網絡空間安全動態第143期
一、發展動向熱訊
1、國務院頒布《關鍵信息基礎設施安全保護條例》
8月17日消息,國務院總理李克強簽署國務院令,頒布《關鍵信息基礎設施安全保護條例》(以下簡稱《條例》),自9月1日起施行。關鍵信息基礎設施是經濟社會運行的神經中樞,是網絡安全的重中之重。制定出臺《條例》,建立專門保護制度,明確各方責任,提出保障促進措施,有利于進一步健全關鍵信息基礎設施安全保護法律制度體系。一是明確關鍵信息基礎設施范圍和保護工作原則目標;二是明確了監督管理體制;三是完善了關鍵信息基礎設施認定機制;四是明確運營者責任義務;五是明確了保障和促進措施;六是明確了法律責任。(信息來源:新華社)
2、《中華人民共和國個人信息保護法》表決通過
8月20日,十三屆全國人大常委會第三十次會議表決通過《中華人民共和國個人信息保護法》,自11月1日起施行。該法明確:通過自動化決策方式向個人進行信息推送、商業營銷,應提供不針對其個人特征的選項或提供便捷的拒絕方式;處理生物識別、醫療健康、金融賬戶、行蹤軌跡等敏感個人信息,應取得個人的單獨同意;對違法處理個人信息的應用程序,責令暫停或者終止提供服務。(信息來源:新華社)
3、五部門發布《汽車數據安全管理若干規定(試行)》
8月20日,國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、公安部、交通運輸部聯合發布《汽車數據安全管理若干規定(試行)》,自10月1日起施行。規定倡導,汽車數據處理者在開展汽車數據處理活動中堅持車內處理、默認不收集、精度范圍適用、脫敏處理等數據處理原則,減少對汽車數據的無序收集和違規濫用。規定明確,汽車數據處理者應當履行個人信息保護責任,充分保護個人信息安全和合法權益。規定強調,汽車數據處理者開展重要數據處理活動,應當遵守依法在境內存儲的規定,加強重要數據安全保護;落實風險評估報告制度要求,積極防范數據安全風險;落實年度報告制度要求,按時主動報送年度汽車數據安全管理情況。規定提出,國家有關部門依據各自職責做好汽車數據安全管理和保障工作,包括開展數據安全評估、數據出境事項抽查核驗、智能(網聯)汽車網絡平臺建設等工作。(信息來源:中國網信網)
4、工信部加強智能網聯汽車生產企業及產品準入管理
8月12日,工信部發布《關于加強智能網聯汽車生產企業及產品準入管理的意見》(以下簡稱《意見》)。《意見》從加強數據和網絡安全管理、規范軟件在線升級、加強產品管理、保障措施等方面提出11項具體意見。在強化數據安全管理能力方面,企業應當建立健全汽車數據安全管理制度,依法履行數據安全保護義務,實施數據分類分級管理,加強個人信息與重要數據保護。在加強網絡安全保障能力方面,企業應當建立汽車網絡安全管理制度,具備保障汽車電子電氣系統、組件和功能免受網絡威脅的技術措施,具備汽車網絡安全風險監測、網絡安全缺陷和漏洞等發現和處置技術條件,確保車輛及其功能處于被保護的狀態,保障車輛安全運行。(信息來源:工信部網站)
5、拜登召集政府官員及私企高管舉行網絡安全峰會
8月25日,美國總統拜登召集政府官員及私營企業高管舉行網絡安全峰會,旨在提高政府、關鍵基礎設施和私營部門的網絡安全標準。會議主要目標包括三項:一是獲得科技公司的承諾,將更多的網絡安全融入科技產品中;二是說服能源、交通運輸和制造業等關鍵行業的公司升級網絡防護水平;三是鼓勵增加網絡教育和培訓,以幫助填補美國約50萬個網絡安全職位空缺。拜登政府宣布美國國家標準與技術研究院將與行業和其他合作伙伴共同開發確保技術供應鏈安全的新框架,工業控制系統網絡安全倡議將正式由電力領域擴展到天然氣管道領域;蘋果公司宣布將建立一項推動技術供應鏈安全改進的新計劃;谷歌宣布將在未來五年內斥資100億美元加強網絡安全;IBM公司宣布將在未來三年內向15萬人提供網絡安全技能培訓;微軟宣布未來5年內將投資200億美元以加快整合網絡安全和提供先進安全解決方案;亞馬遜宣布將免費向公眾提供安全意識培訓;網絡保險提供商和教育機構也宣布將推出相應舉措。(信息來源:美國白宮網站)
