網絡空間安全動態第131期
一、發展動向熱訊
1、中辦、國辦印發《建設高標準市場體系行動方案》
1月31日,中共中央辦公廳、國務院辦公廳印發《建設高標準市場體系行動方案》。方案提出,要加快培育發展數據要素市場。制定出臺新一批數據共享責任清單,加強地區間、部門間數據共享交換。研究制定加快培育數據要素市場的意見,建立數據資源產權、交易流通、跨境傳輸和安全等基礎制度和標準規范,推動數據資源開發利用。積極參與數字領域國際規則和標準制定。(信息來源:新華社)
2、強制性國家標準《網絡關鍵設備安全通用要求》發布
2月20日,國家市場監督管理總局(國家標準化管理委員會)發布強制性國家標準:GB 40050-2021《網絡關鍵設備安全通用要求》。標準主要內容包括安全功能要求和安全保障要求。安全功能要求聚焦于保障和提升設備的安全技術能力,主要包括設備標識安全、冗余備份恢復與異常檢測、漏洞和惡意程序防范、預裝軟件啟動及更新安全、用戶身份標識與鑒別、訪問控制安全、日志審計安全、通信安全、數據安全以及密碼要求10個部分。安全保障要求聚焦于規范網絡關鍵設備提供者在設備全生命周期的安全保障能力,主要包括設計和開發、生產和交付、運行和維護三個環節的要求。該標準將于2021年8月1日正式實施。(信息來源:中國通信標準化協會)
3、拜登簽署行政命令要求對供應鏈進行安全審查
2月24日消息,美國總統拜登簽署了一項行政命令,指示聯邦機構對包括信息技術在內的各行業供應鏈安全風險進行審查,解決美國供應鏈的脆弱性和風險問題。該行政令指示,將在一年內完成對美國國防、公共衛生、信息和通信技術、交通、能源和食品等六大部門的供應鏈進行風險評估,并提出改善措施。該行政命令的一個重要目標是解決各關鍵進口物品(如芯片)短缺問題。(信息來源:CyberScoop網)
4、拜登調整白宮國家安全委員會頂層架構
2月4日,美國總統拜登簽發其上任以來的第二號、第三號國家安全備忘錄《更新國家安全委員會系統》和《重振美國外交政策與國家安全工作隊伍、體系和合作關系》,對美國白宮國家安全委員會頂層架構進行調整,明確了國家網絡總監、負責網絡安全與新興技術的副國家安全顧問等拜登內閣若干新設職務在國家安全委員會中所扮演的角色,新設若干面向不同職能領域、由白宮國家安全顧問授權成立并指派負責人員的跨部門政策委員會替代現有的政策協調委員會。(信息來源:安全內參網)
5、美國國土安全部宣布加強國家網絡安全的新措施
2月22日消息,美國國土安全部宣布,將采取一系列舉措加強美國的網絡安全,包括增加網絡安全支出,與公私部門合作加強培訓和開展網絡研討,建立多樣化的人才隊伍,與國際伙伴合作捍衛美國免受網絡威脅等。(信息來源:國會山網站)
6、美國網絡安全與基礎設施安全局宣布一項國際戰略
2月19日消息,美國網絡安全與基礎設施安全局(CISA)宣布一項名為CISA Global的國際戰略。CISA擬利用其全球網絡建立更好的合作態勢,以應對美國國家安全所面臨的緊迫威脅。該戰略包括四個目標:推進業務合作;培養安全能力;加強與利益相關者的聯系和合作;塑造全球政策生態系統。(信息來源:MeriTalk網)
7、美國陸軍將推出最新版網絡訓練平臺
1月28日消息,美國陸軍官員表示,第三版“持續性網絡訓練環境”(PCTE)平臺將于2021年第二季度推出。PCTE是由美國陸軍按網絡司令部要求開發的網絡訓練客戶端,網絡部隊的士兵可從世界任何地方登錄PCTE,以開展個人或集體網絡訓練和演習。2020年1月的第二版PCTE新增了培訓內容分類和搜索訓練歷史記錄等功能,并改進了事件安排和團隊管理;第三版PCTE將為用戶提供其它反饋渠道,向訓練主管通報網絡運行狀況,并增加存儲庫來容納由培訓或內容主管之前構建的方案。(信息來源:C4ISR網)
8、德國內閣通過新的數據戰略
