網絡空間安全動態第139期
一、發展動向熱訊
1、國務院辦公廳發布《國務院2021年度立法工作計劃》
2、美俄首腦表示兩國將協商劃定“網絡紅線”
6月16日,美國總統拜登和俄羅斯總統普京在日內瓦舉行首腦峰會,網絡安全問題成為雙方討論的重要議題。美俄同意就網絡空間行為紅線進行協商討論,將責成各自政府的網絡安全專家就什么是禁區達成具體共識。拜登在會上向普京提供了16個關鍵基礎設施領域的清單,這些領域不應成為惡意網絡活動的攻擊目標,俄羅斯政府有責任遏制針對關鍵基礎設施的勒索攻擊活動。拜登向普京表明美國具有強大的網絡能力,如果俄羅斯違反了基本規則,美國將在網絡空間做出回應。普京表示,網絡安全領域對雙方以及整個世界都極其重要,將就網絡安全問題開始磋商。(信息來源:奇安網情局公眾號)
3、美眾議院提出國家科技戰略法案
6月14日,美眾議院多位議員提出《2021年國家科學技術戰略法案》。該法案要求評估美國主導地位面臨的威脅,指導科技政策辦公室與國家科學委員會每四年制定一項全面的科技戰略,并對美國科學技術進行四年一次的審查。法案建立了一套全政府的研發規劃程序,確保聯邦機構之間更好地協調,并以更具戰略性的方式實現美國的研發目標。法案要求總統每年向國會報告國家重點研究計劃以及全球科學技術趨勢。法案的目標包括確保美國經濟與國家安全;保持美國在科技領域的領導地位;評估全球科技競爭;識別對美國領導地位的潛在威脅;提供加強美國STEM人才隊伍的建議;改善美國的區域創新;提供維持美國科技領導地位所需的基礎設施;審查影響科技企業的行政政策,并提出消除研發障礙的建議。(信息來源:美國眾議院科學、太空與技術委員會小組網站)
4、美國網絡司令部舉行“網絡旗幟21-2”大型演習
6月23日消息,美國網絡司令部正在舉行年度大型演習“網絡旗幟21-2”。演習參與者包括來自美國各軍種、國民警衛隊、聯邦機構以及英國和加拿大的17支團隊的430多名專業人員。此次演習不是以特定的現實世界網絡行為者或過去事件為模型,而是模擬了印太地區常見威脅,同時也納入了勒索軟件等常見場景。各團隊須應對兩個對手的攻擊:一個專注于拒絕和破壞;另一個則專注于竊取知識產權和個人身份信息。美司令部首次利用該演習來確定網絡防御團隊的成功要素,從而提取最佳實踐并將其傳播到網絡空間體系,以改進現實世界的網絡防御。此次演習活動再次使用了PCTE平臺,從而使得演習規模擴大,虛擬網絡靶場較往年大五倍,演習在3個國家展開。下一場演習將在10月舉行,所有五眼聯盟國家都會參加。(信息來源:BreakingDefense網)
5、美國FCC投票對華為中興等5家中企實施禁令
6月17日,美國聯邦通信委員會(FCC)一致投票通過,以“國家安全威脅”為由,禁止在美國通信網絡中批準來自五家中國公司的設備,涉及企業包括華為、中興、海能達、海康威視和大華。根據獲得初步批準的擬議規則,美國聯邦通信委員會還可以撤銷此前發給中國公司的設備授權。(信息來源:路透社)
6、美國參議院確認首位白宮國家網絡總監
6月17日,美國國會參議院通過克里斯·英格利斯擔任國家網絡總監的提名,這位曾任美國國安局副局長的資深網絡情報專家,未來將領導白宮新設立的國家網絡總監辦公室,統籌美國數字防御戰略的制訂和落實,組織協調美國聯邦政府各職能部門的網絡相關工作。克里斯·英格利斯將成為美國歷史上第一個擔任白宮網絡總監的人,該職位是根據最新的國防授權法案設立的。(信息來源:POLITICO網)
7、意大利成立國家網絡安全局
