Cisco MARS发现多处漏洞

上周五还去参加cisco的MARS(Cisco Security Monitoring, Analysis and Response System (CS-MARS))产品培训,今天就报出发现多处漏洞,同时我对此产品也不太看好,一是收购别人的软件、二是cisco做安全还太嫩了。
 
Cisco released earlier today an advisory pointing out vulnerabilities in one of their security managment products: Cisco Security Monitoring, Analysis and Response System (CS-MARS).

  • The included Oracle database has default passwords
  • The included JBoss webserver allows remote code execution
  • A privilege escalation problem that allows administrators to gain root access to the machine

Cisco今天早先时候发布的一份说明指出他们的安全管理产品MARS中发现多处漏洞。

  • MARS搭载的Oracle数据库使用了Oracle的许多默认帐号,同时也使用了默认的密码,这就造成了一旦用户可以访问数据库的时候就可以直接得到敏感数据信息。
  • MARS搭载的JBoss web应用服务器软件,其中含有的一个组件会允许远程访问,这样导致未经授权的用户可以以MARS管理员的权限级别远程执行随意指令。
  • MARS的命令行包含许多漏洞,可以让经过授权的管理员以root权限来执行任意指令。

估计MARS在国内还没卖出去几套,不过也得留心一下咯。及时升级到4.2.1及以后版本,或者访问cisco网站获得当前4.2.0对此漏洞的补丁。

密钥管理是企业安全的核心

长久以来密码学一直被用作保护数据的安全传输,而如今它被更多的用在了保护数据库、文件系统、存储介质中的数据。不仅如此,密码学已经被扩展到用于加强数据的私密性、完整性和唯一性。
  • 公钥体系的大规模的应用,身份证书、个人签名、加密、双向认证等手段来保护网站信息,保护邮件内容和重要文档的安全。
  • 到处都可以见到的SSL技术。不仅仅再局限在电子商务上的应用,SSL更多的被植入企业应用和网络设备中。
  • 即插即用数据层面的保护。要采取数据加密往往意味着改写软件应用、编写客户化的代码、改变业务流程,而如今最新的解决方案可以对数据、文件系统、存储介质进行透明化的加密。
  • 密码学的瓶颈。担心加密会严重影响系统的吞吐率已经没有什么必要了,这都要感谢快速的加解密装置。
除了这些好处,密码技术仍然受到部署和管理上的强烈挑战。不过可以消除这些路障的市场因素讲起到关键作用。
  • 不贵但是可以实现强身份认证的动态令牌。企业都不希望仅仅依赖于简单的口令作为访问保密系统的安全保障,但是要强加这些安全保护,投资非常大。如今,在竞争下的产物--动态令牌,使用USB棒等小设备就完成了复杂的功能,同时大大降低了成本。
  • 可升级的密钥管理。对于密码的生命周期来说,密钥管理变得越来越重要。这同样驱使了升级的需求。许多类似的产品可以实现在大的企业环境中进行密钥的管理和自动分发。
  • 针对设备和人员的身份识别管理系统。早期的身份识别管理系统也负责权限和是否可以进入业务系统的管理,但是渐渐的这些系统也覆盖了对设备和自动系统的身份识别和授权功能,而不仅仅针对人员了。
一切变得非常清楚,企业需要为数据和内容的安全打下坚实的密码学基础,但是建立安全意义上的密钥系统仅仅是个开始。成功取决于部署、管理和贯彻良好密钥管理策略的能力。

针对powerpoint的最新漏洞攻击

被Symantec命名为Trojan.PPDropper.B的木马病毒正利用微软的Powerpoint的漏洞进行传播和攻击。微软方面并没有引起足够的重视,认为传播面不会很广。月初微软例行发布了7月的几个安全更新,其中有office的excel和word的漏洞补丁,但是没有涉及此次发现powerpoint的漏洞。因此大家要提高警惕!
这个木马,利用微软的PPT漏洞,注入系统几个木马病毒文件,用来进行远程控制调用。信件可能是从gmail发送过来的,邮件的主题和附件常见为中文名称,附件为[中文名].ppt,一旦运行该ppt文件,就会执行此恶意代码并释放木马至操作系统目录%System%regvrt.exe( Backdoor.Bifrose.E的一种变种,symantec命名),并在EXPLORER.EXE中插入进程并重新生成一个干净的ppt文档,同时显示ppt内容。
在微软没有发布该漏洞补丁之前,请大家及时升级防毒软件,不要轻易打开来路不明的ppt文档。

