2022年Q1已经过去,在这三个月中有哪些不容忽视的安全事件、漏洞及政策?敬请关注《网安26号院》每期的【安全态势】栏目汇编,安全事件、安全漏洞、安全政策,快一步全知道!
安全态势●事件篇
1月
公安部公布了打击侵犯公民个人信息犯罪十大典型案例,其中一案件非法获取公民个人信息54亿条并通过暗网出售;国外多名政要高官被曝出遭遇非法入侵个人信息,包括NASA局长、波兰公民平台党领导人等。
公安部公布打击侵犯公民个人信息犯罪十大典型案例
1月9日,公安部公布了2021年侵犯公民个人信息犯罪打击破获情况。全国公安机关全年共破获侵犯公民个人信息案件9800余起,抓获犯罪嫌疑人1.7万名。其中侵犯公民个人信息犯罪十大典型案例包括何某非法获取医疗、出行、快递等公民个人信息54亿条并通过暗网出售、徐某等人利用外挂程序非法获取公民个人信息3000余万条用于债务催收以及吴某等人非法获取老年人个人信息200余万条推销虚假保健品骗取资金1500余万元等案件。
美医疗中心BrowardHealth披露数据泄露:影响超130万人
据cnBeta1月4日消息,美国BrowardHealth公共卫生系统近日披露了一起大规模数据泄露事件。BrowardHealth是一个位于佛罗里达州的医疗系统,其在2021年10月19日发现了这次入侵事件,并立即通知了美国联邦调查局和美国司法部。调查显示,入侵网站的黑客获得了病人的个人医疗信息,其中可能包括全名、出生日期、实际地址、电子邮件地址等关键信息,影响到1357879人。
英国国防学院遭遇网络攻击并引发了“重大”影响
据天空新闻1月3日消息,现已退休的英国空军元帅爱德华表示,发生于2021年3月对英国国防学院的“复杂”黑客攻击产生了深刻影响。英国国防部的数字部门对网络攻击展开了调查,但结果尚未公开。当时的负责官员透露,一场网络攻击——可能是俄罗斯——攻击了英国国防部的学术部门,并产生了“重大”影响。
美国宇航局局长社交账户被希腊一黑客组织入侵
据E安全1月2日消息,美国宇航局局长的Twitter帐户于1月2日被希腊一黑客组织——“希腊陆军集团”入侵。该组织发言人告知这次袭击不是出于政治动机,是为了好玩,以证明“没有人在网上是安全的”,并且声称有一个漏洞可以让他们接管Twitter帐户,但至今无法验证。该组织的受害者名单包括尼日利亚外交部和财政部、尼日利亚银行、北马其顿国家银行和阿塞拜疆国防部等。
波兰政府被指使用Pegasus入侵反对派团体成员设备
据Politico2021年12月24日消息,波兰数个政治反对派团体的成员拿出了被Pegasus间谍软件入侵的证据,其中公民平台党领导人的手机在2019年大选前的六个月里总共被入侵33次。波兰政府否认使用了间谍软件,波兰国防部副部长表示:“Pegasus系统不是由波兰部门使用的。它没有被用来跟踪或调查我们国家的任何人”。据了解,这一丑闻可能对波兰在欧盟的地位产生重大影响并为进一步限制Pegasus间谍软件建立了理由。
超22%的阿尔巴尼亚公民个人和工资信息遭泄露
据TheRecord2021年12月23日消息,阿尔巴尼亚政府证实并致歉称,637138名公民(在总人口中占比超过22%)的个人信息和工资信息遭泄露。被泄露的详情包括姓名、身份证卡号、工资、工作职责和工作单位以及企业向阿尔巴尼亚政府上报的2021年1月的税务和工资信息。“初步分析显示,事件是由内部渗透而非外部网络攻击造成的。”,政府发言人指出,目前地拉那检察院正在调查此事。
阿里云被暂停工信部网络安全威胁信息共享平台合作单位
据观察者网2021年12月22日消息,近期,工信部网络安全管理局通报称,阿里云计算有限公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。通报指出,阿里云是工信部网络安全威胁信息共享平台合作单位。经研究,工信部网络安全管理局决定暂停阿里云作为上述合作单位6个月。暂停期满后,根据阿里云整改情况,研究恢复其上述合作单位。
四家运动装备网站遭受攻击,180万客户信用卡数据被盗
据SecurityAffairs2021年12月18日消息,四家在线运动装备网站遭受网络袭击,超过180多万客户信用卡数据被盗。安全漏洞最早出现在2021年10月1日,但是在10月15日才被发现,11月29日网站确认了其客户个人和财务数据被盗,主要包括:姓名、金融账户号码、信用卡号码(含CVV)、借记卡号码(含CVV)、网站账户密码。12月16日,四家网站通知了受影响客户。截至目前,这些网站还没有披露出现安全漏洞的具体原因。
物流巨头遭遇勒索攻击后,攻击组织发布70G被盗数据
据BleepingComputer2021年12月17日消息,国际物流公司HellmannWorldwide于2021年12月9日遭遇勒索软件攻击,并被迫关闭了系统。公司已公开承认数据遭窃的事实,但哪些数据被盗仍在调查中。研究人员发现一个名叫RansomEXX的攻击组织在其门户网站上发布了被盗数据信息,共计70.64GB,包括文件、凭据、通信号码、协议和订单等。这些数据支持个人下载,导致了大量BEC相关攻击的增加。
2月
国家敏感机构频频遭遇严重网络攻击,英国外交部、美国国防承包商、乌克兰政府、伊朗国家电视台等机构均受影响;勒索软件攻击持续猖獗,航港巨头瑞士空港、欧洲多处港口石油设施等沦为最新受害者。
