網絡空間安全動態第140期
一、發展動向熱訊
1、我國發布《網絡產品安全漏洞管理規定》
7月12日,工業和信息化部、國家互聯網信息辦公室、公安部聯合印發《網絡產品安全漏洞管理規定》。《規定》明確,網絡產品提供者和網絡運營者是自身產品和系統漏洞的責任主體,要建立暢通的漏洞信息接收渠道,及時對漏洞進行驗證并完成漏洞修補。《規定》還對網絡產品提供者提出了漏洞報送的具體時限要求,以及對產品用戶提供技術支持的義務。對于從事漏洞發現、收集、發布等活動的組織和個人,《規定》明確了其經評估協商后可提前披露產品漏洞、不得發布網絡運營者漏洞細節、同步發布修補防范措施、不得將未公開漏洞提供給產品提供者之外的境外組織或者個人等具體要求。《規定》自2021年9月1日起施行。(信息來源:網信中國)
2、《網絡安全審查辦法》擬進行修訂
7月10日,國家互聯網信息辦公室就《網絡安全審查辦法(修訂草案征求意見稿)》公開征求意見,意見稿提出掌握超過100萬用戶個人信息的運營者赴國外上市,必須向網絡安全審查辦公室申報網絡安全審查。意見稿明確,關鍵信息基礎設施運營者采購網絡產品和服務,數據處理者開展數據處理活動,影響或可能影響國家安全的,應當進行網絡安全審查。根據征求意見稿,網絡安全審查重點評估采購活動、數據處理活動以及國外上市可能帶來的國家安全風險,主要考慮產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞的風險;核心數據、重要數據或大量個人信息被竊取、泄露、毀損以及非法利用或出境的風險;國外上市后關鍵信息基礎設施,核心數據、重要數據或大量個人信息被國外政府影響、控制、惡意利用的風險等因素。(信息來源:新華社)
3、俄羅斯發布新版《國家安全戰略》
7月2日,俄羅斯總統普京簽署新版《國家安全戰略》。該戰略旨在確定俄羅斯的國家利益、國家戰略優先方向,以及保障國家安全和長期可持續發展方面的國家政策目標及任務。與上一版戰略相比,新版戰略“信息安全”部分變化最多。俄認為其面臨更廣泛的國家安全威脅,政府需要采取措施加強俄在信息空間的主權。其中包括:一是發展信息對抗的力量和手段;二是通過使用先進技術,包括人工智能技術和量子計算,改進確保信息安全的手段和方法,提高俄羅斯互聯網的安全性;三是確保在信息基礎設施中優先使用俄羅斯的技術和設備;四是將有關俄羅斯聯邦國內和外交政策的可靠信息帶給俄羅斯和國際社會;五是將個人數據泄露的數量降低到盡可能低的水平。戰略明確指出,如果外國采取威脅俄羅斯聯邦主權和領土完整的不友好網絡行動,俄羅斯將采取必要的對稱和非對稱措施。(信息來源:俄羅斯克里姆林宮網站)
4、美將應對勒索軟件威脅確定為國家安全優先方向
7月7日消息,拜登政府首次表態要把“應對勒索軟件威脅”提高至國家安全優先工作方向。拜登將召集美國政府若干職能機構負責人,舉行一場主要討論“美國政府如何有效應對勒索軟件這一日益猖獗之威脅”的閉門會議。副國家安全顧問安妮·紐伯格透露應對勒索軟件威脅工作將包含以下方面:與私營部門密切合作,阻斷破壞勒索軟件攻擊所使用的網絡基礎設施,并找出攻擊背后的惡意行為者;開展國際合作,讓庇護勒索軟件攻擊實施者的國家付出代價;加強對虛擬貨幣網絡的分析取證,發現并追蹤犯罪分子的非法交易活動;審視美國聯邦政府的現有政策,針對受害者支付勒索軟件贖金問題形成一個統一而一致的應對策略。(信息來源:國際安全簡報)
5、美參議員提案允許私營企業遭受網絡攻擊時反擊
7月1日,美國參議員懷特豪斯提出《網絡攻擊響應方案研究法案》,該法案允許私營企業反擊對其業務發起攻擊的網絡黑客。聯邦法律目前只允許聯邦機構對黑客進行攻擊,而所有其他團體都被禁止以任何類型的未經授權的方式訪問其他網絡。(信息來源:E安全網)
