1.半年来国内网络安全状况概述
2004年近半年以来,国内的安全状况总体情况是不容乐观的。造成主要网络隐患的来源是系统平台以及一些重要的服务程序相继发现重大的安全漏洞,特别是基于windows系统在接连几个月内被披露了几个严重漏洞以来,紧接着就是利用该漏洞的蠕虫程序的大范围流行和爆发,给我国很多重要部门和机构的网络造成了相当大的影响。与此同时,一些广泛应用的程序比如windows平台下的FTP服务器Serv-U也相继发现了可以远程利用的严重漏洞,并且漏洞利用程序很快的发布,从而导致很多FTP服务器没有来得及打补丁或者更换FTP服务器程序而被轻易的攻陷;在Unix类系统方面也有不少的严重的漏洞,比较严重的几个漏洞有Linux内核出现的几个缓冲区溢出漏洞以及相关的服务器程序比如Apache的远程缓冲区溢出漏洞;在无线网络相关领域,一些产品也被披露了严重漏洞,在协议上也相继披露了IEEE 802.11的设计问题导致的安全问题。在近半年来大部分时期,由于蠕虫爆发的原因,整个Internet的安全等级几乎一直处于严重状态。
2.具体事件分析以及相应策略
2.1 Windows平台安全事件统计分析以及对应策略
2.1.1 一月份摘要
微软发布了3个最新的安全公告: MS04-001 到 MS04-003。这些安全公告分别描述了3个安全问题,分别是有关Microsoft ISA(Internet Security and Acceleration)Server 2000,Exchange Server 2003和MDAC函数的漏洞。
其中MS04-001和MS04-003中所描述的安全漏洞立刻进行处理。
2.1.1.1 MS04-001 - Microsoft Internet Security and Acceleration Server 2000 H.323过滤中的漏洞可能允许执行远程代码(816458)
受影响系统:
Microsoft ISAserver2000
Microsoft Small Business Server2000
Microsoft Small Business Server 2000
不受影响系统:
Microsoft Proxy Server 2.0
漏洞危害:
执行远程代码
严重程度:
紧急
漏洞描述:
在ISA Server 2000的H.323过滤中存在一个安全漏洞,可能允许攻击者溢出ISAServer2000的Microsoft防火墙服务中的缓冲区。成功利用这个漏洞的攻击者可以尝试在Microsoft防火墙服务的安全环境下运行他们所选择的代码。这可能允许攻击者完全控制系统。在运行ISA Server 2000的服务器中(以集成模式或防火墙模式安装)H.323过滤是默认允许的。
NIPC给出的临时解决方案:
禁用H.323过滤;
在边界或网关路由器阻断TCP 1720端口 | 2.1.1.2 MS04-002 - Exchange Server 2003中的漏洞可能导致权限提升(832759)
受影响系统:
Microsoft Exchange Server 2003
不受影响系统:
Microsoft Exchange 2000 Server
Microsoft Exchange Server 5.5
漏洞危害:
权限提升
严重程度:
中等
漏洞描述:
如果在提供OWA(Outlook Web Access)访问的前端Exchange 2003 server之间使 用NTLM验证的话,或在Windows 2000和Windows Server 2003上运行OWA的话,或者使用了运行Windows Server 2003的后端Exchange 2003的话,则重用超文本传输协议(HTTP)连接的方式存在漏洞,通过Exchange 2003前端服务程序和OutlookWeb Access访问邮箱的用户可能连接到其他用户的邮箱。这个漏洞导致对邮箱的随机的,不可靠的访问,但仅限于最近通过OWA访问过的邮箱。
NIPC给出的临时解决方案:
在Exchange Server 2003前端服务程序禁用HTTP连接重用;
在Exchange Server 2003后端服务程序上运行OWA的虚拟服务器上允许Kerberos;
厂商补丁:
微软已经提供了安全补丁以修复此安全漏洞。
Microsoft Exchange Server 2003
http://www.microsoft.com/downloads/details.aspx?FamilyId=9542F949-D09B-4199-A837-FBCFC0567676&displaylang=en | 2.1.1.3 MS04-003 - MDAC函数中的缓冲区溢出可能允许代码执行(832483)
受影响系统:
Microsoft Data Access Components 2.5-2.8
漏洞危害:
远程执行代码
严重程度:
重要
漏洞描述:
当网络中的客户系统试图看到该网络中运行SQL Server的计算机列表时,客户向那个网络中的所有设备发送广播请求。由于特定MDAC组件中的漏洞,攻击者可能以特别创建的报文响应这个请求,导致缓冲区溢出。成功利用这个漏洞的攻击者可以在系统中获得与初始广播请求程序相同级别的权限。攻击者可以采取的行为取决于使用MDAC程序的权限。
NIPC给出的临时解决方案:
阻断UDP 1434端口的流入通讯
厂商补丁:
微软已经提供了安全补丁以修复此安全漏洞。
所有以上版本使用同一个更新:
http://www.microsoft.com/downloads/details.aspx?FamilyId=39472EE8-C14A-47B4-BFCC-87988E062D91&displaylang=en | 2.1.2 二月份摘要:
2.1.2.1 Novarg/Mydoom蠕虫
Novarg/Mydoom蠕虫是2004.1.28开始传入我国的一个通过邮件传播的蠕虫。该蠕虫利用欺骗性的邮件主题和内容来诱使用户运行邮件中的附件。除了传播自身之外,蠕虫还会对某些网站进行拒绝服务攻击。在传播和攻击过程中,会占用大量系统资源,导致系统运行变慢。蠕虫还会在系统上留下后门,通过该后门,入侵者可以完全控制被感染的主机。该蠕虫目前有两个变种:Mydoom.a和Mydoom.b。由于蠕虫的传播速度极快,所以目前已经在我国大范围流行。
NIPC给出了如何判断系统是否受到感染的方法:
