安全公告 - PDF 免费下载

信息安全漏洞威胁通报领先的应用安全及数据库安全整体解决方案提供商第 1 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

信息安全漏洞威胁通报安恒信息信息安全漏洞威胁通报 2016 年第 27 期 2016.07.14-2016.07.20 根据中国国家信息安全漏洞库统计, 本周共收集整理信息安全漏洞 201 个, 其中高危漏洞 103 个中危漏洞 83 个低危漏洞 15 个本周收录的漏洞中, 涉及 0day 漏洞 23 个 ( 占 11%) 其中互联网上出现 WECONLeviStudio 堆缓冲区溢出漏洞 Apache struts2 devmod e 远程代码执行漏洞等零日漏洞, 请使用相关产品的用户注意加强防范近期,CNVD 发布了关于 Apache Struts2 存在 devmode 远程代码执行漏洞的安全公告, 关于 Spring Boot 框架存在 SPEL 表达式注入漏洞的安全公告请关注 2.3 章节和 2.4 章节查看详细信息二零一六年七月二十日领先的应用安全及数据库安全整体解决方案提供商第 2 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

信息安全漏洞威胁通报目录 1 漏洞预警...5 1.1 漏洞概况... 5 1.2 漏洞增长数量及种类分布情况... 7 1.2.1 漏洞产生原因 (2016 年 07 月 14 日 -2016 年 07 月 20 日 )... 7 1.2.2 漏洞引发的威胁 (2016 年 07 月 14 日 -2016 年 07 月 20 日 ). 7 1.2.3 漏洞影响对象类型 (2016 年 07 月 14 日 -2016 年 07 月 20 日 )8 1.2.4 漏洞严重程度 (2016 年 07 月 14 日 -2016 年 07 月 20 日 )... 8 1.3 漏洞预警... 9 1.3.1 TeamPass SQL 注入漏洞... 9 1.3.2 Linux util-linux 本地提权漏洞... 10 1.3.3 Drupal Coder 远程代码执行漏洞... 11 1.3.4 Apache XML-RPC 远程代码执行漏洞... 12 1.3.5 JetBrains PyCharm Professional 本地代码执行漏洞... 13 1.3.6 Adobe Flash Player 内存破坏漏洞... 14 1.3.7 Android 本地安全绕过漏洞... 15 1.3.8 Android Qualcomm 组件提权漏洞... 16 1.3.9 Spring Boot 框架 SPEL 表达式注入漏洞... 17 1.3.10 Microsoft Windows Win32k 权限提... 18 2 病毒及 0day 预警...20 2.1 本周流行网络病毒预警... 20 2.1.1 Trojan.Win32.VBCode.fio( 木马病毒 )... 20 2.1.2 Trojan.Win32.Fednu.diu( 木马病毒 )... 20 2.1.3 Worm.Win32.Agent.yzs( 蠕虫病毒 )... 21 2.1.4 Trojan.Win32.BHO.gdz( 木马病毒 )... 21 2.2 病毒防范措施... 22 2.3 关于 Apache Struts2 存在 devmode 远程代码执行漏洞的安全公告... 23 2.3.1 漏洞概述... 23 2.3.2 漏洞影响范围及修复建议... 24 2.4 关于 Spring Boot 框架存在 SPEL 表达式注入漏洞的安全公告... 25 2.4.1 漏洞概述... 25 2.4.2 漏洞影响范围及修复建议... 26 2.5 关于 httpoxy 远程代理感染漏洞分析... 27 2.5.1 漏洞概述... 27 2.5.2 漏洞影响范围及修复建议... 27 3 网站安全及安全事件...29 3.1 钓鱼与挂马网站统计... 29 3.2 网站安全防护建议... 31 领先的应用安全及数据库安全整体解决方案提供商第 3 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

信息安全漏洞威胁通报 4 安全资讯...32 4.1 国内安全资讯... 32 4.1.1 信息安全行业点评报告 : 南海仲裁结果刺激信息安全建设提速 32 4.1.2 大麦网遭撞库致用户信息被窃 39 人被骗超百万... 33 4.1.3 1.4 亿小米手机受远程执行代码漏洞影响... 35 4.1.4 杭州 : 为创业高地涵养人才生态... 37 4.1.5 国泰君安 : 互联网安全大会召开在即安全行业升温... 40 4.2 国际安全资讯... 42 4.2.1 美国政府计划今年新增 3500 名联邦网络安全人才... 42 4.2.2 匿名者 (Anonymous) 组织成功入侵南非国防局武器供应商服务器... 45 4.2.3 美国下月将举办机器人黑客 VS. 人类黑客网络挑战赛... 47 4.2.4 找黑客来攻破自己的系统克莱斯勒真会玩... 50 4.2.5 声称来自中国的黑客组织攻击了两家菲律宾政府网站... 51 4.2.6 黑客通过语音验证漏洞每年可从 Google Facebook 和微软盗窃数百万欧元... 52 4.2.7 欧盟成立网络安全投资项目 Horizon 2020... 53 4.2.8 微软修复 20 多年的老漏洞 :Win95 时就存在了... 54 4.2.9 美国国家安全局为加固网络寻求商业解决方案... 57 4.2.10 超过 17 万台互联网 ICS 主机存在漏洞... 58 关于安恒...59 注 : 本通报根据安恒信息风暴中心和国内各大信息安全机构网站整理分析而成请关注安恒风暴中心领先的应用安全及数据库安全整体解决方案提供商第 4 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

漏洞预警 1 漏洞预警 1.1 漏洞概况本周漏洞趋势图本周,CNVD 收录了 201 个漏洞其中操作系统漏洞 102 个, 应用程序漏洞 88 个,web 应用漏洞 9 个, 网络设备漏洞 1 个, 安全产品漏洞 1 个漏洞影响对象类型漏洞数量操作系统漏洞 102 应用程序漏洞 88 Web 应用漏洞 9 网络设备漏洞 1 安全产品漏洞 1 领先的应用安全及数据库安全整体解决方案提供商第 5 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

漏洞预警领先的应用安全及数据库安全整体解决方案提供商第 6 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

漏洞预警 1.2 漏洞增长数量及种类分布情况 1.2.1 漏洞产生原因 (2016 年 07 月 14 日 -2016 年 07 月 20 日 ) 1.2.2 漏洞引发的威胁 (2016 年 07 月 14 日 -2016 年 07 月 20 日 ) 领先的应用安全及数据库安全整体解决方案提供商第 7 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

漏洞预警 1.2.3 漏洞影响对象类型 (2016 年 07 月 14 日 -2016 年 07 月 20 日 ) 1.2.4 漏洞严重程度 (2016 年 07 月 14 日 -2016 年 07 月 20 日 ) 领先的应用安全及数据库安全整体解决方案提供商第 8 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

漏洞预警 1.3 漏洞预警 1.3.1 TeamPass SQL 注入漏洞发布时间 : 2016-07-19 更新时间 : 2016-07-19 受影响产品 : TeamPass TeamPass 2.1.26 TeamPass TeamPass 2.1.25 TeamPass TeamPass 2.1.24 危害级别 : 攻击途径 : 攻击复杂度 : 漏洞描述 : 高远程网络低 TeamPass 是一款专用于 Apache MySQL 和 PHP 中的密码管理器 TeamPass 2.1.26 2.1.25 及 2.1.24 版本中存在 S QL 注入漏洞, 该漏洞源于程序在构造 SQL 查询语句时未能正确地过滤用户提交的输入攻击者可利用该漏洞完全控制程序, 访问或修改数据安全建议 : 目前厂商已经发布了升级补丁以修复此安全问题, 详情请关注厂商主页 : http://teampass.net/ 领先的应用安全及数据库安全整体解决方案提供商第 9 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

漏洞预警 1.3.2 Linux util-linux 本地提权漏洞发布时间 : 2016-07-18 更新时间 : 2016-07-18 漏洞编号 : 受影响产品 : 危害级别 : 攻击途径 : 攻击复杂度 : 漏洞描述 : CVE(CAN) ID: CVE-2016-2781 Linux util-linux 高本地低 Linux util-linux 是一套用在 Linux 系统中并包含了多种系统管理工具的软件包 Linux util-linux 存在安全漏洞, 允许本地攻击者利用该漏洞提升权限安全建议 : 目前厂商暂未发布修复措施解决此安全问题, 建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法 : http://www.kernel.org/pub/linux/utils/utillinux/ 领先的应用安全及数据库安全整体解决方案提供商第 10 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