6、日本政府多舉措加強自衛隊網絡防御能力
7月8日消息,為加強網絡防御能力建設,日本防衛省計劃采取多方面舉措,包括增加五成人手、建立網絡防御統籌部門、開設網絡安全課程、引入外部專業知識指導、加強與美國合作等。日本防衛省計劃在2022財年將網絡安全人員增加至800人,在2023財年增加至超過1000名。2022年內防衛省還將建立新的自衛隊網絡防御監督部門,負責整合各分支機構中的相應單位以提高網絡保護效率。此外,日本也不斷加強與其主要盟友的合作。6月,海上自衛隊就與美軍共同完成了網絡攻擊演習,陸上自衛隊也與美國陸軍舉行了“東方盾牌”年度演習。(信息來源:日經新聞)
7、德國《IT安全法》2.0正式生效
7月5日消息,德國《IT安全法》2.0版本正式生效。德國希望通過彌補法律漏洞并擴大監管框架,以提高德國IT系統的安全性,并加強國家關鍵基礎設施安全保障。法案側重點如下:一是擴大聯邦信息安全辦公室的權限;二是加強對數字消費者的保護;三是擴展關鍵基礎設施范疇;四是新增制造商、供應商和關鍵基礎設施部門的義務;五是對有關罰款的規定進行了修訂。(信息來源:安全內參網)
8、ENISA發布中小企業網絡安全指南
7月6日消息,歐洲網絡與信息安全局(ENISA)發布了針對中小企業的網絡安全指南,旨在COVID-19流行期間支持中小企業改善其網絡安全態勢。該指南為中小型企業提供關于如何提高其基礎設施和業務安全性的12項建議,其中包括培養良好的網絡安全文化、提供適當的安全培訓、確保有效的第三方管理、制定事故響應計劃、安全訪問系統、確保設備安全、保護網絡安全、提高物理安全性、確保備份安全、參與云計算、確保在線網站安全以及尋求和分享信息。(信息來源:SecurityAffairs網)
9、美日澳印四國聯盟將在AI等技術領域開展合作
7月7日消息,美日澳印四國聯盟(Quad)將以線上會議形式召開科學技術部長級會議,研討在人工智能、半導體等領域的合作事宜。會議議題涉及人工智能與量子技術等領域的研究合作、專業人才的培育與交流、制定包括倫理問題在內的國際規則、半導體的穩定供給、下一代通信機器的普及、防止機密情報泄露等。(信息來源:日本讀賣新聞)
二、安全事件聚焦
10、Kaseya公司遭勒索軟件攻擊波及全球上千家企業
7月2日,美國IT軟件服務公司Kaseya遭勒索軟件攻擊,目前已有至少200家使用該公司產品的美國企業受影響,攻擊源頭指向黑客組織Revil。Kaseya公司指出,由于許多公司用戶本身就是IT管理服務的提供者,所以此次攻擊也會影響到他們的用戶,全部受害者估計有數千家。除美國外,瑞典Coop公司連鎖超市門店也因使用Kaseya公司軟件遭受影響,全國800多家門店已有超過500家被關閉。7月3日,美國總統拜登表示,已命令美國情報機構調查此次供應鏈攻擊事件。(信息來源:TheVerge網)
11、微軟稱Nobelium黑客組織仍在繼續攻擊IT企業
6月28日消息,微軟指出和俄羅斯存在關聯、攻陷SolarWinds公司的威脅組織Nobelium發動密碼噴射和暴力攻擊,其目標遍布36個國家,包括IT企業、政府組織機構以及少數非政府實體、智庫和金融行業的組織機構。美國受到的攻擊最多,占45%,英國、德國和加拿大也遭受了攻擊。雖然多數攻擊并未獲得成功,但黑客至少攻陷了3家組織機構。微軟表示已經加固了受影響設備的安全并通知受影響客戶。(信息來源:SecurityWeek網)
12、西班牙電信巨頭MasMovil遭Revil勒索軟件攻擊