如果使用的 Windows XP、Windows 2000 或 Windows NT 4.0,执行以下操作:
单击开始,然后单击运行。
在打开运行对话框中键入:cmd命令。
退到C盘根目录下面(键入cd \ 然后按下 ENTER)。
检查Mydoom.A,键入:dir shimgapi.dll /a /s
系统将会在这个时候检查,根据机器配置的不同稍等一段时候。如果显示找不到文件,则表明计算机未感染Mydoom.A。
要检查Mydoom.B,请单击光标,然后键入:
dir ctfmon.dll /a /s
按下 ENTER。
同样请请稍候,如果显示找不到文件,则表明计算机未感染Mydoom.B。
要检查Mydoom.C,请单击光标,然后键入:
dir intrenat.exe /a /s
请稍候如果显示找不到文件,则表明计算机未感染Mydoom.C。 | 如果使用的 Millennium Edition、Windows 98 或 Windows 95单击开始,然后单击运行。
在打开运行对话框中键入:command 命令
退到C盘根目录下面(键入cd \ 然后按下 ENTER)。
要检查Mydoom.A,请单击光标,然后键入:
dir shimgapi.dll /a /s
请稍候:如果显示找不到文件,则表明计算机未感染Mydoom.A。
要检查Mydoom.B,请单击光标,然后键入:
dir ctfmon.dll /a /s
请稍候:如果显示找不到文件,则表明计算机未感染Mydoom.B。
要检查Mydoom.C,请单击光标,然后键入:
dir intrenat.exe /a /s
请稍候:如果显示找不到文件,则表明计算机未感染Mydoom.C。 | NIPC给出的针对该蠕虫的防御方法和解决方法:
手工清除“诺维格”(Novarg.a/Mydoom.a)
对于系统是Windows95,Windows98,WindowsMe:
步骤一,删除病毒主程序
请使用干净的系统软盘引导系统到纯DOS模式,然后转到系统目录(默认的系统目录为C:\windows\system),分别输入以下命令,以便删除病毒程序:C:\windows\system\>del shimgapi.dll
C:\windows\system\>del taskmon.exe
完毕后,取出系统软盘,重新引导到Windows系统。
如果手中没有系统软件盘,可以在引导系统时按“F5”键也可进入纯DOS模式。
步骤二,清除病毒在注册表里添加的项
打开注册表编辑器: 点击开始>运行, 输入regedit.
找到HKEY_CURRENT_USER>Software>Microsft>Windows>CurrentVersion>Run
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
在右边的面板中, 找到并删除如下项目:TaskMon = %System%\taskmon.exe
在菜单条中点击编辑>查找, 在文本领域中输入"ComDlg32",如果出现如下健值则删除。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version | 对于系统是Windows NT,Windows2000,Windows XP,Windows 2003 sever:
步骤一,使用进程序管里器结束病毒进程
在任务管理器中,单击“进程”标签,在例表栏内找到病毒进程“taskmon.exe”关掉进程,然后关掉任务管理器,以防万一,重新打开任务管理器,确认这个进程却是被关闭。
步骤二,查找并删除病毒程序
通过资源管理器进入系统目录(Winnt\system32或windows\system32),找到文件“taskmon.exe、shimgapi.dll”,将它们删除,注意清空回收站内的内容。
步骤三,清除病毒在注册表里添加的项
打开注册表编辑器: 点击开始>运行, 输入regedit.
找到HKEY_CURRENT_USER>Software>Microsft>Windows>CurrentVersion>Run
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
在右边的面板中, 找到并删除如下项目:
TaskMon = %System%\taskmon.exe
在菜单条中点击编辑>查找, 在文本领域中输入"ComDlg32", 点击查找下一个;找到并删除如下项目:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
关闭注册表编辑器. | 2.1.2.2 Windows系统ASN.1库存在严重漏洞
微软发布2月安全公告 Windows系统ASN.1库存在严重漏洞MS04-007 - ASN.1漏洞可能允许代码执行(828028)。
受影响系统:
windows系列操作系统
受影响组件:
Microsoft ASN.1库
漏洞危害:
远程执行代码
严重程度:
紧急
漏洞描述:
在Microsoft ASN.1库中存在的安全漏洞可能允许在受影响系统中执行代码。这个漏洞的起因是Microsoft ASN.1库中未检查的缓冲区,这个缓冲区可能导致缓冲区溢出。成功利用这个缓冲区溢出漏洞的攻击者可能在受影响系统中以系统权限执行任意代码。然后攻击者就可以在系统中采取任何行为,包括安装程序,浏览数据,更改数据,删除数据,或以完全权限创建新帐号。
临时解决方案:
无
厂商补丁:
微软已经提供了安全补丁以修复此安全漏洞,使用Windows系统自带的"Windows update"功能下载最新补丁。您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS04-007.asp | 2.1.3 3,4月份:
2.1.3.1微软发布4月安全公告 修复21个安全漏洞
发布日期:2004-04-14
综述:微软4月份发布了4个安全公告,这些公告描述并修复了21个安全漏洞,其中包含多个非常严重的远程安全漏洞。这4个安全公告分别是:
MS04-011 : Security Update for Microsoft Windows (835732)
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
MS04-012 : Cumulative Update for Microsoft RPC/DCOM (828741)
