網絡空間安全動態(九月)
一、發展動向熱訊
1、國務院辦公廳印發《關于加強網絡文明建設的意見》
9月14日消息,中共中央辦公廳、國務院辦公廳近日印發了《關于加強網絡文明建設的意見》(以下簡稱《意見》)。《意見》指出,加強網絡文明建設,是推進社會主義精神文明建設、提高社會文明程度的必然要求,是適應社會主要矛盾變化、滿足人民對美好生活向往的迫切需要,是加快建設網絡強國、全面建設社會主義現代化國家的重要任務。《意見》包括總體要求、加強網絡空間思想引領、加強網絡空間文化培育、加強網絡空間道德建設、加強網絡空間行為規范、加強網絡空間生態治理、加強網絡空間文明創建、組織實施八個部分。《意見》要求,各地區各部門結合實際認真貫徹落實。(信息來源:新華社)
2、工信部就網絡產品安全漏洞收集平臺備案管理辦法征求意見
9月13日,工業和信息化部發布《網絡產品安全漏洞收集平臺備案管理辦法(征求意見稿)》(以下簡稱《辦法》)。《辦法》明確:漏洞收集平臺備案通過工業和信息化部網絡安全威脅和漏洞信息共享平臺開展,采用網上備案方式進行;擬設立漏洞收集平臺的組織或個人,應當通過工業和信息化部網絡安全威脅和漏洞信息共享平臺如實填報《網絡產品安全漏洞收集平臺備案登記表》,并按要求完成平臺后續備案手續;漏洞收集平臺應在上線前完成備案,已上線運行的漏洞收集平臺應在本辦法施行之日起10個工作日內進行備案;工業和信息化部設立投訴舉報渠道,用戶可通過電話、郵箱等方式,對涉嫌違反法律法規的行為進行投訴舉報。公開征求意見至2021年10月13日。(信息來源:工信部網站)
3、美國政府發布零信任戰略要求2024年完全部署
9月7日消息,美國管理與預算辦公室發布了《聯邦零信任戰略》,網絡安全與基礎設施安全局發布了《零信任成熟度模型》、《云安全技術參考架構》,并公開征集意見。這三份文件遵循了今年5月拜登總統簽署發布的關于加強聯邦政府網絡安全的行政令,這項命令中明確涉及多種特定的安全方法與工具,包括多因素身份驗證、加密與零信任等。文件要求各級機構在2024年9月底之前實現身份、設備、網絡、應用、數據五大具體零信任安全目標,并確保將這些目標添加至機構實施計劃中。(信息來源:Cybersecurity網)
4、美眾議院批準104億美元的國防部網絡安全預算
9月1日消息,美眾議院審議了780項修正案,這些修正案將被納入《2022財年國防授權法案》,法案支持拜登政府提出的2022財年國防部104億美元的網絡安全預算。其中55億美元用于網絡安全,提供跨域解決方案,部署下一代任務系統和平臺,并嵌入“零信任”架構;43億美元用于網絡作戰領域,通過網絡情報收集、作戰情報準備、防御網絡空間作戰、進攻網絡空間作戰和其他活動來支持網絡戰略的實施,以及直接支持作戰行動的基礎設施;5億美元用于網絡安全和網絡空間行動的研發活動,以繼續支持網絡戰略和全球行動的實施,旨在通過加速發展和整合新興技術,提高在網絡空間和電磁頻譜領域的主導地位。網絡空間領域的預算將提高國防部網絡靶場基礎設施的能力、速度和靈活性。這將使國防部能夠快速、全面評估增量和破壞性技術,確保網絡能力滿足美國網絡司令部和其他部隊不斷發展的需求。(信息來源:MeriTalk網)
5、美國石油協會發布新版管道網絡安全標準
8月21日消息,美國石油協會發布《管道網絡安全標準》第三版,強調天然氣和石油行業對保護美國關鍵基礎設施免受惡意和潛在破壞性網絡攻擊的持續承諾。該標準提供了控制系統環境與非控制系統環境之間適當隔離的要求和指導,有助于運營商管理與控制系統網絡安全環境相關的網絡風險,包括對供應鏈的關鍵連接點(管道、終端和煉油廠)提供保護建議、風險評估指南、管道安全實施模型、工業自動化和控制安全程序框架等。更新后的標準支持拜登政府的國家安全優先事項,以及聯合國可持續發展目標中關于彈性基礎設施的要求。(信息來源:SecurityWeek網)
