统或者某个配置这个漏洞在图书馆 ATM 机机场实验室等场景下特别有用, 因为在这些场景下, 开机的过程受到 ( 加密 ) 保护, 而我们只有键盘 / 鼠标看到这里, 你可能会认为漏洞只能在攻击者有物理接触的情况下才有可能发生但实际上, 漏洞也可以被远程触发如果你使用的是基于 linux 的云服务, 就可以在没有物理接触的条件下利用漏洞漏洞到底有多严重值得注意的是, 攻击者无法利用这个漏洞来获取加密磁盘的内容, 但能进行下面的这些操作 : 权限提升 : 由于 boot 分区一般都是不加密的, 因此利用漏洞黑客可以用 SetUID 存储一个可执行文件, 然后再用本地用户身份执行进行提权攻击者也可以替换内核和 initrd 镜像信息泄露 : 虽然攻击者无法直接读取加密的磁盘, 但他能做的事还是很多的比如, 他可以把磁盘复制到外部设备, 之后进行暴力破解, DoS 攻击 : 黑客可以删除磁盘上的内容这个漏洞的影响范围包括 Debian, Ubuntu, Fedora 和其他一些 Linux 发行版本 Arch Linux 和 Solus 用户不受影响 17

解决方案尽管漏洞能轻易触发并且影响范围大, 但它的修复方案也异常简单 : 首先, 在 LUKS 密码提示窗处按压回车键 70 秒, 检查系统是否存在漏洞如果存在漏洞, 检查下你所使用的 Linux 是否发布了补丁如果官方没有发布补丁, 你可以自行修改 cryptroot 文件 : # sed -i

21 解决方案尽管漏洞能轻易触发并且影响范围大, 但它的修复方案也异常简单 : 首先, 在 LUKS 密码提示窗处按压回车键 70 秒, 检查系统是否存在漏洞如果存在漏洞, 检查下你所使用的 Linux 是否发布了补丁如果官方没有发布补丁, 你可以自行修改 cryptroot 文件 : # sed -i 's/grub_cmdline_linux_default="/grub_cmdline_linux_def AULT="panic=5 /' /etc/default/grub # grub-install 英国最大的移动运营商 Three 遭黑客入侵 600 万用户数据泄漏外媒称, 英国最大的移动运营商之一 Three 公司承认系统被黑客闯入, 约 600 万用户的个人数据可能面临泄漏风险 18

Three 公司称, 黑客是使用其员工账号登录到客户升级数据库消息人士称, 黑客闯入的数据库可能涉及 600 万 Three 用户的信息, 占客户总数的三分之二但是, 截至目前为止, 该公司尚未证实受影响客户以及被泄漏数据的具体数量 Three 公司负责人指出, 虽然泄露数据包括客户的姓名电话号码地址和出生日期, 但黑客未能获取客户的财务信息 Three 公司方面表示,

22 Three 公司称, 黑客是使用其员工账号登录到客户升级数据库消息人士称, 黑客闯入的数据库可能涉及 600 万 Three 用户的信息, 占客户总数的三分之二但是, 截至目前为止, 该公司尚未证实受影响客户以及被泄漏数据的具体数量 Three 公司负责人指出, 虽然泄露数据包括客户的姓名电话号码地址和出生日期, 但黑客未能获取客户的财务信息 Three 公司方面表示, 他们已经在与警方和相关人员调查此事, 黑客的目的是盗窃其高端智能手机 ( 通过 Three 用户的升级帐号来获得换取手机的机会 ), 用户的财务方面信息将不会有危险另外, 公司还称将尽快调查清楚有多少用户受到这件事情影响, 并会及时与他们取得联系 Three 公司发言人称 : 在过去四周内,Three 公司已经遭受了多次手机诈骗未遂事件, 可见其目的是试图非法盗取新款手机, 拦截升级设备三名嫌疑人浮出水面本周三 (11 月 1 日 ), 英国国家犯罪署 (NCA) 表示, 目前已经成功抓获了 3 名犯罪嫌疑人, 分别是来自肯特郡奥尔平顿的 48 岁男子来自曼彻斯特阿什顿安德莱恩的 39 岁男子以及来自曼彻斯特莫斯顿的 35 岁男子三名嫌疑人现均获准保释, 等候进一步调查 19