http://www.microsoft.com/technet/security/bulletin/MS04-012.mspx
MS04-013 : Cumulative Security Update for Outlook Express (837009)
http://www.microsoft.com/technet/security/bulletin/MS04-013.mspx
MS04-014 : Vulnerability in the Microsoft Jet Database Engine Could Allow Code Execution (837001)
http://www.microsoft.com/technet/security/bulletin/MS04-014.mspx
攻击者利用这些漏洞可能远程入侵并完全控制服务器或者客户端系统,微软已经将MS04-011、MS04-012、MS04-013列为紧急级别,MS04-014列为重要级别,需要Windows用户立刻进行升级或处理。
分析:
微软发布的四个安全公告的详细信息如下:
|
MS04-011 - Microsoft Windows安全更新 (835732)
受影响系统:
windows系列操作系统
漏洞危害:
远程执行代码
严重程度:
高
漏洞描述:
本公告修复了几个新发现的漏洞。下文中记录了这些漏洞。成功利用其中最严重漏洞的攻击者可以完全控制受影响的系统,包括安装程序,浏览,更改或删除数据,或创建拥有完全权限的新帐号。
NIPC的解决方案:
·针对LSASS漏洞:
使用个人防火墙,例如Windows XP和Windows Server 2003捆绑的Internet连接 防火墙;
在防火墙阻断以下端口:UDP 135, 137, 138和445端口,TCP 135, 139, 445和593端口,在大于1024的端口阻断所有没有请求的流入通讯,任何其他特别配置的RPC端口。
在支持高级TCP/IP过滤特性的系统上启用这个特性;
在受影响系统上使用IPSec阻断受影响的端口。
·针对LDAP漏洞:
在防火墙阻断LDAP TCP 389, 636, 3268和3269端口PCT漏洞:
通过注册表禁用PCT支持
·针对Winlogon漏洞:
减少拥有帐号修改权限用户的数目;
·针对Metafile漏洞:
如果使用Outlook 2002或之后版本的话,或Outlook Express 6 SP1或之后版本的话,纯文本格式读取邮件消息以防范HTML邮件攻击。
·针对帮助和支持中心漏洞:
注销HCP协议;
如果在使用Outlook 2000 SP1或更早版本的话,安装Outlook E-mail安全更新;
如果使用Outlook 2002或之后版本的话,或Outlook Express 6 SP1或之后版本的话,以纯文本格式读取邮件消息以防范HTML邮件攻击。
·针对工具管理器漏洞:
在所有受影响系统中使用软件策略在不需要的地方禁用工具管理器。
·针对Windows管理漏洞:
删除受影响Windows管理接口(WMI)Provider
·针对本地描述符列表漏洞:无
·针对H.323漏洞:
在防火墙阻断TCP 1720和TCP 1503的流入和流出通讯;
·针对虚拟DOS机漏洞:无
·针对协商SSP漏洞:
禁用“集成Windows验证”;
禁止协商SSP;
·SSL漏洞:
在防火墙阻断443和636端口;
·针对 ASN.1 “Double Free” 漏洞: 无
厂商补丁:
微软已经提供了安全补丁以修复此安全漏洞,我们建议使用Windows系统自带的"Windows update"功能下载最新补丁,可以通过微软的安全公告选择并安装针对所用系统的安全补丁:
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx | 2.1.3.2 MS04-012 - Microsoft RPC/DCOM累积更新 (828741)
|
受影响系统:
windows系列
漏洞危害:
远程执行代码
严重程度:
高
漏洞描述:
这个更修修复了几个新发现RPC/DCOM漏洞。下文中记录了这些漏洞。成功利用其中最严重漏洞的攻击者可以完全控制受影响的系统,包括安装程序,浏览,更改或删除数据,或创建拥有完全权限的新帐号。
NIPC的解决方案:
·针对 RPC运行时间库漏洞:
使用个人防火墙,例如Windows XP和Windows Server 2003捆绑的Internet连接 防火墙;
防火墙阻断以下端口:UDP 135, 137, 138和445端口,TCP 135, 139, 445和593端口;
在大于1024的端口阻断所有没有请求的流入通讯;任何其他特别配置的RPC端口,如果安装了的话,则阻断COM Internet服务(CIS)或RPC over HTTP端口(在80和443端口监听);
在支持高级TCP/IP过滤特性的系统上启用这个特性;
在受影响系统上使用IPSec阻断受影响的端口。
·针对RPCSS服务漏洞:
在所有受影响系统上禁用DCOM
·针对COM Internet服务(CIS) – RPC over HTTP漏洞:
如果在受影响系统中手动启用了CIS和RPC over HTTP的话,禁止向它们转发不可信任的资源 ;
如果不需要CIS或RPC over HTTP的话,在受影响系统中禁用这个功能;
·针对对象标识漏洞:
RPC运行时间库漏洞的临时解决方案也适用于这个漏洞
厂商补丁:
微软已经提供了安全补丁以修复此安全漏洞:
http://www.microsoft.com/technet/security/bulletin/MS04-012.mspx | 2.1.3.3 MS04-013 - Outlook Express累积安全更新 (837009)
受影响系统:
windows系列平台
受影响组件:
Microsoft Outlook Express系列
漏洞危害:
远程执行代码
严重程度:
高
漏洞描述:
这是个包含了所有之前发布的Outlook Express 5.5和Outlook Express 6更新功能的累积更新。 此外,它还修复了一个新漏洞。如果成功利用该漏洞的话,攻击者可以访问文件并完全控制受影响的系统。即使没有在系统中将Outlook Expres用作默认的邮件阅读器,攻击也可能发生。
