網絡空間安全動態第135期
一、發展動向熱訊
1、我國數據安全法和個人信息保護法提請二審
4月26日至29日,我國數據安全法草案和個人信息保護法草案提請全國人大常委會二次審議。數據安全法草案將對數據安全等含義予以完善,完善數據分級分類和重要數據保護制度,充實數據出境安全管理規定。個人信息保護法草案將針對當前個人信息過度收集使用等突出問題,完善個人信息處理應遵循的原則;完善、充實合法處理個人信息的情形、撤回同意、跨境提供個人信息等方面的規則;增加死者個人信息保護規定;明確國家網信部門統籌推進個人信息保護工作職責;與民法典有關規定相銜接,完善侵害個人信息權益的民事法律責任。(信息來源:中國人大網)
2、我國醫療保障網絡安全體系2022年基本建成
4月12日消息,國家醫保局近日發布《關于印發加強網絡安全和數據保護工作指導意見的通知》,要求到2022年,基本建成基礎強、技術優、制度全、責任明、管理嚴的醫療保障網絡安全和數據安全保護工作體制機制。到“十四五”期末,醫療保障系統網絡安全和數據安全保護制度體系更加健全,智慧醫保和安全醫保建設達到新水平。《通知》要求,全面推進網絡安全等級保護工作,落實關鍵信息基礎設施重點保護工作,加強關鍵信息基礎設施網絡安全監測預警體系建設,提升關鍵信息基礎設施應急響應和恢復能力。(信息來源:中國政府網)
3、人臉識別數據安全要求征求意見稿發布
4月23日,全國信息安全標準化技術委員會發布國家標準《信息安全技術 人臉識別數據安全要求》征求意見稿,旨在完善人臉識別相關標準,解決當前存在的人臉識別數據濫用等關鍵問題。標準要求,收集人臉識別數據時應征得數據主體明示同意,不得利用人臉識別數據評估或預測數據主體工作表現、經濟狀況、健康狀況、偏好等情況。同時,應提供除人臉識別外的其他身份識別方式供用戶選擇,不應因用戶不同意收集人臉識別數據而拒絕數據主體使用基本業務功能等。此外,還對開發商提出了技術資質門檻,要求其具備相應的數據安全防護和個人信息保護能力,以防范人臉識別被“活照片”等非法破解。(信息來源:新浪網)
4、美政府啟動電網網絡安全百日計劃
4月20日,美政府啟動針對美國電力行業的網絡安全試點項目——電網網絡安全百日計劃。該項目由能源部、國土安全部網絡安全與基礎設施安全局和電力行業的利益相關方聯合開展,目標是在未來100日內,提升美國電力行業關鍵工業控制系統的網絡安全性,對美國電力行業供應鏈進行必要安全保障,以應對針對美國關鍵基礎設施領域日益增多且手段愈發先進的網絡攻擊活動。美國能源部的網絡安全-能源安全-應急響應辦公室將負責能源部方面對該試點項目的落實,主要包括:推動美國電力行業所有者和運營商部署可增強其威脅檢測、處置和取證能力的網絡安全措施或技術;明確提出美國電力行業所有者和運營商,可通過在其關鍵工業控制系統和運維網絡內部署相關網絡安全技術及系統,實現近實時的態勢感知及威脅響應;提升美國電力行業信息技術網絡安全狀態;啟動一個向工業控制系統及運維網絡部署相關技術及系統、增強目標系統及網絡可見性的行業資源參與項目。(信息來源:CyberScoop網)
5、美政府提名首任國家網絡總監
4月12日消息,美國拜登政府已提名國家安全局(NSA)前副局長Chris Inglis擔任首任國家網絡總監。國家網絡總監一職來自美國網絡空間日光浴委員會的建議,并通過2021財年《國防授權法案》成為正式的法定職位,其主要職責是協調美國政府的網絡安全工作。除國家網絡總監外,拜登政府還同時提名NSA反恐中心前副主任Jen Easterly擔任國土安全部下屬的網絡安全與基礎設施安全局局長。(信息來源:CNN網站)
6、美國以黑客攻擊和干預大選為由全面制裁俄羅斯