6月11日消息,意大利成立國家網絡安全局,該部門將在維護國家利益、保護主要機構和職能部門不受網絡威脅和網絡攻擊、不受網絡事件影響方面發揮關鍵作用。該部門的主要任務包括防止、監控網絡攻擊,減輕網絡攻擊的后果,提升信息通信技術的安全性、推進創新項目以確保在該領域的戰略自主權等。(信息來源:俄羅斯衛星通訊社)
8、歐盟宣布成立聯合網絡部門應對大規模安全事件
6月23日,歐盟委員會宣布成立聯合網絡部門,負責協調針對歐盟成員國大規模網絡攻擊的聯合響應。新部門將與目前的歐盟機構分開運作,只在發生大規模安全事件的情況下采取行動(如影響到一個以上國家,并申請他們協助),協調現有歐盟機構和各國政府之間的資源、通信、聯合響應計劃。聯合網絡部門將作為協調中樞聯絡歐盟網絡安全局、歐盟CERT、歐洲刑警組織下屬網絡犯罪中心、計算機應急小組、歐盟網絡危機聯絡組織網絡、歐洲對外行動署、歐洲防務署等部門。新部門的運營工作將由歐盟網絡安全局負責,計劃2022年底前全面投入運營。(信息來源:TheRecord網)
9、北約批準新的網絡防御政策
6月14日,北約批準了《北約綜合網絡防御政策》,以應對聯盟面臨的日益嚴峻的網絡威脅。該政策將支持北約的三項核心任務,并進一步增強聯盟彈性。北約重申聯盟防御任務,決心在任何時候都根據國際法運用全方位能力,從而積極威懾、防御和應對全方位網絡威脅。北約認為,在某些情況下,重大惡意累積性網絡活動的影響可能被視為等同于武裝攻擊。(信息來源:Meritalk網)
10、北約計劃于2026年正式出版《塔林手冊3.0》
6月22日消息,北約正在資助開展《塔林手冊3.0》撰寫項目,并計劃于2026年正式出版。《塔林手冊3.0》是2017年推出的《塔林手冊2.0》的更新版,旨在將近年來各國處理黑客行為方式的變化納入其中。《塔林手冊》的目標本質上是觀察相關國家涉網絡空間言行,并將似乎達成的共識整理成文。手冊撰寫人員希望設定更清晰的網絡空間界限,并減少黑客競賽升級的機會,尤其是在世界網絡強國之間。(信息來源:奇安網情局公眾號)
11、美英等七國欲聯合開發基于衛星的量子加密網絡
6月11日消息,美英等七國將聯合開發一個基于衛星的量子加密網絡—聯邦量子系統(FQS),該系統將基于英國初創公司Arqit為商業客戶開發的系統,利用突破的量子技術防范日益復雜的網絡攻擊。日本、加拿大、意大利、比利時和奧地利政府也將加入該研究計劃,英國電信公司、美國諾·格公司將負責系統的設計和測試。Arqit公司已安排維珍軌道公司于2023年發射第一顆FQS衛星,并計劃在7月推出第一版量子云軟件。(信息來源:美國太空新聞網)
二、安全事件聚焦
12、美國核武器承包商遭REvil勒索軟件攻擊
6月11日消息,美國核武器承包商Sol Oriens遭REvil勒索軟件攻擊。該公司主要協助國防部、能源部、航空航天承包商和技術公司開展復雜的項目。REvil勒索團伙正在拍賣攻擊期間竊取的數據,其中包括業務數據和員工信息,如員工社會安全號碼、招聘文件、工資單和工資報告等。Sol Oriens也證實了其在5月遭到了網絡攻擊,可能已經泄露部分數據,目前調查仍在進行中。(信息來源:ThreatPost網)
13、北約云平臺供應商Everis疑遭網絡攻擊
6月22日消息,泄密披露平臺DDoSecrets稱,黑客在5月通過入侵西班牙公司Everis的基礎設施來滲透北約(NATO)的云計算平臺SOA(面向服務的體系結構)和IdM(身份管理平臺)。這些云計算平臺為“北極星計劃”提供負責安全、集成、注冊和存儲庫、服務管理、信息發現和托管的中央服務。黑客稱最初只對Everis拉美子公司的數據感興趣,并未意識到云計算平臺存在漏洞,在發現平臺上有無人機和防御系統的文件后,通過后門復制了SOA和IdM平臺的數據。黑客向Everis公司勒索超10億歐元贖金,聲稱還要把數據發給俄羅斯情報機構。目前,該消息未得到業內其它媒體佐證,真實性未知。(信息來源:黑客技術網)
