網絡空間安全動態第132期
一、發展動向熱訊
1、拜登首份國家安全戰略方針將網絡安全列為優先事項
3月3日,美國白宮國家安全委員會公布拜登政府的《國家安全戰略中期指導方針》。《國家安全戰略中期指導方針》將網絡安全列為國家安全優先事項,提出增強美國在網絡空間中的能力、準備和彈性,將通過鼓勵公私合作、加大資金投入、加強國際合作、制訂網絡空間全球規范、追究網絡攻擊責任、施加網絡攻擊成本等方式保護美國網絡安全。(信息來源:國會山網站)
2、拜登簽署通過《美國紓困計劃法案》
3月13日消息,美國總統拜登簽署通過《美國紓困計劃法案》。其中,近20億美元將用于網絡安全和技術現代化。法案包括為網絡安全與基礎設施安全局(CISA)提供6.5億美元資金,旨在增強聯邦網絡安全并保護疫苗供應鏈;為總務署的技術現代化基金撥款10億美元,用于更新過時的IT系統;為美國數字服務撥款2億美元。(信息來源:國會山網站)
3、美國弗吉尼亞州通過全面數據隱私法
3月2日,美國弗吉尼亞州州長拉爾夫·諾瑟姆簽署了《消費者數據保護法》,使弗吉尼亞州成為美國第二個通過全面數據隱私法的州。該法案將賦予消費者相關權利,可拒絕將其個人數據用于定向廣告,并有權確認其數據是否正在被處理。該法將于2023年生效,適用于計劃控制或處理100000名及以上消費者數據的企業,以及從銷售個人數據中獲得總收入50%以上或處理至少25000名消費者個人數據的企業。與加州隱私權法案不同,弗吉尼亞州隱私法缺乏私人訴訟權,這意味著個人提起訴訟的能力受到限制,執法很大程度上將取決于州檢察長。據悉,美國其他州也正在考慮數據隱私建議。(信息來源:華盛頓郵報)
4、美國國會成立特別工作組解決供應鏈安全問題
3月4日消息,美國國會成立國防關鍵供應鏈特別工作組,計劃在三個月內迅速制定立法修正案,以納入年度國防政策法案。該特別工作組將與五角大樓密切合作,評估國防工業基礎供應鏈的脆弱性,以回應美國總統拜登的供應鏈審查行政命令。(信息來源:InsideDefense網)
5、美國國家安全局發布零信任安全模型指南
2月25日,美國國家安全局(NSA)發布關于零信任安全模型指南《擁抱零信任安全模型》,旨在促進NSA的網絡安全任務,即識別和傳播對國家安全系統(NSS)、國防部(DoD)和國防工業基礎(DIB)信息系統的威脅,以及制定和發布網絡安全規范和緩解措施。指南中描述了一些基本的零信任原則,同時規定了零信任的設計概念。指南還描述了威脅情景,以及組織機構如何使用新的零信任模型防止這些攻擊。目前NSA正協助國防部客戶試行零信任系統,并準備發布關于進一步實施零信任的其他指導意見。(信息來源:美國CISA官網)
6、美國人工智能國家安全委員會發布最終報告
3月2日,美國人工智能國家安全委員會發布最終建議報告。報告提出一個整合的國家戰略,以重組政府,調整國家定位,并團結美國最親密的盟友和合作伙伴,以便能在即將到來的人工智能加速競爭和沖突時代開展沖突和競爭。該報告就在人工智能時代保衛美國國家安全,美國如何在人工智能激烈競爭的時代贏得競爭、維持全球領導地位等展開一系列論述,并在報告最后詳細闡述了聯邦各機構今后改革的行動路線。(信息來源:美國人工智能國家安全委員會官網)
7、英國將“人工智能道德倫理”視作國家安全新要素
