網絡空間安全動態第146期
一、發展動向熱訊
1、工信部等八部門印發物聯網新型基礎設施建設計劃
9月29日,工業和信息化部等八部門聯合印發《物聯網新型基礎設施建設三年行動計劃(2021—2023年)》(以下簡稱《行動計劃》)。《行動計劃》明確到2023年底,在國內主要城市初步建成物聯網新型基礎設施,社會現代化治理、產業數字化轉型和民生消費升級的基礎更加穩固。具體目標為,突破一批制約物聯網發展的關鍵共性技術,培育一批示范帶動作用強的物聯網建設主體和運營主體,催生一批可復制、可推廣、可持續的運營服務模式,導出一批賦能作用顯著、綜合效益優良的行業應用,構建一套健全完善的物聯網標準和安全保障體系。(信息來源:工信部網站)
2、工信部就《工業和信息化領域數據安全管理辦法》征求意見
9月30日,工信部發布《工業和信息化領域數據安全管理辦法(試行)(征求意見稿)》(以下簡稱《辦法》),向社會公開征求意見。《辦法》提出,工業和電信數據處理者收集數據應當遵循合法、正當、必要的原則,不得竊取或以其他非法方式收集數據。未經個人、單位等同意,不得使用數據挖掘、關聯分析等技術手段針對特定主體進行精準畫像、數據復原等加工處理活動。《辦法》指出,工業和電信數據處理者在中華人民共和國境內收集和產生的重要數據,應當依照法律、行政法規要求在境內存儲,確需向境外提供的,應當依法依規進行數據出境安全評估,在確保安全的前提下進行數據出境,并加強對數據出境后的跟蹤掌握。核心數據不得出境。(信息來源:工信部網站)
3、網信辦等九部委加強互聯網信息服務算法綜合治理
9月29日,國家互聯網信息辦公室、中央宣傳部等九部委發布《關于加強互聯網信息服務算法綜合治理的指導意見》。意見提出,利用三年左右時間,逐步建立治理機制健全、監管體系完善、算法生態規范的算法安全綜合治理格局。意見要求,維護網絡空間傳播秩序、市場秩序和社會秩序,防止利用算法干擾社會輿論、打壓競爭對手、侵害網民權益等行為,防范算法濫用帶來意識形態、經濟發展和社會管理等方面的風險隱患。(信息來源:中國網信網)
4、《上海市數據條例(草案)》公開征求意見
9月30日,上海市人大常委會辦公廳發布《上海市數據條例(草案)》(征求意見稿),公開向社會征求意見。征求意見稿共十章九十一條,分為總則、數據權益保障、公共數據、數據要素市場、數據資源開發和應用、浦東新區數據改革、長三角區域數據合作、數據安全、法律責任和附則。重點明確了數據發展和管理體系、數據權益保障、公共數據授權運營、數據要素市場培育、浦東新區數據改革、長三角區域數據合作以及數據安全治理等。(信息來源:上海人大網)
5、2021年國家網絡安全宣傳周在西安開幕
10月11日至17日,2021年國家網絡安全宣傳周在全國范圍內統一開展,開幕式、網絡安全高峰論壇等重要活動在西安舉行。今年宣傳周圍繞網絡安全領域的新熱點、新進展、新成果,通過展覽、論壇、云課堂、公益廣告等形式,深入宣傳網絡安全領域的法律法規、政策標準、重大舉措,大力營造全社會共筑網絡安全防線的濃厚氛圍。國家網絡安全宣傳周期間,還將舉行校園日、電信日、法治日、金融日、青少年日、個人信息保護日等系列主題日活動。(信息來源:新華網)
6、拜登簽署《2021年K-12網絡安全法案》
10月8日,美國總統拜登簽署《2021年K-12網絡安全法案》,以加強K-12學校的網絡安全,強調保護美國各地學校敏感信息的重要性。該法案要求,美國網絡安全與基礎設施安全局將在120天內完成對K-12學校面臨的網絡安全風險研究,并為學校提供網絡安全建議和工具,以抵御攻擊。(信息來源:美國國會山網站)
7、美國發布“后量子密碼過渡”路線圖