6、美國司法部宣布設立網絡獎學金計劃
8月27日消息,美國司法部宣布設立一個新的網絡獎學金計劃,旨在培養新一代檢察官和律師,以應對新出現的國家安全威脅。該計劃由刑事司的計算機犯罪和知識產權科協調,提供有關網絡安全相關案例的詳細信息,例如國家資助的威脅行為者和網絡犯罪組織的運作以及相關的戰術技術過程(TTP)。該計劃要求所有培訓人員獲得最高機密的安全許可,并在整個計劃期間(三年)做出承諾。(信息來源:美國司法部)
7、新加坡政府推出新的漏洞賞金計劃
9月2日消息,新加坡政府科技局推出了一項新的漏洞獎勵計劃(VRP),提供高達15萬美元的漏洞賞金獎勵,旨在進一步加強現有的政府漏洞獎勵計劃和漏洞披露計劃。VRP會根據挖掘漏洞的嚴重程度等級,向白帽黑客提供250美元到5000美元不等的獎金;如果發現對選定系統和數據造成異常影響的漏洞,將獲得高達15萬美元的特別獎勵。為確保安全測試活動在允許的業務規則(ROE)范圍內,注冊參與者將通過指定的漏洞賞金公司HackerOne提供的指定虛擬專用網(VPN)網關進行安全測試,如參與者違反ROE,其VPN訪問可能被撤銷。(信息來源:安全內參)
8、巴西總統簽署新法令限制社交媒體刪帖權利
9月9日消息,巴西總統博索納羅簽署了一項新法令,旨在限制社交媒體刪除賬號和內容的權利,禁止社交平臺在沒有正當理由的情況下刪帖和封號。這一變化加大了臉書、推特、Instagram、YouTube等社交網絡刪除違反平臺規則的賬號、資料和內容的難度。新法令規定社交網絡在刪除賬號、個人資料和內容前必須遵循一系列協議,如提前通知用戶、確定采取的措施、說明刪除的原因、并告知截止日期、溝通渠道和投訴程序。目前,還不確定新法令是否會得到執行。(信息來源:ZDNet網)
9、阿聯酋網絡安全委員會將進行防護盾網絡演習
8月31日消息,阿聯酋網絡安全委員會與國家危機和應急管理局及其戰略伙伴合作,計劃從9月開始進行防護盾網絡演習。演習將涵蓋各種網絡攻擊情況,包括在受監控的環境中模擬一系列網絡攻擊,培訓各部門并評估其快速應對電子事件的能力等。演習通過一系列符合最佳國際標準的程序,協助國家關鍵部門,尤其是教育、衛生和經濟部門,保護其設備免遭網絡攻擊。(信息來源:FreeBuf網)
二、安全事件聚焦
10、1萬多臺Fortinet VPN設備登錄憑證遭泄露
9月9日消息,攻擊者在黑客論壇發布一份近50萬條Fortinet VPN設備登錄憑證清單,包含12856臺設備上的498908名用戶的VPN登錄憑證。安全研究人員發現,設備的IP分布在世界各地,其中位于中國大陸和臺灣地區的設備占比為11.89%。獲得VPN憑證的攻擊者很可能訪問目標網絡,進而實施數據竊取、惡意軟件安裝和勒索軟件攻擊等活動。研究人員建議用戶檢查日志以驗證設備是否遭入侵,并重置所有用戶密碼,安裝最新補丁。(信息來源:BleepingComputer網)
11、泰國曼谷航空遭勒索軟件攻擊致200GB數據泄露
9月2日消息,泰國曼谷航空公司遭LockBit勒索軟件攻擊,超200GB內部數據泄露,包括乘客姓名、性別、國籍、電話號碼、電子郵件、居住地址、護照信息、歷史旅行信息、部分信用卡信息以及特殊飲食信息等。LockBit勒索軟件團伙在泄密網站上發布消息,稱已經成功入侵曼谷航空,威脅對方若不支付贖金則會泄露被盜數據。曼谷航空發現被攻擊后立即在網絡安全團隊的協助下展開調查,事件并未影響曼谷航空運營及安全系統。(信息來源:SecurityAffairs網)
12、新西蘭電信運營商遭DDoS攻擊致全國大范圍斷網