6、美國防部籌劃成立零信任安全項目辦公室
8月26日消息,美國國防部代理首席信息官約翰·謝爾曼日前透露,美國國防部正在籌劃于今年10月前后成立一個零信任安全項目辦公室,以統籌及管理該部與“零信任架構”相關的項目和工作。目前美國國防部已將“零信任”視作提升美國軍事網絡整體安全性及推進“聯合全域指揮與控制”(JADC2)概念發展的關鍵技術手段。美國國防信息系統局也將在該辦公室籌辦及運作過程中發揮關鍵作用。(信息來源:國防科技要聞)
7、美國土安全部發布《人工智能/機器學習戰略計劃》
8月21日消息,美國國土安全部(DHS)科技司(S&T)發布《人工智能/機器學習(AI/ML)戰略計劃》。計劃提出了開展AI/ML的3方面目標:一是推動下一代AI/ML技術在國土安全部中的運用,增加研發投資,利用這些技術建立起安全的網絡基礎設施。二是促進現有已成熟的AI/ML能力在國土安全部任務中的部署。三是建立、培養一支跨學科的AI/ML勞動力隊伍。計劃列舉了科技司有效應對AI/ML給美國國防部、國土安全部及其所服務的任務帶來的機遇和挑戰的方法,并就發展應用AI/ML技術提出了相關啟示建議。(信息來源:美國國土安全部網站)
8、美國和新加坡擴大金融與國防領域網絡安全合作
8月25日消息,美國和新加坡宣布了三項協議,以擴大雙方在國防、金融和研究與開發等領域的網絡安全合作,包括加強信息共享、研究和培訓,以解決全球網絡安全問題。第一份協議將使兩個合作伙伴加強國家之間現有的伙伴關系,以便能夠密切合作,更好地抵御網絡攻擊。第二份協議就網絡空間的眾多活動進行合作,包括相互了解、數據共享和能力建設。第三份協議涉及新加坡金融管理局和美國財政部,旨在加強雙邊機構合作。協議內容還增加了對中國的關注。(信息來源:ZDNet網)
二、安全事件聚焦
9、立陶宛外交部機密文件在暗網被出售
8月13日消息,立陶宛外交部高度敏感信息在RaidForums黑客論壇被出售,黑客聲稱竊取了102個Outlook數據文件,包括超過160萬封電子郵件及各類文件,共300 GB,涉及立陶宛與美國總統拜登的秘密談判,以及與白俄羅斯的戰爭準備。立陶宛外交部8月11日發布聲明證實了此次網絡攻擊事件,并通知相關部門展開調查。(信息來源:LRT網)
10、巴西國庫遭勒索軟件攻擊
8月17日消息,巴西經濟部發表聲明稱,其國庫內部網絡在8月13日遭遇勒索軟件攻擊,巴西國庫秘書處已立即采取遏制措施,并召集聯邦警察協助調查。經初步評估,此次攻擊暫未對巴西國庫體系化系統造成損害。目前也無任何組織和個人表示對此次攻擊負責,但巴西政府也不排除未來一段時間內會收到勒索信件的可能。(信息來源:ZDNet網)
11、巴基斯坦聯邦稅務局1500臺計算機訪問權遭竊
8月16日消息,巴基斯坦聯邦稅務局(FBR)超1500臺計算機的網絡訪問權在俄羅斯黑客論壇被出售。FBR是巴基斯坦最高的聯邦執法機構,負責調查稅務犯罪和洗錢等。黑客首先攻擊了Microsoft Hyper-V軟件,然后入侵了該機構的官方網站及其所有子域。黑客目前以2.6萬美元的價格出售FBR的訪問權,黑客要求FBR支付3萬美元贖金。FBR表示,其數據中心遭到嚴重網絡攻擊,所有應用程序都已關閉,附屬域名仍處于離線狀態。(信息來源:HackRead網)
12、美國一家醫療機構遭Hive勒索軟件攻擊
