網絡空間安全動態第134期
一、發展動向熱訊
1、中國同阿盟發表《中阿數據安全合作倡議》
3月29日,中國外交部同阿拉伯國家聯盟秘書處召開中阿數據安全視頻會議,宣布共同發表《中阿數據安全合作倡議》,阿拉伯國家成為全球范圍內首個與中國共同發表數據安全倡議的地區。雙方在倡議中稱,反對利用信息技術破壞他國關鍵基礎設施或竊取重要數據,以及利用其從事危害他國國家安全和社會公共利益的行為。締約國應尊重他國主權、司法管轄權和對數據的安全管理權,如因打擊犯罪等執法需要跨境調取數據,應通過司法協助渠道或其他相關多雙邊協議解決。同時,雙方倡議信息技術企業不得利用用戶信息謀取不正當利益,且應采取防范措施來保護公民個人信息。(信息來源:外交部網站)
2、美國總統拜登申請超13億美元預算用于網絡安全
4月9日,美國總統拜登向國會提交了一份預算草案,包含超過13億美元的網絡安全資金,同時要求對量子技術和人工智能等新興技術領域進行重大投資。拜登要求為網絡安全與基礎設施安全局增加1.1億美元預算,向國土安全部撥款 2000萬美元建立“網絡響應和恢復基金”。為總務管理局的技術現代化基金撥款5億美元,以加強聯邦網絡安全和更換老化系統,并為加強機構信息安全的儲備基金撥款7.5億美元。為國家標準與技術研究院撥款1.28億美元,以進一步推動圍繞新興技術的研究和創新。為國家電信和信息管理局撥款3900萬美元,以推動寬帶和5G無線技術的發展和部署。(信息來源:TheHill網)
3、拜登延長奧巴馬時期簽署的網絡攻擊制裁行政令
3月29日消息,拜登政府宣布延長奧巴馬政府于2015年簽署的網絡攻擊制裁行政令。該行政令宣布國家正處于由美國境外人員“重大惡意網絡活動”造成的緊急狀態,授權美國政府對發起或參與重大網絡攻擊和網絡犯罪的個人或組織機構實施制裁。(信息來源:MeriTalk網)
4、美國開展“國家供應鏈完整性之月”
4月1日,美國國家反情報與安全中心(NCSC)攜手美國國土安全部網絡安全與基礎設施安全局、聯邦通信委員會等政府和行業合作伙伴推出第4次“國家供應鏈安全完整性之月”活動,包括一系列公開和非公開活動,以增強美國供應鏈風險管理。NCSC發布了新的供應鏈風險管理資源,提供了大量關于供應鏈威脅和最佳實踐的信息,以及相關合作伙伴機構提供的資源。另外,NCSC還將為信息和通信技術行業、制造和生產行業、醫療行業和能源行業的供應鏈風險管理提供行業指南。(信息來源:奇安網情局公眾號)
5、美國商務部將中國7個超算機構列入“實體清單”
4 月 8 日,美國商務部發布公告稱,美國工業與安全局已將7個中國超級計算機實體列入所謂“實體清單”,分別為:天津飛騰信息技術有限公司、上海高性能集成電路技術中心、成都申威、濟南超算中心、深圳超算中心、無錫超算中心和鄭州超算中心。被列入美國“實體清單”,意味著在沒有美國政府許可的情況下,美國的其他公司都將被禁止和這些公司展開相關合作。(信息來源:美國商務部網站)
6、美國國家安全局舉行NCX網絡演習
4月8日,美國國家安全局宣布啟動第20屆“國家安全局網絡演習(NCX)”,以開發和測試下一代網絡人才的團隊合作、計劃、溝通和決策技巧。該演習為期三天,是美國陸軍學院、高級軍事學院學生和國家安全局實習生綜合網絡安全計劃訓練的一部分。演習將開展取證、網絡政策、密碼學、逆向工程以及傳統的網絡戰斗演習等各種場景的挑戰。參賽隊伍包括來自美國軍事學院、美國海軍學院、美國海岸警衛學院、美國商船學院、諾威奇大學、德克薩斯農工大學、弗吉尼亞軍事學院、弗吉尼亞理工大學和北喬治亞大學的學生,以及來自美國國家安全局發展計劃的實習生。(信息來源:美國國家安全局官網)
7、美陸軍開發演習平臺以保護國家關鍵基礎設施