美政府称国防承包商被俄黑客入侵长达一年,敏感信息失窃
据CISA官网2月16日消息,美国网络安全与基础设施安全局、国家安全局、联邦调查局联合发布咨询称,自2020年1月以来,俄罗斯黑客组织已经入侵了多个国防承包商网络,在某些情况下,至少持续了六个月,定期窃取数百份文档、电子邮件和其他数据。被入侵的实体包括支持美国陆军、美国空军、美国海军、美国太空部队以及国防部和情报计划的国防承包商。这些持续的入侵使攻击者能够获取敏感的、非机密的信息,以及承包商专有和出口控制的技术。
乌克兰政府和银行网站遭大规模网络攻击被迫关闭
据TheRecode2月15日消息,乌克兰政府和银行遭受到大规模DDoS网络攻击,导致国防部、外交部、文化部以及国内最大的两家国有银行Privatbank和Oschadbank等机构的网站停止运行,两家银行的APP和在线支付都无法使用,部分用户收到虚假消息。乌克兰警察称,虚假消息不包含网络钓鱼链接,显然是为了制造混乱的“信息攻击”。此次攻击正值俄乌边境局势紧张,乌克兰文化和信息政策部暗示,俄罗斯可能是此次事件的幕后黑手。
中欧小国最受欢迎电视台播放中断:因遭受网络攻击
据TheRecord2月10日消息,中欧小国斯洛文尼亚最受欢迎的电视频道PopTV遭网络攻击,引发运营中断,致使新闻节目、频道与体育赛事直播中断,当地的北京冬奥会直播也受到影响。近几年来,全球发生了多起针对广播电视机构的网络攻击,其大多属于勒索软件攻击,通过攻击电视台后端IT基础设施令节目播放受影响,从而实施勒索。
英国外交部遭遇一起严重网络安全事件,细节未知
据路透社2月8日消息,英国政府网站近日发布的一份招标文件显示,今年早些时候,英国外交部成为了一起严重网络安全事件的目标,但未披露任何事件细节。文件还显示,该部门被迫请来国内防务巨头贝宜系统旗下子公司(BAESystemsAppliedIntelligence)处理这一事件,它为这项工作支付了46.7万英镑(约402万元人民币)。
葡萄牙全国大面积断网:因沃达丰遭破坏性攻击
据TheRecord2月8日消息,国际电信巨头沃达丰旗下葡萄牙公司披露,由于遭到破坏性网络攻击,导致4G/5G、固话、电视等网络服务全部持续中断,只有语音和3G网络经恢复后勉强可用。沃达丰在葡萄牙拥有超400万移动用户、340万家庭及企业宽带用户,此次攻击造成了大规模不便甚至混乱。网络上有猜测认为是勒索软件所为,官方暂未确认。
网传B站企业邮箱发钓鱼链接,致使多员工被骗达8万元
据炣燃科技2月7日消息,微博用户@王落北爆料称,1月5日凌晨,B站公司内部邮件发了全员钓鱼链接,多位同事中招,受骗金额总计8万左右。当天下午1点IT才把钓鱼邮件删除完。该微博的配图显示,钓鱼邮件为“年终工资补贴通知”相关内容,受害员工成立了“钓鱼邮件受害者”群,已有72人加入。
欧洲多处港口石油设施遭黑客攻击,油轮无法靠港
据央视新闻2月5日消息,当地时间1月29日开始,因遭到勒索软件的攻击,位于荷兰阿姆斯特丹和鹿特丹以及比利时安特卫普的几处港口的石油装卸和转运受阻。截至2月4日,至少有七艘油轮不得不在安特卫普港外等候,无法靠港。负责从这些港口向内陆城市转运石油的驳船也发生延误。目前受影响公司正聘请网络安全专家进行调查。去年美国的几家石油公司也曾遭遇类似事件。
国际航港巨头遭勒索软件攻击,致使运营受干扰、机场航班延误
据BleepingComputer2月4日消息,全球航港巨头瑞士空港日前披露了一起勒索软件攻击事件,IT基础设施与服务受到影响,导致运营被干扰。瑞士空港的客户苏黎世机场透露,这波网络攻击发生在2月3日早上6点,并导致当天22架次航班发生轻微延误,大约在3-20分钟之间。瑞士空港解释道,其地勤服务能在缺少IT系统支持时继续保持运作,只是不可避免会发生一定程度的延误。
伊朗国家电视台遭网络入侵,播放“杀死总统”暴恐信息
据美联社1月27日消息,伊朗国家电视台遭到网络攻击,旗下多个频道被劫持,播放了反对派组织领导人的信息,甚至提到“向Rajavi(反对派领袖)致敬,让Khamenei(伊朗最高领导人)去死”等暴恐信息。伊朗国家电视台表示,当局将对此次黑客入侵开展调查,并认为可能得到国外势力的帮助。此前1986年,伊朗国家电视台也曾出现播放异常内容的情况,有媒体称是美国CIA在幕后策划了该起事件。
勒索软件组织声称已入侵法国司法部,要挟支付赎金
据Politico1月27日消息,Lockbit2.0勒索软件的暗网博客将法国司法部添加到受害者名单当中,要挟必须在2月10日前支付赎金,否则“所有被盗数据都将被发布至暗网”。法国司法部回应称,已知悉情况并采取措施,包括开展相关检查。Lockbit2.0近期攻势非常凶猛,其暗网博客还放出了一系列西欧国家的大型企业名单,威胁索要赎金。
3月
俄乌冲突引发网络空间混战,俄乌两国的关基设施密集遭受网络攻击,被迫中断服务。冲突风险还外溢至我国,有境外组织劫持国内计算机资源,对俄乌等国进行网络攻击。
俄乌冲突引发网空混战,关基成网络攻击重点
