網絡空間安全動態第145期
一、發展動向熱訊
1、2021世界互聯網大會烏鎮峰會召開
9月26日至28日,世界互聯網大會烏鎮峰會在浙江嘉興烏鎮召開,國家主席習近平向大會致賀信。來自部分國家政府、國際組織、行業機構、中外互聯網企業、高校智庫、科研機構的2000多名代表以線下或線上形式參會,共同圍繞“邁向數字文明新時代——攜手構建網絡空間命運共同體”這一主題展開交流。本次大會20個分論壇圍繞5G、人工智能、開源生態、下一代互聯網、數據與算法等網絡技術新趨勢、新熱點設置議題,回應各方對數據治理、網絡法治、互聯網企業社會責任、全球抗疫與國際傳播等方面的普遍關切。大會首次推出“攜手構建網絡空間命運共同體精品案例”發布展示,并發布《世界互聯網發展報告2021》和《中國互聯網發展報告2021》藍皮書。(信息來源:新華社)
2、我國發布《新一代人工智能倫理規范》
9月25日,國家新一代人工智能治理專業委員會發布《新一代人工智能倫理規范》,旨在將倫理道德融入人工智能全生命周期,為從事人工智能相關活動的自然人、法人和其他相關機構等提供倫理指引。同時,增強全社會的人工智能倫理意識與行為自覺,積極引導負責任的人工智能研發與應用活動,促進人工智能健康發展。該《倫理規范》明確提出,人工智能各類活動應遵循增進人類福祉、促進公平公正、保護隱私安全、確保可控可信、強化責任擔當、提升倫理素養6項基本倫理規范,以及人工智能管理規范、研發規范、供應規范和使用規范共18項具體倫理要求。該《倫理規范》自發布之日起施行。(信息來源:科技部網站)。
3、工信部部署加強車聯網網絡安全和數據安全
9月16日,工業和信息化部發布《關于加強車聯網網絡安全和數據安全工作的通知》,在網絡安全和數據安全基本要求、加強智能網聯汽車安全防護、加強車聯網網絡安全防護、加強車聯網服務平臺安全防護、加強數據安全保護、健全安全標準體系等六方面提出17項具體要求。工信部明確,各相關企業要建立網絡安全和數據安全管理制度,明確負責人和管理機構,落實網絡安全和數據安全保護責任。加強汽車、網絡、平臺、數據等安全保護,監測、防范、及時處置網絡安全風險和威脅,確保數據處于有效保護和合法利用狀態,保障車聯網安全穩定運行。(信息來源:新華社)
4、國家網信辦進一步壓實網站平臺信息內容主體責任
9月15日,國家互聯網信息辦公室發布《關于進一步壓實網站平臺信息內容主體責任的意見》(以下簡稱《意見》),旨在充分發揮網站平臺信息內容管理第一責任人作用,引導推動網站平臺準確把握主體責任,明確工作規范,健全管理制度,完善運行規則,切實防范化解各種風險隱患,積極營造清朗網絡空間。《意見》首次系統提出網站平臺履行信息內容管理主體責任的工作要求,從完善平臺社區規則、加強賬號規范管理、健全內容審核機制、提升信息內容質量、規范信息內容傳播、加強重點功能管理、堅持依法合規經營、嚴格未成年人網絡保護、加強人員隊伍建設9個方面提出具體要求。(信息來源:國家網信辦網站)
5、工信部發布關于侵害用戶權益行為的APP通報
9月23日,工業和信息化部發布關于侵害用戶權益行為的APP通報(2021年第10批,總第19批)。依據《網絡安全法》《電信條例》《電信和互聯網用戶個人信息保護規定》等法律法規,工信部近期組織第三方檢測機構對手機應用軟件進行檢查,重點對假日出行、民生服務類APP進行抽測。截至目前,尚有52款未完成整改,282款未按時限要求完成整改。被通報的APP所涉問題包括違規收集個人信息;APP強制、頻繁、過度索取用戶權限;強制用戶使用定向推送功能等。上述APP應在9月29日前完成整改落實工作。逾期不整改的,工信部將依法依規組織開展相關處置工作。(信息來源:工信部網站)
6、英國發布首個《國家人工智能戰略》
