網絡空間安全動態第141期
一、發展動向熱訊
1、工信部發布網絡安全產業高質量發展三年行動計劃
7月12日,工信部發布《網絡安全產業高質量發展三年行動計劃(2021-2023年)(征求意見稿)》,并面向社會公開征求意見。意見稿顯示,三年發展行動計劃的發展目標是到2023年,網絡安全技術創新能力明顯提高,產品和服務水平不斷提升,經濟社會網絡安全需求加快釋放,產融合作精準高效,網絡安全人才隊伍日益壯大,產業基礎能力和綜合實力持續增強,產業結構布局更加優化,產業發展生態健康有序。具體包括:在產業規模上,網絡安全產業規模超過2500億元,年復合增長率超過15%;在技術創新上,一批網絡安全關鍵核心技術實現突破,達到先進水平;在企業發展上,一批質量品牌、經營效益優勢明顯的具有網絡安全生態引領能力的領航企業初步形成;在需求釋放上,電信等重點行業網絡安全投入占信息化投入比例達10%;在人才培養上,建成一批網絡安全人才實訓基地、公共服務平臺和實訓靶場,多層次網絡安全人才培養體系更加健全,網絡安全人才規模質量不斷提高;在生態培育上,產融對接更加精準高效,資本賦能作用持續加大,網絡安全產業結構進一步優化,產業聚集效應顯著增強。(信息來源:工信部網站)
2、三部門聯合印發《數字經濟對外投資合作工作指引》
7月21日,商務部、中央網信辦、工信部聯合印發《數字經濟對外投資合作工作指引》。指引要求推動數字經濟對外投資合作,深入實施數字經濟戰略,積極參與全球數字經濟合作與競爭等。重點包括積極融入數字經濟全球產業鏈、加快推進數字基礎設施建設、推動傳統產業數字化轉型、打造具有國際競爭力的數字經濟企業、優化數字經濟走出去布局、建設數字化境外經貿合作區等。指引強調,企業在走出去的同時,要強化數字經濟走出去的指導監管、做好數字經濟的風險防范、積極參與國際數字規則標準制定等。鼓勵數字經濟企業完善內部合規制度,嚴格落實我國法律法規有關數據出境安全管理的規定,遵守東道國法律法規及國際通行規則;提高知識產權保護意識,健全數據安全管理制度,采取必要技術措施,保護數據安全和個人信息,支持企業通過法律手段維權;密切跟蹤全球數字經濟反壟斷及加征數字稅最新政策動向,做好應對準備等。(信息來源:商務部網站)
3、美參議院軍事委員會通過《2022財年國防授權法案》
7月22日,美參議院軍事委員會通過《2022財年國防授權法案》,使2022財年國防總預算達到7779億美元。其中美國防部預算為7403億美元,能源部國家安全項目預算為277億美元,海外行動預算為99億美元。用于加強國防工業基礎和供應鏈以應對大國威脅,應對網絡信息戰帶來的威脅;為新的“太平洋威懾計劃”增加10億美元的預算;投資使美軍領先于競爭對手的國防技術,包括微電子、人工智能、5G、高超聲速和定向能武器;為網絡司令部提供充足資金,通過評估網絡進攻和防御能力來防范持續的網絡攻擊。(信息來源:美參議院軍事委員會網站)
4、美眾議院國防關鍵供應鏈任務組發布最終報告
7月22日,美國會眾議院國防關鍵供應鏈任務組發布最終報告,向美國防部提出六大建議:將供應鏈安全視作美國防戰略優先方向;掌握國防供應鏈運行情況以理解其薄弱環節并制訂相應風險處置措施;減少對潛在對手資源及制造能力的依賴;組建由美國防部與行業、教育、勞工、其他聯邦政府及地方實體等方面構成的聯合體,發揮其影響來提升美國防行業勞動力素質;建立一個國家技術與行業基礎國際委員會,以增強美西方國防行業基礎及供應鏈安全政策的協調;充分運用美國科技創新成果來保障其涉及稀土元素的供應鏈。(信息來源:美國眾議院軍事委員會網站)
5、美多項法案聚焦關鍵基礎設施和工控系統網絡安全