8月15日,美國醫療機構Memorial Health System遭受了Hive勒索軟件攻擊,計算機被加密,導致臨床及財務運營中斷,16日緊急手術病例和放射學檢查被取消,工作人員被迫使用紙質圖表工作。Memorial Health System是一個非營利性綜合衛生系統,擁有3000多名員工。IT部門調查發現,攻擊者竊取了含有20萬患者敏感信息的數據庫,包括姓名、出生日期、社會安全號碼等,但員工數據未遭泄露。Hive勒索軟件組織于6月下旬出現,目前已有多個組織遭其攻擊。(來源:安恒威脅情報中心)
13、美國大通銀行意外泄露客戶信息
8月17日消息,美國大通銀行證實,其網上銀行網站和應用程序存在技術漏洞,可能允許其客戶在大通銀行網站或移動應用程序中查看其他客戶的賬戶信息(包括姓名、賬號、交易清單等)或接收賬戶對賬單。目前尚不清楚客戶在什么情況下能夠看到其他客戶的信息。大通銀行正在通知受影響的客戶,并為他們提供免費的信用監控服務。(信息來源:BleepingComputer網)
14、T-Mobile美國公司超過4000萬用戶數據遭泄露
8月14日,黑客在暗網聲稱入侵了T-Mobile美國公司的服務器,竊取了大約1億客戶的個人數據,包括姓名、出生日期、電話號碼、PIN、社會安全號碼、駕駛執照號碼等,并以6個比特幣的價格出售其中3000名用戶數據。黑客為證明其入侵了T-Mobile的服務器,還分享了部分截圖,并決定在暗網出售這些數據。T-Mobile發表聲明證實,黑客竊取了4865萬名客戶數據,包括4000萬曾向T-Mobile提出申請的潛在客戶、780萬付費客戶及85萬預付費客戶。(信息來源:BleepingComputer網)
15、諾基亞子公司遭勒索軟件攻擊致250GB數據失竊
8月24日消息,諾基亞子公司SAC Wireless披露在遭遇勒索軟件Conti攻擊后發生了數據泄露事件。Conti勒索軟件運營者成功入侵其網絡、竊取250 GB的數據并加密了系統。泄露數據包括用戶姓名、出生日期、聯系方式、身份證號碼、病史、健康保險政策信息、納稅申報信息以及該公司現任和離職員工的個人信息。SAC公司與美國各地的電信運營商、主要信號塔所有者和原始設備制造商合作,幫助客戶設計、構建和升級蜂窩網絡。SAC目前已采取多項措施,包括更改防火墻規則,斷開VPN連接,擴展多因素身份驗證等。(信息來源:安全牛網)
16、微軟低代碼開發平臺暴露3800萬條客戶數據
8月24日消息,微軟低代碼開發平臺Power Apps因默認配置不安全,導致上千款應用的3800萬條記錄在線暴露,涉及多個COVID-19接觸者追蹤平臺、疫苗接種登記、工作申請門戶以及員工數據庫。此次事件給包括美國航空公司、福特、馬里蘭州衛生部、紐約市交通局以及紐約多所公立學校造成影響。目前,未發現數據遭濫用。(信息來源:互聯網安全內參)
17、日本加密貨幣交易所遭攻擊致9400萬美元失竊
8月21日消息,日本加密貨幣交易所Liquid遭網絡攻擊,熱錢包遭攻擊者控制,價值9400萬美元的加密資產被竊取,這是該交易所第二次遭遇大型網絡攻擊。該交易所目前正在展開調查并將定期提供更新,其存款與取款服務將暫停。(信息來源:TheRecord網)
三、安全風險警示
18、CISA建議立即修補Exchange ProxyShell漏洞
8月25日消息,美國網絡安全與基礎設施安全局(CISA)發布警報,敦促組織解決被積極利用的本地Microsoft Exchange服務器漏洞ProxyShell。ProxyShell是預身份驗證路徑混淆導致的ACL繞過漏洞CVE-2021-34473,Exchange PowerShell后端特權提升漏洞CVE-2021-34523和授權后任意文件寫入導致的RCE漏洞CVE-2021-31207的統稱。攻擊者利用這些漏洞可在易受攻擊的機器上執行任意代碼。(信息來源:CISA網站)