9月6日消息,新西蘭因電信運營商Vocus的客戶遭DDoS攻擊引發連鎖反應,導致全國多地斷網達30分鐘,包括奧克蘭、惠靈頓及基督城在內的多個大城市受到影響。Vocus在澳大利亞和新西蘭提供零售、批發和企業電信服務,旗下擁有Orcon、Slingshot及Stuff Fiber等多個品牌。Vocus稱此次攻擊對客戶產生了重大影響。目前,網絡服務已恢復正常。(信息來源:互聯網安全內參)
13、新型勒索軟件Hive已攻陷多個組織機構
8月25日,美國聯邦調查局(FBI)發布了關于勒索軟件Hive的警告,該組織此前攻擊了美國連鎖醫療機構Memorial Health System的IT系統。Hive是今年6月首次出現的聯合運營形式的勒索軟件,其部署了多種機制以入侵商業網絡,包括使用網絡釣魚郵件中的惡意附件奪取訪問權限,配合遠程桌面協議在網絡中橫向移動等。成功入侵后,攻擊者會竊取數據、加密文件,并在受影響目錄內留下勒索信,威脅受害者若不支付贖金將在暗網公開數據。FBI建議用戶離線備份關鍵數據,使用雙因素身份驗證和強密碼,確保設備和應用程序處于最新狀態,在所有主機上安裝和定期更新防病毒或反惡意軟件。(信息來源:GovInfoSecurity網)
14、攻擊者利用Konni RAT新變體攻擊俄羅斯
8月25日消息,MalwareBytes研究人員發現了兩份用俄語編寫的武器化文件,其中一份以俄羅斯和朝鮮半島之間的貿易和經濟問題為誘餌,另一份以俄蒙政府間委員會的一次會議為誘餌。該惡意軟件的攻擊方式涉及社會工程技術,例如誘使受害者下載使用惡意宏進行武器化的文檔文件,一旦受害者啟用宏,它就會執行一系列活動,包括部署一個經過嚴重混淆的新Konni RAT變體,其主要攻擊目標為俄羅斯。該惡意軟件2014年被首次發現,可能與朝鮮威脅行為者Thallium或APT37有關,主要用于高度針對性的攻擊,能夠在目標系統上執行任意代碼并竊取數據。研究人員還觀察到其他國家的感染情況,包括日本、尼泊爾、蒙古和越南。(信息來源:SecurityAffairs網)
15、俄羅斯銀行業遭大規模DDoS攻擊致系統宕機
9月13日消息,俄羅斯銀行業遭大規模DDoS攻擊,其互聯網服務商Orange Business Services陷入癱瘓,多家銀行系統宕機,包括通過固網線路、自動取款機、POS終端所接入的登陸點、客戶支付業務均受影響。Orange Business Services表示,自8月9日以來,其網絡威脅監控中心持續記錄到使用放大式攻擊等手段對金融客戶發動攻擊,并利用加密協議實施其他攻擊。攻擊目前仍在持續,峰值狀態下流量可達100 Gbps左右。(信息來源:互聯網安全內參)
16、黑客組織FIN8使用新后門攻擊美國金融機構
8月25日消息,羅馬尼亞安全研究人員在FIN8針對美國金融機構發起的攻擊中,發現了該組織使用的新后門組件Sardonic。該組件具有獲取系統信息、執行任意命令以及加載和執行附加插件的功能,甚至可以幫助攻擊者在不更新組件的情況下利用新的惡意軟件。FIN8至少從2016年1月開始活躍,其目標是美國、加拿大、意大利等國的保險、零售、技術和化學行業。該惡意軟件利用多種技術,從POS系統竊取支付卡數據,同時推出具有升級功能的BADHATCH植入物版本,包括屏幕捕捉、代理隧道、憑證盜竊和無文件執行,并不斷改進工具和策略逃避檢測。(信息來源:Cyclonis網)
17、攻擊者以COVID-19疫苗為誘餌攻擊中東地區
9月1日消息,奇安信威脅情報中心檢測到多起以新冠疫苗為主題的攻擊活動。攻擊者大多使用投遞郵件的方式,向用戶發送惡意構造的誘餌文件欺騙用戶點擊,惡意文件類型包括但不限于EXE、MS Office宏文檔、漏洞文檔、LNK文件、VBS和PowerShell腳本等。其中一起疑似為具有俄語背景的未知團伙,利用樣本為ZIP文件針對沙特地區進行攻擊。(信息來源:奇安信威脅情報中心)