4月15日,美國總統拜登簽署行政令,對俄羅斯實施“全面”制裁,并宣布驅逐10名俄羅斯外交官,以回應俄羅斯對美國“發動網絡攻擊”“干預美國大選”及“占領克里米亞”。美國新一輪對俄制裁包括,禁止美國金融機構交易俄羅斯政府一系列債券、基金投資;制裁32個“企圖影響美國大選”的實體及個人;與英歐加澳合作,制裁與克里米亞相關的8個俄實體及個人。這是拜登就任后對俄羅斯發起的第三輪制裁,其制裁力度遠超前兩次。俄羅斯稱將對美國制裁做出對等回應,驅逐10名美國大使館成員,同時采取一系列報復性措施。(信息來源:環球網)
7、法國投入10億歐元加強網絡安全建設
4月6日消息,法國將斥資10億歐元加強網絡安全建設、應對網絡攻擊行為。這項計劃主要致力于加強網絡安全人員的教育培訓、探索技術解決方案,以更好地保護企業和社區。法國政府將投入1.4億歐元用于相關人員的教育和培訓,并建設占地2萬平方米的“網絡校園”。這個校園不僅提供培訓,還匯集網絡安全領域60多個公私機構,是一個更有效率、更安全的網絡建設“孵化器”。法國政府還將投入1.36億歐元用于國家信息安全局“網絡消防員”項目的建設,通過在各地建立應急機構,在網絡襲擊發生時迅速采取應對行動。(信息來源:人民日報)
8、歐盟人工智能系列新規強調可信安全及創新
4月21日,歐盟委員會提出新的規則和行動,旨在使歐洲成為全球可信人工智能中心。具體包括:(1)人工智能法律框架,即制定統一的人工智能規則(人工智能法)并修正某些聯合立法行為;(2)新的協調計劃,即2021年人工智能協調計劃審查;(3)針對機器的新規,即針對機器產品的立法提案。前兩者將確保歐盟企業和公民的安全和基本權利,同時加強歐盟對人工智能的使用、投資和創新。針對機器的新規將起到補充作用,通過調整安全規則提高用戶對新一代多功能產品的信任度。(信息來源:賽博研究院公眾號)
9、北約舉行2021年度“鎖定盾牌”網絡防御演習
4月13日至16日,北約舉行2021年度“鎖定盾牌”網絡演習,來自30個國家的2000多名網絡安全專家和決策者參加。“鎖定盾牌”演習使用最先進的技術、復雜的網絡和多種攻擊方法來模擬一系列現實和復雜的網絡攻擊情形,以測試各國保護重要服務和關鍵基礎設施的能力。此次演習以虛構島國“貝里里亞”的主要軍事和民用IT系統遭受了協調性網絡攻擊為背景,該國軍事防空、衛星任務控制、水凈化、電網以及金融體系的運行遭受重大破壞。該演習涉及約5000個虛擬系統,這些系統遭受了4000多次攻擊。每個團隊除維護150多個復雜的IT系統之外,藍隊還必須高效報告事件,執行戰略決策,解決取證、法律和媒體方面的挑戰,以及應對敵對信息行動。(信息來源:奇安網情局公眾號)
10、巴西發布《國家人工智能戰略》
4月13日消息,巴西政府發布人工智能戰略。該戰略指導巴西圍繞研究、創新和相關技術開發采取行動,以應對該國面臨的人工智能挑戰以及道德問題。該戰略討論了以下垂直主題:數字未來;勞動力創造;研究、開發、創新和創業;政府應用人工智能;在生產部門和公共安全領域的應用等。此外,還討論了三個共同主題:立法、監管和道德使用以及人工智能治理。該戰略規定的目標聚焦以下幾點:促進對人工智能研發的持續投資;消除人工智能創新障礙;為人工智能生態系統培訓專業人員;在國際環境中促進巴西人工智能的創新和發展,并在公共和私營組織、行業和人工智能研究中心之間建立合作關系。(信息來源:LDNet網)
二、安全事件聚焦
11、Codecov供應鏈攻擊危及多家科技巨頭
4月20日消息,軟件審計公司Codecov的產品代碼遭供應鏈攻擊,復雜性堪比SolarWinds。攻擊已導致數百個Codecov客戶的網絡被訪問。Codecov的客戶多達2.9萬,其中包括許多大型科技品牌,如IBM、Google、媒體發行商《華盛頓郵報》及寶潔公司等。由于該公司的一個Docker文件發生錯誤,攻擊者可以竊取憑據并修改客戶使用的Bash Uploader腳本,獲取存儲在客戶的持續集成環境中的所有憑據令牌或密鑰,進而可以訪問任何服務、數據存儲和應用程序代碼。(信息來源:路透社)
12、數萬企業使用的本地密碼管理軟件被植入竊密后門
