logo

中文|English|客服热线:4008107766

售后服务
4008107766
安全通告

网御星云安全通告

时间:2011-09-13
 网御星云安全通告

1 本周通告时间
本次通告时间为20119月份第1周。

20119

 

 

 

 

1

2

3

4

5

6

7

8

9

10

11

12

12

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

 

 

 

 

 

 

 

 

 

2    本周网络威胁级别 2级。
 有一些严重漏洞发布或网络攻击事件有增多迹象。此时需对网络和主机进行安全评估、安全升级以及进行必要的监控。
 网御星云网络威胁级别说明
 
1 普通状态 
 
正常网络状态,没有显著的网络攻击事件,只存在零星的攻击。网络大多数情况下都处在这一状态。此时保持普通安全策略即可。
 
2预警状态
 
有一些严重漏洞发布或网络攻击事件有增多迹象。此时需对网络和主机进行安全评估、安全升级以及进行必要的监控。
 
3严重状态
 
某些严重漏洞或威胁正被攻击者利用来进行大规模攻击,网络攻击事件显著增加。通常表现为快速爆发的蠕虫或者病毒攻击。此时需要立刻采取防御措施,例如安装补丁或重新部署安全系统进行防护等等。
 
4紧急状态
 
网络安全态势非常严峻,对全球互联网造成严重影响。此时需要与其他网络协作采取防御措施

3 病毒和网络攻击预警
3.1   “灰鸽子”变种bdgv(Backdoor/Huigezi.bdgv)

病毒类型:后门

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

特征描述:
“灰鸽子”变种bdgv是“灰鸽子”家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0编写,经过加壳保护处理。“灰鸽子”变种bdgv运行后,会自我复制到被感染系统的“%SystemRoot%\”文件夹下,重新命名为“Utility Mang.exe”。文件属性设置为“系统、隐藏、只读、存档”。“灰鸽子”变种bdgv属于反向连接后门程序,其会在被感染系统的后台连接骇客指定的站点“woa***i.****.org”,获取客户端IP地址,侦听骇客指令,从而达到被骇客远程控制的目的。该后门具有远程监视、控制等功能,可以监视用户的一举一动(如:键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等)。还可以窃取、修改或删除计算机中存储的机密信息,从而对用户的个人隐私甚至是商业机密构成严重的威胁。感染“灰鸽子”变种bdgv的系统还会成为网络僵尸傀儡主机,利用这些傀儡主机骇客可对指定站点发起DDoS攻击、洪水攻击等,给互联网的信息安全造成了更多的威胁。该后门的传播途径一般为网页木马,如果用户的计算机系统存在相应的漏洞,则会增加感染该病毒的风险,甚至是多次重复感染。另外,“灰鸽子”变种bdgv会在被感染系统中注册名为“Utility Mangserver”的系统服务,以此实现自动运行。
3.2   “砸波”变种ahvx (TrojanSpy.Zbot.ahvx)

病毒类型:间谍木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

特征描述:
“砸波”变种ahvx是“砸波”家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0编写,经过加壳保护处理。“砸波”变种ahvx运行后,会在“%USERPROFILE%\Application Data\Caype\”和“%USERPROFILE%\Application Data\Pugafu\”文件夹下释放恶意文件“jimeu.exe”和“avpuu.paa”。在被感染系统的后台秘密窃取当前系统的配置信息,然后从骇客指定的站点,IP为:202.***.1*9.*9下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,给用户造成了不同程度的威胁。其还会在被感染系统的后台秘密监视用户的键盘和鼠标操作,伺机窃取用户输入的机密信息,并在后台将窃得的信息发送到骇客指定的站点或邮箱中(地址加密存放),给被感染系统用户造成了不同程度的损失。该间谍木马的传播途径一般为网页木马,如果用户的计算机系统存在相应的漏洞,则会增加感染该病毒的风险,甚至是多次重复感染。“砸波”变种ahvx在运行完成后会创建批处理文件“tmpe5ada712.bat”并在后台调用执行,以此将自身删除。另外,“砸波”变种ahvx会在被感染系统注册表启动项中添加键值,以此实现自动运行。

4安全漏洞通告

4.1   Microsoft Windows stdout/stdin本地拒绝服务漏洞

Microsoft Windows stdout/stdin本地拒绝服务漏洞

漏洞发现时间:

2011-09-07

漏洞号:

BUGTRAQ  ID: 49489

受影响的系统:

受影响系统:

Microsoft

漏洞详细信息:

Microsoft Windows是微软发布的非常流行的操作系统。

 

Windows Server 2008 R1在标准输入输出的实现上存在本地拒绝服务漏洞,本地攻击者可利用本地DoS攻击漏洞造成受影响操作系统崩溃,拒绝服务合法用户。

 

<*参考:Aliz Randomdude 

  链接:http://seclists.org/fulldisclosure/2011/Sep/55*>

建议:

厂商补丁:

Microsoft

---------

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.microsoft.com/technet/security/

4.2   Cisco Nexus 5000和3000 Series交换机ACL安全限制绕过漏洞

Cisco Nexus 50003000 Series交换机ACL安全限制绕过漏洞

漏洞发现时间:

发布日期:2011-09-07

漏洞号:

BUGTRAQ  ID: 49490

CVE ID: CVE-2011-2581

受影响的系统:

受影响系统:

Cisco NX-OS 5.0(3)

Cisco NX-OS 5.0(2)

Cisco Nexus 5000

Cisco Nexus 3000

不受影响系统:

