蓝盾

Size: px

Start display at page:

Download "蓝盾"

珊杀云
7 years ago
Views:

2 蓝盾信息安全周报本期提要一本期重要安全漏洞二本期网络安全业界资讯三本期行业动态四本期被篡改网站五本期病毒木马疫情六安全防范措施

3 一本期重要安全漏洞 1 Apache Libcloud Digital Ocean API 本地信息泄露漏洞 Apache Libcloud 是美国阿帕奇 (Apache) 软件基金会的一个为各个云供应商的专有 API 提供了能够访问云计算服务的通用接口的 Python 库 Apache Libcloud 至版本中存在安全漏洞, 该漏洞源于当程序删除 DigitalOcean API 接口时没有发送 scrub_data 查询参数本地攻击者可通过新的虚拟机 (VM) 利用该漏洞获取敏感信息目前厂商已经发布了升级补丁以修复此安全问题, 补丁获取链接 : 2 Python readline() 函数拒绝服务漏洞 Python 是 Python 软件基金会的一套开源的面向对象的程序设计语言该语言具有可扩展支持模块和包支持多种平台等特点 Python 中存在拒绝服务漏洞攻击者可利用该漏洞造成受影响应用程序消耗大量的内存, 导致拒绝服务目前厂商已经发布了升级补丁以修复此安全问题, 补丁获取链接 : 1

4 3 WordPress Advanced Dewplayer 插件 download-file.php 脚本目录遍历漏洞 WordPress 是 WordPress 软件基金会的一套使用 PHP 语言开发的博客平台, 该平台支持在 PHP 和 MySQL 的服务器上架设个人博客网站 Advanced Dewplayer 是其中的一个允许从单一服务器中获取网站或博客中的 MP3 列表的插件 WordPress 的 Advanced Dewplayer 插件 1.2 版本中的 download-file.php 脚本中存在目录遍历漏洞远程攻击者可借助 dew_file 参数中的目录遍历字符 (.. ) 利用该漏洞读取任意文件目前厂商还没有提供此漏洞的相关补丁或者升级程序, 建议使用此软件的用户随时关注厂商的主页以获取最新版本 : 4 OpenSSL 安全漏洞 OpenSSL 是 OpenSSL 团队开发的一个开源的能够实现安全套接层 (SSL v2/v3) 和安全传输层 (TLS v1) 协议的通用加密库, 它支持多种加密算法, 包括对称密码哈希算法安全散列算法等 OpenSSL 0.9.8y 及之前的版本和 1.x 至 1.0.1e 版本中的 DTLS 重新传输过程中存在安全漏洞, 该漏洞源于程序没有正确维护数据结构攻击者可利用该漏洞实施中间人攻击, 触发使用不同的数据目前厂商已经发布了升级补丁以修复此安全问题, 补丁获取链接 : 2

5 5 Cisco Unified Presence Server SQL 注入漏洞 Cisco Unified Presence Server 是美国思科 (Cisco) 公司的统一通信系统中的关键组件该组件负责收集用户的可用性状态和通信能力信息 Cisco Unified Presence Server 的 Web 界面中存在 SQL 注入漏洞远程攻击者可通过发送特制的 URL 利用该漏洞执行任意 SQL 命令目前厂商已经发布了升级补丁以修复此安全问题, 补丁获取链接 : 6 JForum Admin 跨站请求伪造漏洞 JForum 是 JForum 团队的一套采用 Java 开发且基于 Web 的开源论坛系统 Admin 是其中的一个管理模块 JForum 中的 Admin 模块中的 admbase/login.page 页面中存在跨站请求伪造漏洞远程攻击者可通过执行 groupssave 操作利用该漏洞更改用户组权限目前厂商还没有提供此漏洞的相关补丁或者升级程序, 建议使用此软件的用户随时关注厂商的主页以获取最新版本 : 3