4月24日消息,澳大利亞企業級密碼管理器Passwordstate的開發廠商Click Studios發布警告稱,有攻擊者破壞了這款應用程序的更新機制,成功入侵其內部網絡后以供應鏈攻擊的形式大肆傳播惡意軟件。帶有惡意軟件的更新包在4月20至22日期間持續傳播28個小時。Passwordstate是一款支持本地部署的密碼管理解決方案,客戶來自政府、國防、金融、航空航天、零售、汽車、醫療保健、法律與媒體等各個行業。從攻擊者破壞的軟件性質來判斷,黑客希望從受感染的系統中獲取機密信息,甚至可能已經獲得了對客戶密碼存儲的完全訪問權限。一旦泄露相關密碼,許多客戶的內網郵件、賬號、防火墻、虛擬專用網、交換機、路由器、網絡網關以及本地存儲系統,都將面臨嚴重威脅。目前Click Studios已發布修復程序包,建議客戶立即更換所有密碼。(信息來源:BleepingComputer網)
13、電腦制造商Quanta感染REvil泄露蘋果產品圖紙
4月20日消息,中國臺灣筆記本電腦及電子硬件制造商Quanta遭受Revil勒索軟件攻擊,蘋果公司包含即將發布產品在內的大量設計藍圖泄露,被勒索5000萬美元。Quanta是全球第二大筆記本電腦原始設計制造商,客戶包括Apple、Dell、Hewlett-Packard、Alienware、Lenovo、Cisco和Microsoft。到目前為止,REvil在其網站上公開了十幾個MacBook組件的示意圖,并表示正在與幾個有興趣購買機密圖紙的第三方進行談判。目前,Quanta和蘋果均未對此事件進行回應。(信息來源:HackRead網)
14、某歐洲制造商旗下兩家工廠因勒索攻擊被迫關停
4月26日消息,勒索軟件團伙利用一種較新的勒索病毒Cring,成功加密了某歐洲制造商的工業流程控制服務器,最終導致兩處生產工廠關停兩天。該勒索軟件1月份開始活躍,利用Fortinet VPN中存在的CVE-2018-13379等漏洞發動攻擊。為掩蓋行跡,勒索團伙將Cring偽裝成卡巴斯基實驗室或其他供應商的安全軟件。安裝完成后,該勒索軟件會鎖定由256位AES密鑰加密的數據,使用硬編碼形式的RSA-8192公鑰對該密鑰進行加密,要求受害者支付兩個比特幣以換取解鎖密鑰。響應小組通過備份還原了大部分加密數據,但仍有部分數據徹底丟失。受害者未支付贖金,也沒有發布具體損失和感染狀況報告。(信息來源:Arstechnica網)
15、斯洛伐克發生多起重大勒索軟件攻擊事件
4月16日消息,斯洛伐克國家安全局披露,該國發生了一系列重大勒索軟件攻擊事件,涉及公共管理、電信、能源和IT領域的信息技術部門。黑客加密了關鍵數據,并限制了目標機構的職能和工作活動,要求支付數十萬歐元的贖金,以恢復系統全部功能。斯洛伐克國家網絡安全中心SK-CERT發現,重大且成功的勒索軟件攻擊事件近期有所增加。斯洛伐克國家安全局敦促所有公司和機構立即保護和備份其系統,以免遭受潛在攻擊。(信息來源:SK-CERT官網)
16、荷蘭物流公司遭勒索攻擊致多地超市斷貨
4月14日消息,荷蘭大型物流公司巴克爾遭遇勒索軟件攻擊,導致該國供應鏈中斷,多家超市發生食品斷貨。黑客利用勒索軟件對物流公司的微軟郵件服務器進行了加密,勒索到贖金后才能解密。由于該公司日常運營基本依賴電腦,此次事件直接阻斷了物流進程,公司既無法向客戶發貨,也沒法在倉庫里提貨。目前,巴克爾物流的電腦系統已恢復,但未透露是否支付了贖金。(信息來源:今日俄羅斯)
17、黑客在暗網出售超過7000萬Twitter用戶的數據
4月19日消息,安全公司Swascan發現黑客在暗網以800美元的價格出售超過7000萬Twitter用戶的數據,包括用戶姓名、Twitter賬戶、電子郵件地址和電話號碼等信息,但不包括密碼。之后,研究人員又發現暗網公開了1800萬Twitter用戶的數據,包括郵箱密碼。目前,尚不清楚黑客是以何種方法收集到的這些數據,Swascan建議用戶采用2FA身份驗證并定時更新密碼來保護賬戶。(信息來源:LatestHackingNews網)
