logo

中文|English|客服热线:4008107766

售后服务
4008107766
安全通告

网御星云安全通告

时间:2013-07-29

1 本周通告时间
本次通告时间为2013年7月份第4周。
 2 本周网络威胁级别 2级。
 有一些严重漏洞发布或网络攻击事件有增多迹象。此时需对网络和主机进行安全评估、安全升级以及进行必要的监控。
 网御星云网络威胁级别说明
 
普通状态
正常网络状态,没有显著的网络攻击事件,只存在零星的攻击。网络大多数情况下都处在这一状态。此时保持普通安全策略即可。
 
预警状态
有一些严重漏洞发布或网络攻击事件有增多迹象。此时需对网络和主机进行安全评估、安全升级以及进行必要的监控。
 
严重状态
某些严重漏洞或威胁正被攻击者利用来进行大规模攻击,网络攻击事件显著增加。通常表现为快速爆发的蠕虫或者病毒攻击。此时需要立刻采取防御措施,例如安装补丁或重新部署安全系统进行防护等等。
 
紧急状态
网络安全态势非常严峻,对全球互联网造成严重影响。此时需要与其他网络协作采取防御措施。
3 网络病毒和网络攻击预警
上周病毒疫情TOP10:
排名 病毒名称 病毒类型
1. DangerousObject.Multi.Generic 危险对象
2. Trojan.Win32.Generic 木马
3. Virus.Acad.Pasdoc.gen 病毒
4. Virus.Acad.Generic 病毒
5. HiddenObject.Multi.Generic 隐藏对象
6. Net-Worm.Win32.Kido.ir 网络蠕虫
7. Trojan.Acad.Qfas.b 木马
8. PSWTool.Win32.Dialupass.he 风险工具
9. Net-Worm.Win32.Kido.ih 网络蠕虫
10. Virus.MSExcel.Agent.f 病毒

关注恶意软件:Trojan-Dropper Win32 Delf ahi
大小:874078字节
加壳方式:未加壳
创建文件:
C:\Documents and Settings\Administrator\Local Settings\Temp\[随机五位数字].log
C:\Program Files\Internet Explorer\svchost.exe
C:\WINDOWS\fuck.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\Help\svchost.exe
C:\WINDOWS\system32\ShellExt\lsass.exe
C:\WINDOWS\system32\wins\svchost.exe

主要行为:
此木马是一个捆绑了色情电子相册的释放器木马,会伪装成色情相册引诱用户点击运行。运行后会获得%temp%目录,创建随机文件名的xxxxx.log文件,释放名为“CHUFEN”的资源到此文件中并加载调用其中的导出函数。此导出函数会将自身注入进程%sysdir%\svchost.exe和%sysdir%\winlogon.exe中,创建文件%Programdir%\Internet Explorer\svchost.exe、%sysdir%\wins\svchost.exe和%sysdir%\ShellExt\lssass.exe并创建自启动服务Print Server以自动启动%sysdir%\wins\svchost.exe。%sysdir%\wins\svchost.exe是一个后门木马,被杀毒软件检测为Backdoor.Win32.Visel.h,会反向连接http://i.6to**.com/zuncjk/ip.txt,使得黑客得以连接并完全操纵用户计算机。然后木马会创建运行C:\WINDOWS\fuck.exe,显示色情相册。
4 安全漏洞通告
4.1 Apache HTTP Server mod_session_dbd远程安全漏洞
发布日期:2013-07-22
受影响系统:Apache Group Apache 2.4.2
漏洞编号:
BUGTRAQ ID: 61379
CVE(CAN) ID: CVE-2013-2249
描述:
--------------------------------------------------------------------------------
Apache HTTP Server是开源的HTTP服务器。可通过简单的API扩展Perl/Python解释器可被编译到服务器中,完全免费,完全源代码开放。
Apache HTTP Server 2.4.6之前版本的mod_session_dbd模块在保存会话过程中处理“脏旗标”时出错,存在远程安全漏洞,此漏洞影响目前未知。

<*参考:vendor
链接:http://secunia.com/advisories/54241/
http://www.apache.org/dist/httpd/Announcement2.4.html*>