漏洞预警 1.3.3 Drupal Coder 远程代码执行漏洞发布时间 : 2016-07-18 更新时间 : 2016-07-19 受影响产品 : Drupal Coder module 7.x-1.x<7.x-1.3, 7.x-2.x<7.x-2.6. 危害级别 : 攻击途径 : 攻击复杂度 : 漏洞描述 : 高远程网络中 Drupal 是 Drupal 社区所维护的一套用 PHP 语言开发的免费开源的内容管理系统 ;Coder 是 Drupal 的编码器模块 Drupal Coder 模块存在远程代码执行漏洞由于该模块未充分验证用户输入的脚本文件, 未经验证的攻击者利用漏洞可直接向该脚本文件发送请求, 导致任意 PHP 代码执行安全建议 : 厂商已发布修复方案, 请及时下载更新 : https://www.drupal.org/project/coder 领先的应用安全及数据库安全整体解决方案提供商第 11 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

漏洞预警 1.3.4 Apache XML-RPC 远程代码执行漏洞发布时间 : 2016-07-18 更新时间 : 2016-07-18 受影响产品 : 漏洞编号 : 危害级别 : 攻击途径 : 攻击复杂度 : 漏洞描述 : Apache XML-RPC CVE(CAN) ID: CVE-2016-5003 高远程网络低 Apache XML-RPC 是美国阿帕奇 (Apache) 软件基金会的一套简单的轻量级的通过 HTTP 协议进行 RP C 通信的规范 Apache XML-RPC 中存在远程代码执行漏洞, 攻击者可利用该漏洞在受影响应用程序中执行任意代码安全建议 : 目前厂商暂未发布修复措施解决此安全问题, 建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法 : http://ws.apache.org/xmlrpc/ 领先的应用安全及数据库安全整体解决方案提供商第 12 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

漏洞预警 1.3.5 JetBrains PyCharm Professional 本地代码执行漏洞发布时间 : 2016-07-19 更新时间 : 2016-07-19 受影响产品 : 危害级别 : 攻击途径 : 攻击复杂度 : 漏洞描述 : JetBrains PyCharm Professional 高本地低 JetBrains PyCharm( 又名 python ide) 是捷克 Je tbrains 公司的一套 Python 开发工具 Professio nal 是其中的一个专业版 JetBrains PyCharm Professional 中存在本地代码执行漏洞本地攻击者可利用该漏洞在受影响应用程序上下文中执行任意代码, 或造成拒绝服务安全建议 : 目前厂商暂未发布修复措施解决此安全问题, 建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法 : https://www.jetbrains.com/pycharm/ 领先的应用安全及数据库安全整体解决方案提供商第 13 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

漏洞预警 1.3.6 Adobe Flash Player 内存破坏漏洞发布时间 : 2016-07-18 更新时间 : 2016-07-18 受影响产品 : Adobe Flash Player <18.0.0.366 Adobe Flash Player(on Linux) <11.2.202.632 Adobe Flash Player (on Windows and OS X) >=19.*,<=22.0.0.209 漏洞编号 : 危害级别 : 攻击途径 : 攻击复杂度 : 漏洞描述 : CVE(CAN) ID: CVE-2016-4184 高远程网络低 Adobe Flash Player 是美国奥多比 (Adobe) 公司的一款跨平台基于浏览器的多媒体播放器产品该产品支持跨屏幕和浏览器查看应用程序内容和视频 Adobe Flash Player 中存在内存破坏漏洞攻击者可利用该漏洞执行任意代码或造成拒绝服务 ( 内存破坏 ) 领先的应用安全及数据库安全整体解决方案提供商第 14 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

漏洞预警安全建议 : 用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞 : https://helpx.adobe.com/security/products/f lash-player/apsb16-25.html 1.3.7 Android 本地安全绕过漏洞发布时间 : 2016-07-18 更新时间 : 2016-07-18 漏洞编号 : 受影响产品 : 危害级别 : 攻击途径 : 攻击复杂度 : 漏洞描述 : CVE(CAN) ID: CVE-2016-3254 Google Android 高远程网络低 Android 是美国谷歌 (Google) 公司和开放手持设备联盟 ( 简称 OHA) 共同开发的一套以 Linux 为基础的开源操作系统 Android 中存在本地安全绕过漏洞, 本地攻击者可利用该漏洞绕过安全限制, 执行未授权操作安全建议 : 目前厂商已经发布了升级补丁以修复此安全问题, 详情请关注厂商主页 : https://www.android.com/ 领先的应用安全及数据库安全整体解决方案提供商第 15 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

漏洞预警 1.3.8 Android Qualcomm 组件提权漏洞发布时间 : 2016-07-15 更新时间 : 2016-07-15 漏洞编号 : CVE(CAN) ID: CVE-2013-7457 受影响产品 : Google Android <2016-07-05 危害级别 : 攻击途径 : 攻击复杂度 : 漏洞描述 : 高远程网络低 Android 是美国谷歌 (Google) 公司和开放手持设备联盟 ( 简称 OHA) 共同开发的一套以 Linux 为基础的开源操作系统 Qualcomm 是使用在其中的一个美国高通 (Qualcomm) 公司的设备专用的高通组件 Android 2016-07-05 之前版本中的 Qualcomm 组件存在提权漏洞, 攻击者可借助特制的应用程序, 利用该漏洞获取特权安全建议 : 目前厂商已经发布了升级补丁以修复这个安全问题, 请到厂商的主页下载 : https://source.android.com/security/bulleti n/2016-07-01.html 领先的应用安全及数据库安全整体解决方案提供商第 16 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

漏洞预警 1.3.9 Spring Boot 框架 SPEL 表达式注入漏洞发布时间 : 2016-07-14 更新时间 : 2016-07-14 受影响产品 : Spring Spring Boot >=1.1,<=1.3.0 危害级别 : 攻击途径 : 攻击复杂度 : 漏洞描述 : 高远程网络低 Spring 是一款轻量级 Java 开发框架 Spring Boot 是 Spring 的一个核心子项目, 其设计目的是用于简化新 Spring 应用的初始搭建以及开发过程 Spring Boot 框架 SPEL 表达式注入漏洞由于用户采用了 Spring Boot 启动 Spring MVC 项目后, Spring Boot 的默认异常模板处理异常信息时, 导致可 SPEL 表达式注入并执行远程攻击者利用漏洞可在服务器端执行任意代码安全建议 : 厂商已发布了升级程序修复该漏洞,CNVD 建议用户将程序升级至 Spring Boot 1.3.1 及以上版本 : https://github.com/spring-projects/spring-b oot/commit/edb16a13ee33e62b046730a47843cb5d c92054e6 领先的应用安全及数据库安全整体解决方案提供商第 17 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

漏洞预警 1.3.10 Microsoft Windows Win32k 权限提发布时间 : 2016-07-14 更新时间 : 2016-07-17 受影响产品 : Microsoft Windows Server 2008 R2 SP1 Microsoft Windows Server 2008 SP2 Microsoft Windows 7 SP1 Microsoft Windows Vista sp2 Microsoft Windows 8.1 Microsoft Windows Server 2012 R2 Microsoft Windows RT 8.1 Microsoft Windows server 2012 Gold Microsoft Windows 10 Gold Microsoft Windows 10 1511 漏洞编号 : 危害级别 : 攻击途径 : 攻击复杂度 : 漏洞描述 : CVE(CAN) ID: CVE-2016-3249 高本地低 Microsoft Windows 是美国微软 (Microsoft) 公司发布的一系列操作系统 kernel-mode drivers 是其中的一个内核驱动管理软件 Microsoft Windows 内核模式驱动程序中存在权限领先的应用安全及数据库安全整体解决方案提供商第 18 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

漏洞预警提升漏洞, 该漏洞源于程序无法正确处理内存中的对象本地攻击者可利用该漏洞在内核模式下运行任意代码安全建议 : 目前厂商已经发布了升级补丁以修复此安全问题, 补丁获取链接 : http://technet.microsoft.com/security/bulle tin/ms16-090 领先的应用安全及数据库安全整体解决方案提供商第 19 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

