網絡空間安全動態第133期
一、發展動向熱訊
1、“十四五”規劃和2035年遠景目標綱要發布
3月11日,十三屆全國人大四次會議表決通過《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》的決議。在網絡安全方面,《綱要》提出,建立健全數據要素市場規則,營造規范有序的政策環境,加強網絡安全保護,推動構建網絡空間命運共同體。《綱要》要求,加強涉及國家利益、商業秘密、個人隱私的數據保護,加快推進數據安全、個人信息保護等領域基礎性立法,強化數據資源全生命周期安全保護。完善適用于大數據環境下的數據分類分級保護制度。加強數據安全評估,推動數據跨境安全有序流動。健全國家網絡安全法律法規和制度標準,加強重要領域數據資源、重要網絡和信息系統安全保障。建立健全關鍵信息基礎設施保護體系,提升安全防護和維護政治安全能力。加強網絡安全風險評估和審查。加強網絡安全基礎設施建設,強化跨領域網絡安全信息共享和工作協同,提升網絡安全威脅發現、監測預警、應急指揮、攻擊溯源能力。加強網絡安全關鍵技術研發,加快人工智能安全技術創新,提升網絡安全產業綜合競爭力。加強網絡安全宣傳教育和人才培養。積極參與數據安全、數字貨幣、數字稅等國際規則和數字技術標準制定。推動全球網絡安全保障合作機制建設,構建保護數據要素、處置網絡安全事件、打擊網絡犯罪的國際協調合作機制。在加強國家安全體系和能力建設方面,堅定維護國家政權安全、制度安全、意識形態安全,全面加強網絡安全保障體系和能力建設,切實維護新型領域安全,嚴密防范和嚴厲打擊敵對勢力滲透、破壞、顛覆、分裂活動。(信息來源:新華社)
2、《常見類型移動互聯網應用程序必要個人信息范圍規定》發布
3月22日,國家互聯網信息辦公室、工業和信息化部、公安部、國家市場監督管理總局四部門聯合發布《常見類型移動互聯網應用程序必要個人信息范圍規定》,旨在落實《中華人民共和國網絡安全法》關于個人信息收集合法、正當、必要的原則,規范移動互聯網應用程序(APP)個人信息收集行為,保障公民個人信息安全。《規定》明確了地圖導航、網絡約車、即時通信、網絡購物等39類常見類型移動應用程序必要個人信息范圍,要求其運營者不得因用戶不同意提供非必要個人信息,而拒絕用戶使用APP基本功能服務。(信息來源:中國網信網)
3、首個IETF國密標準正式發布
3月12日消息,《商密算法在TLS 1.3中的應用》標準(RFC 8998)在IETF(互聯網工程任務組,是全球互聯網最具權威的技術標準化組織,其主要任務是負責互聯網相關技術規范的研發和制定,為整個互聯網貢獻了大量的關鍵技術標準)發布,將國密算法應用到TLS(傳輸層安全協議)1.3中。這也是我國首次正式將國密算法推進到IETF國際標準中,使得我國的國密算法第一次在TLS協議中被認可使用而無需擔心互操作性和沖突問題。本標準的發布也將大力促進我國商用密碼算法在行業內的應用。TLS用于在兩個通信應用程序之間提供保密性和數據完整性,是互聯網上實現保密通信的最權威、應用最廣泛的技術標準。(信息來源:密碼頭條)
4、國家市場監管總局出臺《網絡交易監督管理辦法》
3月15日,國家市場監督管理總局出臺《網絡交易監督管理辦法》。《辦法》設置了個人信息保護的專門條款,要求經營者在收集、使用個人生物特征、醫療健康、金融賬戶、個人行蹤等敏感信息時,必須逐項取得消費者同意。針對經營者尤其大型平臺企業與自身關聯主體之間共用個人信息的問題,規定經營者未經被收集者授權同意,不得向包括關聯方在內的任何第三方提供。《辦法》自2021年5月1日起施行。(信息來源:市場監管總局網站)
5、工信部通報136款侵害用戶權益APP