7月23日消息,美眾議院通過多項網絡安全法案,包括《網絡安全漏洞修補法案》《CISA網絡演習法案》《2021年工業控制系統能力增強法案》《州和地方網絡安全改善法案》《國土安全關鍵領域法案》《網絡感應法案》《能源緊急領導法案》《通過公私合作伙伴關系加強電網安全法案》。法案重點關注關鍵基礎設施和工業控制系統網絡安全,內容包括增加州/地方的網絡撥款,擴大網絡演習,并將CISA推向工業控制系統網絡安全工作的前沿。(信息來源:美國國會網站)
6、美國土安全部發布第二個管道行業網絡安全指令
7月20日,美國土安全部運輸安全管理局(TSA)發布第二個管道行業網絡安全指令,對主要輸油管道所有者提出了額外網絡安全要求。指令要求關鍵管道所有者和運營商實施具體的緩解措施,以防止勒索軟件攻擊和其他對信息技術和運營技術系統的已知威脅,制定和實施網絡安全應急和恢復計劃,并進行網絡安全架構設計審查。(信息來源:美國土安全部網站)
7、美政府建立專門網站并重金懸賞打擊勒索攻擊
7月15日,美國聯邦調查局(FBI)、司法部(DOJ)、網絡安全與基礎設施安全局(CISA)宣布了旨在打擊勒索軟件和其他網絡威脅的新舉措,包括建立一個新網站StopRansomware.gov,并對提供外國黑客信息者給予高達1000萬美元的獎勵。新網站將整合來自CISA、聯邦調查局、特勤局、美國國家標準與技術研究院、財政部和衛生與公眾服務部等政府機構的勒索軟件資源,同時還提供來自CISA和FBI的勒索軟件警報和聲明,以及對個人和組織、培訓課程和網絡研討會有用的免費服務鏈接。網站還將為16個關鍵基礎設施行業提供具體指導。(信息來源:CISA網站)
8、美提出“一體化威懾”新戰略
7月13日,美國國防部長勞埃德·奧斯汀在美國人工智能國家安全委員會舉辦的全球新興技術峰會上發表演講,提出“一體化威懾”概念,宣稱要把技術、作戰理念和各種能力恰當地加以結合起來,通過對創新和新技術進行大規模的投資,從而保持技術優勢并加強與歐洲及太平洋地區盟友的合作。此次美國提出“一體化威懾”概念,就是著眼于人工智能、電磁頻譜、無人系統等高新技術領域,建立一支新的分散但高度聯網的軍事力量,并通過不斷推動技術更新,維護其在軍事領域的優勢地位,讓對手了解自己具有優勢實力并相信使用實力的決心,迫使對手就范,從而實現更佳的威懾效果。(信息來源:Nextgov網)
二、安全事件聚焦
9、騰云蛇組織APT-C-61針對南亞地區發起攻擊
7月16日消息,360高級威脅研究院披露了一起新的APT攻擊活動,攻擊最早可追溯到2020年1月,至今仍然處于極度活躍狀態。該組織主要針對南亞地區巴基斯坦、孟加拉等國家的政府機構、軍工、科研、國防等重要領域,通過魚叉郵件配合社會工程學手段進行滲透,向目標設備傳播惡意程序,暗中控制目標設備,持續竊取設備上的敏感文件。由于其使用的C2、載荷下發、竊取的數據存儲等均依賴于云服務,且使用的木馬為Python語言編寫,因此研究人員將其命名為騰云蛇(APT-C-61)。騰云蛇與南亞地區已知活躍的蔓靈花、響尾蛇等APT組織暫無關聯,疑似屬于新的APT攻擊組織。(信息來源:360高級威脅研究院)
10、伊朗黑客組織攻擊美國防及航空航天企業
7月15日消息,Facebook安全團隊發現伊朗黑客組織Tortoiseshell網絡攻擊活動升級,攻擊目標已擴展至美國和歐洲國防、航空航天軍事人員及相關公司。該組織使用社會工程學、網絡釣魚和憑據盜竊、惡意軟件、外包惡意軟件開發等策略和技術來識別目標,并使用惡意軟件感染設備以進行間諜活動。該組織具有資源豐富和持續行動的特點,同時依靠相對強大的運營安全措施來隱藏幕后黑手。目前,Facebook已阻止了惡意軟件在平臺上的共享,并關閉相關攻擊賬戶。(信息來源:Facebook官網)
11、NSO利用間諜軟件Pegasus監視全球政治活動家
