logo

中文|English|客服热线:4008107766

售后服务
4008107766
安全通告

网御星云安全通告

时间:2013-07-08

1 本周通告时间
本次通告时间为2013年7月份第1周。
2 本周网络威胁级别 2级。
有一些严重漏洞发布或网络攻击事件有增多迹象。此时需对网络和主机进行安全评估、安全升级以及进行必要的监控。
网御星云网络威胁级别说明

1 普通状态
正常网络状态,没有显著的网络攻击事件,只存在零星的攻击。网络大多数情况下都处在这一状态。此时保持普通安全策略即可。

2预警状态
有一些严重漏洞发布或网络攻击事件有增多迹象。此时需对网络和主机进行安全评估、安全升级以及进行必要的监控。

3严重状态
某些严重漏洞或威胁正被攻击者利用来进行大规模攻击,网络攻击事件显著增加。通常表现为快速爆发的蠕虫或者病毒攻击。此时需要立刻采取防御措施,例如安装补丁或重新部署安全系统进行防护等等。

4紧急状态
网络安全态势非常严峻,对全球互联网造成严重影响。此时需要与其他网络协作采取防御措施。

3 网络病毒和网络攻击预警
上周病毒疫情TOP10:
排名 病毒名称 病毒类型
1. DangerousObject.Multi.Generic 危险对象
2. Trojan.Win32.Generic 木马
3. Virus.Acad.Pasdoc.gen 病毒
4. Virus.Acad.Generic 病毒
5. PSWTool.Win32.Dialupass.he 风险工具
6. HiddenObject.Multi.Generic 隐藏对象
7. Trojan.Acad.Qfas.b 木马
8. Net-Worm.Win32.Kido.ir 网络蠕虫
9. Trojan.Script.Iframer 木马
10. Net-Worm.Win32.Kido.ih 网络蠕虫

关注恶意软件:Backdoor.Win32.Xtreme.bqj
•大小:3792字节
•加壳方式:UPX
创建文件:
C:\Documents and Settings\Administrator\Application Data\Microsoft\Windows
\LlcRdHX7skB2e.dat
C:\Program Files\InstallDir\Server.exe

创建注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM hex(2):43,3a,5c,50,72,6f,67,72,61,6d,20,46,69,6c,65,73,5c,49,6e,73,74,61,6c,6c,44,69,72,5c,53,65,72,76,65,72,2e,65,78,65,00,
HKEY_CURRENT_USER\Software\LlcRdHX7skB2e
HKEY_CURRENT_USER\Software\LlcRdHX7skB2e ServerStarted hex(2):30,31,2f,30,37,2f,32,30,31,33,20,31,34,3a,35,31,3a,31,33,00,
HKEY_CURRENT_USER\Software\XtremeRAT
HKEY_CURRENT_USER\Software\XtremeRAT Mutex hex(2):4c,6c,63,52,64,48,58,37,73,6b,42,32,65,00,
主要行为:
这是一种基于Xtreme RAT的远程控制后门木马。木马运行后会从自身名为“XTREME”的资源中解密出配置文件,然后按照配置文件的设置执行进一步操作。通常此后门会注入svchost.exe和iexplore.exe进程,连接ki***amada.no-ip.biz,使用动态域名解析服务连接黑客计算机,使得黑客可以完全操纵用户计算机。