综合消息,自2月24日起,俄乌冲突全面爆发引发了网络空间的混战,从国家网军、乌克兰地下黑客、俄罗斯民间“网络卫士”到勒索软件组织、国际黑客组织,各方势力轮番上场。截至3月12日,据统计有65个黑客组织参与行动。俄乌两国的政务、通信、金融等关基设施密集遭受网络攻击,被迫中断服务。混战还外溢至其他地区,如我国计算机资源被劫持攻击俄乌等国,美国卫星运营商中断服务等。
以色列遭遇大规模网络攻击,多个重要政府网站瘫痪1小时
据新华社3月14日消息,以色列多个政府网站遭到黑客攻击,短时间瘫痪。目前遭到攻击的各个网站已经恢复。遭到攻击的政府网站包括以色列总理府、内政部、司法部等。以色列网络指挥部发表声明说,一家以色列网络运营商“遭到拒绝服务攻击”,造成多个政府网站无法正常登录和使用。以色列网络指挥部已宣布进入紧急状态,以了解此次攻击造成的破坏程度,并对电力、供水等基础设施进行全面检查,了解是否同样遭到了攻击。
我国互联网遭受境外网络攻击:资源被滥用攻击俄乌等国
据新华社3月11日消息,国家互联网应急中心监测发现,2月下旬以来,我国互联网持续遭受境外网络攻击,境外组织通过攻击控制我境内计算机,进而对俄罗斯、乌克兰、白俄罗斯进行网络攻击。经分析,这些攻击地址主要来自美国,仅来自纽约州的攻击地址就有10余个,攻击流量峰值达36Gbps,87%的攻击目标是俄罗斯,也有少量攻击地址来自德国、荷兰等国家。据悉,国家互联网应急中心已及时对以上攻击行为最大限度予以处置。
全球最大数字报纸发行平台遭到网络攻击,被迫关闭多天
据ZDNet3月8日消息,全球最大的数字报纸与杂志发行平台之一PressReader遭遇网络攻击,平台关闭约4天时间,导致读者无法访问出版物。PressReader平台收录了世界各地7000多种刊物,客户包括报纸、图书馆及博物馆等多个领域,还有一些客户把PressReader作为唯一电子发行平台。PressReader声称自己并未唯一的受害者。过去几周内,曾经出现一波针对北美多家企业的大规模“安全事件”,它受到的攻击只是其中一例。
俄乌冲突网络风险外溢?网络攻击导致数万名卫星用户断网
据法新社3月4日消息,2月24日俄乌冲突爆发时,覆盖乌克兰地区的美国卫星运营商Viasat遭遇网络事件,导致欧洲多家依托Viasat的卫星互联网运营商的部分网络中断服务,数万名卫星网络用户断网。法国太空司令部司令MichelFriedling将军称,Viasat民用网络遭遇了网络攻击,导致数以万计的终端在攻击之下失去用处。
Conti勒索软件内部数据全泄露:俄乌冲突引发网络武器库失控
据threatpost3月2日消息,俄乌冲突引发民间网络安全能力者的分裂,Conti勒索软件选择站队俄罗斯,引发一名乌克兰安全研究人员的愤怒,开始疯狂地公开泄露Conti内部数据。据分析,泄露数据包括Conti勒索软件代码、TrickBot木马代码、Conti培训材料、Conti/TrickBot内部交流的各种攻击技巧等,已然是一个小型网络武器库。这些泄露数据可谓双刃剑,安全研究人员可以了解Conti的策略、代码开发、货币化方式、潜在成员身份等信息,采取更可靠的防御手段;恶意软件开发者也可以利用这批数据,指导开发更多类似TrickBot的恶意软件。
BlackMoon僵尸网络在国内大规模传播,已感染数百万终端
据CNCERT3月1日消息,国家互联网应急中心(CNCERT)监测发现,BlackMoon僵尸网络在互联网上进行大规模传播,通过跟踪监测发现其1月控制规模(以IP数计算)已超过100万,日上线肉鸡数最高达21万,给网络空间带来较大威胁。BlackMoon僵尸网络位于境内肉鸡按省份统计,排名前三位的分别为广东省(12.7%)、河南省(9.3%)和江苏省(7.6%);按运营商统计,电信占57.5%,联通占22.9%,移动占19.4%。
英伟达1TB内部敏感数据失窃,遭黑客团伙“花式”勒索
据BleepingComputer3月1日消息,国际芯片制造巨头英伟达正式,在2月23日遭到网络攻击,导致部分专有数据和员工登录数据泄露。此前,Lapsus$黑客团伙连续一周公开发布此次黑客攻击的细节,以泄露敏感数据为由来勒索英伟达,要求解锁挖矿限制、开源显卡驱动等。勒索未果的情况下,Lapsus$放出了部分敏感数据。值得一提的是,Lapsus$入侵英伟达内部网络后,英伟达进行反击加密了他们窃取的数据,但他们留有备份,使得这次反击未能成功。
关键供应商被黑,丰田汽车无奈关停日本所有工厂
据BleepingComputer2月28日消息,由于网络攻击导致关键供应商小岛工业出现系统故障,丰田公司被迫宣布,暂停日本14家工厂的28条生产线。这将令丰田公司月减产约13000辆汽车。这是又一起制造巨头因网络攻击被迫停产。丰田公司一直以“准时制”精益制造法的超级高效著称,但这在当下已然成为软肋,没有安全保障能力,它所接入的网络环境或许随时会被恶意攻击倾覆。
全球最大轮胎制造商遭遇勒索软件攻击,部分业务中断
据SouthernStandard2月28日消息,日本跨国公司、全球最大的轮胎制造商普利司通的美洲公司在周日(2月27日)遭受网络攻击后,“断开”了许多制造和翻新设施。普利司通沃伦县工厂的一些员工于周日被送回家,暂时没有迹象表明员工何时可以重返工作岗位。沃伦县的工厂主要生产卡车和客车子午线轮胎。该公司事后调查称,该事件是一起勒索软件攻击,经过全面的网络安全检测后,恢复了此前“断开”的网络。