7月20日,國際特赦組織披露以色列NSO Group集團利用iMessage中的0day漏洞安裝間諜軟件Pegasus。該間諜軟件是遠程訪問木馬,可以訪問幾乎每一款手機(包括是最新的iPhone和Android機型),獲取受害者信息、電子郵件、照片、秘密錄音通話甚至激活麥克風,進行廣泛、持續的非法監視和侵犯人權活動。目前已有1000多名受感染用戶身份被確認,其中包括阿拉伯王室成員、人權活動家、政府工作者、持反對政見者等。NSO否認其工具針對非犯罪對象,并否認所有指控,但承諾調查所有可信的指控。蘋果公司目前正在調查此事。(信息來源:賽博研究院)
12、以色列Candiru公司向政府出售間諜軟件
7月16日消息,微軟及CitizenLab研究人員發現,以色列秘密監控軟件公司Candiru利用Windows零日漏洞向政府出售一種名為DevilsTongue的新型間諜軟件。該軟件可感染和監控iPhone、Android、Mac、PC和云賬戶,通過不同載體進行部署,包括惡意鏈接、中間人攻擊和物理攻擊,允許運營商監視受害者、收集敏感數據、解密和竊取Windows設備上的信號消息、竊取主要網絡瀏覽器的信息。通過網絡掃描,目前已確定750多個網站與Candiru的間諜軟件基礎設施相關聯,至少有10個國家的100名活動人士、記者及政府持不同政見者成為該間諜軟件的攻擊目標。(信息來源:SecurityAffairs網)
13、南非國家運輸公司遭攻擊致多個重要港口系統癱瘓
7月26日消息,南非國家運輸公司遭網絡攻擊,其經營的開普勒、德班港口等受到影響,集裝箱運輸業務陷入停頓,當地貨運企業已無法正常完成貨物進出口運營,已造成超過2.59億蘭特的損失。該公司已確定并隔離了引發IT系統宕機的設備,調查仍在持續。(信息來源:互聯網安全內參)
14、厄瓜多爾電信公司遭RansomEXX勒索軟件攻擊
7月17日消息,厄瓜多爾國營電信運營商(CNT)遭勒索軟件攻擊,導致業務運營、支付渠道和客戶服務中斷。CNT為厄瓜多爾提供固定電話服務、移動、衛星電視和互聯網連接。此次攻擊是由一個名為RansomEXX的勒索組織發起的,該團伙聲稱竊取了CNT公司190 GB數據,并在隱藏數據泄漏頁面上分享了部分文檔的截圖,截圖包括聯系人列表、合同和支持日志。該組織警告CNT,如果不支付贖金,將泄露在攻擊期間竊取的數據。(信息來源:BleepingComputer網)
15、美共和黨全國委員會遭網絡攻擊
7月18日消息,美共和黨全國委員會發布聲明稱,網絡犯罪分子獲得了該委員會承包商Synnex的IT基礎設施的訪問權限。美共和黨全國委員會表示,盡管基礎設施遭到破壞,但沒有數據因為網絡攻擊而丟失。美國當局尚未確認這起網絡攻擊的具體責任人。目前,聯邦調查局已經接到通知,但未對此事進行置評。(信息來源:Softpedia網)
16、俄羅斯國防部網站遭DDoS攻擊
7月16日,俄羅斯國防部官方網站遭到一系列DDoS攻擊,導致部分用戶難以訪問網站。俄羅斯國防部技術部門第一時間采取應對措施,并于2小時后恢復網站運行。俄羅斯國防部表示,此次攻擊源頭位于俄羅斯境外,但其基礎設施未遭入侵。(信息來源:俄羅斯衛星通訊社)
17、沙特阿拉伯國家石油公司1TB數據在暗網出售
7月19日消息,黑客組織ZeroX在暗網以500萬美元的價格出售沙特阿拉伯國家石油公司1 TB敏感數據,包括14254名員工的完整信息;電力、建筑、電信等相關系統的項目規范;內部分析報告、協議、信函、定價表;IP地址、WiFi接入點和IoT設備的網絡布局;位置圖和精確坐標;客戶名單、發票及合同。沙特阿拉伯國家石油公司是全球最大的公共石油和天然氣公司之一,擁有超過66000名員工。該公司將數據泄露事件歸于第三方承包商,稱該事件對其運營沒有影響。(信息來源:BleepingComputer網)
18、東京奧運會購票者與志愿者賬號數據泄露
7月23日消息,東京奧運門票購票者及志愿者的ID和密碼在網絡上泄露,被盜的憑據可用于登錄志愿者和購票人網站,并泄露姓名、地址和銀行賬號等個人數據。泄露數據疑似通過未經授權訪問的電腦或智能手機盜取。日本政府已采取防范措施。(信息來源:東京新聞)