6 7 Huawei du Mobile broadband du Mobile Broadband.exe 本地提权漏洞 du Mobile Broadband 是中国华为 (Huawei) 公司的一款无线带宽设备 du Mobile broadband 中存在本地提权漏洞本地攻击者可利用该漏洞以 SYSTEM 权限执行任意代码 du Mobile broadband 版本中存在漏洞, 其他版本也可能受到影响目前厂商还没有提供此漏洞的相关补丁或者升级程序, 建议使用此软件的用户随时关注厂商的主页以获取最新版本 : 8 Joomla! libraries/idna_convert/example.php 跨站脚本漏洞 Joomla! 是美国 Open Source Matters 团队开发的一套开源的内容管理系统 (CMS) 该系统提供 RSS 馈送网站搜索等功能 Joomla! 版本中的 libraries/idna_convert/example.php 脚本中存在跨站脚本漏洞远程攻击者可借助 lang 参数利用该漏洞注入任意 Web 脚本或 HTML 目前厂商已经发布了升级补丁以修复此安全问题, 补丁获取链接 : 4

7 9 RealVNC VNC 安全漏洞 RealVNC VNC 是英国 RealVNC 公司的一套远程访问和控制软件该软件支持跨平台远程控制单点登录 AES 加密等基于 Mac OS X,Linux,UNIX 平台上的 RealVNC VNC 版本中存在安全漏洞本地攻击者可通过传递恶意的参数到 (1)vncserver,(2)vncserver-x11 或 (3)Xvnc 服务器利用该漏洞获取特权目前厂商已经发布了升级补丁以修复此安全问题, 补丁获取链接 : 10 Apple QuickTime Picture Viewer 安全漏洞 Apple QuickTime 是美国苹果 (Apple) 公司开发的一款多媒体播放软件该软件能够处理数字视频媒体段落等多种资源 Apple QuickTime 及之前的版本中的 Picture Viewer 程序中存在路径搜索问题如果攻击者在图像文件所在的同一目录中放置了恶意制作的 DLL 文件, 则通过 QuickTime Picture Viewer 打开该图像文件可能导致任意代码执行目前厂商已经发布了升级补丁以修复此安全问题, 补丁获取链接 : 5

8 二本期网络安全业界资讯政府监管和政策法规动态国网渭南供电公司 : 网络信息安全得到省公司厅检查组好评 12 月 30 日, 陕西省公安厅网络安全保卫总队队长刘战胜一行 7 人, 来到国网陕西省电力公司渭南供电公司检查重要信息系统和政府网站安全工作检查组通过听取工作汇报查阅资料等方式, 详细了解了国网渭南供电公司信息化管理的基本情况, 对该公司信息安全工作给予了充分肯定, 并指出, 该公司高度重视网络安全工作, 根据专业特点和工作实际, 成立了隐患排查治理领导小组, 紧紧围绕隐患排查制度化规范化常态化的工作目标, 以建机制查隐患抓治理防事故为主线, 周密部署, 制定方案, 进一步加强了信息网络运维的标准化建设检查组强调, 该公司在加强运维人员安全意识的培训的同时, 全面提升了员工的信息安全防范意识与技能最后, 检查组要求注重过程, 确保务求实效为了使信息安全工作落到实处, 以查思想认识查责任落实查制度执行查隐患整改查监督考核为重点开展安全隐患排查工作以安全生产六不发生, 一确保为目标, 全面排查分析安全薄弱环节和事故隐患, 采取治理防范措施, 制定应急措施和预案, 加强网络与信息系统安全管理技术和人才队伍建设, 切实保障电力网络与信息系统安全, 维护电力系统安全稳定运行 6