《开启2022年的钥匙,还是猴子扔出的飞镖》——2022年第一期刊首语
安全态势●漏洞篇
1月
ApacheApisix曝出授权问题漏洞,远程攻击者可通过访问特定API绕过权限控制,造成未授权访问。目前,Apache官方已发布可更新版本,建议尽快自查并修复。
CNNVD关于ApacheApisix授权问题漏洞的预警
2021年12月29日,国家信息安全漏洞库(CNNVD)收到关于ApacheApisix授权问题漏洞(CNNVD-202112-2629、CVE-2021-45232)情况的报送。成功利用漏洞的攻击者,可以在未经授权的情况下获取或更改设备的配置信息,进而构造恶意数据对目标设备进行攻击。ApacheAPISIXDashboard2.10及其之前版本均受此漏洞影响。目前,Apache官方已经发布了版本更新修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。
ApacheLog4j远程代码执行漏洞安全风险通告
2021年12月29日,奇安信CERT监测到Apache官方发布了ApacheLog4j远程代码执行漏洞(CVE-2021-44832),在某些特殊场景下(如系统采用动态加载远程配置文件的场景等),有权修改日志配置文件的攻击者可以构建恶意配置,成功利用此漏洞可以实现远程代码执行。目前官方已有安全版本,鉴于Log4j在全球范围内部署量较大,建议用户使用处置建议中的缓解措施或升级到最新版本。
MinIO权限提升漏洞安全风险通告
2021年12月28日,奇安信CERT监测到MinIO官方发布CVE-2021-43858MinIO权限提升漏洞安全通告。拥有MinIO普通用户账户权限的攻击者可通过构造恶意数据包调用AddUser()API,从而更新用户的Policy获得更高的权限。目前,MinIO官方已发布可更新版本,建议客户尽快自查并修复。
ApacheLog4j拒绝服务漏洞安全风险通告
2021年12月19日,奇安信CERT监测到Apache官方发布了ApacheLog4j拒绝服务攻击漏洞(CVE-2021-45105),此漏洞需要在非默认配置下才能触发。攻击成功利用此漏洞将触发无限循环,导致系统崩溃。目前官方已有安全版本,鉴于Log4j在全球范围内部署量较大,建议用户使用处置建议中的缓解措施或升级到最新版本。
2月
多款大众软件被曝高危漏洞,漏洞细节和PoC均遭到公开,危害较大,建议用户尽快自查并更新修复。
FortinetFortiWebWeb应用防火墙漏洞预警
2月8日,国家信息安全漏洞库收到关于FortinetFortiWeb安全漏洞(CNNVD-202202-129、CVE-2021-43073)情况的报送。成功利用漏洞的攻击者,可向目标设备发送特殊请求,从而远程执行恶意代码。FortiWeb6.4.1及其以下版本均受此漏洞影响。目前,Fortinet官方已发布新版本修复了该漏洞,请用户及时确认是否受到漏洞影响,尽快采取修补措施。
LinuxPolkit安全漏洞预警
1月28日,国家信息安全漏洞库收到关于Polkit安全漏洞(CNNVD-202201-2343、CVE-2021-4034)情况的报送。成功利用此漏洞的攻击者,可在默认配置下提升本地用户权限。Polkit所有版本均受此漏洞影响。Polkit是一个在类Unix操作系统中控制系统范围权限的组件,存在于所有主流Linux发行版的默认配置中。目前,Polkit官方已发布新版本修复了漏洞,请用户及时确认是否受到漏洞影响,尽快采取修补措施。
3月
OpenSSL、Linux内核、Windows远程桌面客户端等多个全球基础软件漏洞的利用代码公开泄露,已构成现实威胁,建议用户尽快自查并更新修复。
KubernetesCRI-O引擎任意代码执行漏洞安全公告
3月18日,美国网络安全与基础设施安全局发布安全公告,CRI-O发布安全更新,修复1.19版本的一个严重漏洞(CVE-2022-0811)。CRI-O是Kubernetes的容器运行时引擎,可以替代Docker。本地攻击者可以利用此漏洞,控制受影响的Kubernetes环境及使用CRI-O容器运行时的其他软件或平台。目前,CRI-Ov1.19.6、v1.20.7、v1.21.6等新版本已修复漏洞,请用户及时确认是否受到漏洞影响,尽快采取修补措施。
OpenSSL拒绝服务漏洞(CVE-2022-0778)安全风险通告
3月17日,奇安信CERT监测到OpenSSL官方发布安全更新,修复了OpenSSL拒绝服务漏洞(CVE-2022-0778)。OpenSSL的BN_mod_sqrt()函数包含一个致命错误,攻击者可以通过构造特定证书来触发无限循环,由于证书解析发生在证书签名验证之前,因此任何解析外部提供的证书场景都可能实现拒绝服务攻击。目前,此漏洞细节及PoC已公开,经奇安信CERT验证,POC有效且稳定。鉴于此漏洞影响范围极大,建议客户尽快做好自查及防护。
Linuxkernel安全漏洞(CVE-2022-0847)预警