病毒及 0DAY 预警 2 病毒及 0day 预警 2.1 本周流行网络病毒预警 2.1.1 Trojan.Win32.VBCode.fio( 木马病毒 ) 警惕程度病毒运行后查找主流杀毒软件进程, 并尝试将其结束同时病毒还将修改用户的注册表, 以便实现开机自启动除此之外, 该病毒还在后台连接黑客指定网址, 并为恶意网址刷流量, 占用大量网络资源用户一旦中毒, 有可能出现网络拥堵等现象 2.1.2 Trojan.Win32.Fednu.diu( 木马病毒 ) 警惕程度病毒运行后查找主流杀毒软件进程, 并尝试将其结束同时病毒还将修改用户的注册表, 以便实现开机自启动除此之外, 该病毒还在后台连接黑客指定网址, 并为恶意网址刷流量, 占用大量网络资源用户一旦中毒, 有可能出现网络拥堵等现象领先的应用安全及数据库安全整体解决方案提供商第 20 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

病毒及 0DAY 预警 2.1.3 Worm.Win32.Agent.yzs( 蠕虫病毒 ) 警惕程度病毒通过在系统关键目录下释放伪装的自身副本, 并以系统关键进程命名, 然后添加其自启动的方式侵入用户电脑, 并借由用户主动下载网页挂马即时通信软件传播等途径释放的自身副本, 交叉感染系统电脑中毒后, 用户将面临隐私信息被盗等问题 2.1.4 Trojan.Win32.BHO.gdz( 木马病毒 ) 警惕程度病毒运行后查找主流杀毒软件进程, 并尝试将其结束同时病毒还将修改用户的注册表, 以便实现开机自启动除此之外, 该病毒还在后台连接黑客指定网址, 并为恶意网址刷流量, 占用大量网络资源用户一旦中毒, 有可能出现网络拥堵等现象领先的应用安全及数据库安全整体解决方案提供商第 21 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

病毒及 0DAY 预警 2.2 病毒防范措施计算机用户在浏览 Web 网页时, 务必打开计算机系统中防病毒软件的网页监控功能同时, 计算机用户应及时下载安装操作系统已安装应用软件的最新漏洞补丁或新版本, 防止恶意木马利用漏洞进行入侵感染操作系统同时网络管理人员也要定期维护升级网站服务器, 检查服务器所存在的漏洞和安全隐患, 进行及时地修复和加固用户使用杀毒软件务必即时充分升级, 每天升级 2 到 3 次以上, 以保证病毒库获取最新信息警惕不明网站陌生邮件, 尤其注意邮件附件而对于重点网站, 或者热门网站, 如政府网站和各大媒体网站论坛, 很有可能被利用现有的漏洞进行挂马, 或跳转到其他恶意网站做好系统和重要数据的备份不浏览不良网站, 不随意下载安装可疑插件 ; 不接收 QQ 邮件微博私信等传来的可疑文件领先的应用安全及数据库安全整体解决方案提供商第 22 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

病毒及 0DAY 预警 2.3 关于 Apache Struts2 存在 devmode 远程代码执行漏洞的安全公告 2.3.1 漏洞概述近日, 互联网中出现了 Apache struts2 devmode 远程代码执行漏洞 (CNVD-2016-04656) 该漏洞产生的原因是由于开启了 devmode 模式且 Apache Struts 2 官方以往修复措施未完善 ( 溯及 S2-008 漏洞 ), 远程攻击者利用该漏洞可执行任意命令, 进而控制服务器主机 Struts2 是第二代基于 Model-View-Controller(MVC) 模型的 java 企业级 web 应用框架, 并成为当时国内外较为流行的容器软件中间件为了便于开发人员调试程序,Struts2 提供了 devmode 模式, 可以方便查看程序错误以及日志等信息根据分析, 在 2.3.28 及之前版本中, devmode 开启时, DebuggingInterceptor 类会检测提交的 debug 参数是否包含 console command browser 这三个 MODE 通过分析代码发现, command browser 这两个 MODE 调用了 stack.findvalue 方法, 可构造特定数据作为 ognl 表达式执行, 使得 Apache Struts S2-008 漏洞一直延续到 2.3.28 版本 Apache Struts 官方对 2.3.28 以后的版本代码做了修改, 加强了对 OGNL 链式表达式的过滤, 但通过对其安全机制研究, 发现新的绕过缺陷, 并能执行远程指令完成 HTTP 回显领先的应用安全及数据库安全整体解决方案提供商第 23 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

病毒及 0DAY 预警 2.3.2 漏洞影响范围及修复建议受漏洞影响的版本 Struts 2.1.0--2.5.1 且开启 devmode 模式的用户根据抽样测试结果, 受影响的 Apache Struts2 服务器比例约为 3%-4%, 目前一些民间漏洞报告平台已经有相关漏洞的案例报告此漏洞有可能被快速利用 ( 制造出攻击利用代码 ) 发起大规模检测或攻击根据 Apache Struts2 官方反馈, 对于该风险未给予新的安全公告编号, 只建议用户关闭 devmode 模式 ( 在配置文件中将 devmode 设置为 false) 用户可参照如下进行修改: 将 struts.properties 中的 devmode 设置为 false, 或是在 struts.xml 中添加如下代码 :<constant name="struts.devmode" value="false" /> 领先的应用安全及数据库安全整体解决方案提供商第 24 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

病毒及 0DAY 预警 2.4 关于 Spring Boot 框架存在 SPEL 表达式注入漏洞的安全公告 2.4.1 漏洞概述近日, 互联网中出现了 Spring Boot 框架存在的 SPEL 表达式注入漏洞 (CNVD-2016-04742) 远程攻击者利用漏洞可在服务器端执行相关指令或代码, 有可能远程渗透控制网站服务器由于该应用框架使用范围广泛, 因此可能会构成较高的安全威胁 Spring 是一款轻量级 Java 开发框架 Spring Boot 是 Spring 的一个核心子项目, 其设计目的是用于简化新 Spring 应用的初始搭建以及开发过程由于 SpelView 类中的 exactmatch 参数未严格过滤,Spring Boot framework 对异常处理不当在同时开启 whitelabel page, 会造成异常请求中注入 SPEL 执行当用户采用 Spring Boot 启动 Spring MVC 项目后,Spring Boot 默认异常模板在处理异常信息时, 会递归解析 SPEL 表达式, 可导致 SPEL 表达式注入并执行攻击者利用此漏洞, 通过 SPEL 即可在服务器端实现指令注入 ( 执行代码 ) 领先的应用安全及数据库安全整体解决方案提供商第 25 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

病毒及 0DAY 预警 2.4.2 漏洞影响范围及修复建议受漏洞影响 Spring Boot 1.1-1.3.0 版本, 使用上述版本框架构建的网站可能受漏洞影响目前, 互联网上已披露了该漏洞的利用代码厂商已发布了升级程序修复该漏洞, 建议用户将程序升级至 Spring Boot 1.3.1 及以上版本更新地址 : https://github.com/spring-projects/spring-boot/commit/ed b16a13ee33e62b046730a47843cb5dc92054e6 领先的应用安全及数据库安全整体解决方案提供商第 26 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

病毒及 0DAY 预警 2.5 关于 httpoxy 远程代理感染漏洞分析 2.5.1 漏洞概述近日, 爆出 httpoxy 漏洞, 该漏洞主要存在于 apache 等组件中, 原理是将 HTTP 头部的 Proxy 字段名变换为 HTTP_PROXY,Value 值不变, 并传递给对应的 CGI 来执行如果 CGI 或者脚本中使用对外请求的组件依赖的是 HTTP_PROXY 这个环境变量, 那就可能被污染, 并导致相关数据被牵引至入侵者设定的代理服务器从而引发泄露 2.5.2 漏洞影响范围及修复建议此漏洞将会使受到影响的 web 服务器代理配置遭到污染, 引发数据被监听的后果但根据目前的情况来看, 需要结合用户真实环境对 Proxy 环境变量的调用来确定危害的等级, 如果用户仅仅是用来做简单的代理请求, 那么会发生敏感信息泄露目前漏洞有以下几种利用方式 : (1) 根据应用代码对 HTTP_PROXY 环境变量的引用范围 (2) 目前互联网中已经有新的利用方式, 如结合其它远程命令执行漏洞对服务器的代理配置进行攻击, 更多的利用方式还请及时关注 (1) 目前 REDHAT 官网已经给出此漏洞的修复建议, 可参考此站点对漏洞进行修复 : 领先的应用安全及数据库安全整体解决方案提供商第 27 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