4月1日消息,美國陸軍網絡研究所正在為美國城市構建一種定制的便攜式網絡攻擊演習平臺,以保護電信或供水服務系統等關鍵基礎設施,使其免受網絡攻擊。該開源平臺由三個組件組成:用于開發場景的編寫器應用程序;用于開發演習腳本的計劃應用程序;用于參與者可登錄執行桌面練習的平臺。相關組件都是獨立的基于Web的工具,不需要下載軟件。除開展桌面演習外,陸軍網絡研究所還計劃將一個網絡靶場納入其中。該平臺首個測試版將在今年秋季推出,計劃在2023財年第四季度提供全面運行能力。(信息來源:奇安網情局公眾號)
8、英國提出核威懾網絡安全理論
4月2日消息,英國《2021年國防評論》關于在網絡空間適用核威懾理論的聲明引發了網絡安全行業的廣泛爭議。《評論》指出,英國不會對1968年《不擴散核武器條約》(NPT)的任何無核締約國使用核武器。如果大規模毀滅性武器的未來威脅(例如化學和生物能力或可能產生類似影響的新興技術)構成必要條件,我們保留審查此保證的權利。《評論》還明確指出,“網絡”被認定屬于上述核反擊條件中的“新興技術”。(信息來源:安全牛網)
9、俄安全理事會批準《國際網絡安全政策原則》草案
3月26日,俄羅斯聯邦安全理事會通過了有關該國在國際網絡安全領域的新官方政策基本文件,審議并批準了俄羅斯《國際網絡安全政策原則》的草案。草案中明確指出了目前存在的網絡安全威脅。為了消除激增的各項威脅,俄羅斯將加強國際合作,推動建立國際法律制度來規制國家在網絡空間中的活動和對信息技術的使用,以確保獨立國家的網絡主權并防止國家間沖突。俄羅斯聯邦安全理事會主席尼古拉·帕特魯舍夫表示已經決定起草該文件,并確定了將為文件提供全面支持的優先措施。(信息來源:塔斯社)
10、歐盟與韓國完成數據跨境流動“充分性決定”談判
3月30日,歐盟委員會宣布圓滿完成與韓國的跨境數據流動“充分性決定”談判。根據《通用數據保護條例》,“充分性決定”機制將涵蓋私營和公共部門的數據控制,使數據從歐盟自由和安全地流向韓國,確保了保護個人數據的連續性。韓國和歐盟在“充分性認定”的對話中,一致同意了幾項額外的保障措施,這些保障措施將在透明度、敏感數據和后續轉移等方面提供更強的保護,以提高韓國處理的個人數據的保護水平。同時,以執法和國家安全為目的所獲取的數據,將受到韓國個人信息保護委員會的監督。通過實現對商業運營者和公共部門的雙重覆蓋,“充分性認定”不僅將支持商業運營者把傳輸個人數據融入商業活動,而且也會促進雙方的監管合作。(信息來源:歐盟委員會官網)
11、緬甸政府因抗議活動無限期關閉互聯網
4月1日消息,緬甸代理軍事領導人為應對持續不斷的抗議活動,無限期關閉寬帶互聯網服務。自2月以來,緬甸軍政府除了造成500多人死亡、數千人被捕的暴力事件外,還采取了越來越極權化的監視和審查措施,如使用監控無人機、電話竊聽設備和破解個人電腦安全軟件等措施來應對反對派攻勢。(信息來源:TheVerge網)
二、安全事件聚焦
12、以色列摩薩德針對伊朗核設施進行網絡攻擊
4月10日,在伊朗核技術日線上紀念活動中,伊朗總統魯哈尼下令啟動納坦茲核設施內的近200臺IR-6型離心機,開始生產濃縮鈾。4月11日,伊朗納坦茲核設施的配電系統發生故障。美國和以色列情報機構的消息顯示,以色列摩薩德是對伊朗納坦茲核設施進行網絡攻擊的幕后黑手,該行動導致核設施斷電。情報人士稱,該網絡行動破壞了伊朗濃縮鈾的生產能力,攻擊行動的時機并非偶然,伊朗至少要花9個月時間才能恢復鈾生產。伊朗原子能組織主席譴責了針對納坦茲核設施的攻擊行為,并強調伊朗保留做出回應的權利。(信息來源:央視新聞)
13、5.33億Facebook用戶個人數據遭泄露