NIPC解决方案:
加强Internet Explorer中“本地机器”区的安全设置;
如果在使用Outlook 2000 SP1或更早版本的话,安装Outlook E-mail安全更新;
如果使用Outlook 2002或之后版本的话,或Outlook Express 6 SP1或之后版本的话,以纯文本格式读取邮件消息以防范HTML邮件攻击。
厂商补丁:
微软已经提供了安全补丁以修复此安全漏洞:
http://www.microsoft.com/technet/security/bulletin/MS04-013.mspx | 2.1.3.4 MS04-014 - Microsoft Jet数据库引擎中的漏洞可能允许代码执行(837001)
2.1.4 五月份
2.1.4.1 利用LSA服务远程缓冲区溢出漏洞的蠕虫Sasser.worm
已经被蠕虫感染的情况下,我们给出下面参考步骤杀掉蠕虫:
以管理员身份登陆,启动一个CMD窗口(或者在“开始”-->“运行”中),执行下列命令:net stop server,将停止server服务,蠕虫将无法通过共享服务发起攻击。这会影响一些依赖server服务的程序,在安装完补丁之后应当重新启动此服务;
打开任务管理器,杀掉名字为"avserve.exe"和"4-5位随机数字_up.exe"(例如74354_up.exe)的进程;
执行regedit命令启动注册表编辑器,找到如下键:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,删除其中的如下键值:"avserve.exe"="%Windir%\avserve.exe";
安装微软提供的MS04-011中的安全补丁,参考我们上面提供的相关链接;
重新启动系统;
使用防火墙对UDP端口135、137、138、445及TCP端口135、139、445、593进行过滤。 | 2.2 Unix类系统
包括Linux各个发行版本,AIX,HP-UNIX,bsd,Solaris等Unix系统。比较严重的几个漏洞如下:
2.2.1 商用UNIX系统
商用的Unix系统方面我国的Xfocus组织的Watercloud在3月份发布了AIX的3个高风险漏洞,并同时给出了漏洞利用程序。
2.2.1.1 AIX Putlvcb命令行参数缓冲区溢出漏洞
AIX Putlvcb当把参数拷贝到内存时缺少充分边界检查,本地攻击者可以利用这个漏洞进行缓冲区溢出攻击,可能以root用户权限在系统上执行任意指令。提交超长参数给Putlvcb执行,可导致缓冲区溢出,不过运行此程序需要root组权限,不过利用其他漏洞(AIX Make CC路径本地缓冲区溢出漏洞)可能以root用户权限在系统上执行任意指令。
2.2.1.2 AIX Make CC路径本地缓冲区溢出漏洞
AIX make读取CC编译器路径时缺少充分边界检查,本地攻击者可以利用这个漏洞进行缓冲区溢出攻击,可以root组权限在系统上执行任意指令。提交超长CC编译器路径参数给make执行,可导致缓冲区溢出,精心构建提交数据可能以root组权限在系统上执行任意指令。AIX getlvcb当把参数拷贝到内存时缺少充分边界检查,本地攻击者可以利用这个漏洞进行缓冲区溢出攻击,可能以root用户权限在系统上执行任意指令。
2.2.1.3 AIX Getlvcb本地缓冲区溢出漏洞
提交超长参数给getlvcb执行,可导致缓冲区溢出,不过运行此程序需要root组权限,不过利用其他漏洞(AIX Make CC路径本地缓冲区溢出漏洞)可以root用户权限在系统上执行任意指令。
2.2.2 Linux kernel方面的几个漏洞:
2.2.2.1Linux Kernel ISO9660文件系统缓冲区溢出漏洞
Linux内核没有对存储在ISO9660文件系统上的符号连接进行正确的长度检查,本地攻击者可以利用这个漏洞获得root用户权限。ISO9660文件系统上的符号连接由'Rock Ridge'扩展到标准格式支持,通过在恶意构建ISO文件系统,当内核在执行目录列表及尝试通过畸形符号连接访问文件时触发。
几个相关的受影响函数如下:
fs/isofs/rock.c: rock_ridge_symlink_readpage()
fs/isofs/rock.c: get_symlink_chunk() | 由于没有对符号连接长度进行正确检查而触发内存错误。精心构建记录数据可能以root用户权限执行任意指令。
2.2.2.2Linux kernel setsockopt MCAST_MSFILTER整数溢出漏洞
Linux Kernel包含的ip_setsockopt()存在整数溢出,本地攻击者可以利用这个漏洞提升权限,获得ROOT权限。
ip_setsockopt()函数是setsockopt(2)系统调用的子函数,这个函数允许操作多个IP套接口选项,MCAST_MSFILTER用于提供内核从套接口接收到的多播地址列表。在IP_MSFILTER_SIZE宏计算中处理MCAST_MSFILTER套接口选项的代码存在整数溢出。
漏洞代码存在于net/ipv4/ip_sockglue.c文件中:
case MCAST_MSFILTER:
{
/* ... */
msize = IP_MSFILTER_SIZE(gsf->gf_numsrc);
msf = (struct ip_msfilter *)kmalloc(msize,GFP_KERNEL);
/* ... */
for (i=0; igf_numsrc; ++i) {
psin = (struct sockaddr_in *)&gsf->gf_slist[i];
if (psin->sin_family != AF_INET)
goto mc_msf_out;
msf->imsf_slist[i] = psin->sin_addr.s_addr;
}
whereas the IP_MSFILTER_SIZE macro is defined as follows:
#define IP_MSFILTER_SIZE(numsrc) \
(sizeof(struct ip_msfilter) - sizeof(__u32) \
+ (numsrc) * sizeof(__u32)) | 利用这个溢出,本地攻击者可以获得root用户权限。