病毒及 0DAY 预警 https://access.redhat.com/security/vulnerabilities/http oxy (2) 修改相关代码严格过滤服务器对外请求 (3) 安恒风暴中心玄武盾最新策略已经支持此漏洞的防御, 同时, 也可使用明御 WEB 应用防火墙 ( 已经部署使用的用户需要更新到最新版本的规则 ) 进行防御, 具体项目可联系项目技术负责人其他相关参考资料 :https://httpoxy.org/ 领先的应用安全及数据库安全整体解决方案提供商第 28 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

网站安全防护建议 3 网站安全及安全事件 3.1 钓鱼与挂马网站统计本周关注的钓鱼网站 : 图 1 截止 7 月 18 日全国遭受挂马和钓鱼网站攻击人数趋势图钓鱼网站类型危害网址假冒 yahoo 邮箱类钓鱼网站假冒 Paypal 邮箱类钓鱼网站假冒腾讯游戏类钓鱼网站骗取用户邮箱账号及密码信息骗取用户邮箱账号及密码信息虚假软件信息, 骗取用户账号及密码信息 http://www.bsa452.org/old /rogersmain/jpg/yahoo/ http://adesivosdeparedebr.com.br/login/ http://www.dnf4s.com/ 领先的应用安全及数据库安全整体解决方案提供商第 29 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

网站安全防护建议钓鱼网站类型危害网址假冒 Adobe 邮箱类钓鱼网站假冒腾讯游戏类钓鱼网站假冒 Gmail 邮箱类钓鱼网站骗取用户邮箱账号及密码信息虚假软件信息, 骗取用户账号及密码信息骗取用户邮箱账号及密码信息 http://awuziestmatthew.or g/santino-adb-tr-lk-updt0-24-6-16/ http://www.dnf4s.com/ http://www.floorworksandp lus.com/cdf-ltd/ 领先的应用安全及数据库安全整体解决方案提供商第 30 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

网站安全防护建议 3.2 网站安全防护建议安恒信息作为一家致力于 WEB 应用安全的专业产品和服务提供商, 建议用户进行以下安全建设, 以长期保证用户应用信息系统的安全 1 使用专业的网站安全服务, 实时监测网站安全状态, 风暴中心使用自动化安全监测技术和安全工程师双重监测, 进行并提供 7*24 人工值守服务, 保障用户网站安全同时, 用户可根据监测结果针对性要求开发与安全运维人员为网站进行加固 2 配备专业的 WEB 应用防火墙, 针对来自互联网的主流 WEB 应用安全攻击进行安全防护 3 使用专业的 WEB 云安全防御服务, 及时对 0day 漏洞防御策略进行更新, 第一时间防御漏洞攻击, 快速保障网站安全 4 建立和完善一套有效的安全管理制度, 对信息系统的日常维护和使用进行规范 5 建立起一套完善有效的应急响应预案和流程, 并定期进行应急演练, 一旦发现发生任何异常状况可及时进行处理和恢复, 有效避免网站业务中断带来损失 6 定期对相关管理人员和技术人员进行安全培训, 提高安全技术能力和实际操作能力领先的应用安全及数据库安全整体解决方案提供商第 31 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

安全资讯 4 安全资讯 4.1 国内安全资讯 4.1.1 信息安全行业点评报告 : 南海仲裁结果刺激信息安全建设提速 7 月 12 日, 南海仲裁案最终裁决判菲律宾胜诉, 我国政府表示, 不论仲裁结果如何, 都不会影响中国在南海的主权和权益不论仲裁结果如何, 中国军队将坚定不移捍卫国家主权安全和海洋权益, 坚决维护地区和平稳定, 应对各种威胁挑战南海仲裁标志着中美全面进入对抗时期, 信息安全自主可控成为重中之重在信息化时代, 国家之间的博弈慢慢从现实空间转到了网络空间, 因为它成本更低隐蔽性更强, 网络空间已经成为继陆海空天之后的第五空间, 成为大国博弈的一个主战场以美国为代表的西方国家一直对其他国家尤其是中国的敏感数据有所觊觎, 在我国目前自主可控全国化程度较低网络安全建设水平相对落后的情况下, 对抗升级将大幅提高对信息安全的重视程度和建设速度我国近期信息安全相关政策频出, 信息安全推进进程有望提速网络安全法 ( 草案二次审议稿 ) 进行了审议, 目前已经进入公开征求意见阶段, 未来有望加速落地 ; 由中央网信办牵头, 首次全国范围的关键信息基础设施网络安全检查工作启动, 为构建关键信息基础设施安全保障体系提供基础性数据和参考 ; 党政办公国产化替代项目有望加速领先的应用安全及数据库安全整体解决方案提供商第 32 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

安全资讯落地, 十三五期间公务员用电脑实现全国产替换在政策需求产品成熟度多方面因素刺激下, 信息安全推进进程有望提速 4.1.2 大麦网遭撞库致用户信息被窃 39 人被骗超百万又有大量用户个人信息被泄露了, 这次涉及到大麦网近日, 因大麦网用户信息被窃取, 间接导致全国多地 39 名用户受骗, 损失金额达 147.42 万元, 单人受骗金额最高近 10 万元对此, 大麦网官方表示, 用户信息是因遭遇撞库而被窃取安全专家提醒, 不要在多个网站使用相同的用户名和密码, 最好定时更换密码骗子假冒客服设套骗钱近日, 有网友通过微博爆料称遭自称大麦网工作人员的电话诈骗, 被骗走 7.6 万元受骗者杨女士表示, 她接到大麦网客服打来的电话, 称由于误操作, 不慎给她的账号升级了 VIP 业务, 若不取消将从其银行卡中扣钱随后该客服报出杨女士的身份证号手机号和购票信息, 这打消了杨女士的怀疑随后杨女士又收到银行客服的电话, 让她在银行 ATM 机上按指令进行操作, 结果杨女士三张银行卡内的 7.6 万元被分两次转走领先的应用安全及数据库安全整体解决方案提供商第 33 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

安全资讯 7 月 15 日, 大麦网发布声明称, 绝不会对外泄露任何用户信息有些用户在不同网站使用相同的注册信息 ( 用户名和密码 ), 被不法分子使用撞库方法获取用户信息, 进而冒充客服人员实施诈骗, 导致部分用户遭受了经济损失经核实, 此次事件中, 造成经济损失的用户数量为 39 人, 总金额达 147.42 万元所谓撞库, 是指黑客收集网上已经泄露的用户数据, 针对目标网站用户登录页面不停地尝试登录, 只要有一次匹配成功, 就能窃取到用户信息如今, 冒充银行客服法院电视节目组的短信时常出现, 诈骗分子不仅语气口吻模仿到位, 发送诈骗短信的号码短信中的官网链接地址高仿程度也足以乱真保障信息安全法律存空白安全专家提醒, 面对高仿真诈骗短信, 用户要提高警惕, 对于中奖红包积分兑换等信息不要轻信, 遇到这些短信涉及财产问题, 可直接拨打 110 报案用户账户密码遭泄露, 责任该由谁承担? 艾媒咨询集团 CEO 张毅在接受羊城晚报记者采访时表示, 除了国家明确立法和严格的保护措施外, 用户要选择最安全的渠道使用软件并定期更换密码, 恐怕是最保险也是最妥善的保护目前司法实践中, 用户仅以密码被泄露侵害隐私权进行索赔, 多因举证不易金额较小等原因难以获得赔偿 IT 法律专家赵占领表示, 目前关于泄露用户数据的安全保障法律仍为空白此前工信部领先的应用安全及数据库安全整体解决方案提供商第 34 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

安全资讯直属的中国软件测评中心透露, 信息安全技术公共及商用服务信息系统个人信息保护指南已正式通过评审, 正报批国家标准但是, 有业内人士担心, 指南不是强制性标准, 甚至也不是推荐性标准, 其执行效力如何, 仍待观察 4.1.31.4 亿小米手机受远程执行代码漏洞影响小米智能手机正面临一个新型的远程执行代码 (RCE) 漏洞威胁, 该漏洞赋予攻击者对手机的完全控制权该漏洞存在于旧版 MIUI 分析套件中, 被 MIUI 的多个应用程式使用小米方面早些时候释出 MIUI 7.2 全球稳定版意图修补该漏洞, 并呼吁用户尽快更新远程执行代码漏洞该漏洞最先由 IBM X-Force 的研究员 David Kaplan 发现, 漏洞可使拥有网络访问权的攻击者, 通过例如咖啡馆 WiFi 这样的无线网络, 获取设备的完全控制权安全研究人员表示, 该远程代码执行漏洞存在于分析包中, 可被滥用于提供恶意 ROM 更新领先的应用安全及数据库安全整体解决方案提供商第 35 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