1月27日消息,德國內閣通過了新的數據戰略和約240項數字化措施。數據戰略將在聯邦數據保護專員和17個聯邦州的數據保護專員之間建立一個更加緊密的合作機制,完善聯邦現有數據安全管理體系和程序,確保聯邦整體數據安全保護規則的統一性和協調性。同時,在數據戰略的加強數據創新和負責人使用方面,聯邦政府將對人工智能、面部識別等技術帶來的歧視和不公平現象采取更加明確的措施,并積極推動企業共享數據以避免可能的數據壟斷和創新抑制。(信息來源:德國聯邦政府網站)
9、英國政府宣布成立網絡空間安全委員會
2月9日,英國政府宣布成立網絡空間安全委員會,作為專業培訓和制定標準的管理機構。委員會將于3月31日正式運作。這將使英國擁有兩個網絡空間安全的專門機構:一是隸屬于政府通信總部的國家網絡安全中心(NCSC),二是新成立的網絡空間安全委員會。從職能上看,NCSC偏重軍事方面任務,網絡空間安全委員會則偏重于民事任務,未來兩個機構之間將形成良性的互動。(信息來源:安全內參網)
10、韓國發布《個人信息保護法》最新修訂草案
1月6日,韓國個人信息保護委員會公布《個人信息保護法》最新修訂草案。修訂內容包括:一是新增對移動式圖像信息處理設備運營的限制性規定;二是明確個人信息處理者對假名信息的刪除義務;三是完善個人信息跨境傳輸相關規定;四是規制自動化決策行為;五是賦予個人數據可攜權;六是調整個人信息保護架構;七是轉變法律責任的承擔方式。(信息來源:韓國個人信息保護委員會網站)
11、東盟發布《數字規劃2025》等文件
1月22日,東盟發布《數字規劃2025》《數據管理框架》《跨境數據流動示范合同條款》。《數字規劃2025》明確,未來5年將東盟建設成一個由安全和變革性的數字服務、技術和生態系統所驅動的領先數字社區和經濟體。《數據管理框架》《跨境數據流動示范合同條款》是落實區域數字經濟和數字貿易發展中東盟內個人數據流動規則的具體舉措,以期促進東盟地區數據相關的商業業務運營,減少談判和合規成本,同時確保跨境數據傳輸過程中的個人數據保護。東盟下一步將制定有關東盟跨境數據流動認證的細節,預計于2021年完成。(信息來源:商務部網站)
12、歐洲防務局組織開展網絡實彈演習
2月20日消息,來自18個歐洲國家的軍事網絡反應小組近期進行了一次實彈演習,旨在測試歐盟在發生網絡攻擊時部隊的防御能力。演習由歐洲防務局組織,在具有真實目標的基于云的網絡靶場內進行。演習的重點是幫助各國軍事CERT之間的合作,而不是采用最新技術。(信息來源:網電空間戰公眾號)
二、安全事件聚焦
13、中國農業銀行因泄露敏感信息被罰款420萬元
1月29日消息,銀保監會公布的行政處罰信息顯示,中國農業銀行股份有限公司因涉及“發生重要信息系統突發事件未報告;制卡數據違規明文留存;生產網絡、分行無線互聯網絡保護不當;數據安全管理較粗放,存在數據泄露風險;網絡信息系統存在較多漏洞;互聯網門戶網站泄露敏感信息”等六項問題,被銀保監會罰款420萬元。(信息來源:澎湃新聞網)
14、APT組織“摩訶草”利用EPS漏洞對我國發起攻擊
1月20日消息,網絡安全公司Cyble披露了APT組織“摩訶草”以中巴合作為誘餌針對我國的一起攻擊事件。摩訶草通過CVE-2017-0261構建了一個嵌入式EPS文檔,該文檔在受害者機器上執行之后,會釋放并執行后續payload,進而嘗試收集受害者系統信息、按鍵信息、進程信息和屏幕快照并存儲在%Temp%文件夾的TPX498.dat文件中,接著對該數據加密并上傳到服務器。(信息來源:Cyble網)
15、APT組織“蔓靈花”針對我國開展攻擊活動
1月21日消息,360監控到APT組織“蔓靈花”在2020年末使用Warzone RAT針對我國研究南亞關系的多位社會科學學者進行了攻擊。Warzone RAT是一款純C/C++開發的商業木馬程序,具備密碼采集、遠程執行任意程序、鍵盤記錄、遠程桌面控制、上傳下載文件、遠程打開攝像頭等多種遠程控制功能。攻擊者通過偽造研究討論學會邀請信的形式發起攻擊,最終在受害者機器中植入Warzone RAT進行遠程控制。(信息來源:360威脅情報中心)