19、美國保險巨頭Humana客戶醫療數據遭泄露
7月24日消息,攻擊者在黑客論壇泄露了美國保險巨頭Humana的數據庫,包含6000多名患者的姓名、ID、電子郵件地址、哈希密碼、隱私政策確認狀態、醫療保險計劃、醫療數據、與患者有關的圖片和視頻,以及該公司2019年以來健康計劃內客戶的詳細醫療記錄。Humana確認被泄露的數據屬于該公司,數據庫已被刪除。(信息來源:FreeBuf網)
三、安全風險警示
20、施耐德電氣的Modicon PLC存在高危漏洞
7月13日消息,物聯網安全公司Armis的研究人員發現,施耐德電氣的Modicon可編程邏輯控制器(PLC)中存在一個認證繞過漏洞CVE-2021-22779,被命名為ModiPwn,影響Modicon M580和M340 PLC。未經身份驗證的攻擊者可通過欺騙工程軟件和控制器之間的Modbus通信,訪問目標設備的PLC。攻擊鏈還涉及過去幾年發現的其他幾個漏洞CVE-2018-7852、CVE-2019-6829和CVE-2020-7537,這些漏洞與施耐德的統一消息應用服務協議有關,該協議用于配置和監控其PLC。施耐德已提供緩解措施,但未發布補丁。(信息來源:SecurityAffairs網)
21、UDP Technology的IP攝像機固件中存在多個漏洞
7月18日消息,法國安全咨詢公司Randorisec安全研究人員發現了大量來自UDP Technology的IP攝像機固件的嚴重漏洞,編號為CVE-2021-33543到CVE-2021-33554,包括身份驗證繞過漏洞及遠程代碼執行漏洞。UDP固件捆綁在多個供應商的攝像頭中,如Geutebrück、VCA、Sprinx Technologies等。攻擊者將身份驗證繞過漏洞與任何RCE漏洞相結合,就能得到了一個root shell,可以停止視頻流、更改視頻或將其用作連接網絡的中繼等。目前,上述漏洞已在固件更新中得到解決。(信息來源:TheDailySwig網)
22、研華路由器監控軟件R-SeeNet存在多個漏洞
7月15日消息,思科安全研究人員稱,中國臺灣工業和物聯網解決方案提供商研華R-SeeNet監控軟件中存在多個漏洞CVE-2021-21799、CVE-2021-21800和CVE-2021-21801, 影響R-SeeNet 2.4.12 版本。允許攻擊者在目標用戶瀏覽器的上下文中執行任意JavaScript代碼,通過向目標發送惡意URL并誘使用戶打開該URL來利用這些漏洞。文件包含漏洞CVE-2021-21804存在于R-SeeNet的options.php腳本功能中,可能允許攻擊者執行任意PHP命令,通過惡意HTTP請求觸發。命令注入漏洞CVE-2021-21805可能允許攻擊者通過向目標設備發送特制的HTTP請求來執行操作系統命令。R-SeeNet是用于監控研華路由器的軟件系統,不斷從網絡中的各個路由器收集信息,并將數據記錄到SQL數據庫中。目前,研華還未發布正式更新。(信息來源:Cisco網站)
23、羅克韋爾MicroLogix PLC存在高危漏洞
7月20日消息,羅克韋爾MicroLogix 1100可編程邏輯控制器(PLC)中存在一個高危漏洞CVE-2021-33012,未經身份驗證的遠程攻擊者可利用該漏洞向目標控制器發送精心編制的命令,導致設備進入持續故障狀態,即使重置設備也無法解決此問題。Shodan搜索結果顯示,大約有230個可直接從互聯網訪問的潛在易受攻擊的PLC,主要位于美國和部分歐洲國家。由于MicroLogix 1100 PLC已停產,研究人員建議用戶遷移到Micro870控制器。羅克韋爾尚未針對該漏洞發布修補程序。(信息來源:SecurityWeek網)
24、D-LINK DIR-3040無線路由器中存在多個漏洞