安全资讯我们发现, 该漏洞被 MIUI 的多个应用程式使用, 黑客透过漏洞发动中间人攻击, 以较高的 Android 系统权限从远端执行任意程式码安全专家称, 该漏洞可使攻击者注入一个 JSON 应答, 通过将 URL 和 md5 hash 替换成包含恶意代码的安卓应用包实现强制更新由于更新代码自身没有加密验证, 分析套件 (com.xiaomi.analytics) 将以攻击者提供的版本, 通过安卓的 DexClassLoader 机制, 替换其自身自定义 ROM 应用 com.cleanmaster.miui 中也发现了一个更深层次的代码注入漏洞, 可供攻击者用以获取系统级特权该 ROM 搭载在小米 ( 全球第三大智能手机制造商, 仅去年就出售 7000 万台设备 ) 制造的设备上, 也移植进了超过 340 种不同的手机, 包括 Nexus 三星和 HTC 受影响用户应尽快升级到 7.2 版本安卓手机的安全漏洞问题由来已久, 专业人士表示如果安卓系统开发者采取措施禁止第三方应用通过 DexClassLoader 动态库或其他方法执行未签名代码等, 可能会从根本上消除这样的漏洞但目前安卓系统的众多定制版本将会成为安卓手机安全防护的一大阻碍针对此次漏洞事件, 小米响应迅速, 已经成功发布了补丁不过虽然该漏洞已被修复, 但 IBM 估算, 在 2015 年小米出货的 7000 万台移动设备中, 未更新 MIUI7.2 的设备仍有很大比例, 可能领先的应用安全及数据库安全整体解决方案提供商第 36 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

安全资讯有数百万用户未受最新版本保护, 仍然受到该安全漏洞的危害并且由于 MIUI 还开放给非小米装置下载使用, 受影响用户数难以准确估计有媒体甚至以使用中的 1.7 亿部小米手机作为估计基数, 认为已经有高达 1.4 亿部的小米手机受到该漏洞的影响 4.1.4 杭州 : 为创业高地涵养人才生态以一流环境引一流人才, 以一流人才建一流城市近年来, 杭州不断在人才工作上下工夫, 通过政策创新服务优化来涵养人才生态, 为创业高地增添长久动力 2007 年初, 网络安全专家范渊从美国硅谷来到杭州滨江考察他发现钱塘江南岸的这片土壤上, 高新产业集聚, 创新创业涌动, 政务高效周到, 气质竟与硅谷颇为相似杭州政府官员的求贤若渴也让范渊印象深刻不到一周, 他就决定放弃硅谷一家知名安全公司的高管身份, 带着家人回国创业范渊的企业在滨江两间三年内免房租的孵化器中起步如今, 他所领导的杭州安恒信息技术有限公司, 员工已超过 700 人, 企业效益年均增幅 60% 以上领先的应用安全及数据库安全整体解决方案提供商第 37 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

安全资讯范渊说, 杭州为他提供了店小二式的服务, 一有问题都是随叫随到, 甚至连子女上学车牌补贴都考虑到了我们只管全身心创业去年, 杭州出台人才新政 27 条, 让范渊眼前一亮这一新政改变以往按领域划分人才, 而以能力水平和业绩贡献将人才分为 5 个层次, 并建立偏才专才认定机制, 使得人才在纵向横向上实现更大范围的覆盖这意味着不仅是像范渊这样的国家千人计划专家, 还包括他们公司的中高层管理人才, 都有望从中享受政策激励我们在引进人才时更有底气了范渊说创新创业不是单打独斗, 需要各种人才的相互配合, 杭州出台新政, 希望促成一个更加优良的人才生态杭州市委人才办有关负责人说记者留意到, 杭州人才新政力度空前, 其中提到, 对顶尖人才和团队的重大项目实行一事一议, 最高可获 1 亿元项目资助据介绍, 目前已有两个项目进入立项论证阶段此外, 为了消除一些事业编制人员裸体下海的顾虑, 杭州还建立浙江省杭州科技创新发展院, 拿出 100 个编制, 专门用于解决事业编制人员保留身份创业问题截至 2015 年底, 杭州全市依照新政共分类认定人才 1034 名, 发放人才创新创业资助 1.4 亿元, 资助培养高技能人才 7258 名领先的应用安全及数据库安全整体解决方案提供商第 38 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

安全资讯在杭州, 除了像范渊这样的高级人才, 众多大学生创业者也是人才生态的重要组成部分和涵养对象 2012 年, 杭州市人社局和浙大国家大学科技园管理委员会, 共同发起成立杭州大学生创业学院学员既有尚未成立公司但有创业热情的大学生, 也有公司估值上亿的毕业生这一创业学院被誉为大学生创业的黄埔军校今年 28 岁的宁波小伙儿张锴是学员之一, 他在上大学时就和同学以视频制作进行创业毕业两年后, 张锴辞职来杭创业, 并先后上过创业学院的雏鹰班强鹰班和精英班课程内容非常丰富, 包括政策解读理论知识一线实务等, 请的都是大腕一段学习时间后, 张锴调整了公司的战略我们之前一直帮别人做内容, 做一单收一单, 现在我们开始做栏目, 打品牌, 盈利方式完全变了目前, 张锴的杭州纳视传媒与腾讯联合出品了一档以游戏为载体的泛娱乐化栏目游点好玩, 覆盖重点城市的公交和地铁, 已累计触达 18 亿人次杭州还推出杰出创业人才培育计划, 重点面向初具规模实力初显良好发展潜力的大学生创业企业, 进行重点扶持和跟踪培养, 自 2012 年到 2015 年底, 已选拔四批 83 名培育对象杭州市委书记赵一德说, 引才育才, 不拼重金拼环境, 政府部门工作人员要不断提升服务意识能力水平领先的应用安全及数据库安全整体解决方案提供商第 39 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

安全资讯与企业打交道频繁的杭州市经信委, 自 2014 年 4 起开设经信大讲堂, 邀请省市领导大学教授企业老总上台分享, 帮助领导干部了解前沿动态今年, 该委又实施干部素质提升工程, 邀请浙大专家授课,100 多名干部利用晚上时间学习一些未作要求的 50 岁以上的老同志都主动参加学习 4.1.5 国泰君安 : 互联网安全大会召开在即安全行业升温第四届中国互联网安全大会将于 8 月 16 日召开, 本届中国互联网安全大会由网信办安全协调局公安部网络安全保卫局和工信部网络安全管理局联合指导,360 互联网安全中心和中国互联网协会中国网络空间安全协会共同主办, 将有来自全球 70 多家网络安全相关机构和企业的超过百位智库和专家参会, 其主题为协同联动, 共建安全命运共同体新兴业态高速发展, 安全大会唤起国民安全需求随着我国互联网 + 智能制造等新兴业态的快速发展, 工业控制系统智能技术应用云计算移动支付领域面临的网络安全风险进一步增大, 只有全方位立体化的网络安全技术才能保证这些新兴业态发展的稳定性此次高规格的大会吸引了包括卡巴斯基 GOOGle IBM 微软领先的应用安全及数据库安全整体解决方案提供商第 40 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

安全资讯英特尔等全球网络安全企业和众多国内安全行业龙头企业我们预计全民安全需求将在此次大会的催化下进一步被释放, 网络安全行业持续升温协同联动, 共建安全命运共同体此次大会的主题包含两层含义, 一方面它强调企业内各部门间的协同联动, 这是最近国内国际安全行业并购浪潮的一个反映, 大的安全厂商正不断往平台化模块化的方向迈进, 以打造企业的产品服务生态圈, 为解决现实问题提供一站式的深度解决方案提供技术支持另一方面, 大会将起到优质交流平台的作用, 促进整个安全行业内厂商间的技术交流前瞻交流, 这也将利于发挥产业内各个企业间的协同作用, 以推动业内技术更新进步, 共建安全共同体借鉴优势配合政策利好, 国内安全企业机会良多对于国内众多安全行业企业而言, 此次大会是直接与世界领先企业直接对话交流经验技术的良机国内安全行业自主可控的呼声不断高涨, 而且自主可控的要求也在不断落到实处, 在国内市场中, 国内安全企业可谓占据天时地利人和, 前景看好站在企业长远的发展规划上看, 走出国门, 凭借先进的技术和幼稚的服务在世界市场占据一定份额, 将对企业扩张版图实现长久稳定的发展起到至关重要的作用我们认为此次大会, 尤其是云安全和电商安全论坛和网络安全新技术与企业安全应用论坛等版块活动, 将提高国内安全企业全球性的市场定位精度, 有益于企业的长远布局规划领先的应用安全及数据库安全整体解决方案提供商第 41 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

