網絡空間安全動態第136期
一、發展動向熱訊
1、美國總統拜登簽署改善國家網絡安全行政令
5月12日,美國總統拜登簽署《改善國家網絡安全行政令》。該行政令的重點集中在七大方面:一是消除政府與私營部門之間威脅信息共享的障礙,包括解除供應商合同義務約束以及強制其提供網絡威脅信息等;二是實現聯邦政府IT服務現代化,實施更嚴格的網絡安全標準,增加對最佳安全實踐的采用,包括推動聯邦政府邁向安全云服務和零信任架構以及強制部署多因素身份驗證和加密等;三是改善軟件供應鏈安全,包括設立軟件開發基線安全標準、創建軟件安全標簽試點計劃、利用聯邦購買力激勵市場等;四是建立網絡安全事務安全審查委員會,在重大網絡事件發生后召集會議,以分析事件情況并提出改善網絡安全的具體建議;五是創建用于應對網絡事件的標準手冊,確保政府內部應對計劃成熟度,并為私營部門提供應對工作的模板;六是啟用整個政府范圍內的終端檢測和響應系統,改善聯邦政府內部的信息共享;七是提高調查和補救能力,向聯邦部門和機構提出創建網絡安全事件日志要求。(信息來源:奇安網情局公眾號)
2、拜登政府開展新一輪網絡安全專項行動
5月6日消息,拜登政府新一輪網絡安全行動已拉開序幕。美國司法部副部長麗莎·摩納哥指出,美國司法部的關注重點將包括:加密貨幣如何推動網絡犯罪的實施;在諸如SolarWinds的供應鏈攻擊事件中,攻擊者如何從最薄弱環節滲透到美國政府國家安全機構網絡內;某些國家如何與網絡犯罪組織勾結,并利用美國本土網絡基礎設施發動對美網絡攻擊;如何打擊勒索軟件所賴以生存的整個網絡犯罪生態系統。美國國土安全部長亞歷山卓·馬約卡斯表示,勒索軟件是緊迫而急劇增加的美國家安全威脅,因此國土安全部將采用“政府整體”的方法進行應對,并根據勒索軟件工作組《打擊勒索軟件:一個全面的行動框架》提出的建議采取行動。文件提議建立幾個新組織:由白宮國家安全委員會領導、與國家網絡總監進行工作協調的跨部門工作組;美國政府內部的聯合勒索軟件工作組;由美國私營部門主導、協作性非正式的勒索軟件威脅聚焦中心。這份文件還提出美國政府打擊勒索軟件應優先考慮的五個事項:開展國際外交和執法合作;開展一個由美國牽頭,持續、積極、政府整體且情報驅動的反勒索軟件運動;設立網絡響應與恢復基金,強制勒索軟件攻擊報告,要求受攻擊機構考慮除支付贖金外的其他辦法;建立一個應對勒索軟件攻擊的框架;監管網絡犯罪分子用于匿名收取贖金的加密貨幣。(信息來源:國際安全簡報)
3、美擬在國務院下設國際網絡空間政策局
4月20日,美國眾議院通過《網絡外交法案》。該法案要求在美國國務院內設立一個國際網絡空間政策局,職責包括:領導美國國務院的網絡安全工作;與其他國家就網絡安全事件進行協調,包括支援受到惡意網絡活動威脅的盟國、與北大西洋公約組織成員國和其他志同道合的國家進行合作;促進數據跨境流動,打擊對美國企業施加不合理要求的跨境數據流動國際倡議;領導美國政府為打擊惡意網絡活動制定全球性威懾框架,幫助美國更好地影響網絡空間國際規則的制定。(信息來源:CyberScoop網)
4、美國土安全部新增200名網絡專家崗位
5月5日,美國國土安全部宣布,計劃在7月前新招聘200名網絡安全專業人員,以遏制影響美國企業的勒索軟件攻擊以及外國間諜活動。其中,網絡安全與基礎設施安全局計劃設置100個崗位,其他國土安全部下屬機構設置100個崗位。此次招聘活動預計將成為國土安全部歷史上規模最大的網絡招聘活動之一。(信息來源:CyberScoop網)
5、美國防部將漏洞披露程序擴展到所有可公開訪問系統
5月5日,美國國防部(DOD)宣布該部門漏洞披露程序(VDP)已擴展到所有可公開訪問的國防部網站和應用程序。VDP由國防部網絡犯罪中心領導,它使安全研究人員可以搜索和報告影響面向公眾的DOD信息系統的任何漏洞。自2016年啟動以來,已通過該計劃提交了30000多個漏洞報告,其中70%以上包含影響國防部系統的有效漏洞。該程序的擴展將增加與黑客的交互,漏洞報告數量也將急劇增加。國防部通過漏洞賞金計劃收集信息,進一步增強美國國防部信息網絡的安全性。(信息來源:BleepingComputer網)