14、韓國國家核智庫原子能研究所KAERI遭APT攻擊
6月22日消息,韓國國家核智庫原子能研究所KAERI遭黑客攻擊,韓國新聞機構指控KAERI掩蓋事實。5月13日,黑客成功入侵了惡意軟件分析公司IssueMakersLab,5月14日發現了對KAERI的攻擊,有13個不同的互聯網地址參與了這次網絡攻擊,其中一個與Kimsuky有關。美國網絡安全與基礎設施安全局稱,Kimsuky為朝鮮APT組織,也被稱為Thallium、Black Banshee和Velvet Chollima,涉嫌進行多種惡意軟件攻擊。據韓國科學和信息通信技術部的說法,此次被入侵是由于服務器VPN漏洞導致。攻擊發生后,韓當局已采取了緊急措施。損失程度目前尚不清楚,但民眾擔心核技術信息泄露可能危及國家安全。(信息來源:cnBeta網)
15、美國再生能源公司Invenergy遭勒索軟件攻擊
6月11日,美國再生能源公司Invenergy稱遭REvil勒索軟件攻擊,4TB的機密信息被竊取。REvil黑客組織稱獲取了Invenergy的專案信息與合約及該公司執行長Michael Polsky的私密資料,包括Polsky的電子郵件、照片等。Invenergy是全球最大的再生能源公司之一,主要提供風力發電、太陽能發電、天然氣與凈水解決方案,迄今已在全球建置了184個專案,生產29,022兆瓦的再生能源,可供超830萬戶的家庭使用。Invenergy表示,不打算支付任何的贖金。(信息來源:IT之家)
16、美國俄克拉荷馬州衛生系統遭勒索軟件攻擊
6月13日,美國俄克拉荷馬州斯蒂爾沃特醫療中心遭勒索軟件攻擊,電話系統中斷,患者被敦促在緊急情況下撥打911。在線患者門戶、應用程序和電子郵件系統也受到影響。6月15日的更新顯示,整個衛生系統在電子健康記錄停機的情況下運行,電話服務僅間歇性地工作。發現攻擊后,IT團隊迅速采取行動以確保安全,醫療中心聯系執法部門,并與一家計算機取證公司合作,以協助恢復系統。(信息來源:SCMagazine網)
17、安全公司Cognyte遭攻擊并泄露超50億個人數據
6月15日消息,Comparitech研究人員發現安全分析公司Cognyte泄露了包含超過50億名用戶記錄的數據庫。該數據庫中存儲著Tumblr、Rambler、MySpace、iMesh、VK、MGM、Edmodo和Zoosk數據泄露事件中被泄露的信息,包含姓名、郵件地址、密碼和數據來源。Comparitech公司稱,不確定數據是否已被訪問。(信息來源:SecurityWeek網)
18、7億LinkedIn用戶信息在地下論壇售賣
6月29日消息,安全公司Privacy Sharks研究人員發現,一個自稱 “TomLiner”的用戶在黑客論壇出售LinkedIn用戶信息,數據疑似來自爬蟲大量抓取。黑客聲稱緩存了7億條記錄,并放出100萬條記錄的樣本作為證明。記錄內容包括姓名、性別、郵件地址、電話號碼和行業信息,不涉及信用卡數據、私人信息內容和其他敏感信息。LinkedIn稱事件仍在調查中。研究人員建議用戶通過更新密碼和啟用雙因素認證來保護賬戶。(信息來源:ThreatPost網)
19、大眾汽車超300萬車主個人信息在線泄露
