logo

中文|English|客服热线:4008107766

售后服务
4008107766
安全通告

网御星云安全通告

时间:2013-07-22

1 本周通告时间
本次通告时间为2013年7月份第3周。
 2 本周网络威胁级别 2级。
 有一些严重漏洞发布或网络攻击事件有增多迹象。此时需对网络和主机进行安全评估、安全升级以及进行必要的监控。
 网御星云网络威胁级别说明
 
普通状态
正常网络状态,没有显著的网络攻击事件,只存在零星的攻击。网络大多数情况下都处在这一状态。此时保持普通安全策略即可。
 预警状态
有一些严重漏洞发布或网络攻击事件有增多迹象。此时需对网络和主机进行安全评估、安全升级以及进行必要的监控。
 严重状态
某些严重漏洞或威胁正被攻击者利用来进行大规模攻击,网络攻击事件显著增加。通常表现为快速爆发的蠕虫或者病毒攻击。此时需要立刻采取防御措施,例如安装补丁或重新部署安全系统进行防护等等。
 紧急状态
网络安全态势非常严峻,对全球互联网造成严重影响。此时需要与其他网络协作采取防御措施。
3 网络病毒和网络攻击预警
上周病毒疫情TOP10:
排名 病毒名称 病毒类型
1. DangerousObject.Multi.Generic 危险对象
2. Trojan.Win32.Generic 木马
3. Virus.Acad.Pasdoc.gen 病毒
4. Virus.Acad.Generic 病毒
5. HiddenObject.Multi.Generic 隐藏对象
6. Net-Worm.Win32.Kido.ir 网络蠕虫
7. Trojan.Acad.Qfas.b 木马
8. PSWTool.Win32.Dialupass.he 风险工具
9. Net-Worm.Win32.Kido.ih 网络蠕虫
10. Virus.MSExcel.Agent.f 病毒

关注恶意软件:Trojan-Dropper Win32 Delf ahi
大小:874078字节
加壳方式:未加壳
创建文件:
C:\Documents and Settings\Administrator\Local Settings\Temp\[随机五位数字].log
C:\Program Files\Internet Explorer\svchost.exe
C:\WINDOWS\fuck.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\Help\svchost.exe
C:\WINDOWS\system32\ShellExt\lsass.exe
C:\WINDOWS\system32\wins\svchost.exe

主要行为:
此木马是一个捆绑了色情电子相册的释放器木马,会伪装成色情相册引诱用户点击运行。运行后会获得%temp%目录,创建随机文件名的xxxxx.log文件,释放名为“CHUFEN”的资源到此文件中并加载调用其中的导出函数。此导出函数会将自身注入进程%sysdir%\svchost.exe和%sysdir%\winlogon.exe中,创建文件%Programdir%\Internet Explorer\svchost.exe、%sysdir%\wins\svchost.exe和%sysdir%\ShellExt\lssass.exe并创建自启动服务Print Server以自动启动%sysdir%\wins\svchost.exe。%sysdir%\wins\svchost.exe是一个后门木马,被杀毒软件检测为Backdoor.Win32.Visel.h,会反向连接http://i.6to**.com/zuncjk/ip.txt,使得黑客得以连接并完全操纵用户计算机。然后木马会创建运行C:\WINDOWS\fuck.exe,显示色情相册。
4 安全漏洞通告
4.1 Oracle Solaris远程安全漏洞
发布日期:2013-07-16
受影响系统:Oracle Solaris 11
漏洞编号:
BUGTRAQ ID: 61271
CVE(CAN) ID: CVE-2013-3748
描述:
--------------------------------------------------------------------------------
Solaris是Sun Microsystems研发的计算机操作系统。它被认为是UNIX操作系统的衍生版本之一。 目前Solaris属于混合开源软件。
Oracle Solaris 11在Solaris组件的实现上存在远程安全漏洞,子组件Driver/IDM (iSCSI Data Mover)受到影响,此漏洞可通过iSCSI/iSER协议加以利用。未经身份验证的远程攻击者可利用此漏洞造成拒绝服务。

<*参考:Oracle
链接:
http://www.oracle.com/technetwork/topics/security/cpujuly2013-1899826.html*>

建议:
-----------------------------------------------------------------------------
厂商补丁:
Oracle
------
Oracle已经为此发布了一个安全公告(cpujuly2013-1899826)以及相应补丁:
cpujuly2013-1899826:Oracle Critical Patch Update Advisory - July 2013
链接:
http://www.oracle.com/technetwork/topics/security/cpujuly2013-1899826.html
4.2 Apache Struts 多个开放重定向漏洞
发布日期:2013-07-09
受影响系统:Apache Group Struts < 2.3.15.1
漏洞编号:
BUGTRAQ ID: 61196
CVE(CAN) ID: CVE-2013-2248
描述:
--------------------------------------------------------------------------------
Struts框架是Apache基金会Jakarta项目组的一个Open Source项目,它采用MVC模式,帮助java开发者利用J2EE开发Web应用。Struts框架广泛应用于运营商、政府、金融行业的门户网站建设,作为网站开发的底层模版使用,目前大量开发者利用j2ee开发web应用的时候都会利用这个框架。Apache Struts2 是第二代基于Model-View-Controller (MVC)模型的JAVA企业级WEB应用框架。
Apache Struts 2.0.0没有有效过滤"redirect:"/"redirectAction:"参数前缀内容,存在多个开放重定向漏洞,攻击者通过构建特制的URI并诱使用户点击,利用这些漏洞将这些用户重定向到攻击者控制的站点,执行钓鱼攻击。