9月22日,英國文化、媒體和體育部正式發布《國家人工智能戰略》,旨在使英國成為人工智能領域的全球超級大國。該戰略標志著英國對人工智能技術立場的重大轉變,代表著英國人工智能逐步變革的開始。該戰略設定了三大主要目標:一是投資并規劃人工智能生態系統的長期需求,以延續英國作為科學和人工智能超級大國的領導地位;二是抓住英國創新的好處并確保人工智能惠及所有行業和地區,支持向人工智能經濟轉型;三是確保英國正確治理人工智能技術,以鼓勵創新、投資并保護公眾和英國基本價值觀。(信息來源:英國政府網站)
7、美眾議院擬追加55.6億元構建現代化網絡防御體系
9月16日消息,美國眾議院國土安全委員會批準了為網絡安全與基礎設施安全局(CISA)增加8.65億美元(約55.6億元人民幣)的修正案。其中,4億美元將用于該局落實拜登總統網絡安全行政令的要求,2.1億美元用于一般運營,1億美元投入人才培養,重點用于提升退伍軍人的網絡安全意識與技能、在局內實施網絡安全學徒制以及為缺少網絡安全支持的社區提供服務。此外,該修正案還計劃撥款5000萬美元用于建立多州信息共享與分析中心、5000萬美元用于擴展CISA的資產發現項目、2500萬美元用于制定并執行國家級多因素身份驗證制度、2000萬美元用于擴大CISA與國際伙伴在關鍵基礎設施保護計劃中的合作、1000萬美元用于國家經歷重大宕機并需要快速重啟的情況下制定經濟連續性保障計劃。(信息來源:Nextgov網)
8、美眾議院提議成立聯邦貿易委員會數據安全局
9月13日消息,美國眾議院能源和商務委員會啟動新的立法議案,計劃在未來十年內為聯邦貿易委員會(FTC)提供10億美元用于建立并運營新的數據安全局,負責管理FTC內部涉及隱私、數據安全、身份盜用、數據濫用等問題的不公平或欺詐行為。但在如何設立該局、具體關注哪些特定隱私或安全監管領域、實際人員需求以及如何與貿易委員會下轄的其他部門開展交互等問題上,該議案暫未做出任何詳盡或方向性說明。(信息來源:SC Media網站)
9、美國土安全部發布初步跨部門控制系統安全目標
9月23日消息,美國國土安全部、國家標準與技術研究院(NIST)發布了關鍵基礎設施控制系統網絡安全績效目標,這是白宮7月28日發布的《關于改善關鍵基礎設施控制系統網絡安全的國家安全備忘錄》所要求的一套自愿跨部門安全目標。這些初步目標將不遲于2022年7月28日完成,同時將制定具體部門的目標。初步目標涵蓋風險管理和網絡安全治理;建筑與設計;配置和更改管理;物理安全;系統數據完整性、可用性和保密性;持續監控和漏洞管理;培訓和意識;事件響應和恢復和供應鏈風險管理9類安全做法。國土安全部將與政府和部門合作,確定每個部門內部增強目標的適用性。(信息來源:NIST網站)
10、歐盟監管機構對TikTok開啟兩項數據隱私調查
9月15日消息,愛爾蘭數據保護委員會根據《通用數據保護條例》(GDPR)規定,針對字節跳動旗下的短視頻分享應用TikTok平臺啟動兩項調查。第一項調查涉及18歲以下用戶的個人數據處理,以及13歲以下用戶的年齡驗證措施;第二項調查側重于TikTok向中國轉移個人數據,以及向歐盟以外的國家轉移個人數據時是否遵守了GDPR。TikTok回應稱,將加強用戶數據隱私保護,并計劃在愛爾蘭建立數據中心。(信息來源:路透社)
二、安全事件聚焦
11、俄羅斯國家杜馬選舉在線投票系統遭攻擊
9月20日消息,俄羅斯駐美國大使館在社交媒體發表聲明稱,俄羅斯國家杜馬選舉期間,其網絡投票系統連續兩天遭到來自美國、德國和烏克蘭IP地址的網絡攻擊。攻擊者通過操控不同區域的多臺計算機迫使對方網絡或系統資源耗盡,被迫暫停服務,導致用戶無法正常訪問。俄方已掌握大量美國情報機構和網絡公司干擾其大選的證據,期待美國政府就此次攻擊事件給出詳盡解釋,并警告美國不要進一步干涉俄羅斯選舉。(信息來源:央視新聞網)
