网络安全通报第二期
发布时间: 2019-04-09 浏览次数: 164 文章来源: 信息化建设与管理办公室

本周网络状态:良好

本周信息安全威胁通告

2019年第2 期

本周信息安全漏洞威胁整体评价级别为

国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞196个,其中高危漏洞54个、中危漏洞114个、低危漏洞28个。漏洞平均分值为5.80。本周收录的漏洞中,涉及0day漏洞121个(占62%),其中互联网上出现“LayerBBSQL注入漏洞、ThinkCMF SQL注入漏洞(CNVD-2019-07961)”等零日代码攻击漏洞。本周CNVD 接到的涉及党政机关和企事业单位的事件型漏洞总数1788个,与上周(1675个)环比增长7%。



简讯

美国空军计划投入3500万美元研发新的进攻性网络工具。根据白宫对2020财政年度的预算要求,美国空军希望启动一项新的网络计划,以开发一系列攻击性网络工具。该计划将为美国空军的网络任务部队人员提供先进的网络战能力,属于美国网络司令部的总体计划的一部分。在该军种的预算书中,该计划被命名为“网络任务部队基础工具”。

空军研究和开发预算文件指出。“该计划使战斗指挥官能够在网络空间中作战,通过网络来操纵、破坏、拒绝、降级或破坏目标计算机、信息系统和网络。“

在2020 财年,美国空军领导人希望该计划能够扩展过去研究的一系列网络基础工具,开发其他工具和软件以及提供可与美国网络司令部架构互操作的原型的努力。美国网络司令部领导人发誓,这些军种将不再开发用于单个军种的烟囱式的工具或基础设施。预算文件指出,这些基础工具将纳入空军的分布式网络作战行动(DCWO)组合。

“DCWO 组合可以向战斗指挥官提供网络效应,包括环境的网络作战准备,攻击性网络反击、网络攻击、电子战作战、任务规划、情报、网络安全产品和服务以及指挥和控制/态势感知(C2SA)),该文件说明了攻击敌方网络、电话、综合防空系统(IADS),指挥和控制系统以及通过电磁频谱(EMS)创建网络效应所需的工具。

预算文件还指出,该计划利用了美国网络司令部和空军先前为基础工具开发所做的努力,并在其他计划中获得资助。

无论怎么努力企业也只能修复10%的漏洞?统计数据表明,企业只有能力修复其网络中10%的漏洞。公司规模对这一百分比的影响不大。最近一份报告研究了组织机构需要多长时间来修复他们的系统漏洞,以及他们实际上修复的漏洞数量。

Kenna Security 和the Cyentia 研究所发布的报告《预测的优先次序第三卷:赢取修复竞赛》,带来了一些令人沮丧同时又让人惊讶的发现。

令人沮丧的发现是统计数据表明,企业只有能力修复其网络中10%的漏洞。公司规模对这一百分比的影响不大。

Kenna Security 的首席技术官兼联合创始人Ed Bellis 表示:无论是否是一个小型企业,在一段特定时间内平均有10 到100 个漏洞,他们能够修复的漏洞比例和大型企业大致相同,即使这些大型企业每个月有超过1000 万个开放漏洞。

换句话说,Bellis 表示修复能力发展的速度与漏洞增长的速度大致相同。the Cyentia 研究所的合伙人兼联合创始人Wade Baker 表示:规模问题让我们意识到,可能在特定的时间范围内,组织机构能够解决的问题存在一个上限。

漏洞修复的速度因软件发布者而异。Bellis 表示,微软和谷歌的软件漏洞往往能被大大小小的组织机构快速修复。修复时间最长的软件呢?老式软件和内部开发的代码。

不同行业的公司之间在补救时间上也存在巨大差异。投资,运输和石油/天然气/能源排在前面,能在最短时间内修复75%的被利用漏洞,在短短112 天内就达成了这一目标。医疗、保险和零售/贸易需要的修复时间最长,达成目标花费了447 天。


  

2 网络安全漏洞

2.1高危漏洞预警

  


  

  

2.2 关于WordPress Social Warfare Plugin远程代码执行漏洞预警

2019 年3 月25 日,国外安全研究人员在大量攻击数据中发现了一个WordPress plugins Social Warfare 远程代码执行漏洞。该漏洞位于social-warfare\lib\utilities\SWP_Database_Migration.php 文件中的eval()函数,该函数能够运行攻击者在“swp_url”GET 参数中定义的PHP 代码。此漏洞允许攻击者接管整个WordPress 站点并管理您的主机帐户上的所有文件和数据库,从而实现完全远程接管整个服务器的目的。

