網絡空間安全動態第142期
一、發展動向熱訊
1、中央解密《黨委(黨組)網絡安全工作責任制實施辦法》
8月4日,《人民日報》頭版發布《中國共產黨黨內法規體系》一文。與此同時,《中國共產黨黨內法規匯編》由法律出版社公開出版發行,該書正式解密公開了《黨委(黨組)網絡安全工作責任制實施辦法》(以下簡稱“《實施辦法》”)。《實施辦法》作為《中國共產黨黨內法規體系》唯一收錄的網絡安全領域的黨內法規,它的公開發布將對厘清網絡安全責任、落實保障措施、推動網信事業發展產生巨大影響。《實施辦法》從責任主體、責任范圍、責任事項、問責主體、啟動問責的條件、問責措施等角度對網絡安全工作責任制進行了明確定義。(信息來源:公安三所網絡安全法律研究中心)
2、我國最高法發布司法解釋規范人臉識別技術應用
7月28日,我國發布《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》,明確了濫用人臉識別技術處理人臉信息行為的性質和責任。規定要求:物業不得強制將人臉識別作為出入小區唯一驗證方式;處理未成年人人臉信息,須征得監護人的單獨同意;應用程序不得強制索取非必要個人信息。同時明確了五類情形可以使用人臉識別:為應對突發公共衛生事件,或者緊急情況下為保護自然人的生命健康和財產安全所必需而處理人臉信息的;為維護公共安全,依據國家有關規定在公共場所使用人臉識別技術的;為公共利益實施新聞報道、輿論監督等行為在合理的范圍內處理人臉信息的;在自然人或者其監護人同意的范圍內合理處理人臉信息的;符合法律、行政法規規定的其他情形。該規定于8月1日起實施。(信息來源:最高人民法院網站)
3、拜登簽署美國關鍵基礎設施網絡安全備忘錄
7月28日,美國總統拜登簽署了關于改善關鍵基礎設施控制系統網絡安全的國家安全備忘錄,旨在鼓勵關鍵基礎設施所有者和運營商自愿采用更好的網絡安全標準。備忘錄要求美國網絡安全與基礎設施安全局和美國國家標準與技術研究院與其他機構合作,為關鍵基礎設施領域制定網絡安全性能目標。此外,備忘錄提出將正式建立工業控制系統網絡安全倡議,主要目標是通過在關鍵優先基礎設施上部署先進技術及系統,提供威脅的可視性、指征、探測和警告,提高基本控制系統和操作技術網絡的安全響應能力,以保護美國關鍵基礎設施安全。(信息來源:美國白宮網站)
4、美國基礎設施投資法案為網絡安全撥款20億美元
8月8日,美國參議院通過了1.2萬億美元的《基礎設施投資和就業法案》。該法案將投資約20億美元,以實現聯邦、州和地方IT及網絡的現代化和安全;保護關鍵基礎設施和公共設施;支持公營或私營實體應對重大網絡攻擊和漏洞并從中恢復,提升美國網絡安全能力。該法案中共有300多處出現網絡和網絡安全,包括網絡響應與恢復基金,該基金將在2028年之前每年提供2000萬美元,用于協助政府、私營部門和企業應對網絡事件。(信息來源:美國國會網站)
5、美國NSA發布公共環境中保護無線設備指南
7月29日,美國國家安全局(NSA)發布《在公共環境中保護無線設備》指南,就美國政府機構如何減輕在公共環境中使用無線設備相關的網絡安全風險提供一系列建議。指南旨在幫助美國國家安全系統、國防部和國防工業基地的遠程工作人員識別潛在威脅,將無線設備和數據風險降至最低。(信息來源:美國國防部網站)
6、美國CISA推出全新漏洞披露政策平臺
7月29日消息,美國網絡安全與基礎設施安全局(CISA)推出新的漏洞披露政策平臺,允許美聯邦行政部門機構識別、監控關鍵系統的安全漏洞,并在白帽黑客的幫助下進行修復。新平臺提供了一個集中管理的單一在線網站,使安全研究人員和公眾能在網站中查找漏洞、提交報告并進行分析,同時可深入了解潛在漏洞,以改善其網絡安全態勢。(信息來源:美國CISA網站)
7、印度航天部發布《2021印度衛星導航政策》草案