6、美參議院提出電路板供應鏈安全新法案
4月29日消息,美國參議院武裝部隊委員會成員、參議員喬什·霍利近日提出《通過透明和持久再投資保護關鍵電路板和電子產品法案》,以保護國防部的印刷電路板供應鏈安全。法案要求國防部長支持并鼓勵在國內制造印制電路板(PCB),識別自中國、俄羅斯、伊朗和朝鮮進口的PCB造成的安全風險,并避免美軍使用上述國家制造的PCB。該法案還要求財政部設立一個為期10年的電子供應鏈基金,促進美國印制電路板和其他微電子產品制造業的發展,提高電子產品供應鏈的安全性。目前,該提案已遞交至參議院武裝部隊委員會。(信息來源:防務新聞網站)
7、美國防部副部長簽發五項數據法令
5月5日,美國防部副部長凱瑟琳·希克斯簽發新備忘錄,旨在指導國防部數據領導和治理及數據管理,以創建國防部數據優勢。國防部指令提出五項數據法令:一是最大化數據共享和數據使用權:所有國防部數據都是體系資源;二是將數據資產以及通用接口規范發布到國防部聯合數據目錄中;三是使用可從外部訪問且機器可讀的自動化數據接口,并確保接口使用行業標準的、非專有的、開源的技術、協議和有效載荷;四是擺脫硬件或軟件依賴性,采用與平臺和環境無關的方式存儲數據;五是實施行業最佳實踐,以實現靜態、傳輸和使用中數據的安全認證、訪問管理、加密、監視和保護。該備忘錄授權國防部首席數據官提供與國防部數據生態系統、數據共享、數據體系架構、數據生命周期管理和數據戰備勞動力有關的行動計劃。(信息來源:奇安網情局公眾號)
8、國信辦發布《汽車數據安全管理若干規定(征求意見稿)》
5月12日,國家互聯網信息辦公室發布《汽車數據安全管理若干規定(征求意見稿)》,對運營者在中華人民共和國境內設計、生產、銷售、運維、管理汽車過程中處理個人信息或重要數據做出了詳細要求。意見反饋截止時間為2021年6月11日。(信息來源:中國網信網)
9、我國發布多項網絡安全國家標準征求意見稿/草案
4月下旬至5月上旬,全國信安標委發布多項網絡安全國家標準征求意見稿/草案,分別是《信息安全技術 移動互聯網應用程序(APP)個人信息安全測評規范》《信息安全技術 移動互聯網應用程序(APP)SDK安全指南》《信息安全技術 人臉識別數據安全要求》《信息安全技術 網聯汽車 采集數據的安全要求(草案)》《信息安全技術 聲紋識別數據安全要求》《信息安全技術 步態識別數據安全要求》《信息安全技術 基因識別數據安全要求》。(信息來源:信安標委網站)
二、安全事件聚焦
10、大規模DDoS攻擊使比利時政府網站癱瘓
5月8日消息,比利時互聯網服務供應商Belnet遭受大規模分布式拒絕服務(DDoS)攻擊,大部分政府IT網絡被迫暫時關閉。200家連接Belnet網絡的機構受影響,包括官方稅收與報表提交門戶My Minfin,多個供中小學、大學用于遠程學習的IT系統,司法部網站,COVID-19疫苗預約門戶網站等。Belnet專門為比利時各政府機構(包括議會、教育機構、政府部門與研究中心等)提供網絡連接服務。目前網絡攻擊仍在繼續。(信息來源:華盛頓郵報)
11、美國燃油管道公司感染勒索軟件致主要輸油管停運
5月7日,美國最大的燃料管道公司Colonial Pipeline遭到勒索軟件攻擊,5500英里輸油管停運。Colonial Pipeline的輸油管道每天運送250萬桶石油,占東海岸柴油、汽油和噴氣發動機燃料供應量的45%。該公司發現攻擊后主動關閉了關鍵系統以避免傳播,目前正與安全公司合作對該事件的性質和范圍進行調查。美國一名官員稱,此次勒索攻擊事件與DarkSide團伙有關。(信息來源:路透社)