10月4日,美國國土安全部(DHS)與國家標準與技術研究院(NIST)合作發布了應對量子技術風險的路線圖,旨在幫助企業保護其數據和系統,降低量子技術發展相關的風險,主要包括參與標準組織、制定關鍵數據目錄、制定加密技術目錄、識別內部標準、公鑰加密識別、識別系統替換優先級和制定過渡計劃七個具體步驟。此外,路線圖還明確了后量子密碼過渡時期的兩大關鍵,一是嚴控采購,在NIST完成具有批準算法的替換產品的標準化、實施和測試之前,各部門不得采購任何后量子密碼行業產品;二是關鍵要素,過渡計劃和密碼技術清單是DHS進行量子準備工作的關鍵要素。國土安全部首席信息安全官將在2022財年第三季度之前為加密技術組件清單提供指導,并在2023財年第一季度之前制定過渡計劃。(信息來源:DHS網站)
8、美國國家地理空間情報局發布新數據戰略
10月6日,美國國家地理空間情報局(NGA)發布新的數據戰略,概述了其轉型和改進數據創建、管理和共享方式的計劃,以保持其在提供地理空間情報方面的主導地位。新戰略描述了NGA為滿足其使命和業務需求而追求的四個關鍵目標:(1)將數據作為戰略資產進行管理:部署聯合企業數據治理框架,確保主動、戰略性和一致地管理數據,同時實現敏捷性、靈活性和創新。(2)將數據作為共享服務交付:提供以高效直觀的方式將數據(包括消費數據和創建數據)直接交付給消費者的服務。(3)擴展數據和分析能力:支持改變NGA運營方式的數據創新;為情報界、國防部和地理空間業界內的卓越數據和分析以及領先實踐樹立榜樣。(4)提高員工的數據素養:促進數據文化并提高員工的數據敏銳度。(信息來源:ParabolicArc網站)
9、日本網絡安全戰略首次將中俄朝列為網絡攻擊“威脅”
9月27日,日本政府舉行網絡安全戰略本部會議,確定了新版網絡安全戰略議案,戰略中首次將中國、俄羅斯和朝鮮列為潛在網絡攻擊“威脅”。戰略稱,日本網絡安全形勢面臨迅速向危機局勢演變的風險,網絡攻擊在國際法范疇下可以被視為(國家)行使武力或武力攻擊,有必要提高抑制能力。并提出為實現“自由開放的印太”構想,日本將在網絡領域加強與美澳印三國和東南亞國家聯盟的合作。(信息來源:環球網)
10、英國計劃耗資50億英鎊建設國家網絡部隊總部
10月9日消息,英國國防大臣本·華萊士表示,英國政府將耗資50億英磅建立國家網絡部隊(NCF)總部。該部將設在蘭開夏郡的薩默斯伯里,由英國國防部和政府通訊總部(GCHQ)共同運營,這將使英國處于能夠發動進攻性網絡攻擊的國家的“前沿”。該部計劃在2030年全面投入運營,預計屆時將雇用數千名網絡專家和分析師。(信息來源:奇安網情局)
二、安全事件聚焦
11、38億條Clubhouse和Facebook用戶數據被出售
10月7日消息,研究人員發現有用戶在某知名黑客論壇出售一個包含38億Clubhouse和Facebook用戶記錄的數據庫,報價10萬美元。被泄露數據包括姓名、電話號碼、Clubhouse排名和Facebook個人資料鏈接。攻擊者可通過使用泄漏數據來攻擊潛在受害者;開展有針對性的網絡釣魚和其他社會工程活動;向38億個電話號碼和Facebook個人資料發送垃圾郵件;暴力破解受影響的Facebook個人賬戶密碼。研究人員建議用戶更改Clubhouse和Facebook賬戶密碼并啟用雙因素身份驗證。(信息來源:安全牛網)
12、全球電信企業Syniverse承認用戶數據遭泄露
10月8日消息,全球電信企業Syniverse承認了發生在5月份的一起黑客攻擊事件。經調查發現,自2016年5月以來,黑客多次入侵該企業的電子資料傳輸環境,并訪問其數據庫,約有235家客戶受到波及。Syniverse客戶主要為電信企業(全球擁有800多家客戶)和大型技術企業(全球擁有450多家客戶),服務內容包括全球網絡服務、電信企業解決方案、通訊解決方案、協助全球移動網絡運營商進行全球的連接與通訊等。目前,Syniverse已修復漏洞,所有客戶都已收到通知并重置憑據。(信息來源:E安全網)