12、南非司法和憲法發展部遭勒索軟件攻擊
9月17日消息,南非司法和憲法發展部遭勒索軟件攻擊,所有的信息系統都被加密,內部員工以及公眾都無法使用,包括簽發授權書、保釋服務、電子郵件和部門網站在內的多項服務受到影響,但未影響當月的兒童撫養費發放。南非司法和憲法發展部正在努力恢復其運營,調查期間,所有基于網絡的司法服務都將處于離線狀態,部分業務會轉為人工程序,以盡可能地減輕網絡攻擊所造成的負面影響。截止目前,沒有勒索軟件團伙宣稱為此次攻擊負責。(信息來源:SecurityAffairs網)
13、歐洲呼叫中心巨頭分部遭Conti勒索軟件攻擊
9月27日消息,歐洲呼叫中心巨頭Covisian的西班牙語分部(GSS)遭Conti勒索軟件襲擊,內部系統被迫癱瘓,導致西班牙、南美洲的多個組織客服意外中斷服務,包括移動運營商沃達豐、電信運營商MasMovil、馬德里市供水公司、多家電視臺及私營企業等。Covisian是歐洲規模最大的客戶服務與呼叫中心供應商之一。GSS公司表示,他們已經下線了此次受影響的所有內部系統,目前正使用基于谷歌的系統作為替代方案,在事件解決之前,所有應用都無法重新上線。(信息來源:The Record網)
14、美國農業合作社系統遭勒索攻擊被迫中斷
9月23日消息,美國明州的農業合作社Crystal Valley遭勒索軟件攻擊,所有系統關閉,運營被迫中斷,位于曼凱托總部的所有合作社系統均已關閉,電話系統同樣受到攻擊影響。該公司表示,內部IT團隊正與多家外部技術供應商合作,全方位恢復數據和服務運營。此次攻擊是近期針對美國農業合作社的第二起攻擊。9月19日,位于愛荷華州的農場服務供應商NEW Cooperative也遇到勒索軟件攻擊。BlackMatter勒索團伙宣布對此事負責,并要求受害者支付590萬美元贖金。(信息來源:互聯網安全內參網)
15、醫療公司奧林巴斯遭BlackMatter勒索軟件攻擊
9月14日消息,日本醫療公司奧林巴斯遭BlackMatter勒索軟件攻擊,其在歐洲、中東和非洲的部分銷售和制造網絡產生影響。該公司在檢測到可疑網絡攻擊后,立即啟動應急響應解決此次事件。雖然客戶安全和服務沒有受到影響,但作為調查的一部分,該公司已暫停受影響系統中的數據傳輸,并通知合作伙伴。(來源:BleepingComputer網)
16、黑客組織TeamTNT發起新攻擊感染數千個組織
9月22日消息,AT&T外星人實驗室網絡安全研究人員發現,黑客組織TeamTNT在運行一項針對多個操作系統和應用程序的攻擊活動Chimaera,已經在全球范圍內引起了數千起感染。該攻擊使用多個shell/批處理腳本、新的開源工具、加密貨幣礦工、TeamTNT IRC bot等,從受感染的機器上竊取用戶名和密碼。自2020年以來,TeamTNT一直是最活躍的黑客組織之一,通常使用Lazagne開源工具,反病毒軟件難以檢測。(信息來源:ZDNet網)
17、1.06億條泰國游客個人數據遭泄露
9月21日,網絡安全研究人員Bob Diachenko發現一個大小為200GB但未受保護的Elasticsearch數據庫,含有超過1.06億泰國游客個人詳細信息,包括姓名、性別、身份信息、護照號碼、抵達日期、簽證信息和泰國入境卡號碼等,部分數據可以追溯到十年前。研究人員在8月22日發現這個不安全數據庫后立即通知了泰國當局。目前,無法確定數據庫在被發現之前的暴露程度,泰國當局稱,數據庫中不包含任何財務數據,也沒有被未經授權者訪問。(信息來源:SecurityAffairs網)