7月29日,印度航天部(DOS)發布《2021印度衛星導航政策》草案。旨在通過制定全面和可操作性的國家政策來指導政府有效開發、運行和維護自主控制的衛星導航系統及其增強系統,進一步推進其“自力更生”計劃的實施。政策提出八項目標:針對衛星導航系統,確保民用免費導航信號和基于戰略應用的安全導航信號具備保障能力和持續可用性;針對星基增強系統,確保為航空安全領域提供有效保障能力和持續可用性;發布空間信號接口定義文件和針對預期應用的系統性能報告;逐步發展導航信號,并擴大覆蓋范圍以提升應用服務;注重技術開發,增強導航衛星系統能力;促進印度衛星導航和增強系統信號與其他GNSS/SBAS信號的兼容性和互操作性;推動印度工業界和學術界基于社會效益開展衛星導航應用領域的研發活動;促進印度衛星導航和增強系統的全球應用。草案最終將提交印度聯邦內閣批準和授權。(信息來源:印度空間研究組織網站)
8、巴西政府宣布建立一個網絡攻擊響應網絡
7月28日消息,巴西政府宣布創建一個網絡攻擊響應網絡,由巴西總統機構安全辦公室信息安全部門負責,旨在通過聯邦政府機構間的協調作用,促進對網絡威脅和漏洞的更快響應,進一步加強巴西聯邦政府在應對網絡威脅方面的能力。(信息來源:cnBeta網)
二、安全事件聚焦
9、APT組織以國防部會議記錄為誘餌進行攻擊活動
8月5日消息,奇安信威脅情報中心發現,一個具有政府背景的APT組織以國防部會議記錄、軍事材料等為主題針對南亞地區進行攻擊活動,攻擊手法與此前披露的“透明部落”類似,即利用社會工程學進行魚叉攻擊,通過向目標投遞帶有VBA的doc、xls的惡意文檔,執行誘餌文檔中的宏代碼,最終釋放CrimsonRAT、PeppyRAT執行,竊取相關敏感資料信息。該組織于2016年2月被披露并命名,也稱為C-Major、PrijectM,主要攻擊目標為印度政府、軍隊或相關機構。(信息來源:奇安信威脅情報中心)
10、黑客組織針對烏克蘭邊防局和國防部發起攻擊
8月4日消息,啟明星辰ADLab發現多起針對烏克蘭邊防局和烏克蘭國防部的網絡攻擊事件。黑客組織以“輝瑞疫苗簽訂協議、向 ATO 退伍軍人付款、緊急更新!!!、烏克蘭總統令№186_2021”等內容為郵件標題向目標發起魚叉式釣魚攻擊,并進一步向攻擊目標計算機植入木馬。該組織持有大量用于定向攻擊的網絡基礎設施,擅于使用惡意快捷方式、多級鏈接跳轉以及多級Loader加載等方式投放惡意木馬。該組織從去年6月展開攻擊,今年2月利用新冠疫情為誘餌攻擊格魯吉亞政府。3月攻擊了上海某機電設備服務器,并將作為存儲服務器來投遞木馬。(信息來源:啟明星辰網站)
11、新型APT組織Praying Mantis攻擊企業和組織
8月2日消息,以色列網絡安全公司Sygnia研究人員發現,APT組織Praying Mantis(螳螂)利用面向公眾的ASP.NET應用程序中的反序列漏洞,部署無文件惡意軟件工具集來執行憑據收集、偵察、橫向移動、加載和執行DLL并實施各種攻擊,危害一些主要的公共和私營組織。該組織使用的惡意軟件通過主動干擾日志記錄機制、成功規避檢測。此外,攻擊者在使用后主動刪除了所有磁盤駐留工具,有效地放棄了持久性以換取隱匿性。(信息來源:TheHackerNews網)
12、安卓惡意軟件FlyTrap攻擊144個國家和地區
8月11日消息,網絡安全公司Zimperium發現了一種新的安卓惡意軟件FlyTrap,能通過社交媒體劫持、第三方應用程序商店和加載應用程序三種方式廣泛傳播,144個國家和地區的10000多名用戶遭攻擊。攻擊者通過有吸引力的主題,如免費的優惠券代碼、投票選出最佳球員等信息吸引受害者,并通過受害者的地理位置和詳細信息進行虛假宣傳,形成惡意傳播鏈條。研究人員將惡意軟件歸因于越南的攻擊組織,該組織能夠使用Google Play和其他應用程序商店傳播惡意軟件。谷歌已從商店中刪除了所有相關惡意應用程序。(信息來源:E安全網)
13、法國情報部門在記者手機上發現“飛馬”間諜軟件