一、漏洞介绍

WordPress Social Warfare Plugin 远程代码执行漏洞影响Social Warfare Plugin 3.5.3 以前的版本,我们从上节Social Warfare Plugin 各版本使用量可知,该漏洞影响大部分该插件的90%以上的用户,所以该漏洞影响范围甚广。

该漏洞位于social-warfare\lib\utilities\SWP_Database_Migration.php 文件中的eval()函数,该函数能够运行攻击者在“swp_url”GET 参数中定义的PHP 代码。此漏洞允许攻击者接管整个WordPress 站点并管理您的主机帐户上的所有文件和数据库,从而实现完全远程接管整个服务器的目的。

二、影响范围

目前据统计,在全球范围内对互联网开放Wordpress网站的资产数量多达12833569台,其中归属中国地区的受影响WordPress资产数量为18万以上,该插件安装量达7万多站点。

目前受影响的Social Warfare Plugin 版本:

Social Warfare Plugin < 3.5.3

三、修复建议

WordPress 官方插件库已经在更新了该插件版本,该插件的用户可以更新至该插件的最新版本:

https://wordpress.org/plugins/social-warfare/advanced/


  

3 本周全国焦点事件

3.1 收录上亿份简历的数据公司疑被查

近日,有网友爆料称,创新工场投资的简历大数据公司巧达科技(北京)有限公司(以下简称巧达科技)所有员工被警方带走,后来有员工陆续被放出来。目前公司被查原因尚无法确定,疑似违规收集个人简历信息。

3月23日,有网友在天眼查巧达科技条目下的企业问答中发帖称,“2019年3月14日巧达数据被封,全员被抓,您知道是什么事情吗?”一位网名为“王多鱼”的用户在下方回复,收集存储大量简历信息,简历对应的平台以及用户并没有授权。他们做的‘爱伙伴’(产品)太猛了,谁在招聘平台上更新简历,公司HR就能发现。名为“李萍”的网友则回复称,“知道,现在全员还没出来呢”。另有疑似巧达科技家人发帖求助,称“我哥在该公司才入职一年,现在音信全无,您这边能不能帮忙问问,谢谢了?”南都记者从看准网获悉,有8位员工点评过巧达科技,且有5位建议“千万别去”,前员工评价,“政策风险大,短期内提高技术还行”、“做的产品风险太大,随时面临合规性的问题”、“产品风险很大,管理混乱,不时上演甄嬛传,KPI严格”等。

公开资料显示,巧达科技是国内用户画像关键数据服务提供商,号称中国最大的简历大数据公司,收录了上亿份简历信息,曾获得天使轮、A 轮和B 轮融资,资方包括李开复的创新工场、中信产业基金等。

针对此事,创新工场方面回应21世纪经济报道称,是巧达科技的财务投资人,但未曾参与公司的任何运营。同时,巧达早已搬离创新工场,公司独立运营。目前,巧达科技官网已无法打开,办公地点被封,原因尚不明。

天眼查显示,巧达科技成立于2014年7月17日,注册资本为1050 万元人民币,法定代表人王成予。股东主要为王成予、刘炜和北京创新方舟科技有限公司,持股比例分别为85.33%、12.19%、2.48%。

据记者了解,巧达科技旗下拥有一系列的人力资源类大数据产品,比如乔大招和妙招网等。在对外公司介绍中,巧达科技称是一家提供免费招聘工具软件和大数据分析服务的公司。通过海量个人行为轨迹数据进行消费趋势判断和企业决策影响。在创业邦2015 年的一篇名为《以上亿简历数据为基础,爱伙伴可预报员工离职前动态》的报道中,巧达科技产品合伙人刘博表示,“我们的商业模式概括起来也就8个字:获取简历、数据变现”。该文章提及,当时巧达科技已免费提供招聘类工具给超过15万个企业HR和猎头顾问使用,当用户免费试用这些产品时,海量的简历数据将与巧达共享。在此基础上,巧达科技进一步对数据进行分析处理,从而提供包括征信补充、行业预测等服务。

而巧达科技变现的一款重要产品是员工离职预报工具“爱伙伴”,该产品主要利用大量简历数据和一定技术手段,对平台所积累的简历的变化进行追踪、同步,并在员工的简历发生变化时提醒公司管理者。

对此,北京志霖律师事务所副主任、中国政法大学知识产权研究中心特约研究员赵占领向南都记者表示,出于可能影响现阶段工作或领导对本人的看法,用户在某招聘网站上的求职意向或投递简历的行为并不希望被现单位领导知悉,这样的工具涉嫌损害用户的隐私权。