9 网络安全事件与威胁 1 Skype 回应官方帐号遭黑事件称用户信息安全凤凰科技讯北京时间 1 月 3 日消息, 据路透社报道, 当地时间本周三 Skype 的社交媒体帐号及官方博客帐号遭到黑客组织叙利亚电子军 (SEA) 的攻击, 并发出停止监控远离微软 (Hotmail Outlook) 服务等推文博文 Skype 迅速夺回对帐号的控制, 并对此事件作出回应, 承认公司受到了网络攻击, 但并未出现用户信息泄漏的情况周三,Skype 官方 Twitter 帐号发出了内容为不要使用微软 , 它们在监视你的帐号, 并把数据卖给政府后续披露更多细节 # 叙利亚电子军很快 Skype 的 Facebook 主页官方博客也出现了相似言论 SEA 还在推文中公布了微软即将卸任的 CEO 史蒂夫鲍尔默 (Steve Ballmer) 的联系方式, 称通过这个, 你可以去感谢微软监视了你的帐户 / 电子邮件 SEA 此举, 很有可能与美国棱镜项目有关周四 Skype 公布的一份声明称 : 我们最近发现,Skype 的社交媒体帐号受到了有针对性的网络攻击, 但很快就恢复如初没有出现用户信息泄露值得一提的是, 过去一年, 包括纽约时报英国广播公司多次遭到 SEA 或其他黑客团体的攻击, 而美国国家安全局 (NSA) 监控的合法性也遭到法院质疑新版上线就曝漏洞为配合新一轮的春运工作, 新版中国铁路客户服务中心网站两天前正式上线试运行不过, 就在上线第一天 (12 月 6 日 ), 擅长挑刺的 IT 高手们就发现新版网站存在漏洞漏洞发现者指出,12306 网站漏洞泄露用户信息, 可查询登录名邮箱姓名身份证以及电话等隐私信息另一个漏洞的发现者也曝出新版网站存在多个订票逻辑漏洞, 该漏洞可能导致后期订票软件泛滥, 造成订票不公 7

10 三本期行业动态中国网络安全大会伴随着虚拟化大数据云应用等的广泛应用, 尤其是近期曝光的斯诺登 " 棱镜门 " 事件, 引爆了全社会对互联网信息安全的强烈关注, 与此同时, 还没结束的 2013 年已经被人们扣上了网络安全漏洞之年的帽子让中国瞬间感受到了安全问题的严重性和采用可信产品的重要性整个安全产业即将进入一个全新的领域, 网络安全企业也正面对技术变革和开拓新市场的机遇和挑战近日, 由赛可达实验室 - 西海岸实验室 ( 中国 ) 和中关村海外科技园主办 2013 中国网络安全大会在北京召开本次大会主题即为全球化的网络安全挑战机遇作为三中全会成立国家安全委员会之后, 首次高规格的网络安全大会, 不但吸引了包括安恒信息在内的网络安全领域的领军人物专家学者的关注与参与, 也吸引了一批风险投资人士的注目如今, 大数据安全已经成了业界人所共知的名词, 各种探讨信息安全的会议论坛无不谈及大数据安全大数据安全究竟给信息安全产业带来了怎样的变革? 信息安全的未来趋势非大数据莫属吗? 2013 年是企业大规模采用大数据技术的一年, 对于大数据来讲, 重点不是数据, 而是应该如何处理这些数据对这些数据进行分析获取所需要的情报信息大数据不仅对于机构是一项严峻挑战, 对于安全团队同样提出了更高要求过去, 对于加强安全性的迫切需求一直驱使人们收集分析越来越多的事件和安全数据安恒信息安全服务部总监刘志乐先生在大数据时代网络安全防范技术发展趋势演讲中讲到, 在网络空间中大数据成为更容易被发现的大目标, 承载着越来越多的关注度一方面, 大数据不仅意味着海量的数据, 也意味着更复杂更敏感的数据, 这些数据会吸引更多的潜在攻击者, 成 8