7月1日消息,西班牙第四大電信運營商MasMovil遭Revil勒索軟件攻擊。Revil勒索軟件團伙聲稱下載了屬于MasMovil的數據庫和其他重要數據,還分享了竊取MasMovil數據的截圖。MasMovil承認遭受了勒索軟件攻擊,但Revil組織并未要求贖金。MasMovil在西班牙固網ADSL戶數達1800萬戶,光纖戶數接近2600萬戶,其4G移動網絡覆蓋了98.5%的西班牙人口。該公司還擁有Yoigo、Pepephone、Llamaya、Lebara等品牌。目前尚不清楚MasMovil的下一步計劃。(信息來源:HackRead網)
13、伊朗國家鐵路系統遭攻擊最高領導人電話被公布
7月9日消息,伊朗國家鐵路公司的計算機系統遭網絡攻擊,用于管理列車日程和購票服務的系統宕機,公告板顯示列車取消或延誤。黑客還將伊朗最高領袖阿亞圖拉·賽義德·阿里·哈梅內伊的辦公室電話號碼公布在個別火車站,并讓旅客撥打以獲取更多詳情。目前鐵路服務網站已恢復正常。(信息來源:TheRecord網)
14、LinkedIn 6億用戶資料被兜售
7月13日消息,6億份LinkedIn用戶的個人資料出現在黑客論壇上。在論壇公布的樣本數據中,可以看到用戶的姓名、LinkedIn ID、電子郵件地址、電話號碼、社交媒體賬戶鏈接以及用戶在自己LinkedIn個人資料中公開的其他數據等。樣本文檔中似乎并不涉及個人消息內容、文檔掃描或信用卡詳情等高度敏感信息,但惡意攻擊者仍然可以利用泄露信息通過社會工程方式輕松找到新的侵擾目標。4個月以來,LinkedIn已經經歷了三輪大規模用戶個人資料泄露,規模均為數億級別。建議用戶在公開的個人資料中刪除電子郵件地址及電話號碼,更換LinkedIn與電子郵件賬戶密碼,啟用雙因素身份驗證等。(信息來源:CyberNews網)
15、惡意軟件感染300多萬臺電腦1.2TB敏感數據遭竊
7月2日消息,安全研究人員發現,一款尚未被命名的惡意軟件從超過325萬臺Windows PC中竊取了1.2TB以上的敏感信息,包括20億個cookies,110萬個電子郵件相關的2600多萬個憑證,超65萬份PDF和 Word文檔,22.4萬張JPG圖片以及69.6萬個PNG文件。黑客通過破解應用程序及垃圾郵件活動分發惡意軟件,進而獲取用戶數據。按被盜cookies數量比例排名前五的網站是eBay、沃爾瑪、Gearbest、AliExpress和亞馬遜。(信息來源:cnBeta網)
16、韓國航空公司遭黑客攻擊泄露大量機密文件
7月7日消息,韓國航空宇宙產業公司遭黑客攻擊,公司大量機密文件遭泄露,包括在研的韓國第五代隱身戰機KF-21設計圖紙以及軍用無人機、FA-50輕型攻擊機、直升機、電子戰和雷達等諸多現役裝備的相關資料。此次攻擊可能引發合作伙伴不滿和追責,對韓國軍工業或將造成不小打擊。(信息來源:中國國防報)
17、印度某邦公共分配系統450萬公民信息遭泄露
7月1日消息,印度網絡安全公司Technisanct發現,印度泰米爾納德邦公共分配系統超450萬公民身份信息及公民個人信息等被保存在一個數據共享平臺中出售。被泄露數據包括受益人ID、Aadhaar號碼、受益人及其家庭成員的姓名、地址、手機號碼等。Technisanct已向印度CERT報告了數據泄露事件。(信息來源:ExpressComputer網)
18、以色列28萬名學生個人信息遭泄露
6月28日消息,黑客組織DragonForce針對AcadeME公司發起攻擊,約28萬名以色列學生的個人信息被泄露,包括姓名、電話號碼、地址、電子郵件和密碼等。AcadeME是以色列一個全國性的服務提供商,為在11000個不同的行業中尋找工作的學生提供支持。(信息來源:cnBeta網)
19、摩根士丹利遭黑客攻擊導致數據泄露
