2014上半年十大安全漏洞分析与解读

2014上半年十大安全漏洞分析与解读2014年9月11日摘要本次报告评选出了2014年上半年对国内用户影响最大的十个安全漏洞。它们分别是：OpenSSL心脏出血漏洞、Struts2-021补丁绕过漏洞、苹果GotoFail漏洞、IE秘狐漏洞、Windows上的内核级漏洞、Chrome任意内存读写漏洞、Safari任意代码执行漏洞、Linux/Andriod本地提权漏洞、AdobeFlashPlayer漏洞和WordPressDDoS攻击漏洞。智能汽车，智能电视等智能系统的存在诸多安全隐患，而特斯拉汽车被中国黑客破解后，智能系统的安全性的问题更是得到了国内公众的广泛关注。另外，携程漏洞导致用户个人信息可能被泄漏一事，也使电商系统、支付系统的安全性问题备受关注。关键词：安全漏洞、安全事件、攻击技术目录一、OpenSSL心脏出血漏洞.................................................................................................1二、Struts2-021补丁绕过漏洞............................................................................................2三、苹果GotoFail漏洞.......................................................................................................3四、IE秘狐漏洞......................................................................................................................4五、Windows上的内核级漏洞............................................................................................5六、Chrome任意内存读写漏洞...........................................................................................6七、Safari任意代码执行漏洞...............................................................................................6八、Linux/Andriod本地提权漏洞.......................................................................................7九、AdobeFlashPlayer漏洞.............................................................................................8十、WordPressDDoS攻击漏洞.........................................................................................9附录1智能系统安全性展望...................................................................................................10一、智能汽车.....................................................................................................................10二、智能电视.....................................................................................................................10附录2携程漏洞事件...............................................................................................................12附件3特斯拉被中国黑客破解...............................................................................................131一、OpenSSL心脏出血漏洞漏洞编号：CVE-2014-0160一句话描述：近年来影响范围最广的高危漏洞，可被用于窃取服务器敏感信息，实时抓取用户的账号密码。爆发时间：2014年4月影响版本：OpenSSL1.0.1、1.0.1a、1.0.1b、1.0.1c、1.0.1d、1.0.1e、1.0.1f、Beta1ofOpenSSL1.0.2等版本。漏洞介绍：Heartbleed漏洞，可以直译为“心脏出血”，是OpenSSL的源代码中存在的一个重大安全漏洞。攻击者可以构造异常的数据包对存在这一漏洞的网站发起攻击，每次读取服务器内存中64K数据，不断的迭代获取，就能取出了可能包含证书私钥、用户名、用户密码、用户邮箱等敏感信息的数据。影响危害：OpenSSL是互联网应用最广泛的安全传输方法，被各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站所广泛使用。此漏洞被普遍认为是近年来危害最严重的安全漏洞。该漏洞可以让黑客轻松在https开头的网址服务器上，实时抓取用户的账号密码。