4 安全漏洞通告
4.1 HP多个产品信息泄露和代码执行漏洞
发布日期:2013-07-02
受影响系统:
3Com Switch 3COM Switch 4800G Family
3Com Switch 3Com Switch 4200 Family
3Com Switch 3Com H3C S5100 Series Switches
3Com Switch 3Com H3C S3600 Series Switches
3Com Switch 3Com H3C S3100 Series Switches
H3C Switches H3C S9500E Core Routing Switch
H3C Switches H3C S7500E Series Switches
H3C Switches H3C S5800 Series Switches
H3C Switches H3C S5600 Series Switches
H3C Switches H3C S5500-SI Series Switches
H3C Switches H3C S5500-EI Series Switches
H3C Switches H3C S5120-SI Series Switches
H3C Switches H3C S5120-EI Series Switches
H3C Switches H3C S12500 Series Switches
H3C Routers SR8800 Series Routers
H3C Routers H3C MSR 900 Series Routers
H3C Routers H3C MSR 50 Series Routers
H3C Routers H3C MSR 30 Series Routers
H3C Routers H3C MSR 20 Series Routers
HP Switch HP MSR900 Series
HP Switch HP MSR50 Series
HP Switch HP MSR30 Series
HP Switch HP MSR20 Series
HP Switch HP Firewall Series
HP Switch HP 9500 Switch Series
HP Switch HP 8800 Switch Series
HP Switch HP 7500 Switch Series
HP Switch HP 6125G/XG Ethernet Blade Swi
HP Switch HP 5800 Switch Series
HP Switch HP 5500 SI Switch Series
HP Switch HP 5500 HI Switch Series
HP Switch HP 5500 EI Switch Series
HP Switch HP 5120 SI Switch Series
HP Switch HP 5120 EI Switch Series
HP Switch HP 4800G Switch Series
HP Switch HP 4500G Switch Series
HP Switch HP 4210G Switch Series
HP Switch HP 4210 Switch Series
HP Switch HP 4200G Switch Series
HP Switch HP 3610 Switch Series
HP Switch HP 3600 SI Switch Series
HP Switch HP 3600 EI Switch Series
HP Switch HP 3100 SI Switch Series
HP Switch HP 3100 EI Switch Series
HP Switch HP 1910 Switch Series
HP Switch HP 12500 Switch Series
HP Switch HP 10500 Switch Series
HP Switch
3Com 5000 Router Series
漏洞编号:
BUGTRAQ ID: 60882
CVE(CAN) ID: CVE-2013-2341, CVE-2013-2340
描述:
--------------------------------------------------------------------------------
惠普(HP)是面向个人用户、大中小型企业和研究机构的全球技术解决方案提供商。多个HP产品存在安全漏洞,可导致泄露敏感信息以及控制受影响设备。

<*参考:vendor
链接:http://secunia.com/advisories/54010/
https://h20564.www2.hp.com/portal/site/hpsc/public/kb/ docDisplay?docId=emr_na-c03808969*>

建议:
-----------------------------------------------------------------------------
厂商补丁:
HP
--
HP已经为此发布了一个安全公告(HPSBHF02888)以及相应补丁:
HPSBHF02888:HP ProCurve, H3C, 3COM Routers and Switches, Remote Information Disclosure and Code Execution
4.2 Cisco Desktop Collaboration Experience DX650系列远程代码注入漏洞
发布日期:2013-06-29
受影响系统:Cisco Desktop Collaboration Experience DX600
漏洞编号:CVE(CAN) ID: CVE-2013-3399
描述:
--------------------------------------------------------------------------------
Cisco Desktop Collaboration Experience DX600是思科推出的下一代IP端点系列。
Cisco Desktop Collaboration Experience DX600使用的下层Android API存在安全漏洞,经过身份验证的本地攻击者可通过缓冲区溢出,利用此漏洞注入任意代码到系统中。

<*参考:vendor
链接:
http://www.securitytracker.com/id/1028720 http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-3399*>

建议:
-----------------------------------------------------------------------------
厂商补丁:
Cisco
-----
Cisco已经为此发布了一个安全公告(CVE-2013-3399)以及相应补丁:
CVE-2013-3399:Cisco Desktop Collaboration Experience DX600 Series Potential Code Injection Vulnerability
链接:
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-3399
4.3 HP LeftHand Virtual SAN Appliance远程任意代码执行漏洞
发布日期:2013-07-02
受影响系统:HP LeftHand Virtual SAN Appliance <= 10.0
漏洞编号:
BUGTRAQ ID: 60884
CVE(CAN) ID: CVE-2013-2343
描述:
--------------------------------------------------------------------------------
HP LeftHand Virtual SAN Appliance是惠普推出的网络存储解决方案。
HP LeftHand Virtual SAN Appliance 10.0之前版本存在远程代码执行漏洞,攻击者可利用此漏洞在受影响设备中执行任意代码。