2.2.2.3Linux kernel do_fork()系统调用内存泄露漏洞
Linux包含的do_fork()函数包含一个错误路径,本地攻击者可以利用这个漏洞获得部分内存敏感信息。
2.2.2.4Linux Kernel sctp_setsockopt()整数溢出漏洞
Linux内核包含的SCTP实现存在问题,本地攻击者可以利用这个漏洞提升权限。漏洞存在于Linux kernel源代码树中的'net/sctp'中,由于未能充分过滤函数参数,sctp_setsockopt()在解析和处理SCTP 'SCTP_SOCKOPT_DEBUG_NAME'套接口选项时存在整数溢出,可导致错误的分配内存。精心构建参数数据,可导致覆盖过小的内存空间而造成权限提升。
2.3应用服务器
2.3.1 Serv-U FTP服务器MDTM命令远程缓冲区溢出漏洞紧急公告
|
受影响的软件及系统:
RhinoSoft Serv-U 5.0
RhinoSoft Serv-U 4.x
RhinoSoft Serv-U 3.x
RhinoSoft Serv-U 2.x
综述:
最近披露了Serv-U FTP服务器的一个严重安全漏洞。Serv-U FTP服务器在国内应用非常广泛,针对该漏洞的攻击代码已经开始流传。NIPC已经发现并且监测到了互联网上发生的针对该漏洞的攻击。
分析:
FTP是广泛使用的一个文件传输协议。Serv-U是Windows平台下一个流行的FTP服务器软件。Serv-U提供FTP命令“MDTM”用于用户更改文件时间。
Serv-U在处理“MDTM”命令的参数时缺少正确的缓冲区边界检查,远程攻击者可以利用这个漏洞对FTP服务程序进行缓冲区溢出攻击,可能以FTP进程权限在系统上执行任意指令。
当用户成功登录系统,并发送畸形超长的时区数据作为“MDTM”命令的参数,可触发缓冲区溢出,精心构建参数数据可能以FTP进程权限在系统上执行任意指令。
利用此漏洞需要用户拥有合法帐户登录到系统,但不需要写及其他权限。
NIPC的解决方法:
厂商已经在最新版本的软件中修复了这个安全问题,请升级到Serv-U 5.0.0.4或者更高的版本:http://www.serv-u.com/
附加信息:http://marc.theaimsgroup.com/?l=bugtraq&m=107781662416516&w=2 | 2.3.2 Witty蠕虫
受影响的软件及系统:
RealSecure Network 7.0, XPU 22.11 以及更低版本
RealSecure Server Sensor 7.0 XPU 22.11 以及更低版本
RealSecure Server Sensor 6.5 for Windows SR 3.10 以及更低版本
Proventia A Series XPU 22.11 以及更低版本
Proventia G Series XPU 22.11 以及更低版本
Proventia M Series XPU 1.9 以及更低版本
RealSecure Desktop 7.0 ebl 以及更低版本
RealSecure Desktop 3.6 ecf 以及更低版本
RealSecure Guard 3.6 ecf 以及更低版本
RealSecure Sentry 3.6 ecf 以及更低版本
BlackICE Agent for Server 3.6 ecf 以及更低版本
BlackICE PC Protection 3.6 ccf 以及更低版本
BlackICE Server Protection 3.6 ccf 以及更低版本
综述:
EEYE和ISS都是国际著名的信息安全公司,总部位于美国。2004年3月18日,EEYE披露了一个ISS产品的缓冲区溢出漏洞,恰当的利用该漏洞,可以在运行这些产品的系统上执行任意代码,获取系统控制权。
2004年3月22日,国内的NSFOCUS安全小组的陷阱网络捕获了一个针对该漏洞的蠕虫。这个蠕虫可感染安装了特定版本ISS产品的系统,对其他版本的产品,也可导致程序崩溃。一旦主机感染该蠕虫,就会大量发送数据,造成网络带宽被大量占用,蠕虫还会随机破坏文件系统,导致文件损坏和丢失,甚至造成系统无法正常启动。
正在使用BlackICE个人防火墙以及RealSecure入侵检测系统的用户应当立刻升级到最新版本。
分析:
ISS的RealSecure、BlackICE等产品的入侵检测功能都依赖于模块“iss-pam1.dll”,该文件中包含了协议分析、攻击特征描述等内容。ICQ是世界最著名的即时通信软件之一,其通信协议是公开的。iss-pam1.dll在解析ICQ v5协议的时候对某些字段没有很好的处理,导致了缓冲区溢出问题。因为这是RealSecure、BlackICE等产品对系统接收到的数据包解析过程中出现的问题,所以,要触发该漏洞系统上并不需要运行着ICQ。
该蠕虫中包含着“insert witty message here”的信息,故命名为Witty蠕虫。Witty蠕虫自身并不以文件形式存在,仅是一段UDP数据,这种情形类似于CodeRed和SqlSlamer蠕虫,只要重启系统就可以清除该蠕虫,但重启后还可能被再次感染。
由于Witty蠕虫代码中使用的API地址和溢出跳转地址都是3.6.16版本的iss-pam1.dll中硬编码的地址,也就是说,该蠕虫仅可能正常感染使用3.6.16版本的iss-pam1.dll的ISS产品,例如BlackICE 3.6 ccf,对其他版本的产品则可能会导程序崩溃。
Witty蠕虫感染系统之后,就会向随机生成的IP地址发送自身,并且以Raw Data方式写硬盘,破坏系统数据,危害比较严重,可能大致系统无法正常启动或工作。
NIPC针对该蠕虫给出的解决方法:
如果已经被蠕虫感染,可以首先卸载或者停用ISS产品,然后备份重要数据以防止系统重启后无法启动,重新启动系统以清除蠕虫。
升级ISS产品到最新版本。
在边界路由器或者防火墙上阻塞源端口为4000的udp数据包。由于目前ICQ客户端普遍使用TCP协议进行通信,这样阻塞并不会影响正常的ICQ使用者。
厂商状态:目前ISS已经发布了下列各产品的补丁。 | 2.3.3 Symantec Client Firewall DNS应答远程缓冲区溢出漏洞
受影响系统:
Symantec Norton Personal Firewall系列;
Symantec Client Firewall 系列;