13、墨西哥政府衛生機構遭攻擊致新冠患者信息泄露
9月30日消息,墨西哥政府衛生機構Inmegen遭CoomingProject黑客組織攻擊,一個與收集新冠病毒患者信息相關的數據庫遭泄露,包含姓名、年齡、出生日期、電子郵件、電話及其他詳細信息等。該黑客組織聲稱已從Inmegen及其合作伙伴處竊取了50GB數據,暫未提出贖金要求。(信息來源:DataBreaches網)
14、英國工程巨頭遭勒索攻擊致運營臨時中斷
10月7日,英國工程巨頭偉爾集團9月遭受了一起勒索軟件攻擊,導致出貨、制造與工程系統發生中斷,集團損失達5000萬英鎊(約4.38億元人民幣)。該集團已針對復雜的外部攻擊行為做出了快速全面響應,并最大程度減少客戶受到的影響。截止目前,還沒有證據表明有任何個人或其他敏感數據遭外泄或被加密。偉爾公司在全球50多個國家/地區擁有11500多名員工,主要服務于采礦、基礎設施以及石油與天然氣等市場。(信息來源:BleepingComputer網)
15、日本跨國公司遭攻擊被勒索700萬美元贖金
10月11日消息,日本跨國公司JVCKenwood在歐洲的銷售公司服務器遭Conti勒索軟件攻擊,攻擊者聲稱竊取了包含該公司客戶和供應商信息的1.7TB數據,要求該公司支付700萬美元贖金,否則將對外公布被盜信息。Conti是一個勒索軟件家族,可能由TrickBot黑客組織運營,曾針對塔爾薩市、愛爾蘭衛生服務執行局和眾多醫療保健組織發起攻擊。目前,該公司正在開展調查。(信息來源:E安全網)
16、美國醫療中心UHC遭Vice Society勒索軟件攻擊
9月26日消息,總部位于美國加利福尼亞州的美國醫療中心(UHC)遭Vice Society勒索軟件攻擊,IT系統中斷,部分數據遭泄露,包括患者補助、財務文件、化驗結果等敏感信息,其擁有的21個社區醫療中心均受影響。UHC表示,已經開始對電腦進行重新鏡像,并從離線備份中恢復數據,但尚未披露此次攻擊的具體時間及泄漏患者數據的潛在危害。Vice Society是一個相對較新的勒索軟件,于今年6月出現,20%的受害者屬于醫療保健行業。(信息來源:Bleeping Computer網)
17、GriftHorse惡意軟件感染1000萬部安卓手機
10月6日消息,安全人員發現了一款大規模活躍的GriftHorse惡意軟件,攻擊者將該惡意軟件隱藏在谷歌應用商店和第三方安卓應用商店的APP中,通過向用戶發送彈窗和通知,提供各種獎品和特別優惠,誘導用戶訂閱收費超過30歐元每月的高級短信服務,竊取受害者錢財。該惡意軟件自2020年11月開始活躍。目前全球70多個國家的1000多萬部安卓智能手機被感染,涉及金額可能高達數億歐元。(信息來源:SecurityAffairs網)
18、網絡攻擊導致厄瓜多爾最大私人銀行系統關閉
10月12日消息,厄瓜多爾最大私人銀行Banco Pichincha遭網絡攻擊,導致業務中斷,ATM和在線銀行門戶網站下線,為防止攻擊蔓延至其他系統,銀行暫時關閉了部分業務。該銀行的內部通知顯示,銀行應用程序、電子郵件、數字渠道和自助服務由于技術問題將無法運行,自助服務客戶可被引導至銀行柜員窗口,以便在停電期間繼續為用戶提供服務。Banco Pichincha承認遭網絡攻擊,目前正在協助網絡安全專家調查該事件。(信息來源:Bleeping Computer網)
19、印度27家金融機構遭Drinik銀行木馬攻擊
