網絡空間安全動態
一、發展動向熱訊
1、工信部印發《“十四五”大數據產業發展規劃》
11月30日,工業和信息化部發布《“十四五”大數據產業發展規劃》(以下簡稱《規劃》)。《規劃》共分為五部分,包括發展成效、面臨形勢、總體要求、主要任務和保障措施。《規劃》要求,到2025年,大數據產業測算規模突破3萬億元,年均復合增長率保持在25%左右,創新力強、附加值高、自主可控的現代化大數據產業體系基本形成。《規劃》圍繞加快培育數據要素市場、發揮大數據特性優勢、夯實產業發展基礎、構建穩定高效產業鏈、打造繁榮有序產業生態、筑牢數據安全保障防線六個方面提出了重點任務,設置了數據治理能力提升、重點標準研制及應用推廣、工業大數據價值提升、行業大數據開發利用、企業主體發展能級躍升、數據安全鑄盾六個專項行動。(信息來源:工信部網站)
2、工信部印發《“十四五”軟件和信息技術服務業發展規劃》
11月30日,工業和信息化部印發《“十四五”軟件和信息技術服務業發展規劃》(以下簡稱《規劃》)。《規劃》提出,“十四五”時期我國軟件和信息技術服務業要實現產業基礎實現新提升,產業鏈達到新水平,生態培育獲得新發展,產業發展取得新成效的“四新”發展目標。《規劃》圍繞軟件產業鏈、產業基礎、創新能力、需求牽引、產業生態五個方面,提出了“十四五”軟件和信息技術服務業主要任務:一是推動軟件產業鏈升級;二是提升產業基礎保障水平;三是強化產業創新發展能力;四是激發數字化發展新需求;五是完善協同共享產業生態。(信息來源:工信部網站)
3、工信部組織開展工業領域數據安全管理試點工作
12月14日消息,工業和信息化部印發關于組織開展工業領域數據安全管理試點工作的通知。將貫徹落實《中華人民共和國數據安全法》《中華人民共和國網絡安全法》等法律法規,指導省級工業和信息化主管部門組織開展數據安全管理試點,督促企業落實數據安全主體責任,加強數據分類分級管理、安全防護、安全評估、安全監測等工作,提升數據安全防護能力。加強試點成果轉化應用,完善工業領域數據安全制度規范和工作機制,遴選一批示范企業、優秀產品和典型解決方案,形成可復制可推廣的管理模式,促進提升行業數據安全保護水平。(信息來源:工信部網站)
4、央行就金融數據安全評估規范征求意見
12月3日,全國金融標準化技術委員會秘書處發布《金融數據安全 數據安全評估規范》(征求意見稿)并公開征求意見。意見稿規定了金融數據安全評估觸發條件、原則、參與方、內容、流程及方法,明確了數據安全管理、數據安全保護、數據安全運維三個主要評估域及其安全評估主要內容和方法。該標準適用于金融業機構在開展金融數據安全評估時使用,并為第三方安全評估機構等開展金融數據安全檢查與評估提供參考。(信息來源:金標委網站)
5、美CISA發布《安全能力增強指南》
11月24日,美國網絡安全與基礎設施安全局(CISA)發布《安全能力增強指南》,并創建了一個企業移動管理系統檢查表,為企業和相關組織提供改善移動設備網絡安全的參考。指南中的措施側重于組織采取各種易于實施的步驟,并通過最佳實踐,幫助企業及機構為員工提供安全的移動設備資源訪問。最佳實踐分為6步,涵蓋設備管理、身份驗證、應用程序安全、安全通信、設備保護、關鍵系統隔離等內容。(信息來源:CISA網站)
6、美運輸安全管理局發布鐵路行業網絡安全指令
12月2日,美國運輸安全管理局(TSA)發布了兩項安全指令,要求鐵路和軌道交通集團采取措施加強網絡安全,包括向聯邦政府報告網絡事件等。指令將覆蓋大約80%的貨運鐵路和90%的客運鐵路,要求高風險的貨運鐵路、客運鐵路和軌道交通集團在發現網絡安全事件后24小時內向網絡安全與基礎設施安全局報告,并指定一名網絡安全協調員。這些指令將于12月31日生效,運營商將有90天時間進行網絡安全脆弱性評估,180天時間實施網絡安全事件響應計劃。(信息來源:CyberScoop網)