6月11日消息,大眾汽車美國公司表示,負責為其提供銷售與營銷服務的第三方供應商在線系統存在安全配置錯誤,導致超過330萬客戶的個人信息泄露,其中大部分為奧迪車主。泄露的信息包括姓名、收件地址、郵箱或電話以及少部分用戶的購車信息、購買憑證、駕照及個人身份識別信息等。(信息來源:CNN網)
20、DDoS緩解服務故障引發全球性斷網
6月17日,阿卡邁旗下DDoS緩解服務Prolexic發生故障,導致達美航空、美國航空、西南航空與聯合航空等多家航空公司,Discover、海軍聯邦信用合作社在內的多家金融機構甚至香港證券交易所宕機長達一小時。阿卡邁公司是全球最大的CDN服務商,承載了全球15-30%的流量。阿卡邁發布聲明確認Prolexic平臺受到部分影響,目前已經恢復運行。(信息來源:ThreatPost網)
三、安全風險警示
21、ThroughTek P2P SDK中存在信息泄露漏洞
6月15日,美國網絡安全與基礎設施安全局發布預警,ThroughTek的P2P SDK組件中存在一個信息泄露漏洞CVE-2021-32934,CVSS評分9.1。該組件已被多家攝像頭制造商以及物聯網設備制造商使用,如嬰兒和寵物監控攝像頭以及機器人和電池設備等,影響數以百萬計的聯網安全和家用攝像頭。遠程攻擊者可以利用該漏洞獲取關鍵基礎設施運營商和企業敏感業務數據、生產或競爭機密、可用于物理攻擊的平面圖信息、員工信息以及家庭用戶隱私。漏洞已在最新版本的固件中得到修復。(信息來源:ThreatPost網)
22、3000萬臺戴爾設備面臨遠程BIOS攻擊風險
6月24日,美國企業級設備安全廠商Eclypsium的研究人員披露了戴爾終端BIOS系統中的漏洞,分別為CVE-2021-21571、CVE-2021-21572、CVE-2021-21573和CVE-2021-21574,高權限攻擊者可以利用這些漏洞在目標設備的BIOS/UEFI上執行任意代碼。上述漏洞影響了128款戴爾旗下設備型號,涵蓋消費級與商務筆記本電腦、臺式機以及平板電腦,總數量約為3000萬臺。同時,這些漏洞還會影響采用安全啟動功能的計算機,該功能可以防止設備啟動時將rootkit加載至內存當中。BIOS系統的主要功能是為計算機提供最底層、最直接的硬件設置和控制。戴爾已發布BIOS固件更新。(信息來源:TheHackerNews網)
23、思科UC第三方配置工具存在多個高危漏洞
6月16日消息,Rapid研究人員發現,思科統一通信解決方案(Unified Communications,UC)環境中的第三方資源調配工具Akkadian Provisioning Manager中存在多個高危漏洞,分別為CVE-2021-31579、CVE-2021-31580、CVE-2021-31581和CVE-2021-31582。研究人員稱,將CVE-2021-31579與CVE-2021-31580或CVE-2021-31581相結合,將允許未經授權的攻擊者獲得對受影響設備的根級shell訪問,這使得安裝密碼加密器、擊鍵記錄器、持久shell和任何其他類型的基于Linux的惡意攻擊變得很容易。CVE-2021-31582允許已經通過設備身份驗證的攻擊者更改或刪除本地MariaDB數據庫的內容,在某些情況下,攻擊者可以恢復主機組織中使用的LDAPBIND憑據。Akkadian產品通常用于大型企業,通過自動化幫助管理所有UC客戶端和實例的調配和配置過程。上述漏洞均未修復。(信息來源:ThreatPost網)