8月3日消息,法國情報調查人員在三名記者的手機上發現了由以色列NSO集團開發的“飛馬”間諜軟件的數字痕跡,其中包括法國國際24電視臺的一名高級工作人員。該間諜軟件有能力感染數十億運行iOS或安卓操作系統的手機。使用該間諜軟件的攻擊者能夠提取信息、照片和電子郵件,記錄電話并秘密激活麥克風。調查表明,“飛馬”間諜軟件被廣泛和持續地濫用,世界各地的人權活動家、記者和律師已被選為潛在入侵性監控的可能人選。但NSO堅持認為該軟件只用于打擊罪犯和恐怖分子。(信息來源:cnBeta網)
14、中國臺灣企業技嘉遭勒索軟件攻擊致大量數據失竊
8月9日消息,中國臺灣企業技嘉遭RansomExx勒索軟件攻擊,包括保密協議在內的超112 GB商業數據遭泄露,涉及英特爾、AMD等合作伙伴。技嘉稱此次攻擊并未影響技嘉的生產系統,只有個別內部服務器遭入侵,目前已被關閉隔離。此次攻擊可能與RansomExx勒索團伙有關,攻擊者威脅技嘉公司,如果不予合作,就會在暗網公布對方的敏感數據。(信息來源:TheRecord網)
15、意大利政府數據中心和能源公司遭勒索軟件攻擊
8月1日,意大利拉齊奧大區政府數據中心遭黑客攻擊,幾乎所有政府在線系統都已停用,其中包括拉齊奧大區的疫苗預約系統。此次攻擊由cryptolocker勒索軟件發起,該軟件通常被偽裝成exe文件進行發送,一旦被下載和運行,計算機系統就會被感染且文件被加密。拉齊奧大區已向有關部門報告此事,檢察官辦公室已授權意大利郵政警察進行調查,并將對攻擊者以“未經授權訪問計算機系統”罪進行起訴。目前,拉齊奧大區政府數據中心以及疫苗接種網站均無法正常訪問。8月4日,意大利能源公司ERG也遭到了該勒索軟件攻擊,但未造成重大影響。(信息來源:BleepingComputer網)
16、希臘薩羅尼加市遭網絡攻擊致市政服務中斷
7月24日消息,希臘第二大城市薩羅尼加遭網絡攻擊,市政服務暫時中斷,該市隨后立即關閉了服務和web應用程序。工作人員打開被破壞的文件時,會彈出一條索要贖金的超鏈接。當地網絡犯罪檢察院命令工作人員不要進行下一步操作。副市長Avarlis表示,由于市政當局備份了系統數據,因此所有文件都是安全的。(信息來源:中希時報)
17、加拿大停車管理局服務器泄露502 GB敏感數據
8月1日消息,安全研究人員發現加拿大卡爾加里停車管理局的服務器暴露了卡爾加里數千名司機的個人信息,大小為502 GB,含有超過100,000個用戶的數據和記錄。包括姓名、出生日期、住址、電子郵件地址、車輛詳情、停車票信息以及信用卡信息。由于服務器沒有密碼保護,任何擁有服務器URL的人都可以訪問它。(信息來源:HackRead網)
18、美國3500萬公民信息遭泄露
8月4日消息,英國科技網站Comparitech發布消息稱,一個未受保護的Elasticsearch數據庫泄露了美國芝加哥、圣地亞哥和洛杉磯約3500萬居民的詳細信息。包括姓名、性別、出生日期、種族、婚姻狀況、郵件地址、收入及凈資產等。該數據庫可能是某營銷公司數據抓取的結果,存儲在了配置錯誤的服務器上。目前無法確定該數據庫的所有者,亞馬遜已將其強行關閉。(信息來源:HackRead網)
三、安全風險警示
19、TCP/IP堆棧漏洞影響數百家工控設備供應商
8月3日消息,網絡安全研究人員在NicheStack TCP/IP堆棧中發現了14個漏洞,統稱為INFRA:HALT,其中10個高危漏洞。該堆棧已被西門子、霍尼韋爾、羅克韋爾、施耐德等200多家工業自動化供應商整合到其可編程邏輯控制器(PLC)和其他產品中,涉及制造、發電、水處理等多個關鍵基礎設施領域。攻擊者可利用這些漏洞進行遠程代碼執行、拒絕服務攻擊、信息泄漏、TCP欺騙、甚至直接接管設備。4.3之前所有版本都易受到攻擊。NicheStack是用于嵌入式系統的閉源TCP/IP協議堆棧,旨在提供工業設備的互聯網連接。目前官方已發布補丁。(信息來源:TheHackerNews網)