12、伊朗Raychat應用泄露1.5億條用戶記錄
5月4日消息,伊朗流行的社交和商務消息傳遞平臺Raychat超過1.5億用戶的個人數據遭泄露。黑客聲稱下載了2020年12月至2021年1月之間在線暴露的Raychat應用程序數據,包括用戶名、IP地址、電子郵箱、加密密碼及Telegram ID等。(信息來源:紅數位網)
13、美國阿拉斯加法院系統因網絡攻擊而被迫下線
5月1日,美國阿拉斯加法院(ACS)發布聲明,由于網絡攻擊,阿拉斯加法院系統服務器被迫臨時斷開,虛擬法庭聽證會被破壞。ACS的網站下線可能會影響其他活動,包括公眾查看Zoom上的法院聽證會、在線保釋金、提交陪審員問卷以及發送或接收電子郵件等。ACS正在與一家未公開的網絡安全公司合作調查此事件,但強調沒有泄露任何機密文件、員工信息或信用卡信息。(信息來源:E安全網)
14、巴西法院遭受勒索軟件REvil攻擊
4月28日,巴西南里奧格蘭德州法院遭受了REvil勒索軟件攻擊,勒索贖金為500萬美元。攻擊者對員工的文件進行了加密,并迫使法院關閉了網絡。同時,其他巴西聯邦政府機構的網站也處于離線狀態,但尚不清楚這些網站是否受到攻擊。(信息來源:BleepingComputer網)
15、一家美國醫療保健提供商遭勒索軟件攻擊
5月1日消息,美國圣地亞哥非營利醫療保健提供商Scripps Health遭勒索軟件攻擊,影響了兩家醫院的計算機系統。目前,患者服務已經中斷,一些重癥監護患者已被轉移到其他醫院。Scripps Health暫停了用戶對醫療設施應用程序的訪問。由于此次攻擊,Encinitas、La Jolla、San Diego、及Chula Vista的醫院不再接收中風或心臟病發作的患者。Scripps Health正在努力恢復正常運營,并已將情況通報執法部門和政府組織。(信息來源:BleepingComputer網)
16、云托管提供商Swiss Cloud遭勒索軟件攻擊
4月27日,瑞士云托管提供商Swiss Cloud遭勒索軟件攻擊,嚴重影響其服務器基礎設施及該供應商的6500多名客戶,包括德國人力資源軟件巨頭Sage。該公司目前正在HPE和Microsoft專家的幫助下,從備份中恢復操作。受攻擊影響的部分復雜服務器網絡必須單獨清理,預計將在一周后恢復。(信息來源:SecurityAffairs網)
17、美國全球媒體署雇員信息泄露
5月5日消息,美國全球媒體署(USAGM)因遭釣魚攻擊,泄露了現任和前任雇員及其受益人的個人信息,包括姓名和社保號碼。攻擊者訪問了包含2013至2020年間在該機構工作的現任和前任USAGM、美國之音和古巴廣播辦公室員工個人信息的電子郵件賬戶。USAGM已采取保護措施,同時加快針對Office 365、SharePoint和OneDrive賬戶的多因素認證的使用。(信息來源:BleepingComputer網)
三、安全風險警示
18、FragAttacks漏洞影響全球WiFi設備
5月13日消息,安全研究人員發現了一組堪稱“核彈級”的WiFi安全漏洞FragAttacks,該漏洞存在于包括計算機、智能手機、家庭路由器、智能家居設備、智能汽車、物聯網等所有WiFi設備。其中三個漏洞屬于WiFi 802.11標準幀聚合和幀分段功能中的設計缺陷,其他漏洞是WiFi產品中的編程錯誤。黑客只要在目標設備的WiFi范圍內,就能利用FragAttacks漏洞竊取敏感數據并執行惡意代碼,甚至接管整個設備。目前,思科、HPE、Juniper和微軟等已發布FragAttacks漏洞的安全更新和安全公告。研究人員建議所有Wi-Fi用戶應確保已安裝設備制造商提供的最新推薦更新。(信息來源:安全牛網)
19、郵件服務器Exim中存在21Nails漏洞