Three 公司称黑客此次入侵是为了盗取该公司的新款智能手机, 以此获利该公司表示 : 我们一直与警方及相关部门密切合作, 到目前为止, 我们已经证实犯罪分子已经通过 8 名 Three 用户的客户升级账号获得了 8 台旗舰手机, 另外入室盗取了近 400 台高端智能手机调查还在进行中,Three 公司也承诺将采取一系列措施, 进一步加强用户数据管控其实,

23 Three 公司称黑客此次入侵是为了盗取该公司的新款智能手机, 以此获利该公司表示 : 我们一直与警方及相关部门密切合作, 到目前为止, 我们已经证实犯罪分子已经通过 8 名 Three 用户的客户升级账号获得了 8 台旗舰手机, 另外入室盗取了近 400 台高端智能手机调查还在进行中,Three 公司也承诺将采取一系列措施, 进一步加强用户数据管控其实, 这并不是英国移动运营商第一次遭到网络攻击 2015 年 10 月,TalkTalk 的系统就被一名青少年成功破解, 盗取了份用户数据, 此次攻击导致公司损失 15 万名客户, 损失总成本约 6000 万英镑秒攻破任意密码保护的 PC 近日, 著名硬件黑客 Samy Kamkar 利用 5 美元设备打造的黑客工具 PoisonTap, 只需 30 秒, 就可以攻破设置有任意密码的电脑系统, 并实现长期后门安装 PoisonTap 不是暴力破解密码, 而是绕过密码 20

24 PoisonTap 的标配 :5 美元的树莓派微型电脑 Raspberry Pi Zero USB 适配器内置免费漏洞利用软件目前, 相关软件和利用工具已在 Github 提供下载,Raspberry Pi Zero 在某宝上也有售卖, 感兴趣的童鞋可以尝试打造属于自己的 PoisonTap 神器以下为 PoisonTap 官方 Github 介绍的工作机制, 感叹 Samy Kamkar 大神天马行空的思维, 同时也深谙自己技艺不精, 不足之处, 希望大家指正交流 PoisonTap 操作实现 : PoisonTap 通吃 Windows 和 Mac 系统, 一旦插入电脑, 将伪装模拟成新加入的以太网连接, 即使受害者使用 WIFI, 一样可以使系统优先接入其伪装的虚假网络 PoisonTap 利用中间人攻击方式, 可以劫持监听受害者所有网络流量, 窃取存储在浏览器里的任意 cookie 和 ses sion, 然后发送给控制端以下为 PoisonTap 具体操作实现 : 通过 USB 或 Thunderbolt 模拟成新加入的以太网连接设备 ; 劫持目标系统所有网络连接流量 ( 即使是低优先级或未知的网络连接 ) 窃取存储在浏览器内相关 Alexa 排名前 100 万网站 cookie 和 session 信息识别目标网络路由信息, 通过远程 outbound 方式进行 WebSocket 或 DNS 重绑定攻击通过 HTTP 的 JS 缓存中毒方式实现长期 web 后门安装控制, 这些缓存后门涉及上千个域名和通用 javascript CDN 链接使用用户 cookie 对后端域名实现远程 HTTP GET 或 POST 方式控制连接不需要系统解锁移除攻击载体后, 后门保持有效 21

25 PoisonTap 可以绕过或突破以下安全保护措施 : 锁屏密码路由表优先级设置和网络接口服务顺序同源保护策略 Cookie 的 HttpOnly 安全设置 Cookie 的 SameSite 安全属性双因素或多因素认证 DNS Pinning 跨域资源共享 HTTPS cookie 保护 PoisonTap 如何工作 : PoisonTap 对系统和网络安全信任机制的攻击, 将会产生一系列连锁反应, 利用 USB/Thunderbolt DHCP DNS 和 HTTP 方式, 可以进行信息窃取网络入侵和后门安装 22

网络劫持 1 攻击者向有密码保护并且锁屏的电脑系统插入 PoisonTap; 2 PoisonTap 将会模拟伪装成一个新加入系统的网络连接, 默认情况下, 即使在有密码保护的锁屏状态下,Windows OS X 和 Linux 系统将会识别该虚假网络连接, 并发出 DHCP 请求 ; 3 PoisonTap 响应 DHCP 请求, 并提供一组经过构造, 从 0.0.0.0 至 255.