Symantec Norton Internet Security;
描述:
BUGTRAQ ID: 10334
CVE(CAN) ID: CAN-2004-0444
Symantec Client Firewall是适用与Windows的桌面防火墙。
Symantec Client Firewall对DNS应答数据缺少充分边界检查,远程攻击者可以利用这个漏洞对防火墙进行缓冲区溢出攻击,可能以SYSTEM进程权限在系统上执行任意指令。SYMDNS.SYS驱动的产品在允许通过防火墙前会验证每个DNS应答包,在重组DNS Answer.Name时对外部提供的数据缺少充分边界缓冲区检查,攻击者可以构建恶意DNS应答数据到受此漏洞影响的UDP 53端口,可发生拒绝服务攻击。存在执行任意指令的可能。其他如orton Internet Security, Norton Personal Firewall, Norton AntiSpam, Client Firewall,和Client Security也存在此漏洞。
<*来源:Eeye Digital Security
链接:http://www.eeye.com/html/Research/Advisories/AD20040512B.html
http://securityresponse.symantec.com/avcenter/security/Content/2004.05.12.html
*> | 2.4 基于web应用的CSS问题和SQL语句注入问题
近来的web攻击以跨站脚本攻击和SQL语句注入攻击相结合的方式比较流行,主要利用一些web应用系统存在的问题以及进一步利用管理员的配置错误来提升权限。以著名的开放源码的电子公告牌系统phpbb2为例,因为phpbb2在3月份接连发现的3个安全问题. 4月初又同时披露了同类型的几种漏洞。phpBB2是一款由PHP编写的WEB论坛应用程序,支持多种数据库系统,可使用在多种Unix和Linux操作系统下。
2.4.1 phpBB2包含的"viewforum.php"脚本的问题
phpBB2包含的"viewforum.php"脚本在处理"topicdays"变量时缺少充分过滤,远程攻击者可以利用这个漏洞进行跨站脚本执行攻击,可能获得用户敏感数据信息。问题是search.php脚本对"$search_results"参数缺少充分过滤,攻击者可以提交包含恶意SQL命令给这个参数,可导致修改原有的SQL逻辑,获得数据库信息或修改数据库。经过测试,可利用此漏洞获得管理员密码HASH信息,利用phpBB的自动登录功能可以不需要破解密码登录系统。
脚本"viewforum.php"在返回"topicdays" HTML变量值给客户端时没有进行任何编码或删除过滤恶意代码,当目标用户连接嵌入恶意"topicdays"变量数据链接时,可导致脚本代码在用户浏览器上执行,可能获得用户的敏感信息。
通过以下方法进行测试:
| viewforum.php?f=1&topicdays=99"> &start=30 | 2.4.2 phpBB2包含的"viewtopic.php"脚本的问题
phpBB2包含的"viewtopic.php"脚本在处理"postdays"变量时缺少充分过滤,远程攻击者可以利用这个漏洞进行跨站脚本执行攻击,可能获得用户敏感数据信息。脚本"viewtopic.php"在返回"postdays" HTML变量值给客户端时没有进行任何编码或删除过滤恶意代码,当目标用户连接嵌入恶意"postdays"变量数据链接时,可导致脚本代码在用户浏览器上执行,可能获得用户的敏感信息。
2.4.3 phpBB2包含的search.php的问题
phpBB2包含的search.php对用户提交的参数缺少充分过滤,远程攻击者可以利用这个漏洞进行SQL注入攻击,可以获得系统敏感信息。
问题是search.php脚本对"$search_results"参数缺少充分过滤,攻击者可以提交包含恶意SQL命令给这个参数,可导致修改原有的SQL逻辑,获得数据库信息或修改数据库。经过测试,可利用此漏洞获得管理员密码HASH信息,利用phpBB的自动登录功能可以不需要破解密码登录系统。
2.4.4 phpBB包含的'privmsg.php'脚本的问题
phpBB包含的'privmsg.php'脚本对用户提交的URI参数缺少充分过滤,远程攻击者可以利用这个漏洞进行SQL注入攻击,可能获得用户敏感数据信息。
问题存在于'privmsg.php'脚本中,由于对"$pm_sql_user .="参数缺少充分过滤,提交包含恶意SQL命令作为此参数数据,可更改原有数据库逻辑,可获得管理员密码的HASH信息,或破坏数据库。
2.4.5 phpBB包含的'profile.php'脚本的问题
phpBB包含的'profile.php'脚本在处理"avatarselect"变量时缺少充分过滤,远程攻击者可以利用这个漏洞进行跨站脚本执行攻击,可能获得用户敏感数据信息。问题存在于profile.php文件中,当点击[Show Gallery],phpBB会显示Avatar库,要求用户选择一个给自己,此表单中存在一个问题,在提交给phpBB后,phpBB会直接采用"avatarselect"作为路径参数而没有任何过滤,因此提交包含恶意脚本代码,当其他用户浏览器此链接时可造成敏感信息泄露。
2.5 网络相关产品设计缺陷:
近半年以来几个重要的安全产品提供商的主要安全产品都被披露了有相应的设计缺陷,这其中设计到包括Checkpoint,Symentec以及ISS的主要产品。由于ISS的产品问题更是引发了Witty蠕虫的爆发,给相关部门造成了一定影响,越来越来的安全组织开始关注安全产品自身的设计问题。
2.5.1 Check Point VPN-1 ISAKMP远程缓冲区溢出漏洞
Check Point Firewall-1是一款高性能防火墙,Checkpoint VPN-1服务端和Checkpoint VPN客户端为远程客户计算机提供VPN访问的产品。这些产品的IKE组件允许不定向或双向的两个远程接点的验证。
Check Point VPN-1产品在进行VPN通道协商时存在缓冲区溢出,远程攻击者可以利用这个漏洞以VPN进程权限在系统上执行任意指令。在协商过程中,攻击者发送畸形ISAKMP包可触发缓冲区溢出,精心构建提交数据可能以进程权限在系统上执行任意指令。目前还没有详细漏洞细节提供。不使用Remote Access VPNs或gateway-to-gateway VPNs的用户不受此漏洞影响。