18、GetHealth因數據庫配置錯誤泄露6100萬條記錄
9月13日消息,WebsitePlanet網絡安全研究團隊發現一個沒有密碼保護的數據庫,包含超過6100萬條記錄,如姓名、性別、出生日期、體重、身高和GPS日志,以及其他數據集。該數據庫屬于總部位于美國紐約的GetHealth公司,大部分數據源來自Fitbit和Apple的HealthKit。該公司在得到通知后立即做出響應,在數小時內對數據庫進行保護。目前尚不清楚數據庫在線暴露的時間及受影響的人數。(信息來源:ZDNet網)
19、英國防部意外暴露250多名阿富汗口譯員個人信息
9月23日消息,Arap(英國國防部負責阿富汗安置和援助的部門)在用電子郵件同身處阿富汗或已經抵達第三國的阿富汗口譯員聯系時,誤將250多位口譯員的資料外泄,包括姓名、電郵、個人資料和照片。此次泄露事件應是人為疏忽,且存在泄露機密的風險。英國國防部已公開致歉并宣布將立即調查此事件,同時呼吁收件者應緊急刪除信件,口譯人員要盡快更改電郵信箱。(信息來源:互聯網安全內參網)
三、安全風險警示
20、海康威視攝像機存在高危漏洞影響數億用戶
9月26日消息,研究人員在海康威視IP攝像機/NVR設備固件中發現一個未認證的遠程代碼執行漏洞CVE-2021-36260,CVSS評分9.8,漏洞影響IP攝像頭和NVR設備固件,包括今年6月的最新固件以及2006年發布的固件。攻擊者只需要訪問http或HTTPS服務器端口(80/443)即可利用該漏洞,無需用戶名、密碼以及其他操作,除了以root shell來完全控制設備,入侵IP攝像頭外,還可以訪問和攻擊內部網絡,預計超1億臺設備受影響。海康威視已修復漏洞,并通知用戶更新。(信息來源:HacKdig網)
21、美三部門聯合發布WindowsAD域管理軟件漏洞警報
9月16日,美國聯邦調查局(FBI)、美國海岸警衛隊網絡司令部(CGCYBER)和網絡安全與基礎設施安全局(CISA) 發布聯合警報,稱有APT組織正利用Windows AD域管理軟件中的身份驗證繞過漏洞CVE-2021-40539展開攻擊活動。其攻擊目標為運輸、IT、通信、金融等領域的學術機構、國防承包商和關鍵基礎設施實體。FBI、CISA和CGCYBER敦促用戶和管理員盡快更新。(信息來源:安恒情報威脅中心)
22、美國VMware虛擬化管理軟件存在多個漏洞
9月24日消息,VMware官方發布漏洞公告,稱其虛擬化管理軟件VMware vCenterServer中存在多個安全漏洞。包括(文件上傳漏洞CVE-2021-22005,CVSS評分9.8;本地提權漏洞CVE-2021-21991,CVSS評分8.8;反向代理繞過漏洞CVE-2021-22006,CVSS評分8.3;服務器未經身份驗證的API端點漏洞CVE-2021-22011,CVSS評分8.1等),影響多個版本。VMware vCenter Server是美國威睿(Vmware)公司的一套服務器和虛擬化管理軟件,廣泛應用于企業私有云內網中,可自動實施和交付虛擬基礎架構。VMware建議用戶盡快采取修補措施。(信息來源:VMware網站)
23、美國CISA稱三菱工業控制器存在多個漏洞
9月22日消息,美國網絡安全與基礎設施安全局(CISA)發布緊急安全通知,稱三菱電機MELSEC iQ-R系列CPU模塊存在一系列漏洞,該模塊部署在全球關鍵制造部門。漏洞被跟蹤為CVE-2021-20594,CVSS評分5.9;CVE-2021-20597,CVSS評分7.4;CVE-2021-20598CVSS評分3.7。受影響產品包括R08/16/32/120SFCPU所有版本和R08/16/32/120PSFCPU所有版本。目前還沒有針對這些漏洞的修復補丁,用戶將面臨未經授權的遠程訪問、CPU模塊訪問、DoS攻擊、網絡流量嗅探等風險。CISA敦促易受攻擊產品的用戶盡快采取緩解措施。三菱公司已推出針對前兩個漏洞的固件修復,第三個漏洞將自動修復。(信息來源:TechNadu網)