26 网络劫持 1 攻击者向有密码保护并且锁屏的电脑系统插入 PoisonTap; 2 PoisonTap 将会模拟伪装成一个新加入系统的网络连接, 默认情况下, 即使在有密码保护的锁屏状态下,Windows OS X 和 Linux 系统将会识别该虚假网络连接, 并发出 DHCP 请求 ; 3 PoisonTap 响应 DHCP 请求, 并提供一组经过构造, 从至 , 与 PoisonTap 设备为同一子网的随机 IP 地址组合 ; 通常, 在系统使用现有网络连接的情况下, 一个附加网络连接的加入, 系统会把其默认为低优先级网络, 并继续使用现有网络网关但是, 在基于 Internet traffic 的 LANtraffic 情况下, 任何路由表 / 网关优先级 / 网络接口服务顺序设置都可被绕过 PoisonTap 通过更改原网络连接网关地址, 把流量引入自身, 进而劫持系统所有网络流量 23

Cookie 窃取只要目标系统运行有浏览器, 打开网页将会通过 AJAX 或动态脚本框架 (script/iframes) 产生各种请求, 而由于系统网络流量被完全劫持, 1 PoisonTap 将会监听到所有 HTTP 请求和响应, 并将这些内容发送到 PoisonTap 的 web 服务端 (Node.

27 Cookie 窃取只要目标系统运行有浏览器, 打开网页将会通过 AJAX 或动态脚本框架 (script/iframes) 产生各种请求, 而由于系统网络流量被完全劫持, 1 PoisonTap 将会监听到所有 HTTP 请求和响应, 并将这些内容发送到 PoisonTap 的 web 服务端 (Node.js); 即使 DNS 服务器指向其它内部 IP, 由于这些内部 DNS 服务器将为缓存的域名产生公共 IP 地址, 而这些 IP 地址已经被 PoisonTap 劫持, 所以攻击仍然有效 2 当 Node web 服务器接收到请求时,PoisonTap 会通过 HTML 或 Javascript 进行响应 ( 许多网站会在后台请求中加载 HTML 或 JS) 3 然后,HTML / JS-agnostic 页面会生成许多隐藏的 iframe, 每个 iframe 中又包括 Alexa 排名前 100 万内的不同网站 24

通过 web 后门进行远程访问 1 当 PoisonTap 生成上千个 iframe 之后, 将会迫使浏览器加载每个 iframe, 但这些 iframe 不仅仅是空白页面, 而是无限缓存的 HTML + Javascript 后门 2 即使用户当前未登录, 由于 PoisonTap 已经在每个缓存域名上强制绑定了这些后门, 使攻击者能够使用 Cookie 并在将来启动同源请求 3

28 通过 web 后门进行远程访问 1 当 PoisonTap 生成上千个 iframe 之后, 将会迫使浏览器加载每个 iframe, 但这些 iframe 不仅仅是空白页面, 而是无限缓存的 HTML + Javascript 后门 2 即使用户当前未登录, 由于 PoisonTap 已经在每个缓存域名上强制绑定了这些后门, 使攻击者能够使用 Cookie 并在将来启动同源请求 3 实际响应页面是 HTML 和 Javascript 的组合, 并由此产生持续有效的 WebSocket 连接攻击者 web 服务器端 ( 通过互联网而不是 PoisonTap 设备 ) WebSocket 保持开放状态, 允许攻击者在将来任何时候回连后端机器, 并在任何有后门部署的源上执行请求 (Alexa 排名前 100 万个网站 - 见下文 ) 如果后门在一个站点 ( 如 nfl.com) 上打开, 但用户希望攻击不同的域名 ( 如 pinterest.c om), 攻击者可以将 nfl.com 上的 iframe 加载到 pinterest.com 后门中 ( om/poisontap) 25