Cisco NX-OS 5.0(3)U2(1)

Cisco NX-OS 5.0(3)U1(2a)

Cisco NX-OS 5.0(3)N2(1)

漏洞详细信息:

Cisco Nexus 5000系列是Cisco Nexus系列数据中心级交换机的一个组成部分,它提供了一个创新架构,通过实施基于标准的高性能以太网统一阵列,简化了数据中心转型。

Cisco Nexus 50003000系列交换机在ACL的实现上存在安全限制绕过漏洞,远程攻击者可利用此漏洞绕过访问控制列表,获取受限制资源。

ACL摘要配置为ACL拒绝语句之前时可触发此漏洞,允许流量绕过设备上配置ACL拒绝语句。

 

<*参考:Cisco 

  链接:http://www.cisco.com/warp/public/707/cisco-sa-20110907-nexus.shtml*>

建议:

厂商补丁:

Cisco

-----

Cisco已经为此发布了一个安全公告(cisco-sa-20110907-nexus)以及相应补丁:

cisco-sa-20110907-nexusCisco Nexus 5000 and 3000 Series Switches Access Control List Bypass Vulnerability

链接:http://www.cisco.com/warp/public/707/cisco-sa-20110907-nexus.shtml

4.3   Cisco NX-OS CDP Packety远程堆内存破坏漏洞

Cisco NX-OS CDP Packety远程堆内存破坏漏洞

漏洞发现时间:

2011-09-06

漏洞号:

BUGTRAQ  ID: 49472

受影响的系统:

受影响系统:

Linux kernel 2.6.x

漏洞详细信息:

Cisco NX-OS是一个数据中心级的操作系统,该操作系统体现了模块化设计、永续性和可维护性。

 

Cisco NX-OS在处理CDP报文时存在远程堆内存破坏漏洞,远程攻击者可以管理员身份访问设备,可能造成拒绝服务。

 

带有超长Device IDCDP报文可使N7K上的CDPD崩溃。此漏洞可破坏堆状态,导致可利用条件,允许获取管理员权限,安装代理。

 

<*参考:SecureState 

  链接:http://www1.corest.com/content/cisco-nx-os-cdp-remote-exploit-11        http://www.net-security.org/secworld.php?id=11372*>

建议:

Cisco

-----

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.cisco.com/warp/public/707/advisory.html

4.4   OpenSSL CRL绕过和ECDH拒绝服务漏洞

OpenSSL CRL绕过和ECDH拒绝服务漏洞

漏洞发现时间:

2011-09-06

漏洞号:

CVE ID: CVE-2011-3207,CVE-2011-3210

受影响的系统:

受影响系统:

OpenSSL Project OpenSSL 1.x

漏洞详细信息:

OpenSSL是一款开放源码的SSL实现,用来实现网络通信的高强度加密。

 

在某些情况下,OpenSSL内部证书校验例程存在错误,可导致OpenSSL会接收nextUpdate字段设置为过去日期的CRL(Certificate Revocation Lists)

 

OpenSSL ephemeral ECDH加密实现存在错误,攻击者以不正确序列发送握手消息可使目标服务器崩溃。要成功利用漏洞需要服务器启用和支持ECDH加密。此外,ECDH实现为非线程安全。

 

<*参考:Kaspar Brand 

  链接:http://www.openssl.org/news/secadv_20110906.txt*>

建议:

厂商补丁:

OpenSSL Project

---------------

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.openssl.org/

4.5   WordPress oQey Gallery <= 0.4.8插件SQL注入漏洞

WordPress oQey Gallery <= 0.4.8插件SQL注入漏洞

漏洞发现时间:

2011-09-05

漏洞号:

 

受影响的系统:

受影响系统:

WordPress WordPress 0.4.8

漏洞详细信息:

WordPress是一种使用PHP语言和MySQL数据库开发的Blog(博客、网志)引擎,用户可以在支持PHPMySQL数据库的服务器上建立自己的Blog

 

WordPress oQey Gallery版本<= 0.4.8的插件在实现上存在SQL注入漏洞,远程攻击者可利用此漏洞非授权操作数据库。

 

<*参考:Miroslav Stampar 

  链接:http://www.exploit-db.com/exploits/17779/*>

建议:

厂商补丁:

WordPress

---------

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://wordpress.org/

      
 5 上周活跃恶意域名TOP5

上周网御星云通过云防御平台监测到的用于网络病毒木马传播的活跃恶意域名TOP5如下表所示。请各网站管理机构注意检查网站页面中是否被嵌入含有下述恶意域名的 URL,并及时修补漏洞,加强网站的安全防护水平。

恶意域名

IP

www.hb600.com

125.76.249.5

www.hainane.info

202.75.217.217

xwhbkj.com

61.147.124.161

tenlei.net

202.91.224.47

www.webgame007.com

122.224.6.121

 
6  关于网御星云
北京网御星云信息技术有限公司是在联想控股公司下成立的从事信息安全业务的子公司,是国内信息安全行业的领军企业,专业从事信息安全产品的研发、生产与销售,为用户信息系统提供等级化的整体安全解决方案及专业安全服务。
网御星云的宗旨:以优秀的技术、产品、方案和服务致力于建设安全的电子政务、电子商务和公众信息化社会。http://www.leadsec.com.cn

 

北京网御星云信息技术有限公司

2011-09-13
 
关于我们
公司简介
合作伙伴
核心技术
团队风采
推荐型号
服务与下载
支持与服务
在线升级
联系我们
二维码