QSecurity 月度安全评论(2013 年 4 月):史上最大 DDoS 攻击、思科存漏洞、TP-Link 路由器后门、Apple ID 安全问题

  • 360网站安全检测团队

2013 年 5 月 9 日

话题:安全DevOps语言 & 开发

QSecurity 月度安全评论本月起恢复发布,InfoQ 中文站联合360 网站安全检测团队对互联网相关的安全问题进行月度复盘,旨在提高开发人员的安全意识,减少安全事故的发生。本期的安全事件如下:

1. 300Gbps!Spamhaus 创造 DDoS 历史

3 月 26 日,对 Spamhaus 的 DDoS 攻击流量超过了 300Gbps!攻击流量吞没了整个网站。诸如 Boing Boing 和 Register 这样的媒体纷纷宣布互联网历史上最大规模 DDoS 攻击的到来。在接受 BBC 的采访时,Spamhuas 的执行官 Linford 说,他们的团队正在竭尽全力恢复系统上线。“我们已经被连续打了一个礼拜了,”Linford 说,“但是我们始终站在那里,没有倒下。你不能想象我们的工程师为此付出了多大的努力——类似这样的进攻可以吞噬掉所有的一切”。

2. 思科被指存技术漏洞 严重威胁我国金融信息安全

据哥伦比亚大学研究人员发布的调查报告显示,多年来思科始终存在网络安全隐患。比如其 VoIP 电话(网络电话)存在严重安全漏洞,黑客通过植入恶意代码便可窃取到思科 VoIP 电话的通话内容。对此,思科给出的安全防护解释也未能让研究人员满意,而这种难以克服的漏洞会给网络安全带来困扰。 从金融业情况来看,中国四大银行及各城市商业银行的数据中心全部采用思科设备,思科所占有的中国金融行业市场份额竟然高达 70% 以上。这一触目惊心的数据背后,在反思之余更显示出中国金融业信息安全的脆弱现状。

3. Facebook 爆出新的 OAuth 漏洞

还记得上次 Facebook 的 OAuth 漏洞吗?该漏洞允许攻击者不需要与受害者有任何互动即可劫持账户。之后,Facebook 安全团队修复了这个漏洞。 最近,Goldshlager 绕过 Facebook 的补丁,再次攻破 Facebook 的 OAuth 的机制。他在一篇博客中记录了完整的入侵 Facebook 的过程。

4. TP-link 被曝路由器存在后门漏洞

近日,TP-LINK 路由器部分型号被曝存在一个有可能被攻击者利用,并且会对用户造成严重威胁的后门漏洞。建议采取紧急防护措施:1. 关闭 WAN 管理接口,例如将 WAN 口远端管理 IP 设置为 0.0.0.0,或者可信任 IP;2. 在 LAN 口设置中,只允许可信任的 MAC 地址访问管理界面。

5. 第三方公司追踪用户 cookie 收集用户隐私

第三方公司通过加放代码窃取用户 cookie。一般情况下,用户电脑中的 cookie 只会被放置它的网站所读取,但这些第三方公司偷偷进行跟踪用户,通过各种手段获取的用户详细信息,更精准地投放广告。

6. 微软部分 Xbox Live”高调”员工的账号遭遇黑客访问

微软 3 月 22 日确认,不少在职和前 Xbox Live“高调”员工的账号遭遇了黑客的登陆访问。这是个黑客组织,先前也涉及了著名的“Swatting”DoS 攻击事件,不久之前该组织还以欺骗 SWAT 特别行动小组的方式令警方作出对假报案的响应闯入记者 Brian Krebs 家中。微软在致媒体的声明中说:“我们意识到一组黑客正利用某些社会工程技术危害到部分高级 Xbox LIVE 账号,这些账号是在职和前职员持有的。”

7. Apple ID 可绕过安全提示问题直接修改密码漏洞

据 The Verge 网站报道,Apple ID 登陆系统被曝有重大安全漏洞,任何拥有用户邮箱地址和生日信息的攻击者都可以重置 Apple ID 的密码。当然,那些开启两步认证的用户不会受到该漏洞的影响。The Verge 网站已经获得了很详细的攻击步骤,只需更改 URL 地址即可完成。因为安全问题,具体的实施方法没有被公布出来。苹果也没有对这篇报道做出回应。担心自己 Apple ID 安全问题的用户可以登陆后更改生日信息。两步认证系统昨天正式推出,该系统能大大增加安全性。

8. 360 网站检测团队发现 OWASP 开源 WAF NAXSI 绕过漏洞

该问题出现在 naxsi_src/naxsi_utils.c 代码中 naxsi_unescape_uri 函数,虽然 NAXSI 对 nginx 原代码做过处理仍然存在绕过漏洞。