7月12日消息,美國跨國公司摩根士丹利聲稱,攻擊者通過入侵第三方供應商Guidehouse的Accellion FTA服務器竊取了其股票計劃參與者的個人信息,包含姓名、地址、出生日期、社會安全號碼、法人公司名稱。摩根士丹利是一家領先的全球金融服務公司,提供投資銀行、證券、財富和投資管理服務。該公司客戶包括超過41個國家的公司、政府、機構和個人。從1月至今,因Accellion FTA服務器遭到入侵而發生敏感數據泄露事件的受害者包括能源巨頭殼牌、網絡安全公司Qualys公司、新西蘭儲備銀行、新加坡電信、超市巨頭克羅格、澳大利亞證券和投資委員會以及多所大學和其他組織。(信息來源:安全牛網)
三、安全風險警示
20、飛利浦Vue醫學成像系統受15個漏洞影響
7月7日消息,美國網絡安全與基礎設施安全局(CISA) 發布安全公告稱,飛利浦Vue醫療產品受15個漏洞影響(4個嚴重級別,4個高危級別,其它為中低危級別),受影響產品包括MyVue、Vue Speech和Vue Motion等。上述漏洞和輸入驗證不當、認證不當、資源初始化不當、使用過期密鑰、使用弱加密算法、防護機制不當、數據完整性問題、跨站點腳本、憑據保護不當以及敏感數據明文傳輸等有關。CISA指出,攻擊者可利用這些漏洞查看或修改數據,獲取系統訪問權限,執行代碼,安裝越權軟件,監聽流程等。CISA 建議用戶和管理員應用必要的更新或緩解措施。(信息來源:SecurityWeek網)
21、所有Windows系統都存在PrintNightmare漏洞
7月2日消息,微軟確認所有Windows系統都存在PrintNightmare漏洞CVE-2021-3452,允許攻擊者以系統權限運行任意代碼,通過Windows打印機后臺處理程序服務中的一個缺陷來安裝程序、處理數據或創建具有完全用戶權限的新賬戶。微軟證實,PrintNightmare漏洞正在被廣泛利用。該漏洞是否在每個Windows版本中都可以被利用還未知,但域控制器確實受到了影響。安全研究人員建議關閉域控制器上的Windows Print Spooler服務,將域控制器與打印任務分離。(信息來源:安全牛網)
22、德國菲尼克斯電氣多款工業產品存在高危漏洞
6月29日消息,德國工業解決方案提供商菲尼克斯通知客戶,稱其多款產品中存在10個漏洞。TC路由器、FL MGUARD模塊、ILC 2050 BI樓宇控制器和PLCNext產品受到兩個漏洞(一個高危安全繞過和一個中危拒絕服務)的影響。SMARTRTU AXC遠程終端和自動化系統、CHARX控制模塊化交流充電控制器、EEM-SB37x電表和PLCNext產品受高危漏洞影響,攻擊者可利用該漏洞在設備上安裝惡意固件。FL SWITCH SMCS系列交換機受三個漏洞影響,攻擊者可利用這些漏洞進行DoS和跨站點腳本(XSS)攻擊。用于將串行接口集成到現有以太網網絡中的FL COMSERVER UNI產品受一個高危DoS漏洞影響。ILC1x1工業控制器受高危DoS漏洞影響,該漏洞可以使用特制的IP數據包觸發。菲尼克斯通過固件更新解決了上述漏洞。(信息來源:SecurityWeek網)
23、Sage X3 企業資源平臺被曝存在安全漏洞
7月7日消息,Rapid7的研究人員披露Sage X3企業資源規劃(ERP)平臺中的4個漏洞。其中,最為嚴重的是遠程命令執行漏洞CVE-2020-7388,CVSS評分10分,允許未經身份驗證的攻擊者以最高的NT AUTHORITY/SYSTEM用戶權限在服務器上執行命令。其它為信息泄露漏洞CVE-2020-7387、身份驗證不足漏洞CVE-2020-7389和持久性跨站腳本漏洞CVE-2020-7390。結合利用CVE-2020-7387和CVE-2020-7388,攻擊者可獲悉受影響軟件的安裝路徑,利用該信息將命令傳遞給主機系統,運行任意操作系統命令以創建管理員級別用戶、安裝惡意軟件并完全控制系統。目前,上述漏洞已被修復。(信息來源:ThreatPost網)