18、美國波士頓公共圖書館遭網絡攻擊致系統中斷
8月25日,美國波士頓公共圖書館遭網絡攻擊,全部技術系統中斷,公共計算機和公共打印服務以及一些在線資源暫停。攻擊發生后,圖書館立即中斷受影響系統,關閉網絡通信,并與執法部門和IT專家合作展開調查,尚未發現任何從受影響系統中竊取員工或顧客數據的證據。該圖書館每年通過其中央圖書館和25個社區分支機構為近400萬用戶提供服務。(信息來源:BleepingComputer網)
三、安全風險警示
19、數十億設備受BrakTooth藍牙漏洞影響
9月6日消息,新加坡科技與設計大學研究人員針對11家供應商的13款藍牙設備進行測試,共發現20個新漏洞,統稱為BrakTooth,存在漏洞的設備數量超10億,涉及1400多個產品,包括英特爾、高通、德州儀器、Cypress、Silicon Labs等主流SoC供應商。設備類型包括智能手機、筆記本電腦、信息娛樂系統、音頻設備、鍵盤、工業設備PLC等。與BrakTooth安全漏洞集相關的風險包括通過破壞設備固件而導致的拒絕服務,或藍牙通信出現死鎖狀態以及任意代碼執行。由于BrakTooth基于藍牙經典協議,攻擊者必須在目標的無線電范圍內才能執行攻擊。(信息來源:TheRegister網)
20、攻擊者利用Confluence漏洞入侵Jenkins服務器
9月8日消息,Jenkins項目開發團隊,在攻擊者破壞了其內部一臺服務器并安裝了加密貨幣挖礦工具后,披露了一個安全漏洞Confluence CVE-2021-26084,CVSS評分為9.8。經過身份驗證的攻擊者可利用該漏洞,在Confluence服務器和數據中心執行任意代碼。攻擊發生后,Jenkins團隊已將受影響的服務器下線,并對安全事件展開調查。Jenkins作為最流行的開源自動化服務器,支持開發人員構建、測試和部署他們的應用程序。Confluence服務器由Jenkins維護,在全球擁有超過100萬用戶。目前已出現針對Confluence服務器的大規模掃描活動,軟件開發商已發布補丁,建議用戶立即更新。(信息來源:TheRecord網)
21、香港Annke視頻監控產品存在嚴重RCE漏洞
8月26日,研究人員發現香港Annke N48PBB網絡錄像機(NVR)的Web服務中存在RCE漏洞CVE-2021-32941,CVSS評分為9.4,攻擊者可以利用該漏洞劫持設備、窺探或刪除鏡頭、更改運動檢測器警報配置或完全停止錄制,破壞存儲數據的機密性、完整性和可用性。攻擊者還可直接利用漏洞本身提升系統權限,或間接利用驅動下載攻擊。NVR是一種物聯網設備,通常配備大型硬盤驅動器或其他永久內存解決方案,以存儲數天的視頻內容。Annke已發布補丁,建議客戶盡快更新設備固件。(信息來源:NozomiNetworks網)
22、臺達電子工業能源管理系統存在多個漏洞
8月26日消息,研究人員發現臺達電子工業能源管理系統DIAEnergie存在多個漏洞,其中四個為嚴重SQL注入漏洞,未經驗證的遠程攻擊者可利用這些漏洞執行任意代碼;一個為身份驗證漏洞,可被用來添加新管理員用戶,并獲得設備訪問權限;一個為任意文件上傳漏洞,可用于不受限制的文件上傳和遠程代碼執行;還有兩個中危漏洞可被用來獲取明文密碼并發起跨站點請求偽造攻擊。DIAEnergie系統用于遠程維護,可與各種工業控制系統和數據接收器集成,包括電能表、可編程邏輯控制器和其他Modbus設備,幫助企業實現可視化和改進電力系統,全球使用范圍廣泛。上述漏洞暫未被修復。(信息來源:SecurityWeek網)
23、OpenSSL RCE 漏洞影響多個Synology產品