9. 黑客利用 Evernote 账号控制服务器

黑客使用流行的笔记应用程序 Evernote 进行命令控制服务器,下达指令使感染的计算机安装恶意软件。TrendMicro 发现恶意软件检测为“BKDR_VERNOT.A”试图使用 Evernote 命令与控制服务器进行通信。恶意软件通过一个可执行文件,安装恶意软件提供的动态链接库。然后安装程序捆绑成一个合法的正在运行的 DLL 进程。安装完成后,BKDR_VERNOT.A 会提供命令选项,如下载,执行和几种重命名文件的后门。然后,它从受感染的系统中收集信息,包括:其操作系统,时区,用户名,计算机名,登入记录及用户群组等详细信息。

10. 黑客用密码“root”入侵数十万台终端制作普查报告

2012 年 3 月到 12 月,“卡尔纳”僵尸网络所控制的互联网终端的活跃程度,这 42 万台设备均遭遇同一名黑客非法侵入。此刻,在地球的某个角落,一名黑客的情绪有些不稳定。他既自豪又担忧,因为他做了件前无古人的事情,但却是非法的。2012 年 3 月至 12 月,这名匿名的黑客用自己的方式非法入侵数十万台电脑,获取了世界互联网的抽样数据,并于近期发表一份结论报告。

11. 日本导航网站 goo 被黑客攻破 10 万会员账号泄露

4 月 9 日消息,据国外媒体报道,日本导航网站 goo,上周三传出遭黑客攻击的事件。黑客尝试以违法手段破解会员密码,被害情形在调查期间中不断扩大,截至 4 月 4 日已证实约 10 万会员帐号密码被破解,信用卡、银行帐户与个人资料都有泄露疑虑。经分析攻击 log 后发现,黑客主要使用字典攻击 (dictionary attack) 方式破解会员帐号密码,分批测试成对的帐号密码能否登入,如果不能就立刻送出下一组持续测试。之所以判定帐号密码不是从 goo 直接流出,是因为一部分文字中使用了 goo 服务中不允许使用的字符,证明黑客是利用从某处得来的其他网站帐号密码尝试登入 goo。

12. 全球域名去年底达到 2.52 亿个

北京时间 4 月 9 日消息,根据最近 Verisign 公布的报告,2012 年四季度全球域名注册量超 2.5 亿,总计全球达 2.52 亿个。“.com”域名占了大多数。到 12 月底时“.com”域名达 1.062 亿,“.net”域名达 1490 万台。在新注册的域名中“.com”和“.net”也占了大多数。2012 年四季度,“.com”和“.net”注册量达 800 万,上年同期为 790 万。“.com”和“.net”网站中约 21% 是单页网站,15% 只是注册了但没有指向网页。除了“.com”和“.net”两大域名,国家顶级域名量环比增长 5%,同比增长 21.6%,总量达 1.102 亿。中国国家级域名占了增长的大多数。中国已经是第七大顶级域名。前七大顶级域名分别为:.com、.de(德国)、.net、.tk(南太平洋岛国托克劳 Tokelau)、.uk(英国)、.org.cn(中国)、.info、.nl(荷兰)、.ru(俄罗斯)。最让人惊奇的可能是.tk 域名,该域名可以自由免费注册,它被钓鱼网站大量利用。

13. 我国将立法禁止电信互联网企业泄露用户信息

日前,根据工信部的公告,我国将出台相关法规,禁止电信和互联网企业泄露用户信息,这样的话,困扰广大用户的个人信息泄露问题有望逐步解决,相关责任人将可得到严惩。

14. 黑客通过 Java 0day 漏洞偷盗比特币

美国东部时间 4 月 10 日晚上,一位名为 Mt.Gox 的用户被人利用 Java 漏洞盗走了 34 比特币,虽然数量不多,但它的价值也相当于 5 千美元(根据目前的比特币美元兑换率)。他在比特币论坛上描述了整个过程,这种入侵方法非常典型:有人首先在聊天窗口发布了链接,声称 Mt.Gox 将宣布交易 litecoins(另一种受欢迎的数字货币),这个链接当然是恶意链接,它先载入Java applet,利用 Java 0day漏洞进行跨站脚本注入攻击,它会下载恶意程序(AdobeUpdate-Setup1.84.exe)然后自动执行,整个攻击专为 Mt.Gox(最大的比特币交易平台)用户定制,它记录了所有的密码,登录进比特币钱包,窃取比特币

15. 黑客演示通过 Android 手机遥控劫持飞机

飞行员 Hugo Teso 本身即精通 IT 技术也是一名飞行员,他将自己的这两种兴趣结合到了一起,结果他发现航空安全系统和通信协议的安全非常让人担忧。他在 Hack In The Box Conference 这个会议中演示了如何使用一台 Android 设备成功遥控劫持一架飞机。

作者介绍

360 网站安全检测@360 网站安全检测)是奇虎 360 旗下为网站提供主动保护的服务平台。是全国首家为网站提供一站式全面的漏洞检测、挂马检测和篡改检测服务平台。

360 网站安全检测团队拥有多名国内顶尖的安全技术工程师。他们在安全领域积累的多年行业经验也为 360 网站安全检测的整体系统架构奠定了夯实的服务基础,为用户提供了良好、稳定的产品使用体验。

安全DevOps语言 & 开发