7、英國發布全球首份人工智能保障生態系統路線圖
12月8日,英國數據倫理與創新中心(CDEI)發布了全球首份人工智能保障生態系統路線圖,這對實現英國政府在國家人工智能戰略中提出的建立世界上最值得信賴和有利于創新的人工智能治理體系的目標至關重要。此次發布的路線圖是英國國家人工智能戰略中的重要一項,通過建立一個工具和服務生態系統,可識別和減輕人工智能帶來的風險,并推動人們對人工智能的信賴。該路線圖還解決了人工智能全球合作伙伴組織、經合組織和世界經濟論壇等國際組織提出的人工智能治理中的相關問題。(信息來源:英國政府網站)
8、加拿大半導體委員會發布《2050半導體行動計劃》
12月3日消息,加拿大半導體委員會發布了《2050半導體行動計劃》,旨在讓加拿大成為價值7萬億美元的全球半導體市場領導者。該計劃概述了加拿大半導體產業的現狀,提出了加強和多元化供應鏈、發展本土芯片制造、建立關鍵特色行業、形成國家品牌和促進創新目標。(信息來源:國防科技要聞)
9、ENISA發布鐵路網絡安全與風險管理最佳實踐
11月25日,歐洲網絡與信息安全局(ENISA)發布了題為《鐵路網絡安全——網絡風險管理的最佳實踐》的報告,旨在為適用于鐵路部門的網絡風險管理方法提供參考。該報告的目的是為歐洲鐵路企業和基礎設施管理人員提供關于如何評估和減輕網絡風險的適用方法和實例。報告以2020年ENISA《鐵路網絡安全》報告為基礎,評估了鐵路部門網絡安全措施的實施水平,提供了可采取行動的指導方針,列出了鐵路網絡常見風險,并概述了各個組織易于采用的良好實踐。(信息來源:ENISA網站)
10、UNESCO通過首份人工智能倫理全球協議
12月6日消息,聯合國教科文組織(UNESCO)通過了首個關于人工智能倫理的全球協議,以供193個成員國采用。該協議定義了共同的價值觀和原則,用以指導建設必需的法律框架來確保人工智能的健康發展,旨在實現人工智能給社會帶來的積極效果,同時預防潛在風險。協議主要內容涉及數據管理、教育、文化、勞工、醫療保健、經濟等多個領域,將應對與透明度、問責制和隱私相關的問題,確保數字轉型能夠促進人權,并推動實現可持續發展目標。(信息來源:UNESCO網站)
二、安全事件聚焦
11、德國能源系統供應商Kisters遭受勒索軟件攻擊
12月3日消息,德國能源系統關鍵基礎設施供應商Kisters遭勒索軟件攻擊,攻擊者獲取了其計算機網絡訪問權限并進行加密。Kister隨后致電德國刑事調查部門和聯邦信息安全辦公室,并通知相關監管機構,目前調查仍在進行中。12月2日,疑似勒索軟件組織Conti在其泄露站點發布了Kisters 5%的被竊數據。(信息來源:Kisters網)
12、美國和加拿大關鍵基礎設施遭勒索軟件攻擊
11月29日消息,研究人員發現一種新型勒索軟件Sabbath,自今年6月以來一直針對美國和加拿大關鍵基礎設施發起攻擊,包括教育、衛生和自然資源領域。10月,該勒索軟件感染了美國德克薩斯學區的IT系統,并要求支付數百萬美元的贖金。Sabbath不僅提供惡意軟件有效載荷,還為其附屬機構提供預配置的Cobalt Strike BEACON后門負載,使得確定攻擊來源更加困難。(信息來源:SecurityAffairs網)
13、新型勒索軟件Yanluowang攻擊美國金融組織
12月6日消息,賽門鐵克研究人員發現,黑客正在使用Yanluowang勒索軟件對美國金融部門、制造業、IT服務、咨詢和工程部門等發起攻擊。黑客在入侵階段不僅部署了惡意軟件,還嘗試從受控設備上收集瀏覽器保存的登錄憑證,如Firefox、Chrome、Internet Explorer以及竊取KeePass密碼管理器的主密鑰等。受害者若不能在規定時間內聯系黑客并支付贖金,黑客將采取DDOS攻擊并致電其員工和業務合作伙伴,若幾周內仍未支付,黑客將刪除其數據。(信息來源:BleepingComputer網)