4月4日消息,以色列安全研究人員阿龍·加爾發現, 5.33億Facebook用戶的個人數據在線泄露,包括用戶名、個人姓名、電話號碼、郵件地址、位置和生日等信息,其中有超過3200萬條美國用戶的記錄、1100萬條英國用戶的記錄和600萬條印度用戶的記錄。Facebook公司稱,這些數據來源于2019年的一個漏洞,該漏洞在2019年8月已被修復。目前,Facebook公司因此事正在接受歐盟數據監管機構的質詢。(信息來源:TheVerge網)
14、5億LinkedIn用戶數據遭泄露
4月9日消息,某地下黑客論壇上正在出售5億 LinkedIn用戶數據,包括姓名、郵箱、電話號碼以及工作場所等信息。為證明數據真實,黑客還公布了其中200萬條記錄,只需支付2美元便可查看。LinkedIn新聞發言人證實,出售的信息的確來自LinkedIn,但信息可能來自舊檔案,并非最近的資料。(信息來源:搜狐網)
15、印度支付平臺MobiKwik 1億用戶8TB數據被出售
3月28日消息,黑客在暗網以1.5比特幣的價格出售印度支付平臺MobiKwik 1億用戶的8TB數據,包括約350萬人的KYC(政府認可的身份識別和地址證明文件)詳細信息和以及99224559個用戶的電話號碼、電子郵件、哈希密碼、地址、銀行賬戶和信用卡詳細信息等。MobiKwik是印度最大的支付網絡之一,擁有1.2億用戶、300萬商家。(信息來源:DataBreaches網)
16、澳大利亞九號電視臺遭攻擊停播超24小時
4月1日,疑似國家支持的黑客團伙發動猛烈攻擊,導致澳大利亞九號電視臺停播超24小時,這也成為澳大利亞有史以來最大規模的媒體事故。盡管部分節目已經開始復播,但新聞與時事頻道仍處于攻擊后的癱瘓狀態。攻擊方雖然有使用勒索軟件,但并未提出任何贖金條件。由此看來,對方很可能屬于國家支持下的惡意團伙。就在此攻擊事件發生的幾小時之前,澳大利亞布里斯班國會大廈同樣遭遇可疑勒索軟件的入侵。(信息來源:InfoSecurity網)
17、美國教育機構遭勒索軟件攻擊致大量數據泄露
3月29日,Clop團伙發布從美國教育機構竊取的數據截圖,根據截圖,此次泄露的數據包括美國馬里蘭大學和加利福尼亞大學的財務文件和個人信息、聯邦稅收文件、學費減免請求、護理委員會申請、稅收摘要文件以及姓名、照片、家庭住址、社會安全號碼、移民身份、出生日期和護照等。4月5日,加利福尼亞大學發布一份聲明,稱攻擊者似乎是通過利用Accellion的文件傳輸服務中的漏洞來復制和傳輸校內文件。此次攻擊影響了大約300個組織,包括大學、政府機構和私人公司。該校表示,已將此事件報告給聯邦執法部門,并已開始調查。(信息來源:E安全網)
18、“人臉識別第一案”二審宣判
4月9日,被稱為“人臉識別第一案”的郭兵與杭州野生動物世界有限公司服務合同糾紛一案,由杭州市中級人民法院二審公開宣判,二審在原判決的基礎上增判野生動物世界刪除郭兵辦理指紋年卡時提交的指紋識別信息。杭州中院經審理認為,生物識別信息作為敏感的個人信息,深度體現自然人的生理和行為特征,具備較強的人格屬性,一旦被泄露或者非法使用,可能導致個人受到歧視或者人身、財產安全受到危害,更應謹慎處理和嚴格保護。(信息來源:人民網)
三、安全風險警示
19、DNS高危漏洞威脅全球數百萬物聯網設備
4月14日消息,Forescout研究實驗室與JSOF合作,披露了一組新的DNS漏洞NAME:WRECK。這些漏洞位于FreeBSD、IPnet、Nucleus NET和NetX四個TCP/IP堆棧中,這些堆棧通常存在于流行的IT軟件和IoT/OT固件中,影響全球數以百萬計的IoT物聯網設備,涉及幾乎所有行業的組織,包括政府、企業、醫療、制造和零售業等。攻擊者可以利用漏洞實施如下破壞:暴露政府或企業服務器并訪問其敏感數據,如財務記錄、知識產權或員工/客戶信息;連接到醫療設備獲取醫療保健數據,讓設備脫機并中斷醫療服務,危及醫院運營和患者生命;訪問工廠/工控網絡,篡改生產線破壞生產;關閉連接到樓宇自動化控制器的燈,導致零售業務中斷;利用住宅和商業空間的重要建筑功能來危害居民的安全,如篡改供暖、通風和空調系統,禁用警報器和門鎖等重要安全系統,關閉自動照明系統等。建議用戶修補運行易受攻擊的IP堆棧版本的設備。(信息來源:安全牛網)