3月11日,国家信息安全漏洞库收到关于Linuxkernel安全漏洞(CNNVD-202203-522、CVE-2022-0847)情况的报送。成功利用此漏洞的攻击者,可提升本地用户权限。LinuxKernel5.8-5.16.11、5.8-5.15.25、5.8-5.10.102等版本均受此漏洞影响。目前,Linux官方已发布新版本修复了漏洞,请用户及时确认是否受到漏洞影响,尽快采取修补措施。
APCSmart-UPS设备多个高危漏洞安全风险通告
3月11日,奇安信CERT监测到APCSmart-UPS设备中多个高危漏洞,这些漏洞统称为"TLStorm"漏洞。漏洞编号分别为CVE-2022-22805、CVE-2022-22806和CVE-2022-0715。CVE-2022-22805与TLS相关,主要是数据包重组引发的缓冲区溢出,可能导致远程代码执行;CVE-2022-22806主要是TLS握手中存在状态混淆,导致身份验证绕过;CVE-2022-0715属于系统设计缺陷,受影响设备上的固件更新未以安全方式进行加密签名,意味着攻击者可以制作恶意固件并使用各种路径进行安装,可能导致远程代码执行。鉴于这些漏洞影响范围极大,建议客户尽快做好自查及防护。
WindowsRemoteDesktopClient远程代码执行漏洞安全风险通告
3月9日,奇安信CERT监测到微软发布月度安全更新,其中包括WindowsRemoteDesktopClient远程代码执行漏洞(CVE-2022-21990)。要利用此漏洞,攻击者需要控制远程桌面服务器,然后诱导用户连接到该服务器,比如利用社会工程学、DNS中毒、使用中间人攻击、破坏合法服务器等方式。当受害者使用易受攻击的远程桌面客户端连接到攻击服务器时,攻击者可以在RDP客户端计算机上触发远程代码执行。目前,此漏洞PoC已在互联网公开,经奇安信CERT验证,此PoC有效,黑客可在此PoC的基础上开发出完整的漏洞利用,现实威胁进一步上升。鉴于该漏洞影响较大,建议用户尽快更新。
PTCAxeda代理和桌面服务器“Access:7”系列漏洞安全公告
3月8日,美国网络安全与基础设施安全局发布工业控制系统咨询文件,详细说明了影响PTCAxeda代理和桌面服务器的一系列安全漏洞“Access:7”。成功利用这组漏洞,可导致完全系统访问、远程代码执行、读取/更改配置、访问读取文件系统、访问日志信息或拒绝服务等。PTC是国际工业物联网数字化重要供应商,Axeda平台是基于云的物联网平台。目前,PTC官方已发布新版本修复了漏洞,建议用户尽快采取修复措施。
Linux内核权限提升漏洞(CVE-2022-25636)安全风险通告
3月8日,奇安信CERT监测到Linux内核权限提升漏洞(CVE-2022-25636),具有用户账户的本地攻击者可利用此漏洞,获得对越界内存的访问权限,从而实现从普通权限用户身份提升到ROOT权限,或导致系统崩溃。目前,此漏洞细节、PoC及EXP已公开,经奇安信CERT验证,此漏洞EXP有效且稳定。鉴于此漏洞影响较大,建议客户尽快做好自查及防护。
Clash远程代码执行漏洞安全风险通告
2月25日,奇安信CERT监测到流行跨平台代理软件核心程序Clash官方发布安全更新,修复低版本中存在的Clash远程代码执行漏洞。Clash是一个基于规则的流行跨平台代理软件核心程序。攻击者可通过加载配置文件的方式,在proxies名称中插入恶意JS代码,最终导致远程代码执行。利用该漏洞需交互,用户需加载恶意YAML配置文件。目前漏洞利用细节及PoC已经公开,同时已在Clash0.19.8、0.19.4、0.18.8、0.17.2版本上成功复现。鉴于该漏洞影响较大,建议用户及时更新至修复版本。
PostgreSQLJDBCDriver多个漏洞安全风险通告
2月25日,奇安信CERT监测到PostgreSQLJDBCDriver官方发布多个漏洞公告。其中包括PostgreSQLJDBCDriver任意代码执行漏洞(CVE-2022-21724):若受害机器可通外网,且JDBC连接URL属性可控,未经授权的远程攻击者可利用该漏洞执行任意代码;PostgreSQLJDBCDriver任意文件写入漏洞(QVD-2022-1479):当连接PostgreSQL数据库的URL或参数(loggerLevel、loggerFile)可控时,即可写入任意文件。目前,漏洞利用细节及PoC均已公开,鉴于漏洞影响较大,建议用户及时更新。
《“零事故”只是新的开始》——2022年第二期刊首语
安全态势●政策篇
1月
国内,《网络安全审查办法》发布,将数据处理可能影响国家安全等情形纳入审查范围;《“十四五”国家信息化规划》发布,要求切实守住网络安全底线,统筹提升信息化发展水平和网络安全保障能力。
国际上,美国总统拜登签署《国防授权法案》,网络空间授权资金高达104亿美元;英国政府发布《2022年国家网络战略》,意图在重要网络技术方面处于领先地位,通过开发框架确保未来技术安全,并检测、干扰和威慑对手。
国内
证监会发布《证券期货业移动互联网应用程序安全检测规范》金融行业标准
1月7日,证监会发布《证券期货业移动互联网应用程序安全检测规范》金融行业标准,自公布之日起施行。《安全检测规范》规定了证券期货业移动互联网应用程序安全检测的总体要求及检测方法等,适用于信息安全检测服务、移动互联网应用程序的安全测试评估、自动化安全检测工具的设计与开发等。标准的制定实施,将统一行业对移动互联网应用程序的安全要求。
