每日安全简讯(20161123)

1、安全厂商发现Gatak木马将攻击目标瞄准医疗机构
2、Cobalt组织利用恶意代码远程攻击欧洲多国ATM
3、美国国防部漏洞披露政策：黑客可访问政府系统
4、CNVD通报广升FOTA服务存在权限提升漏洞
5、研究人员发现HDF5库存在任意代码执行漏洞
6、人权基金会网站被黑，超过2万账户信息泄露

【安天】搜集整理（来源：symantec、softpedia、easyaq、cnvd、securityweek、softpedia）

1、安全厂商发现Gatak木马将攻击目标瞄准医疗机构
标题：Gatak: Healthcare organizations in the crosshairs
Mysterious threat group infects organizations using malicious key generators for pirated software.
采用的方式是水坑攻击的方式：吸引不特定目标来下载软件，从而进行攻击。

作者信息：21 Nov 2016 By Symantec Security Response

//BEGIN
The group behind the Gatak Trojan (Trojan.Gatak) continues to pose a threat to organizations, with the healthcare sector in particular heavily affected by
attacks. Gatak is known for infecting its victims through websites promising product licensing keys for pirated software. While the group focused on US
targets, it has diversified over the past two years and attacks are now taking place against organizations in a broad range of countries.
木马Gatak的主要传播手段是通过一些盗版软件的下载来传播。一些常用的商业软件被黑客们重新打包破解，放置在一些网站中供用户下载，其实针对的是非特定客户。但是从实际的效果看，医疗机构由于其行业特殊性而且IT资源和支持相对缺乏，因此容易成为这些黑客们的猎物。
影响的范围原来主要是在美国，但是最近2年的传播路径看，有传播到世界其他地区的迹象。

//END
Since it first appeared five years ago the Gatak group has carried out a steady stream of attacks and the Trojan represents a serious threat to any
organization, particularly in the healthcare sector. Gatak provides a timely reminder that the use of pirated software can compromise security in addition to creating legal issues for an organization. Along with using a robust security solution, organizations should regularly audit the software used on their
network and educate staff about the dangers of using pirated or unapproved software.
该木马Gatak已经存活了大约5年的时间，威胁一直存在而且存在逐步扩散的趋势，其实对所有的企业和组织都有潜在的风险，就像上面已经提到的特别是医疗行业。从防护层面上讲，Gatak也给了我们一个提醒：那就是绝对不能使用盗版软件，这已经不是一句口号。使用盗版软件不仅有法律风险，而且可能导致被勒索、感染特定木马等，对企业的资产威胁更大。因此建议各个企业和组织应该教育自己的员工，时刻提醒员工，特别是新入职员工，并定期进行安全审计、及时发现潜在的风险并改进。

点评：使用盗版软件当然不对，但是借机暗装木马就更不地道了。

2、Cobalt组织利用恶意代码远程攻击欧洲多国ATM
标题：Cobalt Hackers Attack ATMs with Malware Forcing Them to Spit Out Cash
ATMs in Romania, Spain, the UK, and the Netherlands targeted

作者信息：Nov 22, 2016 09:05 GMT  By Bogdan Popa

//BEGIN
A hacker group known as Cobalt is believed to be behind a series of attacks targeting ATMs in Europe with malicious software that causes the machines to spit out cash.
Russian cybersecurity firm Group IB explains that the attacks were performed remotely and impacted cash machines in countries such as Armenia, Belarus, Bulgaria, Estonia, Georgia, Kyrgyzstan, Moldova, the Netherlands, Poland, Romania, Russia, Spain, the United Kingdom, and Malaysia.
名为Cobalt的黑客组织据称针对欧洲多国以及亚洲部分国家的自动取款机ATM同时发起了攻击，成功盗取了现金。这些受到影响的国家和地区有：亚美尼亚、白俄罗斯、保加利亚、爱沙尼亚、格鲁吉亚、乌兹别克斯坦、摩尔多瓦、荷兰、波兰、罗马尼亚、俄罗斯、西班牙、英国以及亚洲的马来西亚等国。