10月3日消息,印度聯邦網絡安全機構CERT-In表示,近期出現了一種針對安卓智能手機的銀行木馬病毒Drinik,該病毒已經攻擊了超過27家印度金融機構。Drinik病毒通過向用戶顯示一個虛假的銀行頁面來誘導用戶輸入敏感信息(包括姓名、出生日期、PAN、Aadhaar號碼、地址、手機號碼和電子郵件等),用于從銀行服務器中竊取數據和資金。專家建議金融機構應針對Drinik銀行木馬做好防范。(信息來源:安恒威脅情報中心)
20、安卓惡意應用程序瞄準巴西PIX支付系統
10月5日消息,安全研究人員在Google Play應用商店中發現2個惡意安卓應用程序PixStealer和MalRhino,主要針對巴西PIX即時支付生態系統的用戶。攻擊者通過惡意應用程序分發不同的銀行惡意軟件變種,通過用戶交互和原始PIX應用程序竊取受害者錢財。Pix于2020年11月由該國貨幣當局巴西中央銀行推出,是一個國有支付平臺,該平臺可以讓消費者和公司無需借記卡或信用卡即可從其銀行賬戶進行轉賬。目前,惡意應用程序已被刪除。(信息來源:TheHackerNews網)
三、安全風險警示
21、工業路由器漏洞使多家工業公司面臨網絡攻擊風險
10月11日消息,研究人員在工業物聯網解決方案提供商InHand Networks生產的IR615 LTE路由器上發現了13個嚴重的漏洞,包括嚴重的跨站請求偽造、遠程代碼執行、命令注入和弱密碼策略問題以及嚴重程度不正確的授權和跨站腳本漏洞等,其中9個漏洞CVSS評分在8分以上。這批嚴重漏洞使許多工業組織暴露在黑客遠程攻擊之下,攻擊者可通過運行CLI命令在設備上獲得第一個立足點;在設備上植入第一個后門作為持久潛伏階段;并開始掃描內部組織網絡,以提高攻擊者的特權,并轉移網絡上的敏感資產;擾亂產品線的日常功能,造成額外的損害和財務成本。該公司在中國、美國和德國設有辦事處,在四川和浙江設有研發中心,其產品在世界各地使用。目前,InHand Networks暫未做出回應。(信息來源:SecurityWeek網)
22、物聯網監控平臺NanoMQ存在漏洞影響一億臺設備
10月3日消息,研究人員在NanoMQ中發現一個零日漏洞,由內存緩沖區范圍內的操作限制不當引起。NanoMQ是EMQ的一個開源平臺,可實時監控物聯網設備,其產品用于監測出院患者的健康狀況、探測火災、監測汽車系統、智能手表、智慧城市應用等。該漏洞可能導致系統崩潰、傳感器、醫療設備損壞,上萬家企業的一億多臺設備易受攻擊,數百萬人的生命和財產處于危險之中。目前,軟件開發商已修復漏洞,建議用戶盡快更新。(信息來源:ThreatPost網)
23、霍尼韋爾產品被曝存在三個嚴重漏洞
10月7日消息,工業網絡安全公司Claroty的研究人員發現,工業巨頭霍尼韋爾的Experion過程知識系統(PKS)受三個漏洞影響,其中CVE-2021-38395和CVE-2021-38397被評定為嚴重級別,CVSS評分為9.1和7.5,允許攻擊者遠程執行系統上的任意代碼或導致拒絕服務條件。第三個為路徑遍歷漏洞CVE-2021-38399,被列為高度嚴重,CVSS評分10,攻擊者可利用該漏洞訪問設備上的文件和文件夾。目前,霍尼韋爾已為受影響的Experion PKS版本提供了補丁,并敦促用戶盡快遷移到最新的版本。(信息來源:Honeywell網站)
24、開源平臺OnionShare中被曝存在安全漏洞
10月4日消息,研究人員發現OnionShare上存在兩個漏洞。(1)未經身份驗證的文件上傳漏洞CVE-2021-41868,由receive_mode.py函數中的一個邏輯問題導致;(2)信息泄露漏洞CVE-2021-41867,未經身份驗證的攻擊者可利用該漏洞啟動websocket連接并檢索用戶的完整列表。OnionShare是一種開源通信服務,提供安全的聊天、文件共享和其他通信功能。目前,漏洞已被修復。(信息來源:NIST網站)