24、VoIP GUI中存在跨站點腳本漏洞
6月16日消息,Enable Security的安全研究人員公開披露了VoIPmonitor GUI中的一個跨站點腳本(XSS)漏洞。未經身份驗證的攻擊者可以通過發送惡意SIP消息在目標系統上執行惡意代碼,甚至獲得對目標系統的持久后門訪問。該漏洞存在于管理VoIP呼叫的會話發起協議(Session Initiation Protocol,SIP)中。VoIPmonitor是開源的網絡數據包嗅探器軟件,可抓包分析SIP和RTP等協議。SIP是一個應用層的信令控制協議,用于創建、修改和釋放一個或多個參與者的會話。SIP是可用于實現VoIP的眾多協議之一,是廣泛使用的行業標準協議。該漏洞現已修復。(信息來源:ThreatPost網)
25、影響80萬個SonicWall VPN的漏洞仍未完全修復
6月24日消息,研究人員稱,去年10月被發現的一個基于堆棧的緩沖區溢出漏洞CVE-2020-5135(影響超過80萬個SonicWall VPN)至今仍未被完全修復。該漏洞存在于SonicOS 版本中,一旦被利用,攻擊者即可通過向防火墻發送惡意HTTP請求,未經身份驗證的遠程攻擊者可在受影響設備上執行任意代碼,或導致拒絕服務。由于該漏洞沒有得到適當修復,已被重新命名為CVE-2021-20019。研究人員將重新測試出來的漏洞提交給了SonicWall,目前相關公告已發布。(信息來源:FreeBuf網)
26、Autodesk修復多個高危漏洞
6月14日,Autodesk發布了Design Review安全更新,修復了7處高危漏洞。(1)內存多重釋放漏洞CVE-2021-27033,攻擊者可誘使用戶打開特制的網頁或PDF文件,控制用戶計算機。(2)緩沖區溢出漏洞CVE-2021-27034,攻擊者可誘使用戶打開特制的PICT或TIFF文件。(3)內存越界漏洞CVE-2021-27035,攻擊者可誘使用戶打開特制的TIFF、PDF、PICT 或 DWF文件。(4)內存越界寫漏洞CVE-2021-27036,攻擊者可誘使用戶打開特制的PDF、PICT 或TIFF文件。(5)漏洞CVE-2021-27037,攻擊者可利用該漏洞誘使用戶打開特制的PNG、PDF或DWF文件。(6)漏洞CVE-2021-27038,攻擊者可利用該漏洞誘使用戶打開特制的網頁、PDF文件。(7)內存越界漏洞CVE-2021-27039,攻擊者可利用該漏洞誘使用戶打開特制TIFF文件。Autodesk在建筑、工程及制造業等行業應用廣泛。研究人員建議用戶及時將軟件升級至最新版本。(信息來源:安全客)
四、前沿技術瞭望
27、全球首顆集成RISC-V處理器的模擬AI芯片問世
6月25日消息,全球首款集成RISC-V指令集的模擬AI芯片—Mythic AMP在美國奧斯汀問世。這是一款單芯片模擬計算設備,并采用Mythic的模擬計算引擎,而不是利用傳統的數字來創建處理器,耗電量比傳統模擬處理器低10倍。Mythic模擬矩陣處理器將計算和內存合并到單個設備中,從而顯著提高了性能。此外,由于沒有數據傳輸,任務可以在很短的時間內完成,并且消耗的能量也少得多。每個處理器都配有一個數字子系統,包括32位RISC-V納米處理器、64KB SRAM、SIMD矢量引擎和高吞吐量片上網絡(NoC)路由器。模擬矩陣處理器能夠以高達25 TOPS的速度提供高能效的AI推理。目前,該公司已經籌集了1.652億美元,用于智能家居、智慧城市、AR/VR、無人機、視頻監控和制造業。(信息來源:半導體行業觀察)