14、澳大利亞電力供應商CS Energy遭勒索軟件攻擊
12月9日消息,澳大利亞昆士蘭電力供應商CS Energy遭勒索軟件Conti攻擊,公司網絡設備遭破壞。為防止惡意軟件傳播,該公司迅速將其他內部網絡隔離,并向公眾通報該事件。其Kogan Creek和Callide發電站的安全和運營未受影響,發電和輸送均正常,目前正在努力恢復受影響系統。CS Energy為昆士蘭數百萬家庭以及大型商業和工業客戶提供電力。(信息來源:SecurityWeek網)
15、全球知名家具零售商宜家電子郵件系統遭網絡攻擊
11月29日消息,全球知名家具零售商宜家(IKEA)電子郵件系統持續遭網絡攻擊,攻擊者接管了員工的電子郵件賬戶,冒充工作人員向宜家相關合作伙伴發送電子郵件,進行網絡釣魚。目前還未查明攻擊者是入侵了宜家的員工賬戶,還是進入了其內部服務器。宜家現已關閉電子郵件系統的部分功能以降低風險。(信息來源:BleepingComputer網)
16、WiFi軟件管理公司泄露數百萬客戶數據
12月2日消息,安全研究人員發現WiFi軟件管理公司WSpot有一個配置錯誤的Amazon Web Services S3存儲桶,該存儲桶未受保護且對公眾開放,約有22萬個文件被泄露,涉及至少250萬用戶的個人信息,如姓名、地址、電子郵箱、納稅人注冊號以及用戶創建的純文本登錄憑據。WSpot提供的軟件可讓企業保護其內部部署的WiFi網絡,并為客戶提供無密碼的在線訪問,客戶包括Sicredi、必勝客等。目前,未發現未經授權的第三方訪問。(信息來源:安全牛網)
17、美國DNA檢測中心泄露超210萬用戶個人信息
12月6日消息,美國俄亥俄州DNA測試公司披露了一起數據泄露事件,黑客在5月24日至7月28日期間非法訪問了該公司用戶的敏感個人信息,包括姓名、社會安全號碼、銀行賬號及支付卡數據等,其中超過210萬名用戶的個人信息和財務數據被竊取。該公司表示,受影響的數據庫與2012年收購的國家基因檢測組織系統相關,其活躍使用的系統和數據庫沒有被滲透。該公司提供DNA和相關檢測服務,包括親子鑒定、血統、生育能力、基因分型和新冠檢測等。(信息來源:InfoRiskToday網)
18、南澳大利亞政府8萬名員工信息遭泄漏
12月10日,南澳大利亞州政府披露,由于該州政府的工資系統軟件提供商Frontier Software遭Conti勒索軟件攻擊,8萬名員工個人敏感信息遭泄露,包括姓名、出生日期、地址、銀行賬戶、薪酬等。除教育部外,南澳大利亞政府的任何雇員都可能受此次攻擊影響。研究人員建議政府雇員謹慎對待收到的電子郵件、電話和短信,重置密碼并在可能的情況下開啟雙因素身份驗證。(信息來源:ZDNet網)
19、國家網信辦依法約談處罰新浪微博
12月14日消息,國家互聯網信息辦公室負責人約談新浪微博主要負責人、總編輯,針對近期新浪微博及其賬號屢次出現法律、法規禁止發布或者傳輸的信息,情節嚴重,依據《中華人民共和國網絡安全法》《中華人民共和國未成年人保護法》等法律法規,責令其立即整改,嚴肅處理相關責任人。北京市互聯網信息辦公室對新浪微博運營主體北京微夢創科網絡技術有限公司依法予以共計300萬元罰款的行政處罰。今年1月至11月,國家互聯網信息辦公室指導北京市互聯網信息辦公室,對新浪微博實施44次處置處罰,多次予以頂格50萬元罰款,共累計罰款1430萬元。(信息來源:網信中國)
三、安全風險警示
20、Apache開源項目Log4j曝高危漏洞