29 同样, 域上的任何 X-Frame-Options 跨域资源共享和同源策略安全性完全被绕过, 因为实际请求的是 PoisonTap 留下的缓存, 而不是真正的域名内部路由器后门和远程访问 1 PoisonTap 可以劫持当前网络的实际局域网子网 2 PoisonTap 通过在一个特定主机上强制缓存后门, 具体来说, 在目标路由器的 IP 后面加上.ip.samy.pl, 如 ip.samy.pl, 就可以生成一个持久的 DNS 重绑定攻击当使用 PoisonTap 作为 DNS 服务器 ( 受害者使用公共 DNS 服务器 ) 时,PoisonTa p 使用临时专门的 IP( ) 进行响应, 这意味着此时任何请求都将访问到 PoisonTap Web 服务器如果 DNS 服务器设置为内部网络 ( 如 x), pin.ip.samy.pl 发出一个经过构造的请求, 几秒之后, 它将会向我的专用 DNS 服务器 ( 公网的 ) 返回任意 [ip.ad dress].ip.samy.pl 中的 IP 地址信息然后,PoisonTap 将会在上快速设置一个后门, 而在 PoisonTap 设备上将指向 , 该后门将实现从 PoisonTap 设备访问 3 DNSpinning 和 DNSrebinding 的安全性设置, 由于之前做出 Alexa top100 万网站请求而耗尽 DNS pinning 表, 最终将被绕过之后,DNS 就不需要重新绑定, 使得该攻击可以持续很长时间 4 现在, 后门强制连接到任何对 ip.samy.pl 的请求都将访问到 unpinned 的 IP 地址, 导致路由器解析直接指向这意味着如果通过后门远程在 iframe 中加载 ip.samy.pl/PoisonTap 指 26

向主机, 就可以对内部路由器执行 AJAX GET/POST 和其它任意页面, 实现完全控制内部路由器构造请求与 DNS 服务器解析的对应关系 [ip.addy].ip.samy.pl normally responds with [ip.addy] 192.168.0.1.ip.samy.pl -> 192.168.0.1 (A record) [ip.addy].pin.ip.samy.pl temporarily (~5 seconds) points *.

30 向主机, 就可以对内部路由器执行 AJAX GET/POST 和其它任意页面, 实现完全控制内部路由器构造请求与 DNS 服务器解析的对应关系 [ip.addy].ip.samy.pl normally responds with [ip.addy] ip.samy.pl -> (A record) [ip.addy].pin.ip.samy.pl temporarily (~5 seconds) points *.ip.samy.pl to [ip.a ddy] pin.ip.samy.pl -> ip.samy.pl -> (A record, short TTL) 基于 web 远程访问的其它后门 1 PoisonTap 替代了成千上万常见的, 基于 CDN 的 Javascript 文件, 如 Google 和 jquery 27

CDNs 如果一个网站或域名加载了受感染中毒的 CDN Javascript 文件, 正确的代码配合后门, 就可以让攻击者实现入侵访问 2 由于每个缓存的网站域名都留有后门, 即使当前受害者没有对任何域名执行访问, 攻击者仍然可以远程强制后端浏览器执行同源请求 (AJAX GET / POST) 3 当受害者访问基于 HTTP 或 CDN Javascript 缓存中毒的网站时, 后门就被触发

31 CDNs 如果一个网站或域名加载了受感染中毒的 CDN Javascript 文件, 正确的代码配合后门, 就可以让攻击者实现入侵访问 2 由于每个缓存的网站域名都留有后门, 即使当前受害者没有对任何域名执行访问, 攻击者仍然可以远程强制后端浏览器执行同源请求 (AJAX GET / POST) 3 当受害者访问基于 HTTP 或 CDN Javascript 缓存中毒的网站时, 后门就被触发 PosionTap 安全防范服务器安全 1 仅使用 HTTPS, 至少对认证和认证内容使用 HTTPS 2 确保启用 Cookie 安全标记, 防止 HTTPS Cookie 信息泄露 3 当调用远程 Javascript 脚本资源时, 请使用子资源完整性 (SRI) 标记属性 4 使用 HSTS 防止 HTTPS 降级攻击桌面客户端安全 1 有必要可以用粘合剂封住 USB 和 Thunderbolt 端口 2 每次离开电脑时关闭浏览器 28

32 3 禁用 USB 和 Thunderbolt 端口 4 经常清理浏览器的缓存数据 5 在不使用电脑时, 让电脑进入休眠状态而不是睡眠状态, 在休眠状态中, 电脑中所有的进程都将停止工作, 安全性更高文件介绍 : backdoor.html: 每当一个请求发生并窃取 cook ie 信息时, 该文件作为返回的强制缓存内容, 它包含一个后门并生成一个外连至 samy.pl: 1337( 主机 / 端口可更改 ) 的 websocket, 等待服务器命令 backend_server.js: 这是你在 Internet 可访问的 Node 服务器, 也是 backdoor.html 连接的内容 ( 例如,samy.pl:1337) 该服务器也用来发送命令, 如 : pi_startup.sh: 在 Raspberry Pi Zero 上启动时运行, 将设备模拟为 USB 以太网配件, 设置恶意 DHCP 服务器, 允许流量重路由,DNS 欺骗, 并启动 pi_poisontap.js 文件 target_backdoor.js: 此文件预先放在任何与 CDN 相关的 Javascript 文件中, 通过 Google CDN s jquery URL 方式形成后门 target_injected_xhtmljs.html: 在受害者系统中注入 HTTP / AJAX 请求并形成整个攻击 poisontap.cookies.log: 记录来自受害者浏览器的 cookie 29