3月11日,工業和信息化部發布《關于侵害用戶權益行為的APP通報(2021年第3批,總第12批)》,涉及騰訊手機管家、天涯社區、房多多、美圖證件照等136款軟件存在不同程度侵犯用戶權益行為。上述APP分別涉及違法違規收集個人信息、APP強制、頻繁、過度索取權限,欺騙誤導用戶下載APP等問題,通報APP所涉類型廣泛,覆蓋音視娛樂、運動健身、生活服務、閱讀等多種類型。(信息來源:工業和信息化部官網)
6、信息安全和隱私泄露成為3·15曝光重災區
3月15日,2021年“3·15”晚會曝光多起信息安全和隱私泄露事件:(1)人臉識別濫用:包括寶馬汽車4S店、Max Mara專賣店、科勒衛浴等20多家裝有人臉識別系統的商戶中,消費者人臉信息均在不知情的情況下被獲取;(2)簡歷信息泄露:個人簡歷信息被智聯招聘、獵聘和前程無憂等招聘平臺肆意販賣,僅需7元便可購買到一份包含姓名、性別、年齡、照片、聯系方式、工作經歷、教育經歷等個人信息的求職簡歷;(3)老人手機的安全陷阱:一些APP以清理手機垃圾為由私自獲取用戶信息,甚至根據數據信息對老人進行用戶畫像,貼上“容易被誤導和誘導”的標簽,進一步推送低俗、劣質,甚至帶有欺騙套路的廣告和內容;(4)搜索軟件上的醫療廣告競價排名:用戶在瀏覽器搜索減肥、降血糖等關鍵詞后,代理公司很快就能制作一篇自述廣告和專家答疑廣告,引導消費者加代理人微信購買產品,即使代理方沒有資質,廣告也能投放。(信息來源:央視財經)
7、美國陸軍舉行“網絡探索2021”演習
3月18日消息,美國陸軍近日在戈登堡舉行“網絡探索2021”演習,旨在測試多域作戰的新概念和新技術。此次演習與在本寧堡舉行的“陸軍遠征戰士實驗”活動合并開展,從而達到強化協同的效果,更好地推動多域作戰。共有14家供應商帶來了15種技術,范圍涉及網絡態勢感知、電子戰、戰術無線電等。美國陸軍第4步兵師、第1裝甲師、網絡保護旅、第915網絡戰營等對裝備進行了測試。陸軍還測試了由埃森哲開發的一種高度機密的工具,作為攻擊性網絡行動的安全措施。該工具使用了截取到的或逆向工程的代碼,利用模式識別來模糊美軍網絡戰士留下的數字簽名,從而避免美軍攻擊行動被溯源,同時供地面戰術部隊和美國網絡司令部網絡任務部隊使用。(信息來源:奇安網情局公眾號)
8、美國FCC更新的供應商限制清單涉及5家中國公司
3月15日消息,美國聯邦通信委員會(FCC)更新了其通信設備和服務供應商的限制清單,稱這些供應商對美國國家安全或美國公民的安全構成了“不可接受的風險”。該清單針對5家生產電信設備及提供服務的中國企業,分別為華為技術有限公司、中興通訊股份有限公司、海能達通信股份有限公司、杭州海康威視數字技術有限公司和大華科技有限公司。該清單與2019年《安全可信的通信網絡法案》中的要求一致。(信息來源:MeriTalk網)
9、美智庫發布5G戰略為加速美國5G發展提出建議
3月1日,美國戰略與國際問題研究中心發布報告《加速美國5G發展》。報告就如何加快基礎架構部署、確保供應鏈安全及加快5G使用提出了建議:(1)加速頻譜再利用。通過頻譜拍賣、頻譜共享等措施重新利用中頻段頻譜,并在需要實施頻譜遷移時向運營機構提供補償。(2)消除監管障礙。拜登政府應繼續努力消除監管障礙,加快5G部署,以統一的國家規則取代地方法規。(3)促進供應鏈可信性。兩個關鍵是促進供應商多元化和制定供應鏈風險管理策略。(4)打擊“掠奪性”行為。應利用施加外交壓力等手段對抗“掠奪性”行為。(5)調整美國及盟國的出口信貸。與日本、澳大利亞、韓國和歐盟合作,使用外國援助、聯合融資和出口支持等措施支持發展中國家的5G基礎設施建設,以降低因抵制購買華為產品造成的財務負擔。(6)增加5G和6G的聯邦支出。美政府應梳理出研發資金不足的領域,并向美國家科學基金會提供更多資金,投資頻譜共享、研發新波形、開發5G安全方法等。