针对这种商业模式可能存在的法律风险,赵占领分析,用户在其他招聘网站上发布的简历中包含了求职意向、工作经历以及联系电话、住址等个人隐私。虽然用户在其他招聘网站上发布的简历在一定范围内是公开的,但是用户仅希望公开的范围限于该平台,而且通常情况下,用户的简历还需要用人单位HR通过向平台付费或者用户主动投递简历才可以查看。“如果未经用户同意抓取其简历并放置于自己平台上用于牟利,该行为也涉嫌侵犯用户的隐私权。”赵占领说。

   

3.2 云集被质疑泄露个人信息,千名消费者惨遭电话诈骗

多名消费者向《中国消费者报》记者反映,在云集平台上购物之后,接到了诈骗电话,导致上当受骗。


中国消费者报》记者获悉,从去年至今,在云集平台上,众多购买了商品的消费者接到了诈骗电话,涉及全国各地上千名消费者。记者了解到,消费者被骗金额从几千元至数万元,损失惨重。“对方能说出我的订单编号,我的姓名,还有我下单买的具体物品。这些都让我不得不信。”受害者说,在提供了信息后不久,她就发现银行卡上的钱被一笔一笔的划走。“到现在,警方也没有结论,云集也没有给我一个说法。”受害者说,她质疑自己的订单信息在云集APP 上被泄露,才导致她上当受骗。

《中国消费者报》记者了解到,疑似因“云集订单信息泄露”导致消费者遭受诈骗的事情,涉及全国各地的消费者。截至目前,已有不少消费者因此遭受到不同程度的财产损失,受骗金额从几百元到十几万元不等,仅记者掌握的资料显示,目前整体损失金额或达数百万元。有的消费者已经向公安机关报案。此外,一些云集的消费者也反映,接到类似诈骗电话,但没有上当受骗。

从消费者被诈骗的情况来看,云集存在严重的信息安全隐患,消费者在云集消费之后,包括个人姓名、电话、收货地址、消费金额以及交易时间等详细信息便遭到泄露;此后,更是有部分用户接连收到诈骗短信和诈骗电话,令人防不胜防。

律师黄文得对《中国消费者报》记者称,云集APP 作为电子商务平台经营者,通过促成网上买卖双方的交易获取利益,应当根据《电子商务法》的相关规定履行个人信息保护的法定义务。黄文得说:“云集app 具有获取买家个人信息的便利,如果其不能切实履行上述法定义务,那么必然导致买家姓名、手机号码、住址、消费习惯等重要个人信息的裸奔,这将直接导致买家财产损失,甚至损害人身安全。”黄文得认为,从消费者反映的情况来看,消费者在购物后几个小时内个人信息就被犯罪分子掌握和利用,可以认定云集app 在个人信息保护方面存在重大漏洞,具有严重过错。云集应当对消费者个人信息安全权被侵害一事承担相应的侵权责任。如果监管部门责令整改而云集APP 拒不改正的,那么,云集APP 平台涉嫌拒不履行信息网络安全管理义务犯罪,此为其一。其二,如果消费者个人信息泄露系云集APP 内部员工的个人行为所致,那么该员工个人因为实施了非法提供或者销售公民个人信息的行为,涉嫌侵犯公民个人信息犯罪。“存在严重的信息安全隐患的平台,必须为消费者遭受的侵害承担法律责任,有关监管部门应该行动起来,保护消费者的合法权益。


3.3 盗取30余万条个人信息叫价1比特币,“网偷”被警方抓获

暴力破解汽车金融服务平台后台管理权限,盗取大量数据放至“暗网叫卖”;篡改短视频软件,破坏系统安全防护机制,还在网上“炫技”。3月24 日,警方通报上述两起案例的嫌疑人均被收入法网。记者获悉,“2019 净网行动”以来,武汉网警持续打击新型网络犯罪,在新型网络犯罪的法律适用、电子证据提取和固定等方面不断研究突破,有效维护清朗网络环境。警方提醒,互联网绝非法外之地,网络从业者必须学法尊法守法。

去年11 月,一篇微信公众号信息引起人们关注,“‘暗网’上有人挂售某网站30 余万条用户资料信息,叫价1 个比特币。”这个涉事网站负责人获此消息,焦急万分。网站负责人匆匆到江汉区公安分局报警。在互联网上,暗网尤如沉入水中的冰山,追查暗网信息的幕后黑手,相比一般的网上追踪困难得多。这名作案的黑客还声称,他不仅攻克了数据库,还拿到了包括服务器在内的全部权限,并晒出网站管理后台信息。