7月15日消息,思科Talos研究人員發現,D-LINK DIR-3040無線路由器中存在多個漏洞。其中,CVE-2021-21816和CVE-2021-21817是路由器中的信息泄露漏洞,可由特制的網絡請求觸發,攻擊者可利用這些漏洞查看設備系統日志。CVE-2021-21818和CVE-2021-21820為硬編碼密碼漏洞,但CVE-2021-21818可能導致拒絕服務,而CVE-2021-21820可能允許攻擊者在路由器上執行代碼,在向目標發送一系列請求后,攻擊者還可以通過利用CVE-2021-21819獲得執行代碼的能力。DIR-3040是基于AC3000的無線互聯網路由器。思科建議用戶更新設備。(信息來源:Cisco網站)
25、惠普、施樂和三星打印機驅動程序存在嚴重漏洞
7月20日消息,研究人員在惠普、施樂和三星打印機驅動程序中發現一個存在長達16年的緩沖區溢出漏洞CVE-2021-3438,可影響超過380種不同型號的惠普、三星打印機以及12種不同的施樂產品。該驅動程序無需詢問或通知用戶即可安裝和加載,攻擊者可利用該漏洞獲得系統管理員權限,從而安裝程序、查看、更改、加密或刪除數據,或者創建具有全部用戶權限的新賬戶。目前還未發現該漏洞被利用。惠普、施樂均已發布安全公告。(信息來源:SecurityAffairs)
26、工業自動化解決方案提供商MDT修復多個關鍵漏洞
7月16日消息,工業自動化解決方案提供商MDT Software修復了其旗艦產品MDT AutoSave中存在的七個漏洞,其中兩個嚴重漏洞。(1)SQL注入漏洞CVE-2021-32953,攻擊者可利用SQL命令在系統中創建一個新用戶并更新用戶權限,從而授予攻擊者登錄的能力;(2)命令注入漏洞CVE-2021-32933,攻擊者可通過在API中注入命令來執行系統命令。其余五個為高危漏洞,可讓攻擊者破解加密并獲得系統訪問權限、用惡意文件替換合法文件、執行惡意文件并獲取敏感信息。漏洞影響MDT AutoSave版本6.x和7.x等。MDT AutoSave是一種自動化變更管理解決方案,為工業控制系統提供備份、版本控制及歷史跟蹤。MDT Software已發布修補程序。(信息來源:SecurityWeek網)
27、西門子修復多款工業產品中的多個漏洞
7月13日,西門子修復其多款產品中的近80個漏洞,多個漏洞涉及工業產品。(1)緩沖區溢出漏洞CVE-2015-8011,CVSS評分為9.8,存在于西門子多款產品的LLDP協議中,遠程攻擊者通過發送特制數據包,可導致拒絕服務條件和任意代碼執行;(2)不受控制的資源消耗漏洞CVE-2020-27827,CVSS評分為7.5分,遠程攻擊者通過發送特制的LLDP數據包,導致分配數據時丟失內存或拒絕服務;(3)緩沖區溢出漏洞CVE-2021-29998,CVSS評分為9.8分,存在于西門子DHCP客戶端中;(4)OpenSSL拒絕服務漏洞CVE-2021-3449,CVSS評分為5.9分。受影響的產品包括交換機、物聯網網關、工業物聯網設備等。(信息來源:Siemens網站)
28、Kaseya緊急修復VSA軟件中的零日漏洞
7月12日消息,荷蘭漏洞披露研究所發現軟件供應商Kaseya VSA服務器中的多個漏洞:憑據泄漏和業務邏輯漏洞CVE-2021-30116,SQL注入漏洞CVE-2021-30117,遠程代碼執行漏洞CVE-2021-30118,跨站點腳本漏洞CVE-2021-30119,2FA旁路漏洞CVE-2021-30120,本地文件包含漏洞CVE-2021-30121,XML外部實體漏洞CVE-2021-30201。其中CVE-2021-30116漏洞被REvil勒索軟件團伙利用,對Kaseya發起攻擊,其60家客戶及1500家下游企業受影響。目前,Kaseya已發布安全更新。(信息來源:SecurityAffairs網)