24、思科ASA設備中的XSS漏洞遭黑客利用
6月24日消息,思科ASA設備中存在一個XSS漏洞CVE-2020-3580,該漏洞允許未經身份驗證的攻擊者向用戶發送有針對性的網絡釣魚電子郵件或惡意鏈接,執行任意腳本代碼,或訪問基于瀏覽器的敏感信息。研究人員在Twitter上發布了該漏洞PoC利用,不久就有黑客掃描并積極利用該漏洞。思科于2020年10月首次披露了該漏洞并發布了修復程序,但初始補丁不完整,又于今年4月發布了進一步的修復程序。研究人員建議管理員立即修補易受攻擊的Cisco ASA設備。(信息來源:BleepingComputer網)
25、微軟披露Netgear路由器中的多個固件漏洞
7月1日消息,微軟研究人員在Netgear DGN-2200v1系列路由器固件中發現了三個漏洞,被追蹤為PSV-2020-0363、PSV-2020-0364和PSV-2020-0365,CVSS評分為7.1-9.4,影響運行v1.0.0.60之前的固件版本的路由器。上述漏洞允許使用認證旁路訪問路由器管理頁面,使攻擊者能夠達到對路由器的完全控制,還可以通過加密的側信道攻擊獲得保存的路由器憑證,甚至通過利用配置備份/恢復功能恢復存儲在路由器內存中的用戶名和密碼,破壞目標的基礎設施。目前漏洞已被修復,建議所有用戶下載并更新到最新固件,避免遭受攻擊。(信息來源:SecurityAffairs網)
26、NFC漏洞使ATM機和POS機面臨嚴重威脅
7月10日消息,IOActive網絡安全研究人員發現,NFC讀取芯片的漏洞可以被攻擊者利用并對ATM機和POS終端造成危害。研究人員稱,只要使用一個專有的安卓應用程序以及一個帶有NFC模塊的智能手機,就可以輕松在這些設備上安裝某種勒索軟件或向ATM機的計算機發送一個獨特的有效負載,進而通過點擊智能手機獲取ATM里的現金。此類攻擊不僅可以利用ATM機,還能利用POS機來獲取支付卡信息、置入惡意軟件等。(信息來源:GBHackers網)
27、德國WAGO公司設備存在多個嚴重漏洞
7月2日消息,德國專門從事電氣連接和自動化解決方案的WAGO公司生產的可編程邏輯控制器(PLC)和人機界面(HMI)產品中存在多個高危及嚴重漏洞。WAGO的PFC100和PFC200 PLC、邊緣控制器產品和觸摸屏600 HMI受影響。漏洞可能允許攻擊者執行任意代碼,操縱或破壞設備,訪問OT網絡并接管網絡的其他部分。研究人員向供應商報告了這些漏洞,稱有數百個WAGO PFC設備暴露在互聯網上。WAGO已發布補丁并分享了緩解建議。(信息來源:SecurityWeek網)
28、中國臺灣QNAP修復NAS設備中的嚴重漏洞
7月5日消息,中國臺灣供應商QNAP修復了一個NAS災難恢復和數據備份解決方案HBS 3 Hybrid Backup Sync中存在的嚴重漏洞CVE-2021-28809,該漏洞是由有缺陷的軟件引起,由于該軟件沒有正確限制獲取系統資源的訪問權限,攻擊者可利用該漏洞在未經授權的情況下提升權限、遠程執行命令或讀取敏感信息,破壞易受攻擊的NAS設備。建議用戶將應用程序更新到最新發布的版本。(信息來源:BleepingComputer網)
四、前沿技術瞭望
29、“祖沖之號”再次展示量子計算優越性
6月28日,潘建偉團隊表示,使用“祖沖之號”超導量子計算系統中的56個量子比特,實現了比當年谷歌 Sycamore處理器53個量子比特強2-3個數量級的量子優越性。世界最強大的超級計算機8年才能完成的任務,用“祖沖之號”量子計算機最短1.2小時就能實現,再次刷新記錄。這距離我國2020年12月4日首次實現量子計算優越性僅過去7個月時間。(信息來源:中國科學技術大學網站)