18、2100萬ParkMobile用戶信息遭泄露
4月13日消息,威脅情報公司Gemini Advisory發現黑客在暗網出售北美移動停車應用ParkMobile的2100萬用戶信息,包括用戶出生日期、電話號碼、郵件地址、車牌號和哈希密碼等。ParkMobile表示,公司在3月26日發生了一起網絡安全事件,原因是使用的一款第三方軟件存在漏洞。目前已通知了相關執法部門,并展開調查,加密的敏感數據或支付卡信息均未受影響。(信息來源:SecurityAffairs網)
三、安全風險警示
19、OpENer棧被曝多個高危漏洞
4月16日消息,工業網絡安全公司Claroty披露了 OpENer棧中的多個高危漏洞:越界寫入漏洞CVE-2020-13556,CVSS評分為9.8,攻擊者通過特殊構造的網絡請求即可濫用該漏洞,最終實現遠程代碼執行。數字類型之間會話不正確漏洞CVE-2021-27478,CVSS評分8.2,位于開放的CIP連接路徑解析機制中,攻擊者通過發送特殊的數據包導致拒絕服務攻擊。界外讀取漏洞CVE-2021-27482,CVSS評分7.5,由“未檢查所提供數據包的字節”造成。攻擊者可利用該漏洞向易受攻擊系統發送特殊構造ENIP/CIP數據包讀取任意數據。漏洞CVE-2021-27500和CVE-2021-27498 的CVSS評分均為7.5,被描述為“可觸及斷言”,可被用于引發拒絕服務條件。美國網絡安全與基礎設施安全局發布安全公告稱,2月10日前的所有OpENer EtherNet/IP棧版本均受上述漏洞影響。(信息來源:SecurityWeek網)
20、Oracle修復多個存在于WebLogic組件中的漏洞
4月21日消息,Oracle發布關鍵補丁程序更新,修復了存在于WebLogic中的多個漏洞,包括2個高危漏洞CVE-2021-2136和CVE-2021-2135,CVSS評分均為9.8,攻擊者可在未授權的情況下通過IIOP協議對存在漏洞的WebLogic Server組件進行攻擊,實現遠程代碼執行。一旦攻擊成功便可接管WebLogic Server。WebLogic是Oracle公司出品的Java應用服務器,是用于開發、集成、部署和管理的大型分布式Web應用、網絡應用和數據庫應用。Oracle建議用戶盡快應用補丁更新。(信息來源:Oracle官網)
21、Chromium瀏覽器被曝存在零日漏洞
4月13日,印度安全研究人員Rajvardhan Agarwal披露了一個有效的Chromium概念驗證(PoC)零日漏洞,位于V8 JavaScript引擎中,該引擎是負責處理和執行瀏覽器內JavaScript代碼的開源組件,影響Google Chrome、Microsoft Edge以及其它基于Chromium的瀏覽器,如Opera和Brave。雖然Agarwal并未共享該漏洞的詳情,但PoC代碼已發布在GitHub上。Agarwal已將該漏洞告知Chromium團隊,后者在上周修復了V8代碼,但補丁尚未集成到瀏覽器中。安全研究員警告稱,攻擊者可能會在補丁間隔期內利用該漏洞攻擊用戶。(信息來源:安全牛網)
22、Junos OS操作系統存在嚴重RCE漏洞
4月20日消息,網絡安全提供商Juniper Networks近日發布安全公告稱,其Junos OS操作系統存在遠程代碼執行漏洞CVE-2021-0254,CVSS評分為9.8,未經身份驗證的遠程攻擊者可以利用該漏洞執行任意代碼或觸發DoS條件,或導致遠程代碼執行(RCE)。目前尚未發現利用該漏洞的惡意攻擊。(信息來源:JuniperNetwork官網)
23、Exchange Server被曝存在四個高危RCE漏洞
