2015年度安全事件TOP10

2015眼看就要结束了，WhiteCellClub借着2016即将来临之际，也对今年的安全事件做了一个小汇总，正所谓：

漏洞天天有，一周一回顾。

岁末看点啥？年度TOP10！

TOP 10

GHOST幽灵漏洞

事件概述：今年早些时候，某安全公司发现的glibc gethostbyname buffer overflow漏洞，这个漏洞存在于glibc 2.2<=version<=2.17 版本的gethostbyname函数中。由于这个函数没有对用户传入的参数长度合法性进行校验，并且将参数只在栈上开辟了一个临时空间，导致用户可以通过传入一个超长的域名来导致程序崩溃，如果在调用gethostbyname函数的时候参数可被攻击者控制的话，那么可以导致程序崩溃，即拒绝服务的效果，但是由于各个应用的复杂性，在调用这个函数时候不同的应用的栈中数据并不一致，而且发生溢出处于用户态环境下，要想利用漏洞执行恶意代码的难度非常大，更别说提权了。然而由于其使用的广泛性，whitecell-lab还是将其列入了年度榜单。

危险指数：★★★★☆☆☆☆☆☆

一句话点评：虽然说利用条件较为苛刻，但服务器相应的补丁还是得打上，以防万一。

TOP 9

国内宕机门集锦

携程宕机门事件

今年5月28日国内知名的在线旅游网站携程因酒店数据库故障而导致官方网站和App均出现大规模宕机，从故障恢复时间出现宕机开始，过去了整整12小时。而且网络上出现多个版本的宕机原因猜测。经携程技术排查，确认此次事件是由于员工错误操作导致。由于携程涉及的业务、应用及服务繁多，验证应用与服务之间的功能是否正常运行，花了较长时间。携程官方网站及App已于28日23:29 全面恢复正常。

微信公众平台故障事件

11月6日上午，有大量用户反映微信公众平台后台登录出现故障，部分账号出现登录不成功或没有访问权限等错误提示，这已经是微信今年内第四次出现故障。

新浪微博故障事件

9月12日，新浪微博遭遇大面积故障，无论是登录微博、发送微博或是查阅别人的博文，都会遭遇错误提示。

支付宝故障事件

5月27日，国内最大的网上支付平台——支付宝出现了大规模瘫痪，对于此次超过两个小时的故障，而其原因是由于杭州市萧山区某地光纤被挖断。

网易骨干网遭受攻击事件

5月11日，网易宣布其骨干网络遭到攻击，导致其移动应用、游戏无法访问、刷新。

陌陌故障事件

5月10日，陌陌通过新浪微博宣布，由于网络故障，用户暂时无法使用其移动应用。

12306大访问量故障事件

2月6日，由于访问量骤增，铁路订票网站“12306”发生崩溃，从当日上午10点起显示“页面无法打开”，瘫痪持续1小时，期间乘客无法订票。

危险指数：★★★★★★☆☆☆☆

一句话点评：今年可谓大大小小故障不断，如何保障业务连续性是无数互联网公司的重大难题。

TOP 8

Joomla 对象注入漏洞

事件概述：今年10月29日国外知名CMS（内容管理系统）Joomla，爆出存在SQL注入漏洞，该漏洞影响了 1.5 到 3.4.5 的所有版本，漏洞利用无须登录，直接在前台即可执行任意PHP代码。这个漏洞在libraries/joomla/sesion/sesi

on.php文件中，joomla将HTTP_USER_AGENT和HTTP_X_FORWARDED_FOR直接存入到了session中, 只需将恶意代码放在 User-Agent 或 X-Forwarded-For 中发送给网站，将网站返回的cookie值带入第二个请求中，即可触发漏洞。或是在第一个请求中指定cookie值，在第二次中带上同样cookie值也能触发漏洞，并会在phpinfo()返回结果。