33 修复措施 : 目前来说,PoisonTap 因为是多种黑客技巧组合而成的攻击, 整个攻击和利用过程不能明确反映某个产品或系统漏洞, 所以, 目前来说, 没有一种明确的修复措施但 Kamkar 提出了一种解决方案, 希望在系统层面的网络连接切换中加入权限许可机制, 但是苹果公司没有对此作出回应, 而微软公司在给记者的回复邮件中表示,PoisonTap 是一种物理接入攻击, 所以, 最好的防御策略就是自己保管好电脑并及时更新系统和软件 30

34 3.1.5 前言告急!GitHub 百万用户信息疑似泄漏据国外一个科技博客发文透露, GitHub 的百万用户信息疑似从 GeekedIn 的 MongoDB 泄露了也许你的数据, 我的数据, 如果你是在软件行业, 数以百万计的人的数据都已被泄露可以看到,GeekdIn 是一个服务于开发者和雇佣者的平台该平台的一部分 MongoDB 实例 : 第二个 IP 地址是网站本身正在运行的 IP 地址, 但直到作者发现发现自己的数据, 31

35 才意识到发生了什么博客作者发现的遭泄露信息 : 还有 GitHub 的引用当作者看到自己公开的 GitHub 个人资料时, 确实有他的电子邮件地址以及位置但是他的个人资料实际上是相当稀疏的, 像这样 : 32

36 这只是一份个人资料的一个小快照, 最终的比上面完整显示的大好几百倍博主称之所以发文原因有几点 : 一是这其中的某些数据涉及到了他自己, 他不希望自己的数据以这种方式被销售二是这些数据到目前为止还可以在 HIBP 中搜索到三是他想知道是什么信息导致泄露了数据什么人拥有了这部分数据以及这些数据的价值等等相关反馈博主还在文末公布了查询方法 : 利用 HIBP 的现有通知服务, 已经有一种验证电子邮件地址的方法它的工作原理是这样的 : 33

37 转到 haveibeenpwned.com/notifyme 输入您的电子邮件地址, 并收到确认电子邮件点击电子邮件中的链接以验证您的地址然后, 最后一步会显示一个类似这样的页面, 就能看到谁拥有这些用户的实际电子邮件地址泄露信息 : ( 图片中透露在 2016 年 8 月, 技术招聘网站 GeekedIn 暴露了一个有 800 万条纪录的数据库, 并且被不知名的第三方机构抓取其中有公开的个人资料信息, 包括超过 100 万个会员的电子邮件地址 ) 当切换到显示原始 geekedin 数据会得到个人的记录 : 34

38 4 紧急预警通知 4.1 关于 Jenkins CLI 漏洞情况的通报近日, 国家信息安全漏洞库 (CNNVD) 收到关于 Jenkins CLI 存在远程代码执行漏洞 (CNNVD ) 的情况报送该漏洞源于 Jenkins CLI 存在 Java 反序列化问题, 从而导致远程攻击者可在 Jenkins 上执行任意代码, 进一步控制服务器漏洞简介 CloudBees Jenkins 是美国 CloudBees 公司的一款基于 Java 开发的开源的可持续集成的自动化服务器, 它主要用于监控持续的软件版本发布 / 测试项目和一些定时执行的任务 LTS(Long-Term Support) 是 CloudBees Jenkins 的一个长期支持版本 CloudBees Jenkins 2.31 及之前的版本和 Jenkins LTS 及之前的版本中存在远程代码执行漏洞 ( 漏洞编号 :CNNVD ,CVE ) 攻击者可通过传输恶意的序列化 Java 对象利用该漏洞执行任意代码, 绕过保护机制漏洞危害远程攻击者可通过构造恶意的 Java 序列化对象发送给 Jenkins CLI, 经其解析执行后, 可使 Jenkins 连接到攻击者控制的 LDAP 服务器上, 该 LDAP 服务器进一步发送恶意指令, 可在 Jenkins 上执行任意代码, 导致服务器被完全控制漏洞影响范围据统计, 目前, 全球现有一万余个网站使用了 Jenkins, 存在漏洞的网站数量为