//END
“We have been working actively with customers, including those who have been impacted, as well as developing proactive security solutions and strategies to help prevent and minimize the impact of these attacks,” explained Owen Wild, NCR's global marketing director for enterprise fraud and security.
Neither the Europol, which investigates cybercrimes on the Old Continent, nor the ATM Security Association offered statements on these attacks, but
investigations are most likely already under way behind the closed doors.
ATM厂家企业安全负责人称已经与相关客户积极合作，一起发布更加有效的安全措施以及预防措施来防止和减少该攻击造成的影响。欧洲的国际刑警总部、ATM安全协会都未对本次事件发表评论，但是恐怕调查已经悄然开始.... 让我们期待调查结果公布。

点评：从ATM机取钱，这个最直接了。估计调查范围将会空前。

3、美国国防部漏洞披露政策：黑客可访问政府系统
{CHN}

标题：美国国防部公布漏洞披露政策 黑客可访问政府系统

作者信息：2016-11-22 10:31 By E安全

//BEGIN
E安全11月22日讯 本周一，美国国防部公布“漏洞披露政策”，允许自由安全研究人员通过合法途径披露国防部公众系统存在的任何漏洞。
这项“漏洞披露政策”（Vulnerability Disclosure Policy）旨在允许黑客在不触犯法律的前提下访问并探寻政府系统。
国防部长Ash Carter在博文中表示，“我们希望该项政策使漏洞源源不断披露，从而便于我们迅速发现并修复漏洞。最终使国防部、服务人员以及公众会更为安全。”
该项目由HackerOne公司管理。今年早些时候，Hackerone曾负责管理国防部“黑掉五角大楼”试点项目。上月，HackerOne和Redwood City赢得该项目合同。按照合同规定，众包安全研究人员可以使用国防部的应用程序、网站和网络，寻找漏洞。

//END
周一也是Hackerone悬赏项目“黑掉军队”（Hack the Army）的首个注册日。该项目针对面向公众的军队网站。
Carter写到，“漏洞披露政策”和“黑掉军队”项目表明国防部致力创新并采用商业最佳实践。国防部一直专注于安全现代化，并寻求方式挖掘人才资源。
军队不是采用漏洞赏金计划的唯一政府部门。上周，美国国税局宣布与Synack达成协议，在允许黑客进入并探索政府系统之前，会进行审查。Synack称，与传统大众漏洞赏金项目不同的是，该项目会严厉审查并追踪白帽子黑客，确保客户对所有Synack“红队”活动持续可见并进行管理。
该项目可谓顺应趋势。技术行业外的组织机构也允许自由黑客发现系统漏洞，并进行悬赏。

点评：终于理解网安法第27条的表述：“任何个人和组织不得从事非法侵入他人网络....的活动”中的非法侵入的含义了，即确实有（非特定对象）合法侵入，参见本文。

4、CNVD通报广升FOTA服务存在权限提升漏洞
{CHN}
标题：关于多款mtk平台手机广升FOTA服务存在system权限提升漏洞的安全公告

作者信息：2016-11-21 16:39:30 By CNVD

//BEGIN
安全公告编号:CNTA-2016-0059
近期，国家信息安全漏洞共享平台（CNVD）收录了多款mtk平台手机广升FOTA服务存在的system权限提升漏洞（CNVD-2016-11347，报送者：蚂蚁金服巴斯光年安全实验室曲和）。
综合利用该漏洞，攻击者可将权限提升至system权限，进而有可能发起植入恶意软件、以控制或窃取信息为目的的大规模攻击。
一、漏洞情况分析
上海广升信息技术股份有限公司（简称上海广升公司）是终端管理云平台提供商，主要为IoT设备（智能汽车、穿戴、家居、VR等）提供无线升级解决方案。由于使用广升FOTA服务的手机存在某系统内置的app，该app包含对应的绑定服务，可通过传入参数达到以system权限执行命令。攻击者利用漏洞可将权限提升至system权限。CNVD对该漏洞的技术评级为“中危”，但其影响范围较广，且后续可实施的其他高权限操作可能危及移动智能终端用户安全。

//END
二、漏洞影响范围
该漏洞影响所有使用广升FOTA服务的mtk平台手机。根据报送者提供的测试情况，目前一些国内主流手机厂商的相关型号手机产品（如：360 f4手机、华为畅享5S、vivox7、oppo r9m等）都受到漏洞的影响。
三、漏洞修复建议
目前，上海广升公司已提供漏洞修补方案并已着手积极通报渠道厂商修复该漏洞。CNVD建议合作渠道手机生产厂商及时与上海广升公司联系，升级到最新版本，避免引发漏洞相关的网络安全事件。
附：参考链接：
http://www.adups.com/
http://www.cnvd.org.cn/flaw/show/CNVD-2016-11347

点评：智能联网设备越来越受到关注....