19、中國臺灣芯片設計商Realtek軟件存在漏洞
8月16日消息,研究人員發現,中國臺灣芯片設計商Realtek的WiFi模塊附帶的三個軟件開發工具包中存在四個嚴重漏洞:(1)CVE-2021-35392,由于SSDP NOTIFY消息的不安全構造引發的WiFi Simple Config 服務器中的堆緩存溢出漏洞,CVSS評分8.1;(2)CVE-2021-35393,由于對UPnP SUBSCRIBE/UNSUBSCRIBE Callback header的不安全處理引發的WiFi Simple Config 服務器的堆緩存溢出漏洞,CVSS評分8.1;(3)CVE-2021-35394,UDPServer MP工具中的多緩存溢出漏洞和任意命令注入漏洞,CVSS評分9.8;(4)CVE-2021-35395,由于部分過長參數的不安全復制引發的HTTP web服務器boa中的緩存溢出漏洞,CVSS評分9.8。上述影響包括華碩、貝爾金、D-Link等至少65家供應商生產的近200款數十萬物聯網設備,包括VoIP、無線路由器、旅行路由器、Wi-Fi中繼器、IP攝像頭、智能照明控制等。未經驗證的攻擊者利用這些漏洞能夠完全破壞目標設備,并以最高權限執行任意代碼。目前,Realtek已向用戶提供補丁。(信息來源:HelpNetSecurity網)
20、物聯網云平臺存在嚴重漏洞影響數百萬臺設備
8月18日消息,火眼公司與美國網絡安全與基礎設施安全局聯合披露,中國臺灣物聯網廠商ThroughTek的Kalay P2P SDK云平臺存在遠程代碼執行漏洞CVE-2021-28372,CVSS評分為9.6,影響使用ThroughTek Kalay云平臺連接的數百萬臺物聯網設備。攻擊者可利用該漏洞收聽實時音頻、觀看實時視頻數據、破壞設備憑據以及使用遠程過程調用功能完全接管設備。Kalay P2P SDK用于視頻監控產品和大型音視頻文件的傳輸,擁有超過8300萬臺活躍設備,每月管理超過10億個連接。目前ThroughTek已發布更新,建議受影響用戶及時更新或升級系統。(信息來源:BleepingComputer網)
21、黑莓QNX實時操作系統存在嚴重漏洞BadAlloc
8月17日,黑莓公司公開披露其QNX實時操作系統(RTOS)受到BadAlloc漏洞CVE-2021-22156的影響。BadAlloc是影響多個RTOS和支持庫的漏洞集合。黑莓QNX實時操作系統是管理網絡數據的軟件,被廣泛應用于航空航天和國防、重型機械、鐵路、機器人、工業控制、醫療設備、汽車和手機等各類產品和系統中,可能導致攻擊者獲得對高度敏感系統的控制,從而增加國家關鍵功能的風險。目前尚未發現該漏洞被利用。(信息來源:CISA網站)
22、福特汽車被曝存在數據泄露漏洞
8月16日消息,福特汽車被曝一個較為嚴重的數據泄露漏洞CVE-2021-27653,存在于福特公司配置不當的Pega Infinity客戶管理系統中。黑客可通過該漏洞獲取包括客戶和員工個人身份信息、財務賬號、數據庫名稱和表格、OAuth訪問令牌、內部支持票證、組織內的用戶配置文件、Pulse活動、內部接口、搜索欄歷史記錄等,還可執行賬戶接管操作。福特已在漏洞披露后24小時內將這些終端離線,但尚不清楚是否有攻擊者利用該漏洞破壞福特的系統,或訪問客戶和員工的敏感信息。(信息來源:FreeBuf網)
23、SonicWall Analytics中存在配置錯誤漏洞