39 个, 其中排在前五的国家分别为美国, 中国, 爱尔兰, 德国以及荷兰 Jenkins 全球分布漏洞影响全球分布情况我国受影响网站约有 1577 个, 主要位于浙江 (61%) 北京 (19%) 上海 (6%) 等城市, 以互联网企业高校等行业网站为主 36

40 Jenkins 中国分布漏洞影响我国分布情况修复措施目前,Jenkins 官方已发布针对该漏洞的修复版本, 并且, 该漏洞细节及利用方式已在互联网上公布, 请受影响的用户尽快升级至最新版本以消除漏洞影响 1. Jenkins main line 用户应升级至 2.32 版本 37

41 2. Jenkins LTS 用户应升级至版本 Jenkins 公告链接 : 关于 nginx 提权漏洞情况的通报近日, 国家信息安全漏洞库 (CNNVD) 收到关于 nginx 存在本地提权漏洞 (CNNVD ) 的情况报送 11 月 15 日,nginx 官方及相关操作系统厂商对上述漏洞已发布升级公告由于上述漏洞影响范围广, 危害级别高, 国家信息安全漏洞库 (CNNVD) 对此进行了跟踪分析漏洞简介 nginx 是由俄罗斯的程序设计师 Igor Sysoev 所开发的一款轻量级 Web 服务器 / 反向代理服务器及电子邮件 (IMAP/POP3) 代理服务器其特点是占有内存少, 并发能力强, 被广泛应用于网站服务器搭建, 中国大陆使用 nginx 网站用户有 : 百度京东新浪网易腾讯淘宝等多款操作系统上的 nginx 存在本地提权漏洞 ( 漏洞编号 :CNNVD CVE ), 该漏洞源于程序对日志文件分配弱权限本地及远程攻击者可利用该漏洞获取 root 权限以下操作系统及版本受到影响 : 基于 Debian 操作系统上的 nginx deb8u3 之前版本 ; 基于 Ubuntu LTS 操作系统的 ubuntu 之前版本, 基于 Ubuntu LTS 操作系统的 ubuntu3.6 之前版本, 基于 Ubuntu 操作系统的 ubuntu1.1 之前版本 38

42 4.2.2 漏洞危害拥有普通用户权限的本地攻击者可利用该漏洞提升权限至超级管理员 (root) 若部署在该服务器上的 Web 应用存在漏洞, 当远程攻击者利用 web 漏洞获取本地权限后, 可利用该漏洞提升权限至超级管理员 (root), 从而完全控制服务器漏洞影响范围据统计, 目前, 全球现有将近一千余万网站使用了 nginx 服务器, 存在漏洞的网站数量为个, 共覆盖了 100 个国家和数百个城市, 其中排在前五的国家分别为美国, 中国, 德国, 俄罗斯以及法国我国受影响网站约有个, 主要位于浙江 (28%) 北京 (21%) 广东 (10%) 等城市, 以政府高校等行业网站为主修复措施目前,nginx 官方及相关操作系统厂商已发布针对该漏洞的修复版本, 并且, 该漏洞细节及利用方式已在互联网上公布, 请受影响的用户尽快升级至最新版本以消除漏洞影响 nginx 官方链接 : Debian 官方链接 : Ubuntu 官方链接 : 39

43 4.3 关于 CryptsetupInitrd LUKS root Shell 权限提升漏洞的安全公告近期, 国家信息安全漏洞共享平台 (CNVD) 收录了 CryptsetupInitrd LUKS root Shell 存在权限提升漏洞 (CNVD , 对应 CVE ) 综合利用该漏洞, 攻击者可实访问操作系统主机, 获得 root 用户环境特权, 进而可获取敏感信息或发起破坏性攻击漏洞简介 cryptsetup 是一个实现了 LUKS (Linux Unified Key Setup) 规范的工具, 而 LUKS 是 Linux 硬盘加密的规范由于 Cryptsetup 脚本存在密码校验设计缺陷, 在打开一个采用 LUKS 加密方式的系统分区时, 这个漏洞允许攻击者获得受影响系统的 rootinitramfs shell 攻击者可通过持续按下 Enter 键 70 秒来获得 root initramfs shell, 进而可对系统文件进行复制修改等操作或破坏硬盘使用基于 linux 的云服务主机, 由于具备控制端管道远程配置的条件, 有可能导致攻击者实现远程利用漏洞漏洞危害攻击者可实访问操作系统主机, 获得 root 用户环境特权, 进而可获取敏感信息或发起破坏性攻击漏洞影响范围该漏洞影响几乎所有 Linux 发行版, 包括 Debian, Ubuntu, Fedora, Red Hat Enterprise Linux (RHEL) 和 SUSE 当操作系统分区或文件采用 LUKS 加密方式并采用 Cryptsetup 时会 40