5、研究人员发现HDF5库存在任意代码执行漏洞
标题：Code Execution Flaws Patched in HDF5 Library

作者信息：November 21, 2016 By Eduard Kovacs

//BEGIN
Researchers from Cisco’s Talos Vulnerability Development Team discovered a total of four code execution flaws in the HDF5 library. The issues were reported to the developer and patched.
HDF5 is a data model, library and file format designed for storing and managing large and complex data collections. HDF5 is maintained by The HDF Group and it’s used in various industries by organizations such as Ford, SpaceX, Lofar, Energistics and the Allotrope Foundation.
一个非盈利机构HDF维护着一个存储大型科学数据的文件格式，并可以用来在不同的应用程序之间用来交换数据。其最新版本为 HDF 5，就是在这个版本中，被安全团队发现了4个安全漏洞。漏洞编号为连续4个：CVE-2016-4330；CVE-2016-4331；CVE-2016-4332；CVE-2016-4333等。
该数据库广泛应用在一些大型的工业企业中，比如福特汽车、SpaceX火箭项目等。

//END
The issues were reported by Talos researchers in mid-May and they were resolved this month with the release of version 1.8.18. Talos has published technical details for each of the vulnerabilities and released Snort rules to help its customers detect exploitation attempts.
Talos has also discovered security holes in various other popular libraries, including OpenJPEG, Libarchive, Lhasa and 7-Zip.
其实该漏洞今年的5月份就已经被发现，并通知了相关开发机构。安全研究团队与HDF团队密切合作并监视该漏洞被利用的情况，体现了安全厂商的负责任的漏洞披露进程。直到今天在发布了修补补丁后，才在安全的前提下披露了漏洞利用细节，同时也提供了一些SNORT规则来帮助用户来检测和预防这类漏洞利用行为。
漏洞细节：http://blog.talosintel.com/2016/11/hdf5-vulns.html
https://www.hdfgroup.org/ 相关公司链接
当然安全团队还发现过其他流行文件或者库结构的安全漏洞。

点评：4连号的漏洞。

6、人权基金会网站被黑，超过2万账户信息泄露
标题：Human Rights Foundation Website Hacked, Thousands of Accounts Exposed UPDATED
SQL injection exposes nearly 20,000 usernames and passwords

作者信息：Nov 21, 2016 12:41 GMT By Bogdan Popa

//BEGIN
The Hungarian Human Rights Foundation website was hacked a few minutes ago by Kapustkiy and CyberZeist, who managed to get access to over 20,000 accounts and personal information, including phone numbers and home addresses.
Security pentester Kapustkiy told us that the data breach was possible with a SQL injection, which provided him with access to databases that included
thousands of accounts, including some that are related to the US government (using the @state.gov suffix).
匈牙利人权基金会的网站被一个曾经多次提到的黑客Kapustkiy拿下，并拿到了超过2万个注册账号信息，这些信息中包括注册者的个人信息和家庭住址等敏感和隐私信息。据称拿下该网站是通过一个常见的SQL数据库注入实现的。

//END
We have also contacted the Hungarian Human Rights Foundation for a statement on the data breach and will update the article when a response is offered. For the moment, however, if you’re one of the users impacted by the leak, the best thing you could do is to change your password as soon as possible.
Update, November 22: The  Hungarian Human Rights Foundation website is now down for maintenance, as the security team is now investigating the breach. Kapustkiy removed all leaked documents from the web, as his mission here is done.
截止目前该网站已经下架维护，并开始调查数据泄露的原因。黑客已经公开的文档和数据已经被删除。我们期待更安全的网站新版本的推出以及本泄露事故的原因分析报告出台。

点评：数据泄露虽然经常发生，但是我们不能习以为常。