2月25日,英國政府通信總部(GCHQ)發布新報告《探索國家安全的一個新要素:人工智能道德倫理》。報告指出,政府通信總部已認識到道德倫理、包容性及民主價值對人工智能的發展應用在英國未來的國家安全中占有極其重要的地位,因此該機構將人工智能置于其情報業務未來轉變改革的核心位置,還要利用英國擔任七國集團輪值主席國的機會,廣泛地推動人工智能及其他新興科技發展應用的國際規則規范形成。報告主要包括:(1)GCHQ將在業務中全面加強對人工智能的應用。(2)GCHQ將在國際認可、平衡“維護重要人權和自由”和“保護生活方式免受重大威脅損害”兩個方面的法規框架下開展工作。(3)GCHQ將聚焦開發“增強情報”系統,運用人工智能技術匯聚信息并支持決策過程。(4)GCHQ在適用數據來訓練及測試人工智能軟件,以及使用人工智能軟件分析真實數據兩個方面都進行審慎評估。(5)GCHQ正在開發針對人工智能及數據道德倫理監管、融入由外部利益相關方提供之最佳實踐及意見的全面治理系統,并通過一個支持性教育項目來幫助開發者們遵守相關標準和指導。(信息來源:英國GCHQ官網)
8、歐盟委員會發布報告明確未來十年數字化目標
3月9日,歐盟委員會發布《2030數字指南針:歐洲數字十年之路》報告,明確了歐洲到2030年數字化轉型的愿景和實現途徑。歐盟的數字雄心是在一個開放和互聯的世界中確保數字主權并推行數字政策,解決脆弱性和依賴性以及加快投資,使其公民和企業能夠抓住以人為中心、可持續和更繁榮的數字未來。報告明確歐盟在以下四大領域實現2030年數字雄心:(1)具備數字技能的公民和高技能的數字專業人員;(2)安全、高性能和可持續的數字基礎設施;(3)企業數字化轉型;(4)公共服務的數字化。(信息來源:歐盟委員會官網)
9、歐盟委員會發布CONNECT 2021年管理計劃
3月1日消息,歐盟委員會發布《2021年管理計劃:通信網絡、內容和技術》政策文件。文件圍繞6大戰略目標明確了歐盟通信網絡、內容和技術局(CONNECT)在2021年的管理計劃,包括法規、資助項目以及行動。一是針對在關鍵技術領域確保歐洲戰略自主權,CONNECT將重點開發微電子技術、量子技術、區塊鏈技術、石墨烯、腦科學、未來電池技術,發起歐洲共同利益重要項目提案和關鍵數字技術聯合承諾;二是針對構建歐洲數據單一市場,CONNECT將通過法案以協調不同行為者間的關系;三是針對發展可持續的人工智能,CONNECT將提出AI橫向監管框架,與國際標準化組織合作建立AI國際規范,開發動態的全歐盟AI創新生態系統;四是針對發展公平高效的數字經濟,CONNECT將開發針對智能城市的歐洲互操作性框架和針對無線網絡部署的政策工具箱;五是針對提高歐洲網絡韌性,CONNECT將實施網絡安全認證計劃和政府管理數字化轉型;六是針對網絡內容管理,CONNECT將啟動歐洲數字媒體天文臺,加強反情報工作等。(信息來源:歐盟委員會官網)
10、英特爾和微軟共同助力美國DARPA加密項目
3月9日消息,英特爾和微軟將參與美國國防高級研究計劃局(DARPA)虛擬環境中的數據保護(DPRIVE)計劃,以幫助DARPA打造完全同態加密(FHE)的硬件加速器。DARPA表示,FHE可在加密狀態下運算,允許用戶在保護及利用資料之間取得平衡,然而,難以實踐FHE的最大原因在于它需要大量的計算資源與時間。DARPA遴選出Duality Technologies、Galois、SRI International與Intel Federal 4個團隊來參與該項目,每個團隊都將開發一個FHE硬件加速器及軟件堆棧,目標是讓FHE的運算速度可以接近未加密的資料操作。英特爾表示,該公司計劃設計一個特殊應用集成電路加速器,來減少全同態加密的性能負擔,若可完全實現,也許可降低5個級數的密文處理時間。(信息來源:HelpNetSecurity網)
二、安全事件聚焦
11、云服務商OVH數據中心大火導致大量知名站點癱瘓