从该漏洞被公开到漏洞被修复的这段时间内，已经有黑客利用OpenSSL漏洞发动了大量攻击，有些网站用户信息或许已经被黑客非法获取。未来一段时间内，黑客可能会利用获取到的这些用户信息，在互联网上再次进行其他形式的恶意攻击，针对用户的“次生危害”（如网络诈骗等）会大量集中显现。国外部分受影响的网站：加拿大税务局（CRA）因心脏出血安全漏洞，关闭了电子服务网站。平台维护者，如维基媒体基金会，建议他们的用户更改密码。国内部分受影响的网站：淘宝主站运营维护不当导致可以登录随机用户并且获取服务器敏感信息微信网页版和公众账号版运营维护不当可随机登录微信用户并获取服务器敏感信息中国银联运营维护不当导致可能存在随机登录银联账户并获取服务器敏感信息12306新版订票系统运营维护不当导致可以登录随机用户并且获取服务器敏感信息比特币中国运营维护不当导致随机用户明文密码泄漏2搜狗通行证服务器运营维护不当导致信息泄露乐视网运营维护不当导致敏感信息泄露凤凰网运营维护不当导致泄漏敏感信息京东某分站存在此漏洞导致敏感信息泄露及全站随机用户登录（证明可登录）搜狐畅游运营维护不当导致黑客可获取服务器敏感信息联想官网运营维护不当导致可获取服务器敏感信息相关名词：OpenSSL：一个强大的安全套接字层密码库，囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议，并提供丰富的应用程序供测试或其它目的使用。这是互联网应用最广泛的安全传输方法，被网银、在线支付、电商网站、门户网站、电子邮件等重要网站广泛使用。二、Struts2-021补丁绕过漏洞漏洞编号：CVE-2014-0094一句话描述：建站系统漏洞，可用于攻陷服务器，获取网站数据信息，潜在安全威胁大。爆发时间：2014年4月影响版本：Struts2.0.0-Struts2.3.16.1漏洞介绍：ApacheStruts2的远程代码执行漏洞风暴影响刚刚散去，4月23日晚，安全人员研究发现Apache公司提供的升级版本并未完全修复漏洞，补丁中的相关安全机制仍可被黑客绕过。Struts2上次远程代码执行漏洞，是由于黑客通过ParametersInterceptor接口可以操控服务器运行环境中的一些对象，因此补丁中禁用了此接口，但是由于防护规则不完善，导致安全机制仍可被攻击者绕过。建设银行、工商银行、中国银行、淘宝、京东、中国移动官网等都采用Struts2框架，此漏洞对上述网站服务器构成了拒绝服务和远程控制的威胁。影响危害：攻击者利用此漏洞，可以远程对目标服务器执行任意系统命令，轻则可窃取网站数据信息，重则可取得网站服务器控制权，从而造成信息泄露并给网站运行带来严重的安全威胁。特别是政府、公安、交通、金融和运营商等尤其需要重视该漏洞，这些单位和机构的敏感信息泄漏有可能对国家造成沉重的打击，甚至会违反相关的法律规定。在最近几年APT攻击横行的时期，黑客早已不再以挂黑页炫耀为目的，攻击者可能通过该漏洞作为突破口渗透进入其内部网络并长期蛰伏，不断收集各种信息，直到收集到重要情报。3相关名词：Apache：ApacheHTTPServer（简称Apache）是Apache软件基金会的一个开放源码的网页服务器，可以在大多数计算机操作系统中运行，由于其多平台和安全性被广泛使用，是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩展，将Perl/Python等解释器编译到服务器中。Struts框架：Apache软件基金会（ASF）赞助的一个开源项目。它最初是Jakarta项目中的一个子项目，并在2004年3月成为ASF的顶级项目。它通过采用JavaServlet/JSP技术，实现了基于JavaEEWeb应用的MVC设计模式的应用框架，是MVC经典设计模式中的一个经典产品。三、苹果GotoFail漏洞漏洞编号：CVE-2014-1266一句话描述：该漏洞使苹果应用程序易受中间人攻击，无法保障网络信息传输的安全性。爆发时间：2014年2月影响版本：AppleiOS6.x、AppleiOS7.x、AppleTV6.x、AppleOSX10.9.x漏洞介绍：该漏洞本质上，可以归结为苹果公司在近2000行代码中多出的一行简单的额外代码。一个额外的“gotofail”语句夹杂在大约三分之一的代码层中，这意味着SSL验证将可以在每一个事件中通过，无论密钥匹配与否，网络攻击者都可能获取或修改受SSL/TLS保护的session中的数据。Safari或其他受影响的苹果应用程序很容易受到中间人的攻击，从而使网络上信息传输的安全性无法保障。影响危害：对该漏洞享有网络特权位置的攻击者将有可能会获取或者修改SSL/TLS所保护的数据。该漏洞会使用户发送的信息可被攻击者截获，包括网站登录密码，网银支付密码，电子邮件和聊天记录等重要信息，从而对网银、网游、网上交易等都造成了极大的威胁，进而易给用户带来财产损失与精神损失。同时，通讯两端都在使用公共WiFi的情况下，最易受攻击者攻击。相关名词：SSL/TLS：SSL（SecureSocketsLayer，安全套接层），及其继任者TLS（TransportLayerSecurity，传输层安全）是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL4在传输层对网络连接进行加密。它是为Netscape所研发，用以保障在Internet上数据传输之安全，利用数据加密（Encryption）技术，可确保数据在网上传输过程中不会被截取及窃听。SSL：SecureSocketsLayer（安全套接层协议）的缩写，可以在Internet上提供秘密性传输。其目标是保证两个应用间通信的保密性和可靠性,可在服务器端和用户端同时实现支持。已经成为Internet上保密通讯的工业标准。安全套接层协议能使用户/服务器应用之间的通信不被攻击者窃听，并且始终对服务器进行认证，还可选择对用户进行认证。SSL协议要求建立在可靠的传输层协议（TCP）之上