20、羅克韋爾自動化產品中存在多個漏洞
4月6日消息,安全公司Claroty披露了工業自動化企業羅克韋爾FactoryTalk AssetCentre產品中存在的9個安全漏洞,分別為不可信數據的反序列化漏洞CVE-2021-27462、CVE-2021-27466、CVE-2021-27460和CVE-20201-27470,操作系統命令注入漏洞CVE-2021-27476,SQL注入漏洞CVE-2021-27472、CVE-2021-27468和CVE-2021-27464以及信息泄露漏洞CVE-2021-27474,CVSS評分均為10。FactoryTalk AssetCentre是一個功能強大的集中化工具,旨在保護、管理、跟蹤、版本控制和報告整個設施中與自動化資產相關的信息,被許多工業組織用于備份和災難恢復。攻擊者可以利用上述漏洞在沒有身份驗證的情況下進行攻擊,控制集中式FactoryTalk AssetCenter服務器和基于Windows的工程站與服務器通信,短時間內擁有設施的整個OT網絡,并在服務器代理和自動化設備(如PLC)上運行命令。(信息來源:SecurityAffairs網)
21、自動化解決方案Ovarro TBox RTU中存在多個漏洞
3月29日消息,安全公司Claroty的安全研究員發現Ovarro的TBox遠程終端單元(RTU)存在5個漏洞,分別為代碼執行漏洞CVE-2021-22646、可導致TBox崩潰的CVE-2021-22642漏洞、可解密登錄密碼的CVE-2021-22640漏洞、可更改或刪除配置文件的CVE-2021-22648漏洞和可竊取硬編碼加密密鑰的CVE-2021-22644漏洞。TBox是監控和數據采集應用的自動化解決方案,用于電力、石油和天然氣、運輸和加工等行業。(信息來源:TheHackerNews網)
22、5G網絡切片設計中缺少安全驗證步驟
4月6日消息,移動安全公司AdaptiveMobile發布報告稱,其研究團隊在5G網絡中發現了一個嚴重漏洞CVD-2021-0047,該漏洞可被惡意攻擊者利用發起DoS攻擊,竊取用戶包括位置、付款歷史記錄等關鍵數據在內的個人信息。5G基于服務架構在設計中缺少用于保證信令層請求中切片身份與傳輸層中實際使用的切片身份相匹配的檢查機制,攻擊者可以經由網絡功能接入5G運營商的基于服務架構,獲取核心網絡及網絡切片的控制權。為應對這一威脅,除了部署信令層保護解決方案之外,AdaptiveMobile還建議在不同的切片、核心網絡與外部合作伙伴之間各共享及非共享網絡功能之間,采用信令安全過濾器。目前該漏洞仍未得到修復。(信息來源:TheHackerNews網)
23、新型安卓惡意軟件偽裝成系統更新控制用戶設備
3月29日消息,安全研究人員發現,一種強大的新型安卓惡意軟件偽裝成關鍵的系統更新。該惡意軟件被發現捆綁在一個名為“系統更新”的應用中,用戶一旦安裝,該惡意軟件就會與運營商的Firebase服務器進行通信,竊取受害者信息、聯系人、設備細節、瀏覽器書簽和搜索歷史記錄、麥克風通話記錄和環境聲音,并使用手機攝像頭拍照。該惡意軟件還可以跟蹤受害者的位置,搜索文檔文件,并從設備的剪貼板上抓取復制的數據,并試圖通過向攻擊者的服務器上傳縮略圖而不是完整的圖像來減少網絡數據的消耗,從而逃避捕獲。(信息來源:cnBeta網)
24、Cisco修復SD-WAN vManage中的RCE漏洞