12月10日消息,阿里云、奇安信等多家安全公司監測到Apache Log4j存在高危漏洞。攻擊者可利用該漏洞構造特殊的數據請求包,最終觸發遠程代碼執行。Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影響。Apache Log4j2 是一個基于Java的日志記錄工具,該工具重寫了 Log4j 框架,該框架被大量用于業務系統開發,用來記錄日志信息。因其使用廣泛,利用門檻低且危害大,安全專家建議所有用戶盡快將Apache Log4j-2升級至最新版本。(信息來源:阿里云、奇安信威脅情報中心)
21、知名廠商WiFi路由器中存在226個漏洞
12月6日消息,研究人員對Asus、AVM、D-Link、Netgear、Edimax、TP Link、Synology和Linksys等知名廠商的WiFi路由器進行安全測試,發現存在226個潛在安全漏洞。漏洞數量最多的是TP-Link Archer AX6000,有32個漏洞;其次是Synology RT-2600ac,有30個漏洞。常見問題包括固件中過時的Linux內核、過時的多媒體和VPN功能、過度依賴舊版本的BusyBox、使用弱默認密碼、以純文本形式存在硬編碼憑據等。研究人員建議,如用戶正在使用報告中涉及的產品型號,應啟用自動更新,并將默認密碼更改為唯一且強大的密碼;如不經常使用遠程訪問、UPnP和WPS,則應禁用這些功能。(信息來源:BleepingComputer網)
22、27個Eltima SDK提權漏洞或將影響數百萬云用戶
12月8日消息,研究人員在Eltima SDK中發現了27個提權漏洞。遠程攻擊者可以利用這些漏洞在云桌面上獲得更高訪問權限,從而禁用安全產品、覆寫系統組件、損壞操作系統或執行其它惡意操作,并在內核模式下運行惡意代碼。因包括亞馬遜Workspaces在內的云桌面提供商均依賴Eltima等工具,全球數百萬用戶受該漏洞影響。Eltima SDK是眾多云服務商用來遠程安裝本地USB設備的開發包,可幫助企業員工安裝本地USB大容量存儲設備在其基于云的虛擬桌面上使用。目前,Eltima已經發布了受影響版本的修復程序。(信息來源:TheHackerNews網)
23、開源呼叫中心軟件GOautodial存在兩個RCE漏洞
12月9日消息,開源呼叫中心軟件GOautodial修復了兩個可導致信息泄露和遠程代碼執行的RCE漏洞。(1)高危漏洞CVE-2021-43176,攻擊者可利用該漏洞獲取對服務器上GOautodial應用程序的完全控制權,從而竊取員工和客戶的數據、攔截密碼、偽造信息,甚至覆寫應用程序引入惡意行為等;(2)中危漏洞CVE-2021-43175,對GOautodial服務器具有網絡訪問權限的攻擊者無需任何有效賬戶或密碼,即可從中請求配置數據,用于攻擊系統的其它組件。目前,上述漏洞已被修復。(信息來源:PortSwigger網)
24、視頻會議軟件Zoom被曝存在2個嚴重漏洞
11月30日消息,Google安全研究人員發現視頻會議軟件Zoom存在兩個嚴重漏洞。(1)緩沖區溢出漏洞CVE-2021-34423;(2)內存損壞漏洞CVE-2021-34424。上述漏洞CVSS得分均為7.3,影響Windows、macOS、Linux、iOS和Android平臺上的Zoom客戶端,幾乎所有用戶都處于漏洞威脅之中。攻擊者可利用這兩個漏洞執行任意代碼,或暴露進程的內容狀態等,可導致應用程序或服務崩潰。Zoom宣布推出自動更新功能,目前僅適用于Windows和macOS,移動設備可通過應用商店的內置自動更新程序進行更新。(信息來源:SecurityAffairs網)
25、惠普打印機存在一個緩沖區溢出漏洞