8月17日, SonicWALL發布安全公告,修復了SonicWall Analytics中的一個遠程代碼執行漏洞CVE-2021-20032,CVSSv3評分為9.8。SonicWall Analytics是美國SonicWall公司一款適用于網絡的高性能管理和報告引擎。該漏洞由Java調試線協議接口安全配置錯誤導致,攻擊者可利用該漏洞在未授權的情況下遠程執行惡意代碼,最終控制目標設備。SonicWall Analytics 2.5.2518及其之前的版本均受影響。目前,SonicWall已發布更新,建議用戶及時確認是否受到影響,并盡快采取修補措施。(信息來源:啟明星辰網站)
24、Fortinet防火墻存在高危命令注入漏洞
8月18日消息,研究人員在Fortinet的FortiWeb Web應用程序防火墻(WAF)中發現了一個操作系統命令注入漏洞CVE-2021-22123,影響FortiWeb WAF的管理界面。攻擊者可能會安裝持久性Shell、加密挖掘軟件或其他惡意軟件利用該漏洞,但攻擊者需要同時擁有用戶名和密碼,或者使用另一個身份驗證繞過漏洞CVE-2020-29015。因此該漏洞只能被惡意內部人員利用或錯誤地將其管理界面暴露在互聯網的設備利用。目前尚不清楚供應商是否發布補丁。(信息來源:SecurityWeek網)
25、VPN路由器存在RCE 0day漏洞
8月20日消息,思科發布安全公告稱多個小企業VPN路由器的UPnP服務中存在一個嚴重漏洞CVE-2021-34730,CVSS評分為9.8。攻擊者可利用該漏洞重啟設備,或在底層操作系統上以root用戶身份遠程執行任意代碼。思科表示,由于Small Business RV110W、RV130、RV130W 和 RV215W路由器已達生命周期,因此不予修復。建議仍然使用這些路由器的客戶遷移至新版本。目前未發現該漏洞遭在野利用。(信息來源:BleepingComputer網)
26、新版Neurevt惡意軟件攻擊墨西哥金融機構
8月17日消息,Cisco Talos發現具有間諜軟件和后門功能的新版Neurevt惡意軟件,主要攻擊墨西哥金融機構的用戶。該惡意軟件可以通過訪問受害者的系統服務令牌來提權,從而訪問操作系統、賬戶信息、銀行網站憑據、屏幕截圖并發送至C2服務器。此外,該惡意軟件還能檢測虛擬化和調試器環境,禁用防火墻,修改受害者機器中的Internet代理設置以逃避檢測和阻止分析。(信息來源:安恒威脅情報中心)
四、前沿技術瞭望
27、中科大成功研發新型量子機器學習技術
8月25日消息,中國科學技術大學中國科學院微觀磁共振重點實驗室杜江峰院士團隊在量子人工智能算法領域取得重要進展,研發出新型量子特征提取算法,實驗實現了對未知量子系統矩陣的分析與信息提取。研究團隊開發了新型基于共振的量子主要成分分析技術,將輔助量子比特的需求降低到1個,降低實驗難度。為減少實驗中的噪音干擾,該技術可以結合量子相干保護手段,有利于在實際量子處理器物理平臺上達到高精度與高效率的量子計算。同時,該技術還可以將量子算法的并行加速特性應用于應用于人工智能領域中,提升人工智能系統的效率與能力,未來有望在較大規模量子處理器上得到應用。(信息來源:中國科技大學)
28、康奈爾大學研究員發現“代碼投毒”攻擊
8月18日消息,康奈爾大學科技校區團隊的研究人員發現了一種新型的后門攻擊,可操控自然語言建模系統,生成錯誤的輸出并躲避任意可知防御措施。該團隊稱無需訪問原始代碼或模型,只需將惡意代碼上傳到很多企業和程序員經常使用的開源站點即可操縱自然語言建模系統,研究員將其命名為“代碼投毒”攻擊。這種新型攻擊在模型存在或數據收集之前就能提前實施攻擊,單次攻擊即可影響多個受害者。(信息來源:ZDNet網)