16、巴西2.2億個人信息遭泄露
1月26日,網絡安全公司PSafe發現,有超過2.2億條巴西居民的個人數據可能已遭泄露,泄露的數據中還包括1.04億輛汽車和4000萬家公司的信息。其中,泄露的個人詳細信息包括姓名、出生日期和公積金信息;泄露的汽車信息包括汽車的底盤號、牌照、所在城市、品牌、型號、生產年份和發動機容量等;泄露的公司信息包括法人國家登記號、企業名稱、商號名稱和成立日期。(信息來源:網易新聞)
17、黑客利用網絡安全公司設備漏洞入侵多家企業
2月23日消息,FireEye旗下網絡安全公司Mandiant發現,黑客組織利用FTA軟件的多個零日漏洞和Web Shell結合,入侵了上百家網絡安全公司Accellion的政企客戶,并竊取了敏感文件。攻擊發生在2020年12月中旬,受害企業包括超級市場巨頭Kroger、新加坡電信巨頭Singtel、美國華盛頓州審計師辦公室、美國運輸局、新西蘭儲備銀行、財富500強科技公司Danaher等。其中,Singtel近13萬名個人客戶與23家企業客戶的信息外泄,包括客戶姓名、生日、手機號碼和住址,以及部分信用卡信息、企業資料等。(信息來源:FireEye官網)
18、法國政府安全供應商防火墻源代碼被盜
2月4日消息,負責為法國政府提供網絡安全服務和設備的法國網絡安全公司Stormshield表示,攻擊者設法竊取了法國政府網絡使用的Stormshield Network Security (SNS)防火墻部分源代碼。法國網絡安全機構ANSSI正在調查并評估這起安全事件對政府系統的影響。Stormshield公司的發言人指出,大概200個賬戶受影響。目前,尚無法確定攻擊是否由國家黑客組織所為。(信息來源:ZDNet網)
19、微軟旗下三款重要產品源代碼遭黑客訪問
2月18日消息,微軟宣布SolarWinds供應鏈攻擊事件的幕后策劃者成功訪問并下載到一部分微軟產品源代碼,涉及部分Windows、Office和Azure運行時的文件/API。微軟稱,攻擊者只接觸到部分源代碼,絕大多數源代碼未受到影響。目前沒有跡象表明攻擊者訪問生產服務器或客戶數據,也沒有攻擊微軟客戶的行為。(信息來源:TheHackerNews網)
20、“依賴混淆”供應鏈攻擊可致35家企業內網失陷
2月10日消息,安全研究員Alex Birsan利用一些開源生態系統中獨特的設計缺陷“依賴混淆”針對蘋果、微軟、PayPal、Shopify、Netflix、Yelp、特斯拉和優步等35家企業的系統發起攻擊,最終實現遠程代碼執行。安全研究員將惡意軟件上傳到PyPI、NPM 和 RubyGems等開源存儲庫,這些惡意軟件會自動向下分發到各個公司的內部應用中,受害者自動收到惡意包,不需要社會工程或特洛伊木馬程序。微軟已發布緩解措施,建議用戶采取引用一個而非多個私有數據包,通過受控制的范圍、命名空間或前綴保護私有數據庫以及使用客戶端驗證特征等措施加強防范。(信息來源:TheHackerNews網)
21、Windows和Linux遭僵尸網絡WatchDog攻擊達兩年
2月18日消息,網絡安全團隊Unit42發現新型僵尸網絡WatchDog至少開始活躍于2019年1月,約500到1000個Windows和Linux系統受感染,黑客獲利約209個門羅幣(價值3.2萬美元)。黑客利用了33種不同的exploit攻擊軟件中的32個漏洞,攻擊入口是過時的企業應用。研究人員建議用戶將系統和應用更新至最新版本。(信息來源:ZDNet網)
22、黑客投毒美國佛羅里達水廠未遂