危险指数：★★★★★★☆☆☆☆

一句话点评：joomla出现的SQL注入不少，但出现如此严重的漏洞，还属罕见。此漏洞几乎通杀joomla全版本，后续影响值得我们持续关注。

TOP 7

Juniper 防火墙后门事件

事件概述：近日著名的瞻博网络（juniper）在最近的一次内部代码审查中,发现ScreenOS中未经授权的代码,可以让资深的攻击者获得对NetScreen设备的管理权限和解密VPN连接。国外研究人员hdmoore在rapid7对漏洞进行分析，通过载入ssg5ssg20.6.3.0r19.0.bin固件到IDA中,在静态分析sub_ED7D94函数,搜索strcmp,可以看到 auth_admin_ssh_special和auth_admin_internal,继续在sub_13DBEC 中搜索auth_admin_internal,发现后门字符串为 <<< %s(un='%s') = %u，通过该密码，可通过ssh或telnet登录设备，获取设备的控制权。

危险指数：★★★★★★★☆☆☆

一句话点评：看到后门事件，我们不由联想到斯诺登爆出的“棱镜门”事件。“棱镜门”已经过去多年，但“后门”似乎成了一个永远不会褪色的主题。

TOP 6

互联网金融安全

事件概述：2015年末,P2P行业经历着最寒冷的冬天。国内经济不景气、行业风险事件频频爆发、投资者人心惶惶,出身于互联网金融的P2P平台,在经历了早期的野蛮生长与试错探索之后,也出现了线上+线下结合的趋势。然而，互联网在为金融行业带来飞速发展的机会和空间的同时，却因为网络应用的不断深入，带来了一堆隐藏在光亮前景背后的安全问题。其中知名的P2P平台借贷系统中，帝友和贷齐乐借贷系统可以说是现在P2P行业两大主流借贷系统，据统计，现在全国百分之七十以上的借贷网站都是用贷齐乐系统搭建的，并且在今年中国最大的投资理财产品点评平台76676发起的“最安全P2P网贷系统”的投票评选活动中，以3372票的高票数稳居第一，占据了总票数的35%，帝友借贷系统也经常出现在P2P平台上，也就是说这两个系统一旦出现安全问题，将会危机到一大片P2P借贷网站。（来自乌云爆告-2015年P2P金融网站安全漏洞分析报告）我们对影响较大的漏洞进行梳理：

top10:贷齐乐网贷系统一处无限制注入（WooYun-2015-135819）

top9:贷齐乐某处设计缺陷导致大面积注入(案例测试）（WooYun-2015-132687)

top8:贷齐乐系统多处SQL注入漏洞可影响到敏感数据(续)（WooYun-2015-132558）

top7:贷齐乐加密问题导致全局注入任意用户登录(无视gpc/waf)（WooYun-2015-135449）

top6:帝友P2P借贷系统某处代码执行漏洞（WooYun-2015-144444）

top5:帝友P2P借贷系统无需登录SQL注入漏洞(版本限制/附100+案例证明)（WooYun-2015-150130）

top4: 贷齐乐系统多处SQL注入漏洞可影响大量P2P网贷站点(附100+案例) （WooYun-2015-132043）

top3:帝友P2P借货系统全局问题造成多处注入（无视360防御/gpc/受长度限制) （WooYun-2015-132456）

top2:帝友P2P借贷系统SQL注入五处(无需登录)（WooYun-2015-134412）

top1:贷齐乐某5处注入&&两处getshell（WooYun-2015-136418）

并对漏洞类型进行总结，发现存在漏洞有：SQL注入、命令执行、密码重置、心脏滴血等严重漏洞。

危险指数：★★★★★★★★☆☆

一句话点评：各种遍布街头的理财公司、线上线下的P2P平台，业务安全却如此滞后，各类问题频频出现，网络安全成为各家P2P平台急需解决的新课题。

TOP 5

网易邮箱数据泄露

事件概述：10月19日在乌云爆出网易 163/126邮箱过亿数据泄漏，涉及邮箱账号/密码/用户密保等。前不久，有网友抱怨称自己的iCloud帐号被黑，绑定的iPhone手机被锁敲诈等，其共同点是都采用了网易邮箱作为iCloud帐号。从漏洞作者提交漏洞细节看出：数据过亿交易证明数据，包含邮箱密码密保信息，登陆ip以及用户生日等，其中密码密保均为MD5存储，解开后测试大部分邮箱依旧还可登陆。案例参考：某邮箱过亿数据泄漏（涉及邮箱账号/密码/用户密保等）（WooYun-2010-0147763）。