44 触发漏洞执行条件目前,Arch Linux 和 Solus 用户不受影响修复措施目前, 厂商尚未提供漏洞修补方案, 请关注厂商主页及时更新 : 关于 OpenSSL 存在多个拒绝服务漏洞的安全公告近日, 国家信息安全漏洞共享平台 (CNVD) 收录了 OpenSSL 存在多个拒绝服务漏洞 (CNVD CNVD CNVD , 对应 CVE CVE CVE ) 远程攻击者利用上述漏洞, 可发起拒绝服务攻击, 导致内存或 CPU 资源耗尽漏洞简介 OpenSSL 是 OpenSSL 团队开发的一个开源的能够实现安全套接层 (SSL v2/v3) 和安全传输层 (TLS v1) 协议的通用加密库, 它支持多种加密算法, 包括对称密码哈希算法安全散列算法等漏洞危害 ( 一 )OpenSSL 拒绝服务漏洞 (CNVD ) 由于 TLS 链接使用的 *-CHACHA20-POLY1305 密码组件, 通过破坏大量的有效荷载易受到拒绝服务攻击, 可能导致 OpenSSL 的崩溃远程攻击者利用该漏洞, 可造成应用程序拒绝服务,CNVD 对该漏洞的综合评级为高危 ( 二 )OpenSSL 空指针废弃拒绝服务漏洞 (CNVD ) 41

45 程序在试图释放某些无效编码时, 错误处理 OpenSSL 中的 ASN.1 选择类型, 可导致一个 NULL 值被传递给回调结构, 当 NULL 指针解析无效的 CMS 结构可导致应用程序崩溃仅使用不处理空值的回调函数的选择结构时受到影响 CNVD 对该漏洞的综合评级为中危 ( 三 )OpenSSL 拒绝服务漏洞 (CNVD ) 当 Broadwell-specific Montgomery 乘法运算程序在处理输入长度超过 256bits 数据时, 可导致应用程序崩溃分析表明, 由于存在问题的子程序不使用私钥本身的操作和攻击者的直接输入, 攻击者不能攻击 RSA,DSA 和 DH 密钥在 EC 算法中只有 Brainpool P-512 curves 受到影响, 有可能存在针对 ECDH 的密钥协商攻击 CNVD 对该漏洞的综合评级依次为低危漏洞影响范围上述漏洞影响 OpenSSL1.1.0 版本修复措施目前, 厂商已发布了漏洞修复程序, 用户可将程序升级至 1.1.0c 版本 42

信息安全漏洞周报 (2018 年第 36 期总第 440 期 ) 信息安全测评中心 2018 年 9 月 16 日根据国家信息安全漏洞库 (CNNVD) 统计, 本周 (2018 年 9 月 10 日至 2018 年 9 月 16 日 ) 安全漏洞情况如下 : 公开漏洞情况 7.99% 本周 CN

信息安全漏洞周报 (2018 年第 36 期总第 440 期 ) 信息安全测评中心 2018 年 9 月 16 日根据国家信息安全漏洞库 (CNNVD) 统计, 本周 (2018 年 9 月 10 日至 2018 年 9 月 16 日 ) 安全漏洞情况如下 : 公开漏洞情况 7.99% 本周 CNNVD 采集安全漏洞 356 个, 与上周 (338 个 ) 相比增加了接报漏洞情况本周接报漏洞

北京安域领创科技有限公司 北京安域领创科技有限公司 安全服务通告 报告周期 :2016 年 11 月第三周 (2016 年 11 月 14 日 -11 月 20 日 )

北京安域领创科技有限公司北京安域领创科技有限公司安全服务通告报告周期 :2016 年 11 月第三周 (2016 年 11 月 14 日 -11 月 20 日 )