12月1日消息,芬蘭安全公司F-Secure研究員發現惠普打印機存在一個8年之久,影響150多款多功能打印機的緩沖區溢出漏洞CVE-2021-39238。攻擊者可利用該漏洞竊取數據或將設備編譯到僵尸網絡中,同時幾乎不會留下任何利用證據。受影響設備產品包括LaserJet、PageWide和 ScanJet。目前尚未發現漏洞遭利用,惠普已發布安全更新。(信息來源:TheRecord網)
26、企業一體化管理云平臺Zoho的漏洞遭利用
12月2日消息,美國聯邦調查局和網絡安全與基礎設施安全局發布聯合警告,稱企業一體化管理云平臺Zoho的ManageEngine ServiceDesk Plus產品中新修補的漏洞(CVE-2021-44077,CVSS評分9.8)遭利用。該漏洞與一個未經身份驗證的遠程代碼執行漏洞有關,影響ServiceDesk Plus版本。攻擊者可利用該漏洞破壞管理員憑據、進行橫向移動、泄露注冊表配置單元及Active Directory文件。目前全球有超過4700個面向互聯網的ServiceDesk Plus實例易受到攻擊,主要分布在美國、印度、俄羅斯、英國和土耳其。(信息來源:TheHackerNews網)
27、開源數據平臺Grafana任意文件讀取漏洞遭利用
12月8日消息,Grafana Labs發布緊急安全更新,修復了影響該公司主產品Grafana儀表盤中的嚴重漏洞CVE-2021-43798,CVSS評分7.5。攻擊者可利用該漏洞讀取Grafana應用文件夾之外的文件,或可濫用Grafana插件URL訪問存儲在底層服務器上的文件,所有運行Grafana 8.x版本的Grafana自托管服務器均易受攻擊。Grafana是一款開源的跨平臺數據可視化網絡應用程序,全球很多企業都在使用Grafana儀表盤監控和聚合本地或遠程網絡中的日志和參數,目前約有3000到5000個Grafana服務器暴露在網絡中。安全研究人員稱該漏洞已遭在野利用,但尚不清楚攻擊是由研究人員還是惡意實體發起。(信息來源:TheRecord網)
28、新型XS-Leak攻擊影響谷歌、微軟等瀏覽器
12月6日消息,研究人員發現了14種針對網絡瀏覽器的新型XS-Leak跨站點泄露攻擊,包括谷歌、微軟、蘋果和火狐等流瀏覽器均受影響。XS-Leaks攻擊可繞過Web瀏覽器中的同源策略,惡意網站會借此隱藏在可信的網站背后,從而竊取用戶輸入的各類信息。研究人員建議,瀏覽器開發人員應拒絕所有的事件處理器信息,盡量減少錯誤信息的發生,應用全局限制,并在重定向發生時創建一個新的歷史屬性;其次是使用X-Frame-Options來阻止iframe加載HTML資源,并實現CORP標頭來控制頁面是否可以嵌入資源。(信息來源:BleepingComputer網)
29、新型僵尸網絡EwDoor感染約6000臺設備
12月1日消息,奇虎360 Netlab研究人員發現一個新的僵尸網絡EwDoor。該僵尸網絡利用四年前的一個嚴重漏洞CVE-2017-6079,針對未打補丁的AT&T客戶發起攻擊,僅三個小時,就導致約6000臺設備受損。EwDoor已經歷了3個版本更新,其主要功能可以概括為DDoS攻擊和Backdoor兩大類。EwDoor支持六大功能:自我更新、端口掃描、文件管理、DDoS攻擊、反殼、執行任意命令。為躲避安全檢測,EwDoor采取了一系列保護措施,如使用TLS協議防止通信被攔截、敏感資源加密等。(信息來源:FreeBuf網)
四、前沿技術瞭望
30、科學家將超導量子比特芯片尺寸縮小1000倍
12月1日消息,新加坡南洋理工大學開發出一種量子通信芯片,微型芯片尺寸約3mm,與現有行業標準相比,它使用量子通信算法來增強安全性。同時,它比當前的量子通信設置少了1000倍的空間,為更安全的通信技術打開了大門。這些通信技術可以部署在智能手機、平板電腦和智能手表等緊湊型設備中。(信息來源:光子盒研究院)