国家网信办等十三部门修订发布《网络安全审查办法》
1月4日,国家网信办等十三部门联合修订发布《网络安全审查办法》,自2022年2月15日起施行。《办法》将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查,并明确掌握超过100万用户个人信息的网络平台运营者赴国外上市必须向网络安全审查办公室申报网络安全审查。此外,根据审查实际需要,增加证监会作为网络安全审查工作机制成员单位,同时完善了国家安全风险评估因素等内容。
中国银保监会印发《银行保险机构信息科技外包风险监管办法》
2021年12月31日,银保监会发布《银行保险机构信息科技外包风险监管办法》,明确银行保险机构应当将信息科技外包风险纳入全面风险管理体系。《办法》要求,银行保险机构应当坚持以下原则:不得将信息科技管理责任、网络安全主体责任外包;以不妨碍核心能力建设、积极掌握关键技术为导向;保持外包风险、成本和效益的平衡;保障网络和信息安全,加强重要数据和个人信息保护;强调事前控制和事中监督;持续改进外包策略和风险管理措施。
《网络安全标准实践指南——网络数据分类分级指引》发布
2021年12月31日,全国信息安全标准化技术委员会秘书处发布了《网络安全标准实践指南——网络数据分类分级指引》,给出了网络数据分类分级的原则、框架和方法。《实践指南》提出,常见的数据分类维度包括公民个人维度、公共管理维度、信息传播维度、组织经营维度、行业领域维度。从国家数据安全角度可将数据分为一般数据、重要数据、核心数据共三个级别。
中央网信委印发《“十四五”国家信息化规划》
2021年12月27日,中央网络安全和信息化委员会印发《“十四五”国家信息化规划》。《规划》指出要坚持安全和发展并重。树立科学的网络安全观,切实守住网络安全底线,以安全保发展、以发展促安全,推动网络安全与信息化发展协调一致、齐头并进,统筹提升信息化发展水平和网络安全保障能力。
国际
美CISA发布《公共安全陆地无线移动通信安全》白皮书
1月10日,美国网络安全与基础设施安全局(CISA)发布了《公共安全陆地无线移动通信安全》白皮书。白皮书简明扼要地解释了通信安全的重要性、通信安全计划的基本要素,以及如何制定有效的策略来防止和减少未经授权的信息访问。白皮书定义通信安全(COMSEC)是一组用于保护敏感信息的集成策略、过程和技术。同时,白皮书是在不影响互操作性的情况下实施加密的最佳实践,指出加密是通信安全的关键组件。
美联邦贸易委员会要求企业保护消费者数据免受Log4shell攻击
1月4日,美国联邦贸易委员会(FTC)发出警告称,它将跟踪并问责那些未能保护其客户数据免受持续Log4J攻击的美国企业。根据《联邦贸易委员会法》和《格拉姆·里奇·布莱利法》,依赖Log4j的公司及其供应商有责任立即采取行动,以减少对消费者造成伤害的可能性。此前,CISA曾命令美国联邦民事行政部门机构在2021年12月23日之前修补被积极利用的Log4Shell漏洞以及联邦机构在12月28日之前报告其环境中受Log4Shell影响的产品。
美国网络空间日光浴委员会正式解散
2021年12月30日,经过两年多的时间、数十项建议和一系列立法改革,美国网络空间日光浴委员会正式解散。该委员会一直在处理从虚假信息到供应链风险的网络政策问题,已经取得了几项重大成果:
设立了国家网络总监;
推动发布了以网络安全为重点的行政命令;
扩大了网络安全和基础设施安全局的权限。
美国总统拜登签署《国防授权法案》,网络空间投入超百亿美元
2021年12月27日,美国总统拜登签署2022财年《国防授权法案》,正式通过了价值近7700亿美元的国防总开支。网络空间作为美国国防的重要组成部分,授权资金高达104亿美元,在2022财年国防授权法案中占比超过1.3%。法案包括了其网络空间能力建设的主要思路和特点,即强化国防部的网络安全态势、增加网络司令部的权利和能力、加强联邦政府的网络安全态势、应对网络威胁环境等能力。
英国政府发布《2022年国家网络战略》
2021年12月15日,英国政府发布《2022年国家网络战略》,以强化英国的网络空间安全、保护和促进网络空间利益。该战略提出了英国未来五年的五项“优先行动”(支柱),包括建设有弹性和繁荣的数字英国,降低网络风险,使企业最大限度利用数字技术的经济利益;在重要网络技术方面处于领先地位,开发框架确保未来技术安全;以及检测、干扰和威慑对手,加强英国网络空间安全等。
2月
国内,《工业和信息化领域数据安全管理办法(试行)》、《互联网信息服务深度合成管理规定》等多个政策文件公开征求意见,网络安全监管进一步细化;
国际上,美国政府零信任战略正式落地,白宫管理和预算办公室、司法部先后发布联邦、部委级推进计划。
国内
《关于进一步规范移动智能终端应用软件预置行为的通告》公开征求意见
2月18日,工信部信息通信管理局发布《关于进一步规范移动智能终端应用软件预置行为的通告(征求意见稿)》,公开征求意见。《通告》提出,生产企业应确保除基本功能软件外的预置应用软件均可卸载,并完善移动智能终端权限管理机制,提升操作系统安全性,采取技术措施预防在产品流通环节发生置换操作系统或安装应用软件的行为。