20、Buffalo路由器漏洞遭利用影響數百萬臺設備
8月6日消息,網絡安全研究人員從Buffalo路由器中發現一個存在10年之久的路徑遍歷漏洞CVE-2021-20090,CVSS評分9.9。攻擊者可利用該漏洞修改配置,以啟用Telnet并獲取訪問設備的root級shell訪問權限,甚至完全接管存在漏洞的設備。該漏洞存在于中國臺灣企業Arcadyan生產的固件中,影響17家廠商制造的數百萬臺設備。(信息來源:奇安信代碼衛士)
21、Zimbra新漏洞影響20萬家企業和數百萬用戶
7月27日,研究人員稱電子郵件協作軟件Zimbra中存在2個安全漏洞:(1)劫持Zimbra服務器漏洞CVE-2021-35208,CVSS評分5.4,當用戶瀏覽查看Zimbra傳入的電子郵件時,就會觸發該漏洞,攻擊者即可獲得受害者所有電子郵件的訪問權限,并發起進一步攻擊;(2)服務器端請求偽造漏洞CVE-2021-35209,CVSS評分6.1。遠程攻擊者結合使用這兩個漏洞,可竊取谷歌云API令牌或AWS IAM憑據。全球每天有超過20萬家企業和1000多家政府、金融機構和數百萬個人用戶使用Zimbra交換電子郵件。研究人員建議,用戶可通過禁止HTTP請求處理程序執行重定向的方式來減少此類攻擊。(信息來源:SonarSource網)
22、工業自動化軟件CODESYS中存在7個嚴重漏洞
7月26日,Cisco Talos研究人員在工業自動化軟件CODESYS的開發系統中發現7個漏洞:(1)跨站點請求偽造漏洞CVE-2021-29238,CVSS評分8.0;(2)數據認證驗證不充分漏洞CVE-2021-29240,CVSS評分7.8;(3)空指針解引用漏洞CVE-2021-29241,CVSS評分7.5;(4)診斷工具界外寫入漏洞CVE-2021-34569,CVSS評分10;(5)服務內存緩沖區溢出漏洞CVE-2021-34566,CVSS評分9.1;(6)界外寫入漏洞CVE-2021-34567,CVSS評分8.2;(7)資源無限制分配漏洞CVE-2021-34568,CVSS評分7.5)。攻擊者可利用這些漏洞安裝惡意CODESYS 程序包,造成拒絕服務條件,或通過惡意JavaScript代碼執行引起提權后果,甚至完全操縱或破壞設備。(信息來源:奇安信代碼衛士)
23、IDEMIA制造的生物識別設備中存在3個嚴重漏洞
7月22日消息,研究人員在全球生物識別解決方案公司IDEMIA制造的面部識別設備、指紋讀取設備以及手指靜脈識別設備中發現3個漏洞:(1)嚴重緩沖區溢出漏洞CVE-2021-35522,CVSS得分為9.8,是Thrift協議網絡數據包接收到的數據中缺少長度檢查而導致的,攻擊者可利用該漏洞遠程執行任意代碼;(2)串行端口處理程序中的堆溢出漏洞CVE-2021-35520,CVSS得分為6.2,可能導致拒絕服務,但前提是攻擊者能物理訪問串行端口;(3)路徑遍歷漏洞CVE-2021-35521,CVSS得分為5.9,允許攻擊者在受影響的設備上讀寫任意文件,執行特權命令。IDEMIA已修復上述漏洞。(信息來源:TheDailySwig網)
24、多款電動汽車充電器與充電網絡存在漏洞
8月4日消息,英國網絡安全公司曝光了在六個家用電動汽車充電品牌以及一個大型公共EV充電網絡API中的存在漏洞,涉及Project EV、Wallbox、EVBox、EO Charging的EO Hub/EO mini pro 2、Rolec以及Hypervolt。研究人員稱這些漏洞或允許黑客劫持用戶賬戶、阻礙充電,甚至利用其中一款充電器編程入侵用戶家庭網絡“后門”。若公共充電網絡遭攻擊,可導致電費被竊取以及通過開啟或關閉充電器造成電網波動,使電網過載。(信息來源:cnBeta網)