8月26日,中國臺灣NAS制造商Synology發布公告,稱其多款產品受最近披露的OpenSSL漏洞影響。(1)漏洞CVE-2021-3711,CVSS3評分8.1,是由于SM2解密實現中的EVP_PKEY_decrypt()函數的邊界檢查不當所導致的緩沖區溢出漏洞。遠程攻擊者可以通過發送特制的SM2內容,在系統上執行任意代碼或導致拒絕服務;(2)漏洞CVE-2021-3712,是由于X509_aux_print()函數中處理ASN.1字符串時的緩沖區溢出缺陷所導致,攻擊者可以利用該漏洞造成拒絕服務或泄露私鑰內容。OpenSSL是一個開放源代碼的軟件庫包,應用程序可以使用這個包來進行安全通信,避免竊聽,同時確認另一端連接者的身份,被廣泛應用在互聯網的網頁服務器上。目前,漏洞已被修復,建議用戶及時更新。(信息來源:BleepingComputer網)
24、智能家庭安全系統Fortress WiFi曝安全漏洞
9月1日消息,網絡安全公司Rapid7研究人員發現Fortress S03 WiFi家庭安全系統存在兩個安全漏洞。CVE-2021-39276,CVSS評分5.3和CVE-2021-39277,CVSS評分5.7。攻擊者可利用這些漏洞獲得對系統的未經授權訪問,在用戶不知情的情況下遠程禁用家庭安全系統。Fortress S03 WiFi允許用戶構建警報系統,支持安全攝像頭、門窗傳感器、玻璃破碎傳感器、振動和運動傳感器以及煙霧、氣體、水警報等。目前,Fortress還未發布補丁。研究人員建議用戶使用一次性電子郵件地址配置警報系統。(信息來源:SecurityAffairs網)
25、思科修復可視化基礎設施軟件嚴重漏洞
9月4日消息, 思科修復了企業網絡功能可視化基礎設施軟件NFVIS中的一個嚴重漏洞CVE-2021-34746,CVSS評分為9.8,該漏洞是由于在登錄過程中對認證腳本的用戶輸入驗證不完整造成的,攻擊者可利用該漏洞在認證請求中注入參數,控制受影響系統。思科已發現公開的PoC利用代碼,但未檢測到成功的在野利用。(信息來源:TheHackerNews網)
26、微軟MSHTML遠程代碼執行漏洞遭在野利用
9月8日消息,研究人員在微軟IE瀏覽器引擎MSHTML中發現遠程代碼執行漏洞CVE-2021-40444,CVSS評分為8.8。攻擊者可通過制作帶有惡意ActiveX控件的Office文檔,誘導用戶打開此文檔來利用該漏洞,成功利用該漏洞的遠程攻擊者可在受害者系統上以用戶權限執行任意代碼。目前,該漏洞已被檢測到在野利用,微軟暫未發布補丁程序。(信息來源:Microsoft 安全響應中心)
27、微軟Azure Cosmos數據庫存在嚴重漏洞
8月27日消息,以色列網絡安全研究人員發現,微軟Azure的Cosmos云數據庫系統中存在一個嚴重漏洞ChaosDB,攻擊者能夠讀取、刪除、修改存放在Cosmos云數據庫中的信息。該漏洞影響數千家企業,包括埃森克美孚、可口可樂、賽門鐵克等,以及微軟Skype、Xbox、Office等服務。目前,微軟已修復該漏洞,建議Cosmos云數據庫的客戶重新生成證書密鑰,以阻止未經授權訪問。(信息來源:Wiz網)
四、前沿技術瞭望
28、新研發掃描設備可應對來自U盤的威脅
9月3日消息,英國利物浦霍普大學的研究人員開發出一種新的掃描設備,可以對抗USB設備帶來的威脅。新掃描設備位于U盤和電腦之間,既有識別惡意軟件,充當網關或屏障的功能,還有隱藏主機信息的能力,使惡意代碼幾乎無法攻擊設備。該掃描設備通過提供額外的硬件安全層和隱藏主機操作系統信息來保護主機,并決定主機USB中存在文件的可見性和可訪問性,給予完全訪問、部分訪問或完全封鎖。該設備屬于網絡安全研究的一個新興領域,被稱為自然啟發的網絡安全。(信息來源:cnBeta網)
