安全漏洞与安全事件日报

天融信安全云服务中心

6.7能够保守商业秘密,投标人出具加盖公章及法人章的承诺书;

安全漏洞与安全事件日报
(2017-1-6)
最新安全漏洞漏洞标题:Piwigo 安全漏洞提交时间:2017-01-04披露/发现时间:漏洞等级:高CVE-ID:CVE-2016-10105漏洞类别:安全漏洞CNNVD-ID:CNNVD-201701-005影响组件:Piwigo 2.8.3及之前的版本漏洞描述:Piwigo是Piwigo团队的一套基于Web的相册软件。该软件支持照片发布、管理、多种浏览方式(类别、标签、时间)等。Piwigo 2.8.3及之前的版本中的admin/plugin.php文件存在安全漏洞,该漏洞源于程序没有验证‘section’变量。攻击者可利用该漏洞造成信息泄露,并执行代码。 安全建议:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接: https://github.com/Piwigo/Piwigo/commit/9004fdfc0b4a11cb32e9e15a5f67e4ec827e82dc
漏洞标题:多款NETGEAR产品路径遍历漏洞提交时间:2017-01-04披露/发现时间:漏洞等级:高CVE-ID:CVE-2016-10106漏洞类别:路径遍历漏洞CNNVD-ID:CNNVD-201701-006影响组件:NETGEAR FVS336Gv3;FVS318N;FVS318Gv2;SRX5308。漏洞描述:NETGEAR FVS336G等都是美国网件(NETGEAR)公司的防火墙设备。使用4.3-3.6及之前版本固件的多款NETGEAR产品中的scgi-bin/platform.cgi文件存在目录遍历漏洞。远程攻击者可借助特制的‘thispage’参数利用该漏洞读取任意文件。以下产品受到影响:NETGEAR FVS336Gv3;FVS318N;FVS318Gv2;SRX5308。安全建议:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接: http://kb.netgear.com/30739/Path-Traversal-Attack-Security-Vulnerability
漏洞标题:WordPress WooCommerce插件跨站脚本漏洞提交时间:2017-01-04披露/发现时间:漏洞等级:高CVE-ID:CVE-2016-10112漏洞类别:跨站脚本漏洞CNNVD-ID:CNNVD-201701-010影响组件:WordPress WooCommerce插件2.6.9之前的版本漏洞描述:WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。WooCommerce是其中的一个电子商务插件。WordPress WooCommerce插件2.6.9之前的版本中存在跨站脚本漏洞。远程攻击者可通过提供CSV格式中特制的tax-rate表值利用该漏洞注入任意Web脚本或HTML。安全建议:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接: https://wordpress.org/plugins/woocommerce/changelog/
漏洞标题:Western Digital MyCloud NAS 命令注入漏洞提交时间:2017-01-04披露/发现时间:漏洞等级:高CVE-ID:CVE-2016-10107漏洞类别:命令注入漏洞CNNVD-ID:CNNVD-201701-007影响组件:Western Digital MyCloud NAS 2.11.142版本安全建议:漏洞描述Western Digital MyCloud NAS是美国西部数据(Western Digital)公司的一款个人网络云存储设备。 远程攻击者可借助特制的Cookie头利用该漏洞注入任意命令。安全建议:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接: https://vel.joomla.org/resolved/1897-aweb-cart-watching-system-2-6-0
漏洞标题:Joomla! aWeb Cart Watching System for Virtuemart扩展SQL注入漏洞提交时间:2017-01-04披露/发现时间:漏洞等级:中CVE-ID:CVE-2016-10114漏洞类别:SQL注入漏洞CNNVD-ID:CNNVD-201701-011影响组件:Joomla!的aWeb Cart Watching System for Virtuemart扩展2.6.1之前的版本漏洞描述:Joomla!是美国Open Source Matters团队开发的一套开源的内容管理系统(CMS),该系统提供RSS馈送、网站搜索等功能。aWeb Cart Watching System for Virtuemart是其中的一个用于收集未完成订单的扩展。远程攻击者可利用该漏洞执行任意的SQL命令。安全建议:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接: https://vel.joomla.org/resolved/1897-aweb-cart-watching-system-2-6-0
安全资讯
2017年网络安全趋势:企业将进行反击
在2016年的日子里,各行业在IT安全方面一直被黑暗的新闻所主导。关于大规模DDoS攻击,国家层面支持的黑客,以及其他不断发展网络威胁,这些新闻不太可能在人们进入新的一年时发生巨大变化,但2017年将会有一个亮点。随着网络威胁的增加和业务熟练的安全人才的增加,组织的安全策略正在达到一个临界点,现在他们可以容忍这种现象。但在接下来的几个月里,人们应该看到很多企业开始积极反击,并保护自己和他们的客户。
以下是人们需要了解的2017年网络安全趋势。
1.通过物联网(IoT)引入的新漏洞将会增加。
2016年10月中旬在互联网上发布的Mirai代码为部署对服务提供商Dyn公司前所未有的DDoS攻击提供了帮助,并影响了Twitter和Spotify等组织正常运行。其本质上接管“智能”设备或连接到互联网的设备,并启动拒绝服务(DoS)攻击。每分钟有4,800多个智能设备连接到互联网,而诸如Mirai等恶意软件提供了允许攻击者控制这些设备的能力,这是一个巨大的漏洞。就像之前的许多其他恶意代码片段,未来这种手段还将变形,并毫无疑问地落入更多的潜在攻击者的手中,因为它将继续传播。
燕京啤酒2016中国足协杯决赛赛场名将云集
2.采用“网络武器条约”扭转这种趋势。
随着更多的黑客主义和一些国家支持或实施网络犯罪,世界各国将必须考虑“网络武器条约”以扭转这种趋势。
匿名攻击,维基解密,以及国家层面支持的黑客在2016年成为主导。企业应该阻止DDoS攻击,并承担网站安全的责任。
3.组织迁移到云计算和移动计算将增加安全需求的数量。
如今,组织的应用程序和数据正在转向云计算和移动设备,以提高访问和生产力,以及减少组织的基础架构和维护成本。显然,所有这些都对员工,客户,组织,以及整个社会都有好处。然而,这种转变无疑将产生新的脆弱性。毕竟,“云计算”只是别人的计算机,通过在更多的设备和人们之间移动和共享信息,而攻击面的增长,也导致攻击者的机会随之增加。
4.组织将努力适应,理解和调整隐私框架的更新。