2.5.2 Symantec Firewall/VPN应用缓冲明文密码漏洞
Symantec FireWall/VPN Appliance是集成安全及提供安全经济的Internet连接方案的应用服务。Symantec Firewall/VPN Appliance默认设置会把管理密码存储在浏览器\代理缓冲中,远程或本地攻击者可以利用这个漏洞访问系统获得敏感信息。编辑密码管理页面,Symantec Firewall/VPN Appliance的密码以明文方式存储,要访问管理页面,输入管理员密码后,密码会以明文方式保存在浏览器\代理的缓冲临时目录中。本地或远程可访问系统的攻击者可以借此获得密码控制应用系统。
Symantec Firewall/VPN Appliance Models 100, 200, 200R系列包含此漏洞。
2.5.3 Witty蠕虫
ISS的RealSecure、BlackICE等产品的入侵检测功能都依赖于模块“iss-pam1.dll”,该文件中包含了协议分析、攻击特征描述等内容。ICQ是世界最著名的即时通信软件之一,其通信协议是公开的。iss-pam1.dll在解析ICQ v5协议的时候对某些字段没有很好的处理,导致了缓冲区溢出问题。因为这是RealSecure、BlackICE等产品对系统接收到的数据包解析过程中出现的问题,所以,要触发该漏洞系统上并不需要运行着ICQ。该蠕虫中包含着“insert witty message here”的信息,故命名为Witty蠕虫。Witty蠕虫自身并不以文件形式存在,仅是一段UDP数据,这种情形类似于CodeRed和SqlSlamer蠕虫,只要重启系统就可以清除该蠕虫,但重启后还可能被再次感染。由于Witty蠕虫代码中使用的API地址和溢出跳转地址都是3.6.16版本的iss-pam1.dll中硬编码的地址,也就是说,该蠕虫仅可能正常感染使用3.6.16版本的iss-pam1.dll的ISS产品,例如BlackICE 3.6 ccf,对其他版本的产品则可能会导程序崩溃。Witty蠕虫感染系统之后,就会向随机生成的IP地址发送自身,并且以Raw Data方式写硬盘,破坏系统数据,危害比较严重,可能大致系统无法正常启动或工作。
2.6无线网络安全问题:
2.6.1 Gigabyte Gn-B46B无线路由器验证绕过漏洞
Gigabyte Gn-B46B是一个2.4Ghz无线宽带路由器。Gigabyte Gn-B46B存在验证绕过问题,远程攻击者可以利用这个漏洞未授权访问和配置路由器。
路由器使用"Basic Authorization"方式保护文件,问题是这种保护只针对路由器的HTML菜单在路由器自身上才有作用,如果攻击者保存路由器HTML菜单到本地系统,然后就可以使用这个菜单无需验证访问和配置路由器。
2.6.2 Siemens S55手机SMS验证消息绕过漏洞
Siemens S55是一款移动电话。Siemens S55在验证SMS消息时存在竞争条件错误,远程攻击者可以利用这个漏洞伪造可信任手机用户发送SMS消息。
2.6.3 Zonet无线路由器NAT实现设计缺陷漏洞
Zonet Wireless Router是一款无线访问接入设备。Zonet无线路由器的ZSR1104WE模型的NAT实现存在问题,可导致访问控制实现失效。
2.6.4多家厂商802.11协议实现远程拒绝服务漏洞
IEEE 802.11是一种无线协议标准。IEEE 802.11无线网络协议存在一个设计错误,远程攻击者可以利用这个漏洞使设备停止传送网络数据,对无线设备进行拒绝服务攻击。问题相关于IEEE 802.11协议的MAC(medium access control )功能上,WLAN设备执行带冲突检测的载波侦听多路访问,SMA/CA功能的基本原理是CCA(Clear Channel Assessment)过程,802.11协议使用CCA算法判断是否RF通过是否空来决定网络中的设备可以传送数据。CCA算法结合Direct Sequence Spread Spectrum (DSSS)传输存在问题,攻击者可以利用发送特殊构建的RF信号使得算法认为通道忙,因此导致没有任何网络上的设备可以传送数据,攻击者可以利用这个漏洞,使用较小功率的,如PDA等设备很容易的对无线网络设备进行拒绝服务攻击。
3.攻击态势分析以及防御经验总结
3.1 以缓冲区溢出为主要攻击方式(buffer overflow)
2004年上半年比较严重的几个漏洞都是主要系统和相关服务程序的远程缓冲区溢出造成的,由于现在国内外很多组织对windows的heap溢出等相关研究的深入,自从去年RPC文件名长度堆溢出分析及其通用性堆溢出攻击的相关发现公布以来,windows相继披露了几个重大漏洞,比如RPC/DCOM,LSA的远程缓冲区等,并随之都有一次大规模的蠕虫爆发。在过去一段时间内,具有严重直接威胁的攻击方式都来自于与windows系统相关服务程序的远程缓冲区溢出,bugtraq上也迅速流传了很多相关的利用代码。值得一提的是与此同时在国内应用较为广泛的FTP服务器程序的2个严重漏洞,site chmod和mtdm的远程缓冲区漏洞以及Apache1.3.29的远程缓冲区漏洞取得root权限。
防御这类漏洞的方法是跟踪最新的漏洞列表以及取得漏洞攻击利用代码并进行实验室重现,发布安全通知通知相关用户及时打补丁,如果没有及时的厂商补丁的重大漏洞,则根据在边界路由器做一些过滤措施以暂时降低威胁。由于这一类漏洞比较严重,威胁较大,要在第一时间内做好系统防范措施,才能尽可能的保护主机和系统安全以降低威胁。
3.2 基于web应用的攻击(CSS,SQL injection)
大部分web服务编码于迂回某种现存的安全执行程序,支持某些应用程序称为结构,并且也不独立与自身的平台上。大部分公和其他的开发者写代码急于配置和应用web服务。这就就是为什么有这么多漏洞可以在这些代码中被发现,这些漏洞使顾客和系统用户暴露在攻击之下。
我们从以下几个方面来分析现有web系统存在的一些安全问题:
3.2.1 CSS(Cross-site script)