3月10日,歐洲最大的云服務和托管服務提供商法國斯特拉斯堡OVH數據中心被大火燒毀,導致多個數據中心無法使用,受影響的客戶包括網絡威脅情報公司Bad Packets、法國數據中心SBG1、SBG2、SBG3和SBG4、免費國際象棋服務器Lichess.org的提供者、視頻游戲開發商Rust、加密貨幣交易所Deribit的博客和文檔站點、電信公司AFR-IX、加密實用程序VeraCrypt、新聞媒體eeNews Europe、藝術建筑群蓬皮杜中心等。其中,視頻游戲開發商Rust全部數據丟失,且無法恢復。法國數據中心SBG1、SBG2、SBG3和SBG4已關閉,以防止SBG2起火引起的損害。OVH建議客戶制定災難恢復計劃。(信息來源:安全牛網)
12、IT服務公司SITA數據泄露事件波及多家航空公司
3月4日,IT服務公司SITA宣布旅客服務系統(SITA PSS)被黑客入侵,漢莎航空、新西蘭航空、新加坡航空、北歐航空、國泰航空、濟州航空、全日本航空、日本航空、馬來西亞航空以及芬蘭航空等多家知名航空公司的會員數據遭泄露,包括姓名、會員卡號,但不包括護照數據、地址、信用卡數據等。SITA公司已通知受影響的SITA PSS用戶,并展開調查。(信息來源:美聯社)
13、Lazarus利用ThreatNeedle攻擊多國國防工業機構
3月4日消息,卡巴斯基的研究人員表示,朝鮮APT組織Lazarus一直在利用一種名為ThreatNeedle的惡意軟件,對十多個國家的國防工業目標發起魚叉式網絡釣魚攻擊。ThreatNeedle是Lazarus工具集Manuscrypt的高階變種,具有方法步驟多、在網絡中橫向移動、消除網絡細分的特點,一旦下載并運行,該惡意軟件即可操縱文件和目錄,進行系統配置文件,控制后門進程,強制設備進入睡眠或休眠模式,更新后門配置并執行接收到的命令,最終完全控制受害者設備。(信息來源:E安全網)
14、SolarWinds黑客或已入侵NASA和FAA網絡
2月24日消息,SolarWinds黑客或已入侵美國宇航局(NASA)和美國聯邦航空管理局(FAA)的網絡。美國政府此前表示,此次攻擊“很可能源自俄羅斯”。NASA發言人未否認此次攻擊事件,但以正在進行調查為由拒絕發表評論。FAA的發言人沒有回應置評請求。美眾議院國土安全委員會和監督與改革委員會將針對SolarWinds遭黑客攻擊一事舉行聽證會。(信息來源:華盛頓郵報)
15、Immunity Canvas工具源代碼遭泄露
3月2日消息,安全研究人員稱Immunity Canvas 7.26工具的源碼遭到泄露,包含959個漏洞利用工具,2018年公開的英特爾“幽靈”漏洞的利用工具也在其中。Canvas是Immunity公司開發的專業安全工具包,為全球滲透測試人員和安全專業人員提供數百種漏洞利用,是一個自動化的漏洞利用系統以及一個全面、可靠的漏洞利用開發框架,有集成化、自動化、簡單化的特點。黑客可能利用已泄露工具包的源碼在未經用戶許可的情況下,對其感興趣的目標進行檢測、滲透活動。(信息來源:騰訊安全威脅情報中心)
16、Verkada安全攝像頭遭攻擊致2萬客戶受影響
3月9日消息,某黑客組織表示攻陷了硅谷創業公司 Verkada收集的大量安全攝像頭數據,獲得在醫院、企業、警察局、監獄和學校安裝的15萬個監控攝像頭的訪問權限。數據遭暴露的企業包括汽車廠商特斯拉和軟件提供商 Cloudflare。此外,黑客還能夠查看女性健康診所、精神疾患醫療院所和Verkada公司等視頻。其中某些攝像頭使用面部識別技術來識別并將鏡頭捕捉到的人員分類。(信息來源:彭博社)
17、印度政府網站漏洞致800萬核酸檢測結果泄露
2月24日消息,安全研究員 Sourajeet Majumder發現印度政府網站因存在漏洞泄露了超過800萬條核酸檢測結果。這些數據來自印度西孟加拉邦衛生福利部,包含公民的姓名、年齡、婚姻狀況、檢測時間、居住地址等敏感信息。泄露原因是發送給檢測者短信的URL中包括一個base64編碼的報告ID號(SRF ID),該ID號可被解碼,并通過遞增和遞減以構造新的URL集,來訪問其他患者的核酸檢測報告。(信息來源:BleepingComputer網)