5月8日消息,Qualys研究人員發現,郵件服務器Exim中存在11個本地漏洞和10個遠程漏洞,統稱為21Nails,可導致攻擊者接管系統并攔截或篡改流經Exim服務器的郵件通信,所有版本的Exim均受影響。Exim是一種郵件傳輸代理(MTA)類型的郵件服務器,目前約60%可公開訪問的電子郵件服務器運行Exim。Qualys稱其團隊成功利用了三個遠程代碼執行漏洞和四個本地權限提升漏洞,從而獲得了易受攻擊的郵件服務器上的超級用戶訪問權限,安全專家建議用戶更新至Exim版本4.94。(信息來源:SecurityWeek網)
20、高通芯片被曝嚴重漏洞影響全球數億安卓用戶
5月6日消息,高通公司移動調制解調器MSM芯片中發現了一個高危漏洞(CVE-2020-11292),攻擊者可以利用該漏洞獲取手機用戶的短信、通話記錄,監聽對話甚至遠程解鎖SIM卡,且常規系統安全功能無法檢測到。目前全球約30億手機都使用了MSM芯片,其中包括三星、谷歌、LG、OnePlus和小米等品牌。研究人員建議安卓手機用戶應當從官方應用商店中安裝應用程序,降低安裝惡意應用程序的風險,并將安卓操作系統更新至最新版本。(信息來源:CheckPoint網)
21、戴爾驅動軟件存在12年高危漏洞影響數億設備
5月4日消息,戴爾發布安全更新,修復了上億臺電腦固件升級驅動中已存在12年之久的5個漏洞,漏洞被追蹤為CVE-2021-21551,CVSS評分為8.8,其中4個可被用于特權升級,1個可被用于DoS攻擊。這些漏洞是由內存損壞、缺乏輸入驗證和代碼邏輯問題引起的,自2009年以來一直存在,影響全球數億臺戴爾臺式機、筆記本電腦和平板電腦。目前尚未發現這些漏洞被在野利用。戴爾建議用戶立即刪除有漏洞的驅動程序文件。(信息來源:SecurityWeek網)
22、微軟在IoT/OT設備中發現25個內存分配漏洞
4月29日消息,微軟物聯網安全研究團隊Azure Defender發現了25個漏洞,被統稱為BadAlloc,CVSS評分為9.8,存在于廣泛用于實時操作系統、嵌入式軟件開發包和C語言標準庫實現的標準內存分配函數中。攻擊者利用這些漏洞可以繞過安全控制來執行惡意代碼或引發系統崩潰,影響家用和醫療用物聯網設備、工業物聯網、工業控制系統等。美國網絡安全與基礎設施安全局發布公告指出,截至目前,在25家受影響的組織機構中,僅有15家發布安全更新。研究人員建議減小設備暴露在互聯網的可能性以減少攻擊面、實現網絡安全監控以檢測是否被攻擊、加強網絡隔離以保護關鍵資產設施。(信息來源:TheRecord網)
23、思科修復SD-WAN軟件及數據平臺中多個嚴重漏洞
5月6日,思科發布修補程序,修復了SD-WAN軟件和HyperFlex HX數據平臺中的多個嚴重漏洞。漏洞CVE-2021-1468(CVSS得分為9.8)可能允許未經身份驗證的遠程攻擊者調用特權操作,創建新的管理賬戶,并查看、更改或刪除數據。漏洞CVE-2021-1505(CVSS得分為9.1)影響SD-WAN vManage基于Web的管理界面,允許攻擊者獲得更高的權限。SD-WAN vManage中的獲得權限提升漏洞CVE-2021-1508、造成DoS狀態漏洞CVE-2021-1275及獲得對服務的未經授權訪問漏洞CVE-2021-1506,影響IOS XE SD-WAN、SD-WAN vEdge路由器、SD-WAN vBond Orchestrator、SD-WAN vEdge云路由器、SD-WAN vSmart Controller軟件。思科還修復了針對HyperFlex HX安裝程序虛擬機基于Web的管理界面中的兩個關鍵漏洞CVE-2021-1497(CVSS評分為9.8)和CVE-2021-1498(CVSS評分7.3)以及SD-WAN、Small Business 100、300和500系列路由器、企業NFV基礎結構軟件中的多個高危漏洞。(信息來源:SecurityWeek網)