工信部《工业和信息化领域数据安全管理办法(试行)》再次征求意见
2月10日,根据数月前《工业和信息化领域数据安全管理办法(试行)》(征求意见稿)收到的公开意见,工信部进行了修改完善,第二次公开征求意见。修改版的条目由原先的八章四十四条缩减为八章四十一条,主要修改包括:强调个人信息保护、扩充数据定义、明晰监管机构职权范围、对分级分类标准进行微调、明确备案机制、严格主体责任等。
国家标准《App生命周期安全管理指南》公开征集意见
2月8日,信安标委发布国家标准《信息安全技术移动互联网应用程序(App)生命周期安全管理指南》征求意见稿,公开征求意见。该标准提出了移动互联网应用程序(App)生命周期安全管理的建议,适用于App开发者对App的开发、运营,也适用于移动应用分发平台厂商和移动智能终端厂商对App的管理,也可作为第三方机构对App进行安全检测时的参考。
《广东省公共数据安全管理办法(二次征求意见稿)》公开征集意见
2月7日,广东省政务服务数据管理局发布《广东省公共数据安全管理办法(二次征求意见稿)》。征求意见稿分为总则、基础制度体系、全生命周期数据安全管理、数据安全支撑保障、监督与法律责任、附则共计六章三十二条。征求意见稿规定,公共管理和服务机构应当按照国家网络安全等级保护制度、商用密码应用要求,采取数据脱敏、加密保护、安全认证等安全保护措施,保障公共数据安全。这是极少数专门针对公共数据安全起草的地方性规章。
网信办《互联网信息服务深度合成管理规定》公开征求意见
1月28日,网信办发布《互联网信息服务深度合成管理规定(征求意见稿)》,公开征求意见。《规定》明确了深度合成服务提供者主体责任,要求建立健全算法机制机理审核、信息内容管理等管理制度,具有与新技术新应用发展相适应的安全可控的技术保障措施。《规定》还明确了深度合成信息内容标识管理制度,要求服务提供者通过有效技术措施添加不影响用户使用的标识,依法保存日志信息,使深度合成信息内容可被自身识别、追溯。
国际
美国司法部制定零信任发展路线图,将在三年内落地
据FCW2月16日消息,在美国联邦零信任战略发布不足一月内,作为SolarWinds事件的重要受害者,美国司法部率先推出了零信任落地三年路线图。司法部副首席信息官KevinCox称,此次零信任迁移是司法部内部的“重大行动”。这套基于身份的零信任架构计划分为六步实施,预计在2024年实现完全部署。
NIST发布《软件供应链安全指南》
2月4日,美国国家标准与技术研究所(NIST)发布了关于确保软件供应链安全的指南文件,以响应拜登政府旨在加强国家网络安全的行政令(EO14028第4e节)。NIST建议向美国政府提供/销售软件的生产商采取一系列基本的安全措施,包括统一软件供应链报告语言,要求对软件使用和开发方面的安全实践进行证明等。
欧盟提出金融业网络安全事件响应协调框架
1月27日,欧洲系统性风险委员会(ESRB)提出了一套新的系统性网络事件协调框架,希望帮助欧盟在应对欧盟金融部门的重大跨境网络安全事件时能够更好地进行协调和响应。ESRB是一个独立欧盟机构,负责监督欧盟金融系统,以预防和缓解系统性风险。三大欧洲监管机构(欧洲银行管理局、欧洲保险和职业养老金管理局、欧洲证券和市场监管局)宣布采纳ESRB的建议,并呼吁逐步建立泛欧系统性网络安全事件协调框架(EU-SCICF)。
美国正式发布联邦政府零信任战略
1月26日,美国白宫管理和预算办公室(OMB)发布备忘录M-22-09《美国政府全面转向零信任网络安全原则》,作为联邦零信任战略的落地文件。备忘录要求,联邦政府在2024财年前满足必要的网络安全标准和目标,以实现零信任安全架构防护体系。零信任战略的核心要素包括:通过强大的多因素身份验证机制改进网络钓鱼防御水平、整合各机构身份系统、加密进出流量、将内网环境视为不受信环境、加强应用程序安全以更好地保护数据内容等。
英国政府发布《国家网络安全战略:2022-2030年》
1月25日,英国政府发布《国家网络安全战略:2022-2030年》,阐释了应对网络威胁的策略,并描绘了战略愿景,即确保政府核心功能对网络攻击具有韧性,使英国成为一个民主、负责任的网络强国。《网络安全战略》分别从背景、方法、网络安全风险管理、网络攻击防御、网络安全事件检测、网络安全事件影响控制、网络安全知识技能及文化培养、成果评估以及战略执行九个方面对战略进行了全面描述。
《网络战不可预知的未来》——2022年第三期刊首语
3月
国内,国务院2022年政府工作报告发布,要求强化网络安全、数据安全和个人信息保护,为全年工作风向定下基调;
国际上,美国通过《2022年关键基础设施网络事件报告法案》,要求关基所有者和运营者必须报告网络事件,或成为改变关基网络防护格局的关键点。
国内
《移动互联网安全审计指南》等4项网络安全国家标准获批发布
3月18日,国信息安全标准化技术委员会发布公告称,4项网络安全国家标准获批发布,将于今年10月1日生效。分别为:《信息安全技术术语》(注:替代2010年版本)、《信息安全技术网络脆弱性扫描产品安全技术要求和测试评价方法》(注:替代2006、2013年版本)、《信息安全技术重要工业控制系统网络安全防护导则》、《信息安全技术移动互联网安全审计指南》。