安全资讯 4.2 国际安全资讯 4.2.1 美国政府计划今年新增 3500 名联邦网络安全人才奥巴马政府公布了联邦网络安全人才战略, 要求确定招募培养留住并扩大最优秀最聪明以及最全能的网络安全人才战略设定四大主要目标 : 通过教育和培训拓展网络安全人才 ; 招募美国最优秀的网络人才为联邦政府服务 ; 留住并培养高技能人才 ; 确定网络安全人才需求政府官员将此战略作为一项长期举措并将其视为完善建立巩固和发展未来网络安全人才所需资源的第一步白宫 7 月 12 日发博文称, 我们必须认识到变化需要时间, 人才战略的长期成功依赖于所有政府单位的重视创新和资源 6500 个新职位美国政府官员表示, 因为联邦机构缺乏网络安全和 IT 人员帮助保护信息和资产, 因此发布该战略十分必要网络技能差距有多大? 白宫发言人没有回答政府雇用 IT 安全人员的数量以及需要多少新职位但美国政府在博客中称,2015 年 10 月至 2016 年 3 月共招聘了 3000 名新网络安全和 IT 专业人士 ; 另外, 联邦机构致力于到 2017 年 1 月另聘 3500 个关键网络安全和 IT 职位领先的应用安全及数据库安全整体解决方案提供商第 42 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

安全资讯在美国全国范围内, 政府和企业的 IT 和 IT 安全人员供不应求美国劳工统计局的信息安全媒体小组分析数据显示,IT 失业率为 2.7%, 而经济学家称失业率为 0 美国政府官员称, 另一制约因素使得联邦机构未能始终贯彻持续的联邦举措以此提高 IT 安全就业率白宫博文指出, 网络安全人才缺口不仅影响联邦政府, 同时也对私有行业造成影响近期的行业报告称此缺口来年将迅速扩大, 除非私有行业公司和联邦政府不扩大网络安全人才输送满足日益增长的需求此战略的许多元素并不新颖, 去年公布的美国政府网络安全战略和实施计划就包含这些元素但将这些元素编纂在新战略中有用, 不仅可以指导联邦机构负责自身网络安全以及人才部署, 同时也可以作为下一届美国政府的指导方针下一届美国政府的风向标前联邦首席信息官 Karen Evans 表示, 过渡时期尤其需要确保计划稳固诸如战略对下一任政府至关重要, 以便让他们知道联邦机构的工作重点联邦网络安全人才战略提出一些现成的招募方法, 指出联邦机构应该寻找历史上可能无法追求政府行业的网络人才美国人事管理办公室 (OPM) 表示, 这类网络人才包括妇女和少数民族学生, 这两类人群分别占联邦网络人才的 25% 和 32% 领先的应用安全及数据库安全整体解决方案提供商第 43 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

安全资讯战略指出, 为了留住员工并加大人才培养力度, 美国人事管理办公室将与联邦机构合作开辟网络安全职业道路资格认证程序和轮调, 并为员工提供机会获取新技能并成为主题专家联邦网络安全人才战略指导联邦机构采取新方法按照国家网络安全人才框架 (National Cybersecurity Workforce Framework) 的规定确定技能差距国家网络安全人才框架确定了网络安全人才的 31 个专业领域通过定义特定的专业领域, 联邦机构可以确定自身需求以及填补所缺的人才类型专业领域分为七类 : 安全规定保护与防卫监督与发展收集与操作操作与维护分析与调查领先的应用安全及数据库安全整体解决方案提供商第 44 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

安全资讯 4.2.2 匿名者 (Anonymous) 组织成功入侵南非国防局武器供应商服务器知名黑客组织匿名者 (Anonymous) 已经成功攻击了 Armscor 服务器, 并泄露了相关数据 Armscor 是南非的官方武器采购机构, 负责南非国防部的武器和军事装备供应关于 Armscor 1968 年南非政府通过第 87 号军备发展法案, 产生了一个专门的武器生产单位, 即军备发展和生产公司, 英文缩写 Armscor, 中文音译为阿姆斯科, 主要负责管理南非国有军事工业案件回顾上周日,Anonymous 黑客在暗网网站上公布了盗取的数据信息此次攻击与 4 月底发生的肯尼亚外交部数据泄露案件一样, 是相同的黑客所为除了实际的数据外, 黑客还公布了 Armscor 发票管理系统的管理面板截图没有涉及用户的详细信息, 只有供应商的发票信息, 与先前大多数的数据泄露案不同, 此次泄露的数据并没有任何形式的用户凭证和个人信息等, 只是有关 Armscor 公司与不同供应商之间的交易数据此次黑客在暗网公布的数据库表单中包含西门子波音 BAE Systems Saab 欧洲宇航防务集团(European Aeronautic Defence and Space Company, 简称 Eads) 劳斯莱斯(Rolls Royce) 松领先的应用安全及数据库安全整体解决方案提供商第 45 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

安全资讯下 (Panasonic) Glock Technologies Thales Avionics 微软以及南非丹尼尔公司 (Denel) 等的 63MB HTML 文件, 文件包含发票号码订单号发票金额日期等, 供应商的详细信息, 如地址等也包含在内, 但是存放在另一个表格内国外媒体对话匿名者, 匿名者表示获取了 19938 个供应商 ID 名称以及明文密码但这次, 任何人可以使用密码以供应商或管理者的身份登录结算系统匿名者还透露,Armscor 网站存在多个漏洞, 包括允许任何人简单使用供应商 IP, 在不需要密码的情况下打开结算条目当被问及通过哪些安全漏洞绕过网站安全, 匿名者表示 : 就是简单的 SQL 注入通过深入扫描, 我们发现客户和交易数据包括 2014 年至 2016 年间客户 ID 公司和交易报表客户名称订单号发票号码发票金额发票结余发票日期交易日期以及收到的支票号码大约有 104 个 HTML 文件, 但是, 我们可以确定的是, 电子邮件或密码未泄露, 但可以公开访问国防和航空企业的交易详情数据泄露 OpMonsanto 行动的一部分正如你所看到的, 大部分的被盗数据都是有关业务信息, 这些信息给记者和调查人员在针对该机构正在进行的业务关系的调查中起到重要的指导意义领先的应用安全及数据库安全整体解决方案提供商第 46 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

安全资讯除了已发布的少量数据, 很明显该黑客组织已经获得了数据库的完全控制权, 而且, 如果他们愿意的话, 很快就会有更多的数据被公布出来此次数据泄露是匿名者组织 OpMonsanto 行动的一部分, 从今年 1 月开始, 该组织已经攻击并泄露了多个非洲国家的有关数据, 包括坦桑尼亚, 肯尼亚, 乌干达, 卢旺达, 尤其是南非在过去匿名者实施的 OpMonsanto 行动中, 曾对联合国气候变化网络直播服务提供商联合国气候变化网站和南非政府承包商等展开过攻击 4.2.3 美国下月将举办机器人黑客 VS. 人类黑客网络挑战赛美国国防部之前组织无人驾驶车辆挑战赛, 亮相无人驾驶车辆, 让人眼前一亮下月, 美国国防部将带你到拉斯维加斯度假酒店一睹机器人黑客美国国防部高级研究计划局 (Defense Advanced Research Projects Agency,DARPA) 举办的网络挑战赛 (Cyber Grand Challenge,CGC) 将用机器对阵不安全的软件, 找出漏洞并进行修复领先的应用安全及数据库安全整体解决方案提供商第 47 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