25、TransLogic醫療氣動管道系統被曝嚴重漏洞
8月4日消息,研究人員在Swisslog Healthcare公司生產的TransLogic醫療氣動導管系統(PTS)中發現多個嚴重漏洞,被追蹤為PwnedPiper。該系統能幫助醫院實現對靜脈輸液等藥品、實驗室標本、文件和其他材料的高效穩定傳遞,在全球超過3000家醫院中使用。攻擊者首先瞄準連接到互聯網且易受攻擊的IP攝像頭來訪問包含PTS的網絡,再利用PwnedPiper漏洞向目標系統發送特制數據包,未經認證的攻擊者可直接接管TransLogic氣動管道系統,完全控制目標醫院PTS網絡,泄露敏感信息,并在設備上保持持久性。官方已發布固件更新。(信息來源:Armis Security網站)
26、Mirai僵尸網絡利用任意文件上傳漏洞攻擊云主機
8月6日消息,騰訊安全威脅情報中心檢測發現Mirai僵尸網絡利用Apache Flink任意文件上傳漏洞CVE-2020-17518攻擊云主機,成功后會植入Mirai僵尸木馬。Mirai僵尸網絡主要控制肉雞系統發起DDoS攻擊,或通過受控主機挖礦牟利。Apache Flink服務器分布于世界各地,中國位居首位,占比超過60%,美國、德國分列2、3位。由于互聯網上存在安全漏洞的物聯網設備和云主機數量龐大,Mirai僵尸網絡的規模還在不斷擴大。研究人員建議用戶盡快修復漏洞。(信息來源:騰訊安全威脅情報中心)
27、Microsoft Exchange存在遠程代碼執行漏洞
8月9日消息,安全研究員公開了Microsoft Exchange多個漏洞的細節、PoC及驗證視頻。其中包括CVE-2021-34473 Microsoft Exchange ACL繞過漏洞、CVE-2021-34523 Microsoft Exchange權限提升漏洞以及CVE-2021-31207 Microsoft Exchange授權任意文件寫入漏洞。由于Microsoft Exchange多個漏洞細節及部分PoC已公開,攻擊者可通過組合這些漏洞在未經身份驗證的情況下遠程接管目標服務器。目前,微軟已發布以上漏洞受影響版本的安全補丁,建議受影響用戶盡快更新。(信息來源:奇安信CERT)
28、思科修復小型企業VPN路由器中的多個嚴重漏洞
8月4日,思科修復了其小型企業VPN路由器中的兩個嚴重漏洞CVE-2021-1609和CVE-2021-1610,CVSS評分為為9.8,和7.2,存在于運行1.0.03.22版之前固件版本的小型企業RV340、RV340W、RV345和RV345P雙WAN千兆位VPN路由器的基于Web的管理界面中。允許未經驗證的遠程攻擊者在設備上執行任意代碼,或導致設備重新加載,甚至造成DoS攻擊。(信息來源:TheHackerNews網)
29、福昕閱讀器被曝多個任意代碼執行漏洞
8月2日消息,Cisco Talos研究人員發現,福昕PDF閱讀器和PDF編輯器存在多個安全漏洞CVE-2021-21831、CVE-2021-21870和CVE-2021-21893,CVSS評分為8.8。由于某些Java代碼或注釋對象的處理方式,惡意制作的PDF文件可能導致重復使用以前空閑的內存和任意代碼執行。攻擊者可通過欺騙目標用戶打開惡意PDF文件來利用該漏洞,若受害者啟用Foxit的瀏覽器插件,攻擊者還可通過惡意網站利用該漏洞。福昕已發布補丁。(信息來源:安全牛網)
四、前沿技術瞭望
30、研究人員發現一種名為“螢火蟲”的新型竊聽技術
8月10日消息,以色列內蓋夫本·古里安大學的研究人員發現了一種名為“螢火蟲”的新型被動攻擊技術。攻擊只需在遠處監視目標設備的信號燈變化(經測試35米還能保持有效)就能把對話內容還原出來,不需要任何特定觸發條件即可實現攻擊,且不會受任何電子對抗掃描的影響。而抵御“螢火蟲”攻擊最簡單的方法,是對會議設備的信號燈進行遮擋。(信息來源:安全內參)