(7)加速國會撥款。國會已發起倡議(包括多邊電信安全基金、開放無線接入網絡、CHIPS法案等),授權聯邦政府采取行動加速5G發展,但這些倡議尚未獲得撥款。(8)支持O-RAN和6G技術轉型。美政策制定者應允許私營部門和市場為O-RAN和6G項目制定研發計劃,并向聯邦政府尋求資助。(9)讓5G安全成為網絡安全戰略的一部分。與五眼聯盟、北歐國家、日本等盟國建立網絡安全合作機制以及更緊密的情報、技術和安全合作關系,應對中國網絡技術風險。(10)5G政策是增強美國技術實力的一部分。美國應將投資5G戰略作為在新興技術與基礎技術領域建立技術實力的更大投資戰略,企業家和公司應挖掘5G發展機遇,并將其商業化。(信息來源:美國戰略與國際研究中心)
10、日本個人信息保護修正案將于2022年4月生效
3月25日消息,日本個人信息保護委員會宣布,《日本個人信息保護法》修正案將于2022年4月1日生效。針對參與第三方數據共享的公司的過渡性措施將于2021年10月1日生效。修訂后的法規將增加數據泄露通知、假名化、用戶同意和國際數據傳輸等要求。(信息來源:IAPP網站)
11、英發布《安全、防務、發展與外交綜合審查》報告
3月16日,英國政府發布《安全、防務、發展與外交政策綜合審查——競爭時代的全球化英國》報告,綜合闡述了英國未來五年的國內安全和對外政策,同時將網絡列為英國核心安全問題。該文件主要涉及以下四個主題:一是利用科技維持戰略優勢,通過增加研發投資、加強網絡生態系統建設等舉措,牢固樹立英國在全球科技、網絡領域的地位;二是塑造開放的未來國際秩序,包括支持開放型社會和人權捍衛、促進形成開放有韌性的全球經濟、塑造網絡和太空等前沿領域的國際秩序、提高在印太地區的影響力;三是加強內外安全與防務能力,與盟友共同應對現實及虛擬世界中的各項威脅挑戰,包括增加核彈頭儲備、提高國防預算、推進武器裝備現代化、改善與盟友互操作能力等;四是在國內外建立韌性和彈性能力,提升英國應對氣候變化、生物多樣性喪失、網絡攻擊等多樣性風險的韌性和彈性。根據文件,2021年將發布的新網絡戰略的五大優先事項包括:一是加強英國的網絡生態系統,采取一種國家整體的網絡方法,并加深政府、學術界和業界之間的合作伙伴關系;二是建立一個彈性和繁榮的“數字英國”,使民眾在網上感到安全,并對自己的數據受到保護充滿信心;三是引領對網絡力量至關重要的技術,包括微處理器、安全系統設計、量子技術和新形式數據傳輸等;四是與其他政府和業界合作,并利用英國在網絡安全方面的思想領導力,以促進自由、開放、和平與安全的網絡空間;五是發現和威懾英國的對手,并破壞其行動。(信息來源:美國防務新聞網)
12、新加坡個人數據保護委員會發布數據泄露應對指南
3月15日消息,新加坡個人數據保護委員會(PDPC)發布了應對數據泄露事件的最新指南《數據泄露指南2.0》和《積極執法指南》。《數據泄露指南2.0》旨在幫助組織識別、預警和應對數據泄露,同時強制要求組織發布數據泄露事件通知。上述要求在2012年《個人數據保護法》(PDPA)的最新修正案中被引入,該修正案已于2月1日生效。《積極執法指南》包含PDPA中新增的自愿承諾部分內容,以及有關執法行動類型和經濟處罰等信息。(信息來源:PDPC官網)
二、安全事件聚焦
13、電腦巨頭Acer遭勒索攻擊贖金高達5000萬美元
3月19日消息,中國臺灣電腦巨頭宏碁(Acer)遭REvil勒索軟件攻擊,攻擊者宣布已成功入侵宏碁的系統,同時公布了幾張包括財務報表、銀行交易以及流水賬單等文件截圖作為證據,勒索金額高達5000萬美元。威脅情報公司Advanced Intel監測到,REvil團伙近期曾將矛頭指向宏碁域內的微軟Exchange服務器,試圖利用服務器漏洞竊取數據或者加密鎖定目標設備。(信息來源:BleepingComputer網)