<*参考:Zero Day Initiative
链接:
https://h20565.www2.hp.com/portal/site/hpsc/template.PAGE/public/kb/docDisplay/?spf_p.tpst=kbDocDisp*>

建议:
--------------------------------------------------------------------------------
厂商补丁:
HP
--
HP已经为此发布了一个安全公告(HPSBST02846)以及相应补丁:
HPSBST02846:HP LeftHand Virtual SAN Appliance hydra, Remote Execution of Arbitrary Code
链接:
https://h20565.www2.hp.com/portal/site/hpsc/template.PAGE/public/kb/docDisplay/?spf_p.tpst=kbDocDisp
4.4 IBM WebSphere MQ mqm缓冲区溢出漏洞
发布日期:2013-07-02
受影响系统:
IBM WebSphere MQ 7.5.x
IBM WebSphere MQ 7.1.x
IBM WebSphere MQ 7.0.x
漏洞编号:CVE(CAN) ID: CVE-2013-3028
描述:
--------------------------------------------------------------------------------
IBM WebSphere MQ是IBM推出的消息传输服务解决方案。
IBM WebSphere MQ对多个MQ服务器控制命令边界检查不正确,存在缓冲区溢出漏洞,本地攻击者通过UNIX平台上的setuid以MQ管理员权限或IBM i上使用的权限,利用此漏洞可执行任意代码。

<*参考:vendor
链接:http://xforce.iss.net/xforce/xfdb/84564
http://www-01.ibm.com/support/docview.wss?uid=swg21639001*>

建议:
--------------------------------------------------------------------------------
厂商补丁:
IBM
---
IBM已经为此发布了一个安全公告(21639001)以及相应补丁:
21639001:IBM WebSphere MQ Security Vulnerability: Buffer overflow vulnerability in setuid 'mqm' commands (CVE-2013-3028)
链接:http://www-01.ibm.com/support/docview.wss?uid=swg21639001
4.5 Apache Santuario XML Security for C++ 堆缓冲区溢出漏洞
发布日期:2013-06-27
受影响系统:
Apache Group XML Security for C++ 1.6.1
Apache Group XML Security for C++ 1.6
漏洞编号:
BUGTRAQ ID: 60817
CVE(CAN) ID: CVE-2013-2210
描述:
Apache Santuario是实现XML的主要安全标准。
Apache Santuario XML Security for C++ 1.7.2之前版本在XPointer求值中存在堆缓冲区溢出漏洞,此漏洞是在CVE-2013-2154修复中引入的,源于XML签名引用处理代码中的畸形XPointer表达式处理。远程攻击者成功利用此漏洞可在受影响应用上下文中执行任意代码。

<*参考:Jon Erickson
链接:http://seclists.org/bugtraq/2013/Jun/108*>

建议:
--------------------------------------------------------------------------------
厂商补丁:
Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://svn.apache.org/viewvc?view=revision&revision=r1496703
5 关于网御星云
北京网御星云信息技术有限公司是国内信息安全行业的领军企业,专业从事信息安全产品的研发、生产与销售,为用户信息系统提供等级化的整体安全解决方案及专业安全服务。
网御星云的宗旨:以优秀的技术、产品、方案和服务致力于建设安全的电子政务、电子商务和公众信息化社会。
http://www.leadsec.com.cn
 

北京网御星云信息技术有限公司
2013-07-08
 

关于我们
公司简介
合作伙伴
核心技术
团队风采
推荐型号
网御星云WEB应用防护系统
控制网关
网御星云入侵防御系统
网御星云漏洞扫描系统
服务与下载
支持与服务
在线升级
联系我们
二维码