安全资讯 DARPA 组织者表示, 整个赛事将通过巴黎拉斯维加斯酒店 5000 人大礼堂的屏幕转播, 并且还有体育广播员叙述赛事本次比赛将与年度拉斯维加斯黑客大会 (DEFCON) 一起举办组织者表示, 比赛的初衷是希望计算机能发现并修复漏洞, 如任何商业软件中的漏洞, 例如 Heartbleed 漏洞, 包括美国 F-35 战斗机的漏洞变种 8 月 4 日, 在长达两年的比赛中排名前七的队伍将整日运行计算机参与代码夺旗式淘汰赛参赛者包括雷神公司的承包商前加利福利亚大学圣巴巴拉分校学生, 参赛者遍布全球 DARPA 挑战赛的项目经理 Mike Walker 表示, 比赛旨在将整个发现领悟修补应对的时间线从一年缩短至几分钟或几秒钟不可否认, 网络安全自动化的性质本身不适用于无人驾驶车辆斯坦利的视觉冲击力 Walker 周三告诉外媒记者, 汽车领域的自动化可见且易把握网络空间却很难看见, 因为它发生在联网计算机的逻辑和内存内领先的应用安全及数据库安全整体解决方案提供商第 48 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

安全资讯杀手机器人 (Killer Robot) 黑客? 如果考虑到超过 200 亿包含软件的产品 2020 年将联网, 这个编码实验结果也许更具体化 Walker 表示, 如今当你购买货架上的物联网产品时, 当你回望时, 你缺一张便签, 告诉你什么机器负责调查安全, 什么机器将在未来防护安全这就是我们可以作为计算机安全自动化中的开放技术革命部分在这种情况下, 通过开放的技术革命, 他的意思是竞争机器编写的每个软件将被永久放在公共服务器上机器人黑客被外国情报机构或网络攻击者用于恶意用途的可能性有多大? Walker 表示, 我们认为所有计算机安全工具均具有双重用途, 意思就是可用于商业系统, 亦可用于军事系统它们通过开放性进行防御如果我们有开放技术革命, 其中软件可用性大众化, 我们认为恶意滥用将不实用, 因为能被发现的漏洞已被修复目前尚不清楚多少年后机器人能在入侵网络方面战胜人类 8 月 5 日将举办的年度 DEFCON 黑客大会已邀请获胜机器人对战人类的手指与大脑 Walker 表示, 他不期望任何机器在 DEFCON 黑客大会上战争人类领先的应用安全及数据库安全整体解决方案提供商第 49 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

安全资讯 4.2.4 找黑客来攻破自己的系统克莱斯勒真会玩黑客的福利来了! 菲亚特克莱斯勒集团决定通过旧金山的 Bugcrowd 公司来寻找白帽黑客 ( 使用黑客技术来做好事的技术人员 ), 以求寻找其软件系统的漏洞找出漏洞的黑客可得到 150 到 1500 美元不等的赏金 Bugcrowd 是一家专门运营组织黑客行动的企业, 该公司创始人兼 CEO Casey Ellis 表示, 该公司目前有大约 3.2 万名经常参与此类项目的研究人员, 他们可以为企业客户测试软件的安全性事实上, 这就是一场寻找安全隐患的竞赛去年 7 月份, 美国连线杂志报道了两名软件工程师黑进一台 Jeep 自由光并取得车辆控制权的过程虽然到目前为止还没有自由光的车主报告车辆被黑的案例即便如此, 菲亚特克莱斯勒北美安全架构高级经理 Titus Melnyk 在与 Bugcrowd 公司的联合声明中表示, 公司发起此项目与一年前的事件毫无关联我们希望鼓励独立安全研究者与我们接触, 并分享他们的发现, 以便我们能赶在一些隐患对消费者真正造成困扰之前, 几时予以修复由于目前日益严峻的网络安全问题, 有些汽车制造商自发建立了汽车信息共享与分析中心 (Auto ISAC), 以便在行业内实现网络安全漏洞信息的快速共享而 Melnyk 也证实, 一旦在本次项目中发现安全漏洞, 将会和 ISAC 进行共享领先的应用安全及数据库安全整体解决方案提供商第 50 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

安全资讯 4.2.5 声称来自中国的黑客组织攻击了两家菲律宾政府网站自上周发生南海仲裁后, 海牙常设仲裁法庭 (PCA) 对中国菲律宾南海仲裁案作出了利于菲律宾的仲裁, 为了表明态度, 声称为中国身份的黑客组织在周六攻陷了菲律宾洛翁 Loon 和薄荷岛 Panglao 的政府官方网站并在被黑网站上贴出了警示性标语标语书 : 没有人能赐予你们自由, 没有人能够赐予你们平等与正义如果你是个男人必须接受它 Chinese Government 被黑页面也有一个匿名者组织的标志性 V 字复仇者面具黑客以 Chinese Government 的身份指代, 不过指向 @anonkeygen 的推特账号似乎属于一位不太活跃的巴西匿名者组织成员其参加了匿名者组织正对南美和巴西的活动目前两家政府网站均已下线维护黑客通过语音验证漏洞每年可从 Google Facebook 和微软盗窃数百万欧元领先的应用安全及数据库安全整体解决方案提供商第 51 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

安全资讯 4.2.6 黑客通过语音验证漏洞每年可从 Google Facebook 和微软盗窃数百万欧元比利时安全研究员 Arne Swinnen 发现通过双因素语音验证系统一年能从 Facebook Google 和 Microsoft 公司盗窃数百万欧元许多部署双因素认证 (2FA) 的公司通过短信息服务向用户发送验证码如果选择语音验证码, 用户会接收到这些公司的语音电话, 由机器人操作员大声念出验证码接收电话通常为与这些特定账户绑定的电话号码从理论上讲, 攻击者还可以攻击其它公司 Swinnen 通过实验发现, 他可以创建 Instagram Google 以及 Microsoft Office 365 账号, 然后与高费率 (premium) 电话号码绑定也不是常规号码当其中这三个公司向账户绑定的高费率电话号码提供验证码时, 高费率号码将登记来电通话并向这些公司开具账单 Swinnen 认为, 攻击者可以创建高费率电话服务和假 Instagram Google 或 Microsoft 账号, 并绑定 Swinnen 表示, 攻击者能通过自动化脚本为所有账号申请双因素验证许可, 将合法电话呼叫绑定至自己的服务并赚取可观利润攻击者可赚取暴利领先的应用安全及数据库安全整体解决方案提供商第 52 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

安全资讯根据 Swinnen 计算统计, 从理论上讲, 每年可以从 Instagram 赚取 206.6 万欧元,Google 43.2 万欧元, 以及 Microsoft 66.9 万欧元 Swinnen 通过漏洞报告奖励计划向这三家公司报告了攻击存在的可能性 Facebook 给予他 2000 美元的奖励,Microsoft 的奖励金额为 500 美元,Google 在 Hall of Fame ( 名人堂 ) 中提及他 Arne Swinnen 先前还发现了 Facebook 的账户入侵漏洞, 并帮助 Instagram 修复登录机制, 防止多种新型蛮力攻击 4.2.7 欧盟成立网络安全投资项目 Horizon 2020 近日, 欧盟委员会推出了一项公私合作性质的全新网络安全研究和创新投资项目 Horizon 2020, 投资金额为 4.5 亿欧元而根据欧洲网络安全委员会 (ECSO) 预测, 到 2020 年, 该项目所触发投资规模会扩大三倍, 即达到 18 亿欧元! 本次投资项目成立的主要目标, 一方面是为了保护欧洲免受网络攻击, 另一方面则是为了强化自己在网络安全领域里的竞争力 Horizon 2020 网络安全投资项目所覆盖的范围很大, 包括各国各地区以及本地化的公共管理机构研究中心和学术机构此外, 领先的应用安全及数据库安全整体解决方案提供商第 53 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

安全资讯该项目还会投资早期阶段的网络安全研发及创新公司, 在各个行业领域里构建网络安全解决方案, 比如能源医疗健康交通金融等现阶段, 无论是利基市场 ( 比如密码行业 ) 还是在成熟市场( 比如杀毒软件 ) 应用创新模式, 欧洲都诞生了一大批中小企业, 但这些企业很难扩大业务运营范围欧盟委员会看到了整个行业的问题, 因此希望通过加大投资帮助这些企业在网络安全领域里发展,Horizon 2020 投资项目正是处于此目的而推出的 4.2.8 微软修复 20 多年的老漏洞 :Win95 时就存在了据美国知名科技博客媒体 Ars Technica 报道, 过去 20 多年间, 微软 Windows 漏洞为黑客提供了诸多便利, 包括允许他们在选定的电脑上秘密安装恶意软件, 这些电脑通常与局域网中的诱杀打印机或其他伪装成打印机的装置相连在最近发布的补丁中, 微软终于修复了这个漏洞这个漏洞存在于 Windows Print Spooler 中, 它负责管理连接可用打印机的过程和打印文件 Point-and-Print 协议允许首次连接网络托管打印机的人在使用之前立即自动下载必要的驱动程序通过存领先的应用安全及数据库安全整体解决方案提供商第 54 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