25、蘋果AirTag產品被曝存儲型跨站點腳本漏洞
10月9日消息,安全研究員在蘋果AirTag產品中發現一個存儲型跨站腳本攻擊漏洞。AirTag是一種用來充當鑰匙查找器的追蹤設備,可以幫助用戶查找個人物品(例如鑰匙、包、服裝、小型電子設備、車輛等),用戶可以通過AirTag丟失模式將設備標記為丟失,然后生成一個唯一的https://found.apple.com頁面。攻擊者可通過電腦共享,將該頁面用作釣魚鏈接,通過Find My應用程序發起注入攻擊。(信息來源:SecurityAffairs網)
26、大華攝像頭2個漏洞PoC泄露影響120多萬臺設備
10月9日消息,大華攝像頭中的兩個漏洞概念驗證程序(PoC)泄露,漏洞編號為CVE-2021-33044和CVE-2021-33045,攻擊者可通過構建惡意數據包來繞過設備身份驗證,全球范圍內至少有超過120萬臺大華設備可能存有風險。研究人員建議,用戶須盡快安裝最新固件版本,并更改設備初始密碼。(信息來源:SecurityAffairs網)
27、SonicWall修復SMA 100系列中任意文件刪除漏洞
9月28日消息,互聯網安全方案提供商SonicWall發布安全公告,修復了SMA 100系列設備(包括SMA 200、210、400、410和500v)中的一個任意文件刪除漏洞CVE-2021-20034,CVSS評分9.1。由于對文件路徑限制不當,未經身份驗證的遠程攻擊者可繞過路徑遍歷檢查并從SMA 100系列設備上刪除任意文件,最終獲得對該設備的管理員權限,或導致設備重新啟動到出廠默認設置。目前該漏洞已被修復,SonicWall建議受影響用戶及時更新。(信息來源:啟明星辰網站)
28、思科修復IOS XE軟件中三個嚴重漏洞
9月27日消息,思科修復了影響其IOS XE網絡操作系統的三個嚴重漏洞。(1)遠程代碼執行漏洞CVE-2021-34770,CVSS評分10,存在于CAPWAP(無線接入點的控制和供應)數據包的處理過程中,攻擊者可以通過向受影響的設備發送特制的CAPWAP數據包利用該漏洞,以管理權限執行任意代碼,使受影響設備崩潰并重新加載,導致拒絕服務;(2)緩沖區溢出漏洞CVE-2021-34727,CVSS評分9.8,由接受設備的傳入網絡流量邊界檢查不足導致,允許攻擊者傳輸專門設計的流量,從而導致以根級別權限執行任意代碼或設備重新加載。(3)身份驗證繞過漏洞CVE-2021-1619,CVSS評分9.8,與Cisco IOS XE軟件的身份驗證、授權和記賬功能中的未初始化變量有關,該變量允許經過身份驗證的遠程攻擊者安裝、操作或刪除網絡設備的配置或損壞設備上的內存。思科建議用戶和管理員盡快更新。(信息來源:TheHackerNews網)
四、前沿技術瞭望
29、研究人員發現用以太網線作天線的新型電磁攻擊
10月9日消息,以色列內蓋夫本·古里安大學網絡安全研究中心驗證了一種新的數據泄露機制LANTENNA Attack。該機制利用以太網電纜作為“傳輸天線”,從物理隔離系統中竊取敏感數據。研究人員指出,惡意代碼既能在普通用戶模式進程中運行,也能在虛擬機內成功運行。研究人員提出了幾種用于對抗LANTENNA攻擊的防御措施:對物理網絡區域實施隔離,禁止無線電接收器;在用戶和內核級別監視網絡接口卡鏈接活動,鏈接狀態的任何變化都應觸發警報;使用射頻監控硬件設備識別LANETNNA頻段的異常情況;通過干擾LANTENNA頻段來阻塞隱蔽信道;屏蔽電纜。(信息來源:安全牛網)