网信办《未成年人网络保护条例》再次公开征求意见
3月14日,国家互联网信息办公室就《未成年人网络保护条例(征求意见稿)》再次公开征求意见。征求意见稿共七章67条,涉及网络素养培育、网络信息内容规范、个人信息保护、网络沉迷防治等内容。在个人信息保护方面,征求意见稿提出,个人信息处理者处理未成年人敏感个人信息、确有必要向他人提供未成年人个人信息时,应在事前进行个人信息保护影响评估;每年对其处理未成年人个人信息是否遵守法律法规文件的情况进行合规审计。
国家药监局发布《医疗器械网络安全注册审查指导原则(2022年修订版)》
3月9日,国家药监局器审中心发布《医疗器械网络安全注册审查指导原则(2022年修订版)》。《指导原则》是医疗器械网络安全的通用指导原则。《指导原则》从医疗器械电子接口、网络安全能力、网络安全验证与确认、网络安全可追溯分析、网络安全事件应急响应、网络安全更新等方面,提出了相应要求。《指导原则》要求,医疗数据通常属于重要数据,特别是敏感医疗数据含有个人信息,因此医疗数据出境应符合重要数据、个人信息、人类遗传资源信息出境安全评估相关规定;境外远程维护与升级若可访问医疗数据,也应符合医疗数据出境要求。
工信部印发《车联网网络安全和数据安全标准体系建设指南》
3月7日,工信部宣布印发《车联网网络安全和数据安全标准体系建设指南》,聚焦车联网终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等重点领域,着力增加基础通用、共性技术、试验方法、典型应用等产业急需标准的有效供给,覆盖车联网网络安全、数据安全的关键领域和关键环节。指南提出,到2025年,形成较为完善的车联网网络安全和数据安全标准体系。完成100项以上标准的研制。
国务院2022年政府工作报告:强化网络安全、数据安全和个人信息保护
3月5日,国务院总理李克强向第十三届全国人民代表大会第五次会议作《2022年政府工作报告》。报告提出,2022年将推进国家安全体系和能力建设。强化网络安全、数据安全和个人信息保护。促进数字经济发展。加强数字中国建设整体布局。建设数字信息基础设施,逐步构建全国一体化大数据中心体系,推进5G规模化应用,促进产业数字化转型,发展智慧城市、数字乡村。加快发展工业互联网,培育壮大集成电路、人工智能等数字产业,提升关键软硬件技术创新和供给能力。完善数字经济治理,培育数据要素市场,释放数据要素潜力,提高应用能力,更好赋能经济发展、丰富人民生活。
国际
美国通过《2022年关键基础设施网络事件报告法案》
3月15日,美国总统拜登签署《2022财年综合拨款法案》(H.R.2471),其中Y部分为《2022年关键基础设施网络事件报告法案》。该法案要求,16个关基行业的关键基础设施所有者和运营者,应向美国网络安全与基础设施安全局(CISA)报告网络事件和勒索软件赎金支付消息,其中网络事件需在发生后72小时内报告,支付赎金需在发生后24小时内报告。这项制度还需要CISA后续发布规定来明确和落实,CISA有24个月时间制定规定。
美国FCC拟推动改进互联网基础协议安全
3月11日,美国联邦通信委员会(FCC)在联邦公报上发布《安全互联网路由》文件,公开征集公众意见。这项草案希望解决边界网关协议(BGP)的主要安全漏洞,更好地保护各网络间传输的互联网流量。BGP劫持漏洞除了可能影响邮件与网络流量外,还可能令VoIP呼叫的完整性受损,并导致911应急服务及其他公共安全事务遭受破坏。FCC希望了解,当前针对BGP的安全措施、是否有效、适用范围、阻碍电信运营商部署的障碍等情况。
俄罗斯联邦刑法修正案签署生效,严惩故意公开传播俄军虚假信息行为
3月4日,俄罗斯总统普京签署俄罗斯联邦刑法修正案,规定公开故意发布有关俄罗斯武装部队虚假信息者,最高可判处三年监禁或150万卢布罚款。若利用其公职,出于雇佣关系,或基于政治、意识形态、种族、民族或宗教仇恨而违反有关法律,将处以最高10年的监禁或最高500万卢布的罚款。如果虚假信息造成严重后果,将判处10至15年监禁。
日本多部门发布公告,提请政府和关基运营者加强网络安全措施
3月1日,日本经济产业省、金融厅、总务省等7部门联合发布公告,鉴于近期网络攻击的风险正在增加,并且有一家日本汽车零部件制造商当天宣布遭遇网络事件,在此呼吁政府机构和关键基础设施运营商,加深对网络威胁的认识,采取建议的安全措施加强防范,检测整个供应链并实施适当的安全措施,以便控制风险。此外,海外分支机构可能成为网络攻击日本关键系统的起点,请按照国内系统的同等标准实施安全措施。
美国国家安全局发布《网络基础设施安全指南》
3月1日,美国国家安全局发布网络安全技术报告《网络基础设施安全指南》,该指南向所有组织提供了最新的保护IT网络基础设施应对网络攻击的建议。安全指南建议涵盖网络设计、设备密码和密码管理、远程登录、安全更新、密钥交换算法及NTP、SSH、HTTP、SNMP协议等重要的协议。
互动有礼
欢迎分享您最喜欢的《网安26号院》杂志栏目,说明喜欢的缘由,更欢迎给我们提出意见和建议,本文留言获赞数前5名的小伙伴,可以收到【冰墩墩徽章】一枚哦~(截至4月11日16点)
立即拨打
京公网安备11000002002064号