2014-《2014上半年十大安全漏洞分析与解读》

2014 上半年十大安全漏洞分析与解读 2014 年 9 月 11 日摘要  本次报告评选出了 2014 年上半年对国内用户影响最大的十个安全漏洞。它们分别是： OpenSSL 心脏出血漏洞、Struts2-021 补丁绕过漏洞、苹果 Goto Fail 漏洞、IE 秘狐漏洞、 Windows 上的内核级漏洞、Chrome 任意内存读写漏洞、Safari 任意代码执行漏洞、 Linux/Andriod 本地提权漏洞、Adobe Flash Player 漏洞和 WordPress DDoS 攻击漏洞。  智能汽车，智能电视等智能系统的存在诸多安全隐患，而特斯拉汽车被中国黑客破解后，智能系统的安全性的问题更是得到了国内公众的广泛关注。另外，携程漏洞导致用户个人信息可能被泄漏一事，也使电商系统、支付系统的安全性问题备受关注。关键词：安全漏洞、安全事件、攻击技术目录一、 OpenSSL 心脏出血漏洞................................................................................................. 1 二、 Struts2-021 补丁绕过漏洞 ............................................................................................ 2 三、苹果 Goto Fail 漏洞 ....................................................................................................... 3 四、 IE 秘狐漏洞 ...................................................................................................................... 4 五、 Windows 上的内核级漏洞 ............................................................................................ 5 六、 Chrome 任意内存读写漏洞........................................................................................... 6 七、 Safari 任意代码执行漏洞 ............................................................................................... 6 八、 Linux/Andriod 本地提权漏洞....................................................................................... 7 九、 Adobe Flash Player 漏洞 ............................................................................................. 8 十、 WordPress DDoS 攻击漏洞 ......................................................................................... 9 附录 1 智能系统安全性展望 ................................................................................................... 10 一、智能汽车..................................................................................................................... 10 二、智能电视..................................................................................................................... 10 附录 2 携程漏洞事件............................................................................................................... 12 附件 3 特斯拉被中国黑客破解 ............................................................................................... 13 一、 OpenSSL 心脏出血漏洞漏洞编号：CVE-2014-0160 一句话描述：近年来影响范围最广的高危漏洞，可被用于窃取服务器敏感信息，实时抓取用户的账号密码。爆发时间：2014 年 4 月影响版本：OpenSSL1.0.1、1.0.1a 、1.0.1b 、1.0.1c 、1.0.1d 、1.0.1e、1.0.1f、Beta 1 of OpenSSL 1.0.2 等版本。漏洞介绍：Heartbleed 漏洞，可以直译为“心脏出血” ，是 OpenSSL 的源代码中存在的一个重大安全漏洞。攻击者可以构造异常的数据包对存在这一漏洞的网站发起攻击，每次读取服务器内存中 64K 数据，不断的迭代获取，就能取出了可能包含证书私钥、用户名、用户密码、用户邮箱等敏感信息的数据。影响危害：OpenSSL 是互联网应用最广泛的安全传输方法，被各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站所广泛使用。此漏洞被普遍认为是近年来危害最严重的安全漏洞。该漏洞可以让黑客轻松在 https 开头的网址服务器上，实时抓取用户的账号密码。从该漏洞被公开到漏洞被修复的这段时间内，已经有黑客利用 OpenSSL 漏洞发动了大量攻击，有些网站用户信息或许已经被黑客非法获取。未来一段时间内，黑客可能会利用获取到的这些用户信息，在互联网上再次进行其他形式的恶意攻击，针对用户的“次生危害” （如网络诈骗等）会大量集中显现。国外部分受影响的网站：加拿大税务局（CRA）因心脏出血安全漏洞，关闭了电子服务网站。平台维护者，如维基媒体基金会，建议他们的用户更改密码。国内部分受影响的网站：淘宝主站运营维护不当导致可以登录随机用户并且获取服务器敏感信息微信网页版和公众账号版运营维护不当可随机登录微信用户并获取服务器敏感信息中国银联运营维护不当导致可能存在随机登录银联账户并获取服务器敏感信息 12306 新版订票系统运营维护不当导致可以登录随机用户并且获取服务器敏感信息比特币中国运营维护不当导致随机用户明文密码泄漏 1 搜狗通行证服务器运营维护不当导致信息泄露乐视网运营维护不当导致敏感信息泄露凤凰网运营维护不当导致泄漏敏感信息京东某分站存在此漏洞导致敏感信息泄露及全站随机用户登录（证明可登录）搜狐畅游运营维护不当导致黑客可获取服务器敏感信息联想官网运营维护不当导致可获取服务器敏感信息相关名词： OpenSSL：一个强大的安全套接字层密码库，囊括主要的密码算法、常用的密钥和证书封装管理功能及 SSL 协议，并提供丰富的应用程序供测试或其它目的使用。这是互联网应用最广泛的安全传输方法，被网银、在线支付、电商网站、门户网站、电子邮件等重要网站广泛使用。二、 Struts2-021 补丁绕过漏洞漏洞编号：CVE-2014-0094 一句话描述：建站系统漏洞，可用于攻陷服务器，获取网站数据信息，潜在安全威胁大。爆发时间：2014 年 4 月影响版本：Struts 2.0.0-Struts 2.3.16.1 漏洞介绍： Apache Struts2 的远程代码执行漏洞风暴影响刚刚散去，4 月 23 日晚，安全人员研究发现 Apache 公司提供的升级版本并未完全修复漏洞，补丁中的相关安全机制仍可被黑客绕过。Struts2 上次远程代码执行漏洞，是由于黑客通过 ParametersInterceptor 接口可以操控服务器运行环境中的一些对象，因此补丁中禁用了此接口，但是由于防护规则不完善，导致安全机制仍可被攻击者绕过。建设银行、工商银行、中国银行、淘宝、京东、中国移动官网等都采用 Struts2 框架，此漏洞对上述网站服务器构成了拒绝服务和远程控制的威胁。影响危害：攻击者利用此漏洞，可以远程对目标服务器执行任意系统命令，轻则可窃取网站数据信息，重则可取得网站服务器控制权，从而造成信息泄露并给网站运行带来严重的安全威胁。特别是政府、公安、交通、金融和运营商等尤其需要重视该漏洞，这些单位和机构的敏感信息泄漏有可能对国家造成沉重的打击，甚至会违反相关的法律规定。在最近几年 APT 攻击横行的时期，黑客早已不再以挂黑页炫耀为目的，攻击者可能通过该漏洞作为突破口渗透进入其内部网络并长期蛰伏，不断收集各种信息，直到收集到重要情报。 2 相关名词： Apache：Apache HTTP Server（简称 Apache）是 Apache 软件基金会的一个开放源码的网页服务器，可以在大多数计算机操作系统中运行，由于其多平台和安全性被广泛使用，是最流行的 Web 服务器端软件之一。它快速、可靠并且可通过简单的 API 扩展，将 Perl/Python 等解释器编译到服务器中。 Struts 框架： Apache 软件基金会（ASF）赞助的一个开源项目。它最初是 Jakarta 项目中的一个子项目，并在 2004 年 3 月成为 ASF 的顶级项目。它通过采用 JavaServlet/JSP 技术，实现了基于 Java EEWeb 应用的 MVC 设计模式的应用框架，是 MVC 经典设计模式中的一个经典产品。三、苹果 Goto Fail 漏洞漏洞编号：CVE-2014-1266 一句话描述：该漏洞使苹果应用程序易受中间人攻击，无法保障网络信息传输的安全性。爆发时间： 2014 年 2 月影响