18、數據分析公司Polecat近30TB業務數據被破壞
3月2日消息,英國數據分析公司Polecat的Elasticsearch服務器未受任何身份驗證或其他加密形式的保護,接近30 TB的數據遭泄露。被暴露的數據可追溯至2008年,包括員工用戶名、密碼、超過65億條推文、收集自各個網站及博客的超過10億篇帖子以及社交媒體記錄。研究人員發現,該數據庫曾遭遇兩輪Meow攻擊,大量數據已被破壞,服務器中的正常數據僅剩4TB。同時還發現勒索記錄,黑客要求Polecat支付0.04比特幣(約合550美元)以贖回數據。(信息來源:HackRead網)
19、法國近50萬公民的醫療檔案信息在暗網出售
2月24日消息,研究人員發現近50萬法國公民醫療檔案信息在暗網出售,包括姓名、出生日期、電話號碼、社會保險號、血型、全科醫生、健康保險提供者、醫療方法、艾滋病毒狀況、妊娠試驗結果等。被售賣的信息來自法國西北地區30多個醫學實驗室,為2015年至2020年10月之間采集的樣本,這些實驗室全部使用了Dedalus Healthcare Systems Group發布的醫療管理軟件。(信息來源:InfoSecurity網)
20、俄羅斯四大網絡犯罪論壇被入侵
3月4日消息,俄羅斯四大網絡犯罪論壇Maza、Crdclub、Verified、Exploit被入侵。網絡犯罪論壇是許多網絡犯罪活動的重要交易場所,包括惡意軟件分發、洗錢、信用卡信息銷售、賬戶銷售和許多其他非法行為。攻擊者獲取了論壇用戶數據庫,包括姓名、電子郵件地址、IP地址、哈希密碼、加密貨幣錢包密鑰等信息,并公布到暗網上。遭泄露的數據可能被情報和執法機構用來關聯破譯并鎖定用戶的真實身份。(信息來源:KrebsOnSecurity網)
21、Facebook為隱私官司支付6.5億美元和解金
3月1日消息,Facebook支付6.5億美元和解金,結束歷經6年的隱私訴訟案。因涉嫌未經用戶許可收集和存儲用戶面部數字掃描信息和其他生物信息,Facebook被指控違反了伊利諾伊州的《生物識別信息隱私法》。(信息來源:cnBeta網)
三、安全風險警示
22、蘋果遠程命令執行漏洞影響數十億臺設備
3月9日消息,蘋果公司已為iOS、macOS、watchOS和Safari瀏覽器發布補丁,修復了可導致攻擊者通過惡意 Web內容在設備上執行任意代碼的漏洞CVE-2021-1844。運行iOS 14.4、iPad OS 14.4、macOS Big Sur和watchOS 7.3.1 (Apple Watch Series 3及后續版本)的設備可應用補丁,運行macOS Catalina和macOS Mojave的MacBooks版本的Safari可更新。(信息來源:安全內參網)
23、Saltstack存在多個高危漏洞可導致遠程代碼執行
2月25日,集中化管理平臺Saltstack近日發布安全更新公告,修復了Saltstack組件中存在的命令注入、遠程代碼執行等共計10個漏洞。其中包括7個高危漏洞:(1)漏洞CVE-2021-3197存在于SSH模塊的SaltStack服務器中,攻擊者可通過Salt-API的SSH功能接口使用SSH命令的ProxyCommand參數進行shell命令注入。(2)漏洞CVE-2021-25281存在于SaltStack SaltAPI中,由于wheel_async模塊未正確處理身份驗證請求,攻擊者可利用該模塊執行任意python代碼。(3)漏洞CVE-2021-25283存在于SaltStack jinja模塊中,在請求相關頁面時觸發jinja引擎渲染導致代碼執行。