史上最安全!FBI网站被黑,数据全泄露

欧盟的常规数据保护法规(GDPR)于2018年5月生效。对于控制或处理欧洲人的个人数据的组织,不管他们是否实际位于欧洲,GDPR将会强制执行违约报告,私人数据删除权以及通过设计采用隐私(包括业务流程开发中的数据保护)。如果不遵守这些规定,将会产生巨额的罚款(每年全球收入的4%或违约金2000万欧元),因此组织将会在2017年时间做一些准备。
5.消费者和其他人将更积极地游说以获得保护。
目前,政府监督仍将是焦点,人权组织将推动更强有力的隐私立法。这种变革的压力可以在私营部门感受到,在那里,客户将面临大数据公司遭受数据泄露而没有后果的情况下,需要更多的保护。美国联邦贸易委员会(FTC)将越来越积极地保护客户,而美国证券交易委员会(SEC)将更密切地监控上市公司。美国当选总统特朗普必须选择一个有关网络安全的方向,以巩固所有这些监管干预措施。
6.安全技能短缺将会持续。
保护组织免受网络攻击,需要在技术和专业知识方面投入巨大资源。许多人忘记了互联网不是为了安全而设计的,而是旨在允许人们和组织共享信息。因此,提高安全性是次要的。大多数组织都在试图堵塞漏洞和弥补缺陷,即使这些问题不断涌现。而了解如何预测这些漏洞并充分保护组织的专家很少。这种状部将持续一段时间的趋势,因为攻击者不需要像网络安全专家那样聪明才能成功。因为黑客只需要正确地实施一次,而专家必须每次都是正确的。因此,吸引安全人才和充分培训他们将继续是一个挑战。
7.组织将会反击。
毫无疑问,网络攻击者,黑客,以及其他敌人都在不断进行攻击。但每种现象都有一个临界点,当这些攻击的痛苦刺激组织的时候,也是其投资并行动的时候。2017年将是一个转折点。组织将认真考虑保护他们的知识产权,客户数据和业务连续性。客户将会远离遭受违约的企业,监管环境使企业需要实质性保护,无论是将其建立在组织中还是外包责任。
在许多方面,2017年代表了从2016年开始的网络安全故事的延续和演变。然而可以确定的是,无论多大规模的组织都意识到这个网络战争的风险,他们需要坚定立场,在不断的攻击下,保护他们的客户,员工,知识产权和能力。