木马

电脑里面的木马似乎一直没有删除干净。每一次的手动排查,往往是隔靴搔痒,治了标了压制住了势头,却从没有连根清除过。每次的症状都是系统启动后,间隔性的注入IEXPLORE.exe进程,并连接远端的ip。前几次发现是加入了系统隐藏服务中,把服务删了,病毒文件删了也就干净了。这次是隐藏进程也没有,隐藏服务也没发现。这个木马隐蔽性做的真是非常好,启动调用IEXPLORE.EXE去访问远程站点获取最新的机主IP,然后企图把被感染机器上的密码等信息再发送出去。而且一旦连接后就立即退出运行,并间隔一段时间再重复工作。由于运行的时间很短,就算用了icesword等进程查看工具,也不是每时每刻都能发现问题的。
好在有个人防火墙可以对指定进程的网络行为做日志,这个木马的伎俩也就暴露无疑。但是要定位并找出病毒文件却是非常困难的事情。正巧更新了7月的微软补丁,竟然微软的恶意程序清除工具也能发现我机器里面有的这个灰鸽子病毒,但提示只部分删除。奇怪的是,mcafee对此竟然无动于衷,彻底心碎了。更奇怪的是木马克星对这个病毒也是没有一点反映。这些现成工具对此病毒视而不见,只能自己慢慢找了。
看着这个木马无时无刻不对外尝试着连接,心里真的是蛮难受的。不知道到底有多少个人信息,密码信息被泄露,也无法追查,只知道这个IP是浙江地区的,通过ip查下去,对于我个人没有多大意义也是不现实的。只有重装系统才能彻底解决这个木马吗?
这个时候想到了kapersky,装个试试吧,说不定能够识别并清除这该死的木马。卸载了mcafee,换成kav,果不然,直接干掉了一个木马,再扫描一下硬盘吧,又干掉一个,再看看防火墙的日志,自从安装KAV后,那个进程的访问不再活动了,应该算是干掉这个病毒了吧,效果显著哟。
虽然都说KAV占用系统资源颇大,但是为了安全,牺牲一点性能,还是非常有必要的。同时也能深切的认识到,在客户端安全防护方面,还有很大的路可以走,还有很大的市场份额等待挖掘。

骗术

当我们津津乐道于又发现一个社会上骗人的伎俩时,是否探究过其本质以及与信息安全的关系呢?短信诈骗,街头骗术等等,正是利用人们的疏忽和大意。在多次上当之后,防范此类骗术的意识有所提高,防范小偷的意识有提高,但是对于企业信息、个人信息泄漏的防范却很少有注意。无论是黑客还是骗子,都是对我们的社会生活习惯加以研究并得以利用,这就是社会工程学,我们需要研究的学问!
《入侵方法》讲述了一个渗透测试者的故事。他就简单的对门卫说他是公司的内审员,然后魅惑一位年轻的女职员,让她把ID吊牌和密码都告诉了他,并让他自己一个人使用她的电脑,然后和IT负责人共进午餐讨论公司内部的IT架构。
还可以通过电话来进行简单的入侵。在街上随便买个电话卡,打电话到目标公司找IT负责人,从总机那里得到IT负责人的姓名和电话分机。然后再拨打这些IT负责人的分机,直到听到某某不在的语音提示,知道这位IT负责人外出了。于是打电话给IT支持服务中心,声称自己就是那个外出的IT负责人,并说明自己的电脑坏了,存的登陆公司网络的用户名密码找不到,能不能立即把登陆的用户名密码发送到他的手机上,时间很紧迫。于是IT支持服务中心也没怎么核实就把这些信息发送给一个从未见过的手机号码上去了,这样进轻松进入公司网络了。
这样的事情很多,只要有心搜集信息。现在的BLOG也是非常好的搜集信息的方式。某些员工喜欢把同事的合影一起放在BLOG上并注明谁是谁,甚至把公司发生的一些事情都写在BLOG上,他们根本没有意识到是否有人正在把这些信息元记录并加以利用。
IM工具也是非常好的进行社会工程学渗透的管道。因此有些公司把IM封了,但是这样往往会造成年轻员工的不瞒,甚至报复,内部的攻击和入侵由此而生。为了避免这种情况,应更多的从技术上加以考虑,对IM等通讯工具加以过滤和规范。在企业内部制订安全通讯的策略是非常必要的。
员工需要进行安全教育,孩子也需要教育不要和陌生人说话,但是你真的不敢相信,你跑到聊天室或者用IM软件让这些孩子和年轻员工告诉你他们的个人信息是多么的容易。他们怎么就那么好骗呢!