11 为更具吸引力的目标另一方面, 数据的大量聚集, 使得黑客一次成功的攻击能够获得更多的数据, 无形中降低了黑客的进攻成本在企业用数据挖掘和数据分析等大数据技术获取商业价值的同时, 黑客也正在利用这些据技术向企业发起攻大数击黑客利用大数据将攻击很好地隐藏起来, 使传统的防护策略难以检测出来传统的检测是基于单个时间点进行的基于威胁特征的实时匹配检测, 而高级可持续攻击 (APT) 是一个实施过程, 并不具有能够被实时检测出来的明显特征, 无法被实时检测同时,APT 攻击代码隐藏在大量数据中, 让其很难被发现此外, 大数据的价值低密度性, 让安全分析工具很难聚焦在价值点上, 黑客可以将攻击隐藏在大数据中, 给安全服务提供商的分析制造了很大困难黑客设置的任何一个会误导安全厂商目标信息提取和检索的攻击, 都会导致安全监测偏离应有的方向在带来了新安全风险的同时也为信息安全的发展提供了新机遇大数据正在为安全分析提供新的可能性, 网络攻击行为总会留下蛛丝马迹, 这些痕迹都以数据的形势隐藏在大数据中, 利用大数据技术整合计算和处理资源有助于更有针对性的应对信息安全威胁, 使得网络攻击行为无所遁形, 有助于找到发起攻击的源头 2 支付宝回应前员工倒卖用户信息: 不涉及用户隐私安全 1 月 4 日, 针对今日有媒体报道, 支付宝前员工倒卖海量用户信息一事, 支付宝回应称, 据李某自述, 其销售的数据为 2010 年之前不含密码不含核心身份信息的部分非敏感交易内容, 不涉及用户隐私及安全此外, 支付宝还称, 其对于敏感数据, 如身份证信息卡号密码等全部采用先进加密技术处理, 无论是在该事件之前还是之后, 任何人都无法获取 9

12 四本期被篡改网站根据网络监测数据, 列举如下几个被篡改的网站 : web.4399.com/ 10

13 五本期病毒木马疫情 Trojan.DL.Win32.Undef.tlb( 安德夫木马病毒 ) 该病毒通过网络硬盘及社交分享功能传播, 病毒运行后, 将后台连接黑客指定另一网盘地址, 下载 15 款推广软件至 C 盘 Program Files 目录下运行, 并强制在电脑中进行安装最后, 病毒将删除推广软件自带的卸载功能, 使用户无法通过普通常用手段卸载该类软件, 因此用户电脑一旦中毒, 就将面临被强制安装垃圾软件电脑运行速度变慢等问题 11

14 六安全防范措施系统防护 1 使用安全卫士扫描系统漏洞, 并安装系统补丁, 定期清理恶意插件及系统垃圾文件 2 关闭操作系统默认共享, 普通共享文件必须设置安全权限 3 重命名系统管理员帐户, 禁用 guest 等使用频率低的帐户, 慎用管理员组, 所有开放的帐户设置强壮密码 ( 字母 + 数字 + 特殊字符 ) 4 关闭操作系统不需要的服务和不安全的端口, 优化本地安全策略, 严格设置权限分配 5 安装反病毒软件, 及时升级病毒库病毒防护 1 开启反病毒软件全面监控功能, 定期全盘扫描查杀病毒 2 禁用 U 盘等移动存储设备自动播放功能, 使用 U 盘移动硬盘前需要先对其进行病毒检查 3 不轻易打开不明邮件( 附件 ) 及不明网站链接, 避免从非专业网站下载软件, 黑客可能会通过社会工程学的攻击方式传播病毒数据保护 1 对重要数据做好备份, 以免数据因系统中毒而丢失 2 对于保密级的业务数据, 建议采用加密存储, 备份介质进行异地存放 12

15 2 对于保密级的业务数据, 建议采用加密存储, 备份介质进行异地存放 13

蓝盾

蓝盾信息安全周报本期提要一本期网络安全业界资讯二本期行业动态三本期被篡改政府网站四本期重要安全漏洞五本期病毒木马疫情六安全防范措施一本期网络安全业界资讯政府监管和政策法规动态 1 发改委组织实施国家信息安全专项为了贯彻落实国务院关于大力推进信息化发展和切实保障信息安全的若干意见的工作部署, 针对金融云计算与大数据信息系统保密管理工业控制等领域面临的信息安全实际需要,

蓝 盾

蓝盾