如何改善银行安全性?
近日在一系列引人注目的攻击事件后,金融电信协会(SWIFT)遭到了批评。该协会承认这些攻击威胁具有“持久性、适应性和复杂性,且会停留很久”,那么,究竟是什么在攻击SWIFT网络,他们应采取哪些应对措施呢.
SWIFT成立于1973年,旨在为发送和接收有关金融交易的信息建立共同标准,并取代当时正在使用的Telex技术。在1977年,通过SWIFT通信网络发送了第一条消息,目前该通信服务正由200多个国家的11000家金融机构使用,每周传输数百万条消息。
虽然SWIFT网络并不会实际处理货币交易,它只会发送付款订单,但这些消息的性质让攻击者、网络罪犯以及民族国家非常感兴趣。尽管SWIFT会与各政府机构共享财务记录用于反恐调查,但斯诺登透露美国国家安全局使用各种方法对SWIFT进行监控,包括读取SWIFT打印机流量。
同时,网络罪犯也在滥用SWIFT网络来窃取数百万美元。攻击者已经发现他们可利用SWIFT成员银行流程和程序中的漏洞来访问他们的网络,特别是在那些监管和安全控制不太稳固的国家中的银行。针对SWIFT未知数量的攻击给银行带来重大打击;例如,在2016年的两次攻击中使用的恶意软件可发出未经授权SWIFT消息,并通过修改报告防止确认消息页面在打印时(纸质记录或PDF报告)暴露这种盗窃活动。这导致孟加拉中央银行损失了8100万美元,越南的一家银行被认为是第二个受害者。在另一个攻击中,攻击者通过利用Bancodel Austro(BDA)银行员工合法SWIFT登录凭证,将经过身份验证的SWIFT消息(类似于最新取消的专属请求)从厄瓜多尔的BDA发送到美国富国银行,他们成功窃取了1200万美元。
与互联网一样,SWIFT出现的时候,安全性还不是主要考虑因素。这意味着其核心协议并没有内置所有必要的安全控制,例如不可否认性。
鉴于SWIFT网络的关键任务性质以及规模,每日消息数量以及其他技术方面,我们很难转移到全新的协议;SWIFT必须努力让其成员升级到最新版本的SWIFT软件。但升级到最新版协议会是缓慢的过程,同时,向后兼容性要求通常会导致它变成不太理想的解决方案。然而,整个网络的安全性必须快速改善以保持人们对该系统的信任。
SWIFT已经开始改进其架构,其中一个改变是采用双区模式的分布式架构来存储消息。SWIFT还与网络公司BAE Systems以及Fox-IT合作创建新的客户安全智能团队。
SWIFT必须向其成员提供和接收威胁情报,以阻止多个客户端沦为相同攻击技术的受害者。这需要银行共享可能破坏公众信任的消息,而这是他们过去一直不愿意做的事情,但这是对打击共同敌人至关重要的合作。
SWIFT需要改善对可疑消息的监控、检测与响应–这是行为和背景监控可派上用场的地方。虚假BDA SWIFT消息本应该很容易被发现,因为它们出现在正常工作时间之外,并且通常数量异常大,而只稍发现一个拼写错误就可设法阻止网络罪犯从孟加拉中央银行窃取10亿美元。

垃圾短信智能盾

Visa的欺诈检测系统是一个很好的例子来说明我们需要不断确定现有安全策略是否可有效高效地检测有针对性威胁活动。Visa会查看支付卡交易中多达500个独特的风险属性来检查欺诈,而在2013年他们升级其欺诈检测系统前这个数字为40。
为了帮助客户独立验证其消息传输活动以及检测任何异常模式,SWIFT引入了每日验证报告,这是通过向客户的支付和合规团队的独立渠道提供,但客户需要检查这些报告是否有效。
虽然这些措施应有助于提高安全性,但所有网络的主要问题在其客户端端点。攻击者并不会专注SWIFT核心消息系统和软件中潜在漏洞,他们会利用银行安全措施中的漏洞来攻击银行对SWIFT网络的连接,并获取对SWIFT消息系统的访问权限。由于每个银行需要负责维护其与SWIFT的连接安全性,在授予访问权限前,应该强制要求确保终端和用户的安全性。
严格政府信息技术服务外包安全管理,为政府机关提供服务的数据中心、云计算服务平台等要设在境内,禁止办公用计算机安装使用与工作无关的软件。
为了让攻击者更难以获得有效登录凭证,银行还应该对员工进行安全意识培训,其中应该涉及网络钓鱼攻击技术,以及更好的职责分离。攻击表明攻击者非常了解目标银行内特定操作控制,因此也应该进行员工审查与持续监控。
SWIFT想要防止其系统被利用来欺骗其客户,SWIFT与银行都应该提高其现有的安全性,毕竟整个系统的安全性在于其最薄弱的用户。

(内容来源:CNNVD 补天 天融信安全云服务中心 阿尔法实验室等相关国内热门安全论坛)
微信扫一扫关注该公众号

在安全架构和技术系统的研究、开发和实施方面,大型企业真可以考虑自己动手、丰衣足食,毕竟信息安全要内嵌进业务流程,特别是在业务应用的安全方面,第三方通用产品总难比量身定制更为合适。

猜您喜欢

[湖南]厅组织收看全国交通运输科技创新暨信息化工作视频会
移动设备的安全引发企业IT界高度关注
信息安全第一课——丢弃毁坏的U盘
新年再曝大规模性侵!奥地利十余名女子被摸私处
SAPRAMSONLINETRAINING MOLONYTILE
即时通讯安全动画——西餐惊魂