<*参考:Takeshi Terada (Mitsui Bussan Secure Directions, Inc)
链接:http://struts.apache.org/release/2.3.x/docs/s2-017.html*>
建议:
-----------------------------------------------------------------------------
厂商补丁:
Apache Group
------------
厂商已经发布Apache Struts 2.3.15.1以修复此安全漏洞,建议Struts用户及时升级到最新版本。
链接:http://struts.apache.org/release/2.3.x/docs/s2-017.html
补丁下载:http://struts.apache.org/download.cgi#struts23151
4.3 Apache Struts多个前缀参数远程命令执行漏洞
发布日期:2013-07-16
受影响系统:Apache Group Struts < 2.3.15.1
漏洞编号:
BUGTRAQ ID: 61189
CVE(CAN) ID: CVE-2013-2251
描述:
--------------------------------------------------------------------------------
Struts框架是Apache基金会Jakarta项目组的一个Open Source项目,它采用MVC模式,帮助java开发者利用J2EE开发Web应用。Struts框架广泛应用于运营商、政府、金融行业的门户网站建设,作为网站开发的底层模版使用,目前大量开发者利用j2ee开发web应用的时候都会利用这个框架。Apache Struts2 是第二代基于Model-View-Controller (MVC)模型的JAVA企业级WEB应用框架。


此漏洞源于Apache Struts2对参数action的值redirect以及redirectAction没有正确过滤,导致ognl代码执行。Apache Struts2的action:、redirect:和redirectAction:前缀参数在实现其功能的过程中使用了Ognl表达式,并将用户通过URL提交的内容拼接入Ognl表达式中,从而造成攻击者可以通过构造恶意URL来执行任意Java代码,进而可执行任意命令。redirect:和redirectAction:此两项前缀为Struts默认开启功能。

<*参考:Takeshi Terada (Mitsui Bussan Secure Directions, Inc)
链接:http://struts.apache.org/release/2.3.x/docs/s2-016.html*>

建议:
--------------------------------------------------------------------------------
厂商补丁:
Apache Group
------------
厂商已经发布Apache Struts 2.3.15.1以修复此安全漏洞,建议Struts用户及时升级到最新版本。
厂商安全公告:S2-016
链接:http://struts.apache.org/release/2.3.x/docs/s2-016.html
补丁下载:http://struts.apache.org/download.cgi#struts23151
4.4 Oracle MySQL Server远程安全漏洞
发布日期:2013-07-16
受影响系统:Oracle MySQL Server <= 5.5.31
漏洞编号:
BUGTRAQ ID: 61210
CVE(CAN) ID: CVE-2013-3783
描述:
--------------------------------------------------------------------------------
Oracle MySQL Server是一个轻量的关系型数据库系统。
Oracle MySQL Server 5.5.31之前版本存在远程安全漏洞,Server Parser子组件受到影响,此漏洞可通过MySQL协议利用。远程攻击者可利用此漏洞造成拒绝服务。

<*参考:Oracle
链接:http://www.oracle.com/technetwork/topics/security/cpujuly2013-1899826.html*>

建议:
--------------------------------------------------------------------------------
厂商补丁:
Oracle
------
Oracle已经为此发布了一个安全公告(cpujuly2013-1899826)以及相应补丁:
cpujuly2013-1899826:Oracle Critical Patch Update Advisory - July 2013
链接:http://www.oracle.com/technetwork/topics/security/cpujuly2013-1899826.html
4.5 Apache HTTP Server远程拒绝服务漏洞
发布日期:2013-07-10
受影响系统:Apache Group Apache < 2.2.25
漏洞编号:
BUGTRAQ ID: 61129
CVE(CAN) ID: CVE-2013-1896
描述:
Apache HTTP Server是开源的HTTP服务器。
Apache HTTP Server 2.2.25之前版本的mod_dav.c没有正确确定是否启用了某个URI的DAV,该URI配置为由mod_dav_svn模块处理,但XML数据内的某个href属性引用的是非DAV URI。远程攻击者可通过构造MERGE请求造成拒绝服务。

<*参考:vendor
链接:http://www.apache.org/dist/httpd/Announcement2.2.html*>

建议:
--------------------------------------------------------------------------------
厂商补丁:
Apache Group
------------
Apache Group已经为此发布了一个安全公告(Announcement 2.2)以及相应补丁:
Announcement 2.2:Apache HTTP Server 2.2.25 Released
链接:http://www.apache.org/dist/httpd/Announcement2.2.html
补丁下载:http://httpd.apache.org/download.cgi
5 关于网御星云
北京网御星云信息技术有限公司是国内信息安全行业的领军企业,专业从事信息安全产品的研发、生产与销售,为用户信息系统提供等级化的整体安全解决方案及专业安全服务。
网御星云的宗旨:以优秀的技术、产品、方案和服务致力于建设安全的电子政务、电子商务和公众信息化社会。
http://www.leadsec.com.cn
 

北京网御星云信息技术有限公司
2013-07-22
 

关于我们
公司简介
合作伙伴
核心技术
团队风采
推荐型号
网御星云WEB应用防护系统
网御星云/PowerV6000-NF3699-FJSC 防火墙
网御星云/Leadsec-RS-599-FJSC安全审计设备
网御星云/LA-OS-36AB-FJSC运维安全网关
服务与下载
支持与服务
在线升级
联系我们
二维码