14、以色列超過650萬選民信息遭泄露
3月24日消息,在以色列大選前不到24小時,黑客公開了超過650萬個選民的姓名和選票號碼,以及超過300萬以色列公民的姓名、電話號碼、身份證號碼、家庭地址、性別、年齡和政治偏好等個人信息。據悉,此次事件是由于軟件公司Elector Software為以色列政黨Likud開發的應用程序Elector中存在漏洞,目前尚不清楚泄露的數據是否已被訪問。(信息來源:SecurityAffairs網)
15、外匯交易商FBS泄露超過160億條客戶交易記錄
3月24日消息,WizCase研究人員發現外匯交易商FBS因Elasticsearch服務器配置錯誤,泄露了近20TB超過160億條客戶交易記錄。此次泄露的信息包括用戶姓名、電子郵件和賬單地址、電話號碼、IP地址、護照號碼、社交媒體ID、身份證、駕駛執照、銀行賬戶對賬單、水電費賬單和信用卡等,以及用戶ID、未加密的密碼、登錄歷史記錄、會員數據和密碼重置鏈接等數據。(信息來源:InfoSecurity網)
16、俄羅斯6000多個攝像頭可公開訪問
3月15日消息,安全軟件公司Avas發現,俄羅斯有6000多個攝像頭可公開訪問,部分涉及工業企業和關鍵基礎設施。這些攝像頭都具有開放的IP地址,沒有用戶名和密碼。攻擊者可以非法獲取攝像頭內容,如可通過銀行攝像頭可獲取信用卡和護照數據,還可利用攝像頭IP地址訪問公司和企業的網絡。根據物聯網搜索引擎Shodan.io的數據,俄羅斯可公開訪問的攝像頭數量在全球排名第五,僅次于越南、中國臺灣、韓國和美國。(信息來源:EHackingNews網)
17、黑客組織FIN8利用TLS加密繞過檢測
3月10日消息,黑客組織FIN8攜升級的BADHATCH惡意軟件回歸。該組織于2016年首次由FireEye公司發現,以利用網絡釣魚和惡意工具攻擊POS系統而聞名,主要針對零售、酒店和娛樂業。BADHATCH時隔一年半后再次活躍,升級后的功能包括屏幕捕獲、代理隧道傳輸、憑證盜竊和無文件執行等,同時使用了更強大的后門,并試圖利用TLS加密隱藏Powershell命令來繞過安全檢測。(信息來源:TheHackerNews網)
18、中信銀行因客戶信息管理問題被罰款450萬元
3月19日,銀保監會發布行政處罰信息公開表,中信銀行因客戶信息保護不到位等問題被罰450萬元。具體違法違規案由包括:(1)客戶信息保護體制機制不健全;柜面非密查詢客戶賬戶明細缺乏規范、統一的業務操作流程與必要的內部控制措施,亂象整治自查不力。(2)客戶信息收集環節管理不規范;客戶數據訪問控制管理不符合業務“必須知道”和“最小授權”原則;查詢客戶賬戶明細事由不真實;未經客戶本人授權查詢并向第三方提供其個人銀行賬戶交易信息。(3)對客戶敏感信息管理不善,致其流出至互聯網;違規存儲客戶敏感信息。(4)系統權限管理存在漏洞,重要崗位及外包機構管理存在缺陷。(信息來源:央視網)
三、安全風險警示
19、Linux內核發現多個存在15年之久的提權漏洞
3月15日消息,研究人員在Linux內核的iSCSI模塊中發現已存在15年之久的多個漏洞(CVE-2021-27363、CVE-2021-27364和CVE-2021-27365)。攻擊者可利用這些漏洞獲得系統root權限。上述漏洞只能在本地被利用,這意味著攻擊者不得不通過利用另一個漏洞或使用其他攻擊載體來訪問受影響設備。漏洞已在5.11.4、5.10.21、5.4.103、4.19.179、4.14.224、4.9.260和4.4.260內核版本中修復。建議Linux用戶盡快更新系統。(信息來源:cnBeta網)