建议:
-----------------------------------------------------------------------------
厂商补丁:
Apache Group
------------
Apache Group为此发布了一个安全公告(Announcement2.4)以及相应补丁:
链接:http://www.apache.org/dist/httpd/Announcement2.4.html
4.2 Cisco IOS GET VPN Encryption Policy安全绕过漏洞
发布日期:2013-07-18
受影响系统:Cisco IOS
漏洞编号:
BUGTRAQ ID: 61362
CVE(CAN) ID: CVE-2013-3436
描述:
--------------------------------------------------------------------------------
Cisco IOS是多数思科系统路由器和网络交换机上使用的互联网络操作系统。
Cisco IOS的Group Encrypted Transport VPN (GET VPN)功能,在默认配置中使用了不正确的机制启用GDOI网络流量,远程攻击者可通过UDP端口848利用此漏洞绕过加密策略。

<*参考:Cisco
链接:http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-3436*>

建议:
-----------------------------------------------------------------------------
厂商补丁:
Cisco
-----
Cisco已经为此发布了一个安全公告(CVE-2013-3436)以及相应补丁:
CVE-2013-3436:Cisco IOS GET VPN Encryption Policy Bypass Vulnerability
链接:http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-3436
4.3 Cisco Unified Operations Manager SQL注入漏洞
发布日期:2013-07-19
受影响系统:Cisco Unified Operations Manager (CUOM) 8.x
漏洞编号:
BUGTRAQ ID: 61380
CVE(CAN) ID: CVE-2013-3437
描述:
--------------------------------------------------------------------------------
Cisco Unified Operations Manager 是思科统一通信管理套件的一个组成部分。
Cisco Unified Operations Manager 8.6存在SQL注入漏洞,此漏洞源于传递到管理应用的某些输入没有被正确过滤,远程攻击者可通过注入任意SQL代码执行未授权操作。

<*参考:Cisco
链接:http://secunia.com/advisories/54278/
http://tools.cisco.com/security/center/viewAlert.x?alertId=30153*>

建议:
-----------------------------------------------------------------------------
厂商补丁:
Cisco
-----
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.cisco.com/go/psirt
4.4 Linux Kernel 本地拒绝服务漏洞
发布日期:2013-07-23
受影响系统:Linux kernel 3.x
漏洞编号:
BUGTRAQ ID: 61412
CVE(CAN) ID: CVE-2013-4163
描述:
--------------------------------------------------------------------------------
Linux Kernel是Linux操作系统的内核。
支持IPv6网络的Linux kernel,通过IPv6套接字附加设置了UDP_CORKED选项的数据时崩溃,攻击者可利用此漏洞造成内核拒绝服务。

<*参考:Hannes Frederic Sowa
链接:http://seclists.org/oss-sec/2013/q3/176*>

建议:
--------------------------------------------------------------------------------
厂商补丁:
Linux
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.kernel.org/
4.5 SurgeFTP 远程缓冲区溢出漏洞
发布日期:2013-07-22
受影响系统:netwinsite SurgeFtp Server <= 23c8
漏洞编号:
BUGTRAQ ID: 61403
CVE(CAN) ID: CVE-2013-4742
描述:
SurgeFTP是一款FTP服务程序,提供管理接口程序。
SurgeFTP 23c8在进行ftp服务用户身份验证时存在缓冲区溢出漏洞,此漏洞的根本原因在于处理没有“crlf”的超长行,造成在缓冲区外进行memmove操作。攻击者可利用此漏洞在受影响应用上下文中执行任意代码,也可能造成拒绝服务。

<*参考:Anil Pazvant
链接:http://secunia.com/advisories/54188/*>

建议:
--------------------------------------------------------------------------------
厂商补丁:
netwinsite
----------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://netwinsite.com/cgi-bin/keycgi.exe?cmd=download&product=surgeftp
5 关于网御星云
北京网御星云信息技术有限公司是国内信息安全行业的领军企业,专业从事信息安全产品的研发、生产与销售,为用户信息系统提供等级化的整体安全解决方案及专业安全服务。
网御星云的宗旨:以优秀的技术、产品、方案和服务致力于建设安全的电子政务、电子商务和公众信息化社会。
http://www.leadsec.com.cn
 

北京网御星云信息技术有限公司
2013-07-29
 

关于我们
公司简介
合作伙伴
核心技术
团队风采
推荐型号
网御星云WEB应用防护系统
网御星云/PowerV6000-NF3699-FJSC 防火墙
网御星云/Leadsec-RS-599-FJSC安全审计设备
网御星云/LA-OS-36AB-FJSC运维安全网关
服务与下载
支持与服务
在线升级
联系我们
二维码