4月13日消息,美國國家安全局(NSA)發布報告稱,微軟Exchange Server存在四個高危漏洞CVE-2021-28480、CVE-2021-28481、CVE-2021-28482和CVE-2021-28483,其中最為嚴重的漏洞評分是9.8分、9分和8.8分,上述漏洞均可導致在易受攻擊設備上執行遠程代碼。微軟已發布補丁修復上述漏洞。(信息來源:BleepingComputer網)
24、開源搜索服務Apache Solr被曝存在多個高危漏洞
4月13日消息,開源搜索引擎服務Apache Solr公布了三個漏洞及其緩解措施。(1)SSRF漏洞CVE-2021-27905,影響8.8.2之前的所有Solr版本。(2)敏感信息泄露漏洞CVE-2021-29262。(3)越權讀取數據漏洞CVE-2021-29943。在Apache Solr未開啟認證的情況下,攻擊者可直接構造特定請求開啟特定配置。研究人員建議Apache Solr用戶應將設備升級至最新版本8.8.2。(信息來源:阿里云)
25、微軟修復NTFS格式磁盤拒絕服務漏洞
4月19日消息,微軟已修復NTFS格式磁盤拒絕服務漏洞CVE-2021-28312,該漏洞存在于Windows 10中,攻擊者可利用該漏洞來破壞NTFS格式化驅動器的內容,只需要一個特別制作的文件夾名稱,就可以導致卷被標記為dirty狀態,然后系統需要使用Chkdsk實用程序進行修復,導致受害者無法啟動系統。目前,微軟已在Windows Insiders社區測試中修復補丁。(信息來源:cnBeta網)
26、加密挖礦僵尸網絡Sysrv-hello感染企業服務器
4月25日消息,安全研究人員發現加密挖礦僵尸網絡Sysrv-hello正在積極掃描易受攻擊的Windows和Linux企業服務器,并通過自傳播式惡意軟件載荷感染門羅幣挖礦機。該僵尸網絡于去年12月開始活躍,使用帶有礦工和蠕蟲模塊的多組件體系結構,后升級為使用單個二進制文件,能夠將挖礦惡意軟件自動傳播到其他設備。Sysrv-hello傳播器組件能主動掃描互聯網,尋找更易受攻擊的系統,利用遠程執行代碼漏洞,將受害設備添加到僵尸網絡中。目前已發現6個被利用的漏洞:Mongo Express RCE(CVE-2019-10758),XML-RPC(CVE-2017-11610),Saltstack RCE(CVE-2020-16846),Drupal Ajax RCE(CVE-2018-7600),ThinkPHP RCE和XXL-JOB Unauth RCE。(信息來源:安全牛網)
四、前沿技術瞭望
27、荷蘭構建出世界首個基于量子糾纏的量子互聯網絡
4月19日消息,荷蘭QuTech量子計算實驗室研究人員使用新方法,在多個獨立量子處理器之間建立共享糾纏,搭建出世界首個基于量子糾纏的量子互聯網絡。傳統量子網絡一般由三個量子節點組成,要求節點之間保持一定距離。新方法能擴展到比單個鏈路更復雜的架構,將中間節點B與A、C兩個外部節點進行物理連接,以此建立糾纏鏈路。網絡一旦建立協議,就能保留由此產生的糾纏態,從而實現量子密鑰分發、量子計算或其他后續量子協議功能。新技術有望大幅提升量子計算機的運算能力,為量子技術創新應用搭建新的開發、測試平臺。(信息來源:國防科技要聞)
28、美陸軍資助的量子計算研究取得突破性進展
4月23日消息,美國《陸軍時報》報道,美陸軍科學基金資助的量子計算研究取得突破性進展。其中,馬薩諸塞州阿默斯特大學找到了自發糾正量子計算中錯誤的新方法。該方法可保護量子信息免受超導系統中錯誤影響,從而極大提高效率,有助于減輕未來計算機的負擔。芝加哥大學普利茲克分子工程學院建立了量子通信新方法,通過通信電纜發送糾纏的量子比特,將兩個網絡節點連接起來。該成果為大規模量子網絡的應用鋪平了道路。(信息來源:國防科技要聞)