危险指数：★★★★★★★☆☆☆

一句话点评：如此数量级的数据到底是“被脱库”还是“撞库”的？网易的用户赶紧修改邮箱密码才是正事。

TOP 4

WORMHOLE虫洞

事件概述：今年10月20日两位安全研究人员发现了百度SDK上存在wormhole的漏洞。此次百度SDK虫洞漏洞相关的核心代码存在于SDK的com.baidu.hello.moplus中，所有使用该SDK开发的APP，均会开放40310端口响应数据请求，而此端口本来是用于广告网页、升级下载、推广APP的用途。攻击者一旦拿下这个端口的权限，便可以获得手机近乎全部的控制。影响较大的有百度APP系列、爱奇艺、乐视视频等80于个生活类APP。由于一些手机厂商预装了上述APP，从而导致受影响人群量级猛增，对于个人用户来说，需要关注对应APP的升级信息，建议尽可能从其官方站点下载升级版本，避免遭遇二次伤害。

危险指数：★★★★★★★★☆☆

一句话点评：百度“全家桶”，你值得拥有。

TOP 3

非官方Xcode被植入恶意代码

事件概述：今年9月份的事件，起初并未引起我们的注意，一开始大家只以为是个别开发者使用了非官方渠道下载的xcode导致开发的应用编译出来含有恶意代码，随后我们发现很多在Appstore中的应用都发现检测出了恶意代码，同时包含很多知名的应用：微信，网易，12306等等，此时我们才知道这件事情绝非我们想象的那么简单，虽然恶意代码的行为并不是那么复杂，然而其传播方式却是非常罕见而独特，如同重重一击打破了我们对恶意代码传播方式的固化思维。

危险指数：★★★★★★★★☆☆

一句话点评：图灵奖得者keen Thompson一语成谶，看你还敢用网盘上共享的编译器！

TOP 2

HACKING TEAM被黑400G数据泄露

事件概述：今年7月5日，总部位于意大利的Hacking Team公司受到黑客攻击，大量内部敏感数据泄露，很多人并未意识到这次大规模的泄露意味着什么，但随之而来 的还有整整的415G敏感资料泄露，其中包括里面有Flash 0day, Windows字体0day, iOS enterprise backdoor app, Android selinux exploit, WP8 trojan等等核武级的漏洞和工具。这些漏洞很可能会被人利用来进行病毒蠕虫传播或者挂马盗号。上述的漏洞可以用于恶意网站，用户一旦使用IE或者Chrome访问恶意网站，很有可能被植入木马。而OfficeWord、PPT、Excel则会被用于邮件钓鱼，用户一旦打开邮件的附件，就有可能被植入木马。本次泄露的各平台的木马后门程序，会把整个灰色产业链的平均技术水平提高不止一个档次。

危险指数：★★★★★★★★★☆

一句话点评：今年分量最重的“核弹”，各种黑客界的“核武器”流出。“出来混的，迟早要还。”

TOP 1
Java反序列化漏洞

事件概述：作为互联网中应用使用广泛的开发语言爆出这样的漏洞，这个漏洞最初看起来危害并不那么明显，然而在特定的环境下，会产生非常严重的破坏结果，尤其是远程命令执行，并且在WebLogic、WebSphere、JBoss、Jenkins、OpenNMS等应用中皆有发现，无疑是继strus2之后爆出的又一个非常严重的漏洞，所以也当之无愧的位于2015年年度最严重漏洞榜首位。下面是列举的经典案例：

永诚财产保险java反序列化命令执行（wooyun-2010-0157850）

新华保险JAVA反序列化命令执行已Getshell（内网ROOT权限）（ wooyun-2010-0159771）

国华人寿保险系统JAVA反序列化命令执行（wooyun-2010-0158399 ）

危险指数：★★★★★★★★★★

一句话点评：2015年被低估的“破坏之王”！

本文作者：

fuckadmin、sysenter、dark3r、light

注：文中所有参考信息来源于互联网

搜集整理：whitecell-lab小组

本文始发于微信公众号（WhiteCellClub）：2015年度安全事件TOP10