经查,这家网站后台管理权限已被盗取,被偷走的客户信息包括身份证、手机号、银行卡、家庭住址、工作单位、贷款情况等,在暗网上的售价是1个比特币(时值3.5 万元)。

网安支队会同江汉区分局组织专案组立案侦查。通过对海量数据的追踪、分析、碰撞、比对,终于查明这只幕后黑手是四川省成都市双流区华阳镇的一个青年男子吴某。经审查,吴某曾在成都一个软件专修学院学习,毕业后一直从事互联网技术相关工作,并在互联网上搭建一个网站,出售个人信息。今年1 月22 日,专案组在成都警方的配合下,果断将吴某抓获归案。年仅22 岁的吴某交代,他利用一个软件以暴力破解手段入侵受侵网站后台。随后,找到服务器的用户注册信息,盗取这家网站大批量、多维度的用户数据,共计30 余万条。因为不了解“暗网”相关技术,他还曾向一网友交180元学费。

去年11 月,武汉网警在网上公开巡查时发现,有人恶意篡改短视频App 软件,并在网络论坛传播。网警当即将此消息反馈给开发这款软件的科技公司。该公司技术人员分析发现,这种篡改会导致核心数据丢失,尤其严重的是,篡改后的软件极易被不法分子利用,将境外一些暴力、色情等视频传入境内。

网安支队迅速会同武昌区公安分局成立专班展开侦查工作。他们通过分析篡改软件,比对相信息,查明篡改软件的犯罪嫌疑人竟是不到20 岁的辽宁青年郭某某。郭某某通过修软件代码并重新打包,使普通用户可突破安全机制随意浏览不良信息。根据该公司后台数据显示,已有40 余万人次使用了该篡改软件,在使公司利益受损的同时,也形成很大的网络安全隐患。

今年3 月8 日,工作专班赶赴辽宁本溪,将郭某某抓获归案。经审查,郭某某交代了全部作案过程。他是一所大专学校就读的在校生,所学并非计算机专业。自高二起就对计算机编程产生浓厚兴趣的他,由于家里没有经济条件买电脑,竟用手机编代码10 万条。他篡改这款短视频的初衷并非为谋利,只为“炫技”。他将篡改后的“版本”连同篡改的技术细节在网络论坛上分享给网友们,一时间数万粉丝称之为“大神”。大受“鼓舞”的他又进一步篡改软件,并将其分为“免费版”“收费版”两个版本,并获利3000 余元。

据办案民警介绍,社交能力较差,还有点结巴的郭某某,兼职写代码、送外卖补贴家用。今年1 月初,他发现经过篡改的软件的扩散已经不受控制,有些害怕,遂停止了更新。



3.4 华硕更新Live Update,修复遭APT 攻击滥用的后门漏洞


京时间3月27日早间消息,此前有消息称华硕此前发布的一个软件升级工具含有漏洞,该漏洞可以让黑客入侵用户的计算机。据美国科技媒体Engadget报道,今日华硕宣布,他们推出了一个旨在修复该漏洞的新升级工具。

华硕针对笔记本电脑用户发布了新版本的Live Update,这个工具解决了此前软件中所含有的ShadowHammer 后门漏洞。另外,该公司还承诺将会通过多重安全验证机制来预防用户的设备受到进一步的攻击。华硕表示,他们还将会对服务器系统进行升级,从而在未来避免遭受攻击。

在发布新的工具之后,华硕公司还重申称,ShadowHammer 的影响范围并不大,该公司表示只有“非常小的一部分用户”受到了此次事件的影响。这个事件被认定为是一次“高级持续威胁(Advanced Persistent Threat)”,它所针对的是企业和组织,而不是普通用户。华硕在一份声明中表示,该公司所生产的其他设备没有受到此次事件的影响。

尽管华硕已经修复了这个漏洞,但是依然有人质疑该公司为何没有在第一时间对系统进行锁定。升级工具经常会成为被黑客所利用的工具,因为这些工具不仅受用户的信任,而且对操作系统拥有高权限,因此这些工具在正式发布之前必须要经过严密的安全检查,以免被黑客所利用。


仙林校区地址:南京市亚东新城区文苑路9号 邮编:210023 三牌楼校区地址:南京市新模范马路66号 邮编:210003 锁金村校区地址:南京市龙蟠路177号 邮编:210042 苏ICP备11073489号-1