24、德國持續集成供應商Travis CI被曝安全漏洞
9月18日消息,德國持續集成供應商Travis CI修補了一個嚴重漏洞CVE-2021-41077。該漏洞暴露了簽名密鑰、API密鑰和訪問令牌憑證,使用公開源代碼倉庫的組織機構面臨攻擊風險。Travis CI提供托管式CI/CD解決方案,用于構建和測試托管在源代碼倉庫系統(GitHub和Bitbucket)上的軟件項目。Travis CI稱尚未發現該漏洞遭惡意利用的證據,建議用戶經常更換密鑰。(信息來源:TheHackerNews網)
25、網絡管理產品Nagios中存在11個安全漏洞
9月23日消息,工業網絡安全公司Claroty的研究人員在廣泛使用的網絡管理產品Nagios中發現11個漏洞(CVE-2021-37343—CVE-2021-37353),可能導致遠程代碼執行、憑據盜竊、網絡釣魚攻擊、本地升級特權用戶權限等。通過組合利用其中一些漏洞,攻擊者可以使用高權限root實現身份驗證后的遠程代碼執行。Nagios產品使用范圍廣泛,涉及政府、國防工業、醫療、能源、金融等。供應商已發布補丁,建議用戶盡快更新。(信息來源:SecurityWeek網)
26、開放管理基礎設施軟件OMI中存在多個漏洞
9月18日消息,微軟修復了開放管理基礎設施(OMI)軟件代理中存在的四個零日漏洞,統稱為OMIGOD。其中一個為遠程代碼執行漏洞CVE-2021-38647,CVSS評分9.8,未經身份認證的攻擊者可通過HTTPS協議發送特制的數據包到目標系統的OMI端口,實現遠程代碼執行。三個為權限提升漏洞(CVE-2021-38648,CVSS評分7.8;CVE-2021-38645, CVSS 評分7.8;CVE-2021-38649,CVSS評分7.0)。攻擊者可利用上述漏洞遠程執行代碼或提升云計算平臺Azure上易受攻擊的Linux虛擬機權限,數以千計的Azure客戶和數百萬個端點可能面臨風險。OMI支持大多數Unix和Linux系統,適用于嵌入式系統和其他基礎設施組件。微軟建議用戶限制對OMI偵聽端口5985、5986、1270的網絡訪問。(信息來源:SecurityAffairs網)
27、微軟發布安全更新修復MSHTML RCE漏洞
9月15日,微軟發布66個安全修復程序和更新解決影響Windows和其他組件(包括Azure、Office、BitLocker和 Visual Studio)的安全漏洞。其中包括被積極利用的MSHTML遠程代碼執行漏洞CVE-2021-40444,CVSS評分8.8。攻擊者通過精心制作的包含惡意ActiveX的Offcie文檔,誘導用戶打開,從而實現遠程代碼執行。研究人員已截獲利用MSHTML漏洞攻擊俄羅斯火箭中心和內政部的電子郵件,建議用戶盡快更新。(信息來源:微軟安全響應中心網站)
四、前沿技術瞭望
28、我國科學家首次實現量子安全直接通信網絡
9月23日消息,上海交通大學陳險峰團隊和江西師范大學李淵華等人合作,利用量子安全直接通信原理,首次實現了網絡中15個用戶之間的安全通信,其傳輸距離達40公里,該研究為未來基于衛星量子通信網絡和全球量子通信網絡奠定了基礎。實驗結果表明,其信息傳輸率達到了1Kbp/s,以此實驗為基礎,研究人員可以開展更長距離的量子通信網絡研究,以及實現星地之間,乃至全球化的量子通信網絡。(信息來源:科技日報)