2月5日,黑客訪問了美國佛羅里達州奧爾茲馬市水處理設施的監督控制和數據采集(SCADA)系統,將氫氧化鈉的含量提高到足以使公眾面臨中毒風險的程度。由于監控及時,水處理過程未受影響并繼續正常運行。目前對該事件的調查仍在繼續。(信息來源:ZDNet網)
三、安全風險警示
23、Realtek Wi-Fi漏洞致眾多設備面臨遠程攻擊風險
2月6日消息,以色列物聯網安全公司Vdoo的研究人員在Realtek RTL8195A Wi-Fi模塊中發現6個漏洞,這將使汽車、農業、能源、醫療保健、工業和安全領域使用的嵌入式設備暴露于遠程攻擊風險中。這些漏洞可能已被用來獲得root權限并控制設備的無線通信,其中最為嚴重的是遠程堆棧溢出漏洞(CVE-2020-9395),可被用來接管設備。研究人員還發現了拒絕服務漏洞和多個可執行任意代碼的漏洞CVE-2020-25853、CVE-2020-25854、CVE-2020-25855、CVE-2020-25856和CVE-2020-25857。目前,Realtek已發布針對這些漏洞的安全更新。(信息來源:SecurityAffairs網)
24、Sudo本地提權漏洞影響全球Unix/Linux系統
1月28日消息,安全研究小組Qualys近日披露了存在于Sudo中的Baron Samedit漏洞(CVE-2021-3156)的細節。Sudo是一個功能強大的實用程序,普通用戶無需輸入root密碼,即可直接使用Sudo命令提權到root管理員權限,大多數基于Unix和Linux的操作系統都包含Sudo。該堆的緩沖區溢出漏洞可能是有史以來最重要的Sudo漏洞,已經存在將近10年,從Sudo 1.8.2到1.8.32p2的經典版本以及從1.9.0到1.9.5p1所有穩定版本均受影響。該漏洞已被黑客利用,導致許多網站受到攻擊、篡改、劫持跳轉、數據被竊,部分網站的數據庫也被黑客攻擊,危害較大。由于該漏洞的攻擊面廣泛,Qualys建議所有用戶立即為此漏洞打補丁。(信息來源:cnBeta網)
25、SolarWinds再曝3個高危漏洞可導致遠程代碼執行
2月3日消息,安全研究人員在SolarWinds Orion平臺發現了CVE-2021-25274和CVE-2021-25275兩個漏洞,在Windows Serv-U FTP服務器中發現了CVE-2021-25276漏洞。這三個漏洞均未遭2020年12月的供應鏈攻擊利用。CVE-2021-25274漏洞允許攻擊者執行遠程代碼。CVE-2021-25275漏洞可被用于提升權限,允許攻擊者完全控制數據庫并竊取信息。CVE-2021-25276漏洞允許攻擊者以用戶身份通過 FTP 登錄并讀取或替換驅動上的任意文件。安全專家建議SolarWinds用戶安裝最新版本的Orion Platform和Serv-U FTP。(信息來源:TheHackerNews網)
26、思科修復SMB VPN路由器中嚴重代碼執行漏洞
2月3日消息,思科發布安全更新,修復影響了多個小型企業VPN路由器的代碼執行漏洞。此次修復的漏洞包括CVE-2021-1289、CVE-2021-1290、CVE-2021-1291、CVE-2021-1292、CVE-2021-1293、CVE-2021-1294和CVE-2021-1295。其中最嚴重的漏洞是由于對基于Web的管理接口的HTTP請求驗證不正確導致的,可被用來以root權限執行任意代碼。運行固件版本早于1.0.01.02:RV160 VPN Router,RV160W Wireless-AC VPN Router,RV260 VPN Router,RV260P VPN Router with POE,RV260W Wireless-AC VPN Router的小企業路由器易受上述漏洞攻擊。Dual WAN Gigabit VPN路由器(包括RV340、RV340W、RV345和RV345P)不受影響。(信息來源:BleepingComputer網)