安全资讯储在打印机或打印服务器上的共享驱动程序工作, 消除了用户必须手动下载和安装的麻烦然而安全公司 Vectra Networks 的研究人员发现, 当远程安装打印驱动程序时,Windows Print Spooler 无法正确验证这个漏洞可以让黑客使用不同的技术传送经过恶意修改的驱动程序, 而非打印机制造商提供的合法驱动程序黑客可利用它将打印机打印机驱动程序或任何伪装成打印机的联网装置变成内置驱动工具包, 无论何时连接它们, 设备都将被感染 Vectra Networks 的研究员尼克博谢纳 (Nick Beauchesne) 在其博客上详细描述了这个漏洞, 他写道 : 这些恶意软件不仅可感染网络中的多台机器, 还能重复感染寻找根本原因可能很难, 因为打印机本身可能并非常见的怀疑对象我们最终将驱动程序的安全责任交给打印机, 但这些设备可能并非像我们希望的那样安全或坚不可摧安全公司 Special Circumstances 的首席安全专家摩尔 (HD Moore) 表示, 黑客有各种各样利用漏洞的方法一种方法就是连接笔记本电脑或其他便携设备伪装成网络打印机当同一个网络中的用户连接时, 设备就可以自动发送恶意驱动程序另一种方法是监控合法网络打印机的流量设置, 等待受害者自己添加打印机到其系统中黑客可以劫持打印机驱动程序的请求, 以恶意驱动程序回应摩尔说 : 领先的应用安全及数据库安全整体解决方案提供商第 55 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

安全资讯这种中间人式攻击可通过开放的 Wi-Fi 网络或利用 ARP 骗过有线网络进行黑客还可以对打印机进行逆向工程, 修改其固件, 以便于传送经过恶意修改的驱动程序尽管这种方法十分难, 但 Vectra 的研究人员却进行了成功试验 Point-and-Print 协议中的另一个漏洞也可能让不受信任的用户提高账户权限, 甚至提升至管理员状态 Vectra Networks 的研究人员尝试攻击组合设备, 包括身份不明的打印机和运行 Windows XP(32 位 ) Windows 7(32 位 ) Windows 7(64 位 ) Windows 2008 R2 AD 64 Ubuntu CUPS 以及 Windows 2008 R2 64 打印服务器的电脑他们发现, 这个漏洞可追溯到 Windows 95 对于那些关心这个漏洞的用户, 摩尔表示, 微软的最新更新并未关闭代码执行孔, 只是增加了警告但是鉴于大多数用户可能不会对这个警告做出回应, 因此其似乎并非有效方式令人感到欣慰的是, 代码执行攻击对企业设置效果不大, 但是对家庭中小企业的攻击可能有效, 特别是那些允许人们连接他们自己设备的中小企业摩尔说 : 对于拥有 BYOD 笔记本电脑的公司来说, 风险可能更高这些公司在公共网络企业网络上允许使用个人笔记本电脑说服人们添加打印机可能很难, 但可能有其他网络攻击方式趋势人们这样做, 比如劫持 HTTP 请求, 敦促用户去执行等领先的应用安全及数据库安全整体解决方案提供商第 56 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

安全资讯 4.2.9 美国国家安全局为加固网络寻求商业解决方案随着美国国家安全局执行分层的网络防御应对不断发展的威胁, 美国国家安全局正转向商业供应商安全分析人士指出, 美国国家安全局将这个计划称之为机密商业解决方案 ( 简称 CSfC), 旨在缩短证明安全架构和设备的时间该计划的目标还反映出美国在更广范围内采用行业最佳实践和精益创业的方法努力改造垂死挣扎的政府采购设备美国国家安全局寻求分层防御的商业解决方案美国国家安全局的信息保障局表示,CSfC 方案的目标包括开创新方法利用新兴技术为快速满足不断发展的客户需求提供更多及时的信息保障解决方案该计划的网站指出, 产品需求用于虚拟专用网校园无线局域网重要数据解决方案和移动接入计划经理补充道, 他们将继续使用由政府承包商供应的设备以及商业产品保护机密信息然而, 美国信息保障局将先关注商业技术和商业解决方案, 帮助客户满足他们对保护机密信息的需求华盛顿关键基础设施技术研究院上周发布美国国家安全局行动分析研究研究指出,CSfC 有助于通过商业解决方案强化国家网络姿态, 商业解决方案用于保护安全系统信息的分层解决方案 CSfC 旨在为机构提供组件列表审查满足美国国家安全局信息保障局安全需求的普通框架, 同时结合新兴技术提升国家安全领先的应用安全及数据库安全整体解决方案提供商第 57 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

安全资讯 4.2.10 超过 17 万台互联网 ICS 主机存在漏洞卡巴斯基公司今日发布报告, 详细介绍了工控系统 (Industrial Control Systems, 缩写 ICS) 行业安全令人堪忧卡巴斯基的专家表示, 通过全互联网扫描, 他们发现全球 170 个国家有 188019 主机与 ICS 设备相连所有的互联网 ICS 设备中,92% 或 17.282 万台包含漏洞容易被利用, 甚至损害设备以及正常运作模式根据博思艾伦公司 6 月发布的报告, 一般而言, 对 ICS 系统的网络攻击达到空前最高点根据卡巴斯基发布的报告, 大多数易受攻击的设备位于美国, 其次是德国西班牙法国和加拿大大多数这些设备可以通过以下方式与外部连接 :HTTP 协议 Telnet Niagara Fox SNMP 或 Modbux 目前在 11,904 台设备中发现 ICS/SCADA 存在的漏洞为 Sunny WebBox 硬编码凭证易受攻击的设备几乎遍布所有主要关键行业 : 电力航空航天交通运输 ( 包括机场 ) 石油和天然气冶金化工农业汽车公用事业饮料和食品制造建筑液体储罐以及智能城市技术卡巴斯基的专家表示,13,698 个不同主机上的 17,042 个 ICS 组件属于大型组织机构, 这些机构未适当保护 ICS 设备安全研究人员发现, 未在适当的时间内更新关键基础设施, 对漏洞置若罔闻, 这就使得恶意攻击者有机会实施经济破坏领先的应用安全及数据库安全整体解决方案提供商第 58 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

关于安恒关于安恒杭州安恒信息技术有限公司 (DBAPPSecurity) 是由国家千人计划专家范渊先生于 2007 年创办, 是国内跻身全球网络安全 500 强仅有的四家企业之一, 是中国领先的专注于信息安全产品和服务的解决方案提供商曾先后为北京奥运会国庆 60 周年庆典上海世博会广州亚运会深圳大运会首届世界互联网大会等重大活动提供全方位信息安全保障公司主营业务涵盖应用安全, 数据库安全以及云计算安全移动互联网安全大数据安全等智慧城市安全, 包括顶层设计标准制定课题和安全技术研究产品研发产品及服务综合解决方案提供等安恒信息通过智慧监测智慧防护智慧审计智慧应用四大产品线形成一整套全生命周期的信息安全支撑体系, 成为应用安全数据库安全以及智慧城市安全市场的绝对领航者是政府军工公检法司运营商金融能源财税审计教育医疗互联网 + 等行业信息安全领域最值得信赖的首选品牌! 风暴中心全称智慧城市安全风暴中心, 是公司顺应当前信息化发展中云计算化大数据化智慧智能化的大趋势, 专门设立的网络安全态势监测感知分析及预警部门通过智慧城市安全风暴中心大数据平台分布在全国各省的监测节点中心大数据分析平台与专业网络安全情报分析团队, 对全国网络安全态势进行主动监控与攻击预警, 日均处理攻击事件数百个, 为数万个网站领先的应用安全及数据库安全整体解决方案提供商第 59 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110

关于安恒提供实时安全监测服务同时, 利用大数据与安全情报分析技术, 为政府金融电力单位等提供行业整体性安全态势感知与安全预警服务联系方式如下 : Email: securitycenter@dbappsecurity.com.cn 7*24 小时风暴中心电话 :0571-28131576 安恒信息官方微信公众账号风暴中心官方微信公众号领先的应用安全及数据库安全整体解决方案提供商第 60 页共 60 页杭州安恒信息技术有限公司 www.dbappsecurity.com.cn 服务热线 :400-605-9110