20、施耐德智能電表存在嚴重漏洞可遠程強制重啟設備
3月11日消息,工業網絡安全公司Claroty披露了施耐德電氣公司PowerLogic電能表中的兩個嚴重漏洞CVE-2021-22714和CVE-2021-22713,允許攻擊者重啟目標電能表,甚至執行任意代碼,影響多個 PowerLogic ION 設備模型和一個 PM模型。一些受影響的設備更新已在去年7月發布,其它受影響設備在今年1月和3月修復。公共設施、工業公司、醫療組織機構及數據中心均使用PowerLogic電能表來監控電力網絡,建議受影響用戶應盡快打補丁或應用緩解措施阻止潛在攻擊。(信息來源:SecurityWeek網)
21、開源企業自動化軟件Apache OFBiz存在嚴重漏洞
3月22日,Apache官方發布Apache OFBiz風險通告,漏洞編號為CVE-2021-26295,該高危漏洞影響17.12.06之前的所有Apache OFBiz軟件。OFBiz是Apache下屬的企業ERP系統開發框架,攻擊者可利用該漏洞構造惡意數據進行遠程代碼執行攻擊,最終獲取服務器最高權限。建議用戶立即更新至Apache OFBiz最新版本(17.12.06)以緩解風險。(信息來源:TheHackerNews網)
22、通用電氣的UR系列存在多個嚴重漏洞
3月22日消息,美國網絡安全與基礎設施安全局發布安全公告,公開了通用電氣公司通用繼電器UR系列(電源管理設備,主要用于控制和保護各種設備的功耗)中的9個嚴重漏洞。其中最嚴重的漏洞是CVE-2021-27426,CVSS評分為9.8,允許攻擊者繞過訪問限制。其次為可用來重啟UR和輸入驗證漏洞(CVE-2021-27418和CVE-2021-27420),攻擊者可利用這些漏洞訪問敏感信息、重啟UR、提升權限或導致拒絕服務。UR設備是簡化電源管理以保護關鍵資產的基礎,允許用戶控制各種設備消耗的電功率量的計算。目前這些漏洞已經修復,建議用戶將UR設備更新為固件版本8.10或更高版本。(信息來源:ThreatPost網)
23、遠程監控軟件Netop Vision Pro存在多個漏洞
3月22日消息,McAfee披露遠程監控軟件Netop Vision Pro存在多個可用來劫持目標電腦的漏洞,分別為權限分配漏洞CVE-2021-27192,默認權限錯誤漏洞CVE-2021-27193,以明文傳輸的敏感信息漏洞CVE-2021-27194和授權問題漏洞CVE-2021-27195。黑客可利用這些漏洞進行提權和執行遠程代碼,獲得對目標系統的完全控制權。目前,Netop已修復部分漏洞。(信息來源:ZDNet網)
24、微軟已修復遭黑客利用的高危零日漏洞
3月12日消息,微軟修復了Internet Explorer瀏覽器中的一個零日漏洞CVE-2021-26411。攻擊者可通過發送精心構造的惡意鏈接或文件,在用戶使用瀏覽器訪問互聯網頁面時觸發該漏洞,從而取得計算機控制權限。該漏洞曾被黑客組織用于針對專業安全研究人員的APT攻擊。目前微軟已發布漏洞修復補丁,建議受影響用戶及時更新。(信息來源:安全內參網)
25、軟件庫OpenSSL被曝存在兩個高危漏洞
3月25日消息,OpenSSL發布公告稱其產品中存在兩個高危漏洞:(1)CVE-2021-3449,由于NULL指針取消引用而導致的拒絕服務(DoS)漏洞,只影響OpenSSL服務器實例,而不影響客戶端。(2)CVE-2021-3450,不正確的CA證書驗證漏洞,同時影響服務器和客戶端實例。上述這兩個漏洞都不會影響OpenSSL 1.0.2,這兩個漏洞都在OpenSSL 1.1.1k中得到了修復,官方建議用戶升級到這個版本以保護它們的實例。(信息來源:OpenSSL官網)