24、HPE企業邊緣應用程序管理工具EIM存在嚴重漏洞
4月29日,HPE修復了存在于邊緣應用程序管理工具Edgeline Infrastructure Manager中的身份驗證繞過漏洞CVE-2021-29203。該漏洞CVSS得分為9.8,影響HPE的Edgeline Infrastructure Manager(EIM)1.21之前的所有版本。攻擊者可利用該漏洞實施遠程身份驗證繞過攻擊,并滲透到客戶的云基礎設施中。EIM是HPE兩年前推出的邊緣計算管理套件。HPE建議用戶更新到HPE EIM v1.22或更高版本以修復該漏洞。(信息來源:ThreatPost網)
25、新DNS漏洞TsuNAME可用于DDoS攻擊
5月6日消息,研究團隊披露新的DNS漏洞TsuNAME,該漏洞可被濫用于將流向頂層DNS節點的流量放大,并執行拒絕服務攻擊,使得關鍵的互聯網節點崩潰或放緩。正常情況下,數百萬遞歸DNS服務器每天會將數十億DNS查詢發送給權威DNS服務器,這些權威DNS服務器通常由大企業和組織機構如內容交付網絡、大型技術巨頭、互聯網服務提供商、域名注冊商或政府組織機構托管和管理。目前,谷歌和思科已修復該漏洞。(信息來源:TheRecord網)
26、特斯拉零點擊安全漏洞允許黑客發起TBONE攻擊
5月6日消息,安全研究人員從一架無人機上成功發起攻擊,在無需任何用戶交互的情況下,通過WiFi系統控制特斯拉信息娛樂系統,該攻擊被命名為TBONE。攻擊者可以執行駕駛員在中控屏幕上執行的任何操作,包括遠程打開車門、調整座椅位置、設置轉向和加速模式等。攻擊涉及對兩個遠程零點擊安全漏洞的利用,這些漏洞來自嵌入式設備的互聯網連接管理器ConnMan。該漏洞利用甚至還可被武器化成蠕蟲病毒。特斯拉已停止使用ConnMan,但ConnMan組件在汽車工業中廣泛使用,黑客可對其他車輛發起類似攻擊。(信息來源:安全牛網)
27、卡巴斯基發現疑似來自美CIA的新惡意軟件
4月29日消息,網絡安全公司卡巴斯基稱,發現了一個疑似由美國中央情報局(CIA)開發的新惡意軟件Purple Lambert,該惡意軟件樣本具有在Lambert家族中發現的編碼模式、風格和技術的交集。卡巴斯基認為Purple Lambert樣本很可能早在2014年就已經部署,用來監聽網絡流量、獲取特定的數據包,為攻擊者提供關于受感染系統的基本信息并執行已接收的載荷。(信息來源:cnBeta網)
28、趨勢科技曝光惡意軟件Panda Stealer
5月6日消息,趨勢科技安全研究人員公布了有關惡意軟件Panda Stealer的詳情,該惡意軟件已波及美國、澳大利亞、日本和德國等地。Panda Stealer會在釣魚郵件中將自身偽裝成企業詢價,在欺騙受害者打開.XLSM后綴的文件并啟用宏操作后,惡意軟件會嘗試下載并執行主竊取程序。Panda Stealer還可通過在.XLS格式的附件中插入一個隱藏PowerShell命令的Excel公式,惡意軟件會在觸發后嘗試訪問paste.ee網址,以將PowerShell腳本引入受害者的系統,以竊取用戶的加密貨幣。(信息來源:cnBeta網)
四、前沿技術瞭望
29、美國在改善量子信息傳輸方面取得重大進步
5月12日消息,美國羅切斯特大學研究人員展示了兩種在量子比特間傳遞信息的新技術:①“絕熱量子態轉移”技術,該技術利用電子自旋量子比特在量子比特之間傳遞信息,可有效改善量子比特間的信息傳輸質量,對量子網絡和系統糾錯至關重要;②通過為電子施加一系列電場脈沖,創建類似于“時間晶體”的狀態,以此改善電子自旋態在半導體量子點鏈中的轉移。上述研究為量子處理應用領域提供了新技術方案,有望改善量子計算機性能。(信息來源:美國物理學家組織網)