4月7日消息,Cisco發布安全更新,修復了SD-WAN vManage軟件的遠程管理組件中的RCE漏洞CVE-2021-1479, CVSS評分高達9.8。攻擊者可利用該漏洞獲取root權限,在底層操作系統上執行任意代碼。SD-WAN為一基于軟件定義的廣域網(WAN)管理產品,主要針對軟件即服務(SaaS)及公有云應用而設計,vManage則是用來監控SD-WAN健康狀態的軟件產品。此次更新還修復了該產品的用戶管理功能和系統文件傳輸功能中的2個提權漏洞CVE-2021-1137和CVE-2021-1480。Cisco建議用戶盡快更新。(信息來源:BleepingComputer網)
25、軟件公司CA Technologies產品被曝多個漏洞
4月2日消息,TIM的Red Team Research團隊披露了CA eHealth Performance Manager產品中的5個新漏洞,分別為提權漏洞CVE-2021-28246和CVE-2021-28249,跨站點腳本漏洞CVE-2021-28247,通過SUID/GUID文件的提權漏洞CVE-2021-28250和身份驗證漏洞CVE-2021-28248。CA Technologies是美國一家專注于B2B軟件的跨國公司,銷售近200種產品,涉及分布式計算、云計算、DevOps和計算機安全軟件以及移動設備。(信息來源:SecurityAffairs網)
26、VMware修復vRealize Operations中的多個漏洞
3月30日消息,VMware發布安全更新,以修復VMware vRealize Operations中的多個漏洞。此次修復的最為嚴重的漏洞是vRealize Operations Manager API中的服務器端請求偽造漏洞CVE-2021-21975,CVSSv3評分為8.6,攻擊者無需與用戶交互即可利用此漏洞來竊取管理憑據。此外,還修復了任意文件寫入漏洞CVE-2021-21983,CVSSv3評分為7.2,攻擊者可利用該漏洞在底層光子操作系統的任意位置寫入文件。(信息來源:SecurityAffairs網)
27、Ubiquiti被指控隱瞞嚴重安全事件
4月1日消息,專業消費級路由器廠商Ubiquiti被指掩蓋一個“災難性”的安全漏洞。事發24小時后,該公司發表聲明未否認該事件。1月,Ubiquiti曾公開一個“輕微”的安全漏洞。但知名網絡安全新聞網站 KrebsOnSecurity稱,該漏洞實際遠比 Ubiquiti 描述的更加嚴重。舉報人透露,黑客獲得了對Ubiquiti公司AWS服務器的完全訪問權,可能已經進入公司云服務設置控制的任何Ubiquiti網絡設備,獲取單點登錄cookie和遠程訪問密碼、完整的源代碼控制內容以及簽名密鑰。(信息來源:cnBeta網)
四、前沿技術瞭望
28、美研究發現可增強量子信息傳輸的機器學習方法
3月26日消息,美國陸軍資助的路易斯安那州立大學研究團隊展示了一種機器學習方法,可以修正由光子組成的系統中的量子信息,提高了在戰場上部署量子傳感和量子通信技術的可能性。當光子作為量子信息的載體來傳輸數據時,由于環境波動破壞了保存量子信息所需的脆弱量子態,這些信息往往會失真。該研究團隊使用了一種神經網絡來糾正單光子水平上光的失真空間模式,研究表明機器學習技術能利用人工神經網絡的自學和自我進化特征來幫助糾正失真信息。這種智能量子技術證明在受環境復雜因素影響的現實通信協議中,編碼單光子可能具有多個信息位。這項技術提升了依賴結構光子的光通信協議的信道容量,對在單光子水平上運行的量子技術具有重要意義。該團隊的成果將增強陸軍在戰場上的傳感和通信能力。(信息來源:中國國防科技信息中心)