跨区域脚本攻击是当今最平常的安全问题之一。今天绝大部分web站点包含了许多动态的目录,使站点看起来更适合用户。Web应用程序被用来完成和分发不同类型的输出到用户,这些输出依赖于web浏览器的设置。动态web站点有而静态web站点没有的威胁,它被称为”跨区域脚本”当一个web应用程序从客户端搜集敏感或者是恶意的数据,这就是大家知道的一个跨区域脚本攻击。通常,这些数据包含在一个包含有恶意代码在里面的超级连接的表单里,黑客就可以利用用户点击一个恶意连接到一个email.及时消息,论坛帖子或者是一个web站点。一旦数据从web应用程序搜集,它将产生一个原先发送给它的包含有恶意数据的页面给用户,但是在某种程度上使他看起来象它是从正确站点来的有效内容。如果一个web站点或者是web服务器,没有检测脚本代码并且把它逐字的发送回用户的浏览器,这是当致命的破坏产生时的情况。黑客能使用跨区域脚本的弱点来获得一个用户的cookies,登陆的详细清单和其他的敏感信息。
有相当多的web产品遭受跨区域脚本攻击,比如我们前面提到的phpbb2电子公告牌系统。它们都容许黑客使用java Servlet容器来发回恶意的javascript代码。这就容许黑客建构跨区域脚本攻击,在用户想要从信任的服务器上接收恶意脚本代码。CSS产生的主要原因就是CGI程序没有对用户提交的变量中的HTML代码进行过滤或转换。
3.2.2 Script Injection
包括Sql Injection以及Xpath Injection等攻击方法。主流脚本包括以下几种:HTML,JavaScript ,VBScript,ActiveX,Flash等。由于目前大量存在的基于asp+sql的web应用,很多这种类型的程序没有严格的输入检查和字符串过滤,再加上管理配置上的不严格,对系统的危害较大。现在以这种类型的程序简述攻击一种思路和重点:找到存在sql注入毛病的asp文件,主要是看他是否过滤了引号和分号,判断是否对参数进行了很好的处理;利用有问题的参数处理页面通过嵌入sql语句查询,观察返回的消息从而得到更多数据库的信息,比如:
http://www.somewebsite.com/.../.../..../shownews.asp?id=5 or id <> (select count(*) from admin);
http://www.somewebsite.com/.../.../..../show.asp?id=3 AND 1<(select count(*) from admin);
http://www.somewebsite.com/.../.../..../show.asp?id=3 and 1=(select id from admin where left(password,1)=’w’) | 入侵者会通过各种技巧找出需要得到的信息,比如数据表名或者是猜测密码;
入侵者通过各种技巧得到web shell后,会尽力寻找一种上传文件到主机上去的方法,从而得到有权限的shell实现权限提升。
对于这类漏洞的防御方法,NIPC针对大部分IDC的虚拟主机系统给出以下几个关键点:
·系统和应用软件均保持安装了最新的安全补丁程序,包括相关的web应用也应该及时补丁;
·去掉服务器中不必要的服务和软件系统并设置严格的文件目录和用户访问权限。
·确保系统中没有无用的用户账号存在,且设置复杂密码,保证密码安全。
·利用系统自身的端口过滤功能封闭了不必要的端口,监视并禁止所有不必要的外连。
·安装自动更新功能的反病毒软件。
·安装进程监控软件,除设定的程序外其它任何程序均不允许在系统中执行。
·设置所有的网站目录为系统管理员可读写,普通用户只能读取。
·网站中所有通过WEB可上传文件的目录均不允许执行脚本和程序。
·FTP空间通过HTTP访问均不允许执行脚本和程序。 | 4.安全防御相关工具
自2004年以来,来自国内外的主要的安全网站的一些工具:
1) rainbowcrack-1.2不仅是一款Windows密码破解工具,同时也是杂乱算法加密(hash algorithm 比如:lm、md5、sha1、customizable)的破解利器,其它的加密方式破解也可以很容易地添加到该软件中。同时支持Windows和Linux系统,而且在一个系统上上生成的表单可以直接转换到另一种系统上使用。
2) nmap3.50 for win www.insecure.org推出的一个相当有名的扫描工具。
3) http://www.rootkit.nl开发的rkhunter-1.00RC1,一个相当不错的rootkit检测工具,可以检测已知或者未知的rootkit,后门以及嗅探程序,在unix环境中运行。
4) RKDetectorv0.61 由http://www.haxorcitos.com/发布的可以检测出多个Windows 下的Rootkit的工具,能有效检测hxdef;
5) achilles-0-27 Achilles是一个设计用来测试web应用程序安全性的工具。它是一个代理服务器,在一个HTTP会话中扮演着“中间人”(man-in-the-middle)的角色。一个典型的HTTP代理服务器将在客户浏览器和web服务器间转发数据包,但Achilles却载取发向任一方的HTTP会话数据,并且在转发数据前可以让用户修改这些数据;
6) X-Scan-v3.1国内Xfocus team开发的扫描工具修改“存活主机”插件,加入2.3版本中SNMP、NETBIOS插件,优化主程序及NASL库;
7) RetinaSasser RetinaSasser是由eeye开发的针对sasser.worm的扫描工具。
5.未来安全状况分析
相关数据显示上半年的互联网的网络安全态势是比较严重的,几次大的蠕虫爆发反映了整个系统安全抵御能力的脆弱性和威胁的严重性,缓冲区溢出依然是重大安全漏洞的主流,由于windows2000的部分源代码泄漏以及国内外组织windows平台heap溢出技术研究的成熟,在以后一段时间内针对windows平台各种服务接口的远程缓冲区溢出应该还会出现,同时也面临相应的蠕虫爆发的威胁。 另外整数溢出的问题可能会是今后一段时间缓冲区溢出的一个新的增长点,比如前段时间的ssh crc32远程溢出漏洞,apache chunked 漏洞,openssh Challenge-Response机制远程溢出漏洞,都是由整数溢出引发的缓冲区溢出问题,整数溢出虽然是间接的导致一些缓冲区溢出问题,但是也算是一种较新的技术,在今后一段时期内可能会有相关的漏洞被发现和披露。 |