(4)漏洞CVE-2020-35662是由于SaltStack默認情況下未能正確驗證SSL證書導致。(5)漏洞CVE-2021-3144是由于eauth令牌在過期后仍可以使用導致。(6)漏洞CVE-2020-28972是由于VMware模塊代碼庫無法驗證服務器的SSL/TLS證書,攻擊者可通過中間人攻擊獲取敏感信息。(7)漏洞CVE-2020-28243存在于SaltStack Minion模塊中,當普通用戶能夠通過進程名稱中的命令注入而能夠在任何未列入黑名單的目錄中創建文件時,SaltStack的Minion可獲取權限提升。建議受影響用戶及時升級最新版本進行防護,做好資產自查以及預防工作。(信息來源:網絡安全威脅和漏洞信息共享平臺)
24、VMware vCenter Server曝遠程代碼執行漏洞
3月2日消息,Vmware官方發布了vCenter Server安全更新,修復了vSphereClient(HTML5)在vCenter Server插件vRealizeOperations中的一個遠程代碼執行漏洞(CVE-2021-21972)。VMware vCenter Server是美國VMware公司的一套服務器和虛擬化管理軟件,提供了一個用于管理VMware vCenter環境的集中式平臺,可自動實施和交付虛擬基礎架構。攻擊者可通過訪問web管理端向vCenter Server發送精心構造的請求從而在操作系統上執行任意命令。全球超過6000臺VMware vCenter設備受影響,其中26%位于美國,其余位于德國、法國、中國、英國、加拿大、俄羅斯、中國臺灣、伊朗和意大利。(信息來源:E安全網)
25、微軟Exchange曝多個高危漏洞無需驗證即可觸發
3月2日,微軟發布了電子郵件服務組件Microsoft Exchange Server的安全更新公告,其中包含多個高危安全漏洞:(1)Exchange中的服務端請求偽造漏洞(SSRF)CVE-2021-26855,允許攻擊者發送任意HTTP請求并繞過Exchange Server身份驗證,進行內網探測,竊取用戶郵箱的全部內容。(2)Unified Messaging服務中的不安全反序列化漏洞CVE-2021-26857,允許攻擊者發送精心構造的惡意請求,在Exchange Server上以SYSTEM身份執行任意代碼。(3)Exchange中的任意文件寫入漏洞CVE-2021-26858,允許攻擊者將文件寫入服務器上的任何路徑,并可結合利用CVE-2021-26855 SSRF漏洞或繞過權限認證進行文件寫入。(信息來源:cnBeta網)
26、Linux內核虛擬套接字實現中存在5個高危漏洞
3月3日消息,Positive Technologies公司安全研究人員在Linux kernel虛擬套接字實現中發現5個高危漏洞。攻擊者可利用漏洞CVE-2021-26708獲得root權限并對服務器發起拒絕服務攻擊,所有用戶均易受攻擊。目前,Linux已發布升級補丁以修復上述漏洞。(信息來源:ZDNet網)
27、蘋果Find My功能存在漏洞可暴露用戶位置信息
3月8日消息,德國達姆施塔特技術大學安全移動網絡實驗室安全團隊發現蘋果Find My功能追蹤系統中的設計和實現漏洞CVE-2020-9986。該漏洞允許攻擊者訪問解密密鑰,下載并加密Find My網絡提交的位置報告,導致位置相關攻擊和對用戶過去7天位置歷史信息的未授權訪問以及用戶去匿名化,并最終高度準確地定位受害者。蘋果設備的Find My功能可讓用戶輕易定位到其它蘋果設備如iPhone、iPad、iPod touch、Apple Watch、Mac或AirPods的位置。蘋果已通過“改進訪問限制”修復了該漏洞。(信息來源:安全內參網)