27、IBM QRadar SIEM曝遠程代碼執行漏洞
1月27日,IBM發布IBM QRadar SIEM遠程代碼執行漏洞(CVE-2020-4888)的風險通告。IBM QRadar SIEM是美國IBM公司的一套利用安全智能保護資產和信息遠離高級威脅的解決方案。該方案提供對整個IT架構范圍進行監督,生成詳細的數據訪問和用戶活動報告等功能。該漏洞是由于IBM QRadar SIEM 7.4.0至7.4.2 Patch 1和7.3.0至7.3.3 Patch 7版本中Java反序列化功能對用戶提供的內容進行不安全的反序列化,從而導致遠程命令執行。目前,該漏洞的利用細節已在互聯網公開,建議受影響用戶及時更新至最新版本。(信息來源:IBM官網)
28、蘋果緊急修復三個已遭在野利用的iOS 0day漏洞
1月28日消息,蘋果公司發布iOS的安全更新,修復了遭在野利用的三個0day漏洞。其中,CVE-2021-1782影響iOS操作系統內核,可導致惡意應用程序提權。CVE-2021-1870 和CVE-2021-1871位于WebKit瀏覽器引擎中,允許攻擊者在Safari瀏覽器中遠程執行任意代碼。(信息來源:TheHackerNews網)
29、微軟修復Microsoft Defender權限提升漏洞
2月9日,微軟修補了存在12年之久,影響其Microsoft Defender防病毒程序的嚴重漏洞CVE-2021-24092。攻擊者可以利用該漏洞來提升非管理員用戶的特權,使用此類漏洞進行復雜的攻擊。Windows用戶如果不確定他們的Microsoft Defender版本是否受新發現漏洞的保護,則可以手動檢查更新。(信息來源:SentinelOne網)
30、惡意軟件Kobalos瞄準全球超級計算機
2月5日消息,ESET研究人員發現,自2019年以來惡意軟件Kobalos一直在攻擊全球各地的超級計算機。攻擊目標包括亞洲的大型互聯網ISP、歐洲大學高性能計算網絡、北美終端安全廠商、私有服務器和政府機構。Kobalos采用了高度定制化的混淆和檢測逃避技術,代碼量雖小但高度復雜,整合了很多其他功能,如,由于C2服務器IP地址和端口被硬編碼到可執行文件中,攻擊者只需要發送一條命令,就可以把任何感染Kobalos的服務器變為C2服務器。Kobalos可以用作連接其他受感染服務器的代理,攻擊者可利用多臺感染Kobalos的設備來達到目的。Kobalos可在UNIX平臺上執行,也可移植到Linux、BSD、Solaris、AIX和Windows等操作系統中。(信息來源:WeLiveSecurity網)
31、專門針對蘋果M1芯片的首款惡意軟件已現身
2月18日消息,安全研究公司Red Canary發現一款針對搭載蘋果M1芯片的新款Mac計算機的新型惡意軟件Silver Sparrow。該惡意軟件利用macOS Installer JavaScript API執行可疑命令。截至2月17日,Silver Sparrow已感染全球153個國家地區29139臺Mac計算機,美國、英國、法國及德國是受害的重災區。目前,蘋果已撤銷了Silver Sparrow內二進制文件的開發者憑證,以免計算機受到感染。(信息來源:TheHackerNews網)
四、前沿技術瞭望
32、我國具有自主知識產權的量子計算機操作系統發布
2月18日,中科院量子信息重點實驗室的科技成果轉化平臺合肥本源量子科技公司,發布具有自主知識產權的量子計算機操作系統“本源司南”。此操作系統在量子計算任務并行化執行、量子芯片自動化校準、量子資源系統化管理功能等方面取得突破。專家表示,經測試該操作系統能數倍提升現有量子計算機的運行效率。(信息來源:CyberScoop網)
