网络空间安全动态第137期
一、发展动向热讯
1、我国将推进国家算力网络体系建设
5月24日,国家发展改革委、中央网信办、工业和信息化部、国家能源局联合印发了《全国一体化大数据中心协同创新体系算力枢纽实施方案》,明确提出布局全国算力网络国家枢纽节点,启动实施“东数西算”工程,构建国家算力网络体系。全国一体化算力网络国家枢纽节点,是作为我国算力网络的骨干连接点。通过国家枢纽节点,统筹规划数据中心建设布局,引导大规模数据中心适度集聚,形成数据中心集群。围绕集群,调整优化网络结构,加强水、电、能耗指标等方面的配套保障。在集群和集群之间,建立高速数据中心直联网络,实施“东数西算”工程,支撑大规模算力调度,构建形成以数据流为导向的新型算力网络格局。(信息来源:国家发改委网站)
2、美期望通过美国就业计划拉动网络安全建设
5月18日,白宫发布《情况说明:美国就业计划将拉动网络安全》,介绍拜登政府如何通过美国就业计划增强美国各州及地方能源基础设施网络安全性,建设覆盖全美的安全宽带网络,提升美国电网网络安全能力和保障美国关键基础设施及电网弹性。该就业计划涉及总投资超2万亿美元,旨在创造数百万个就业岗位、重建美国基础设施并让美国“取得对华竞争优势”。《情况说明:美国就业计划将拉动网络安全》中提到:(1)由美国能源部主导的200亿美元“能源系统现代化改造”投资专项,将支持美国关键基础设施在电网弹性、清洁电力及网络安全方面的发展建设,推动美国各州及地方政府创造一个增加私营投资、创造就业岗位、减少污染和提升安全性的理想环境。(2)该就业计划将为在全美建设一个可承受、可靠而高速的宽带网络投资100亿美元,有意向参加这个宽带项目的厂商将被要求从“可信厂商”处采购设备,并建设一个符合《改善国家网络安全行政令》中网络安全要求,兼具开放和互操作性的宽带网络架构。(3)为开展电网建设并加强电网网络安全能力设置有针对性的退税款政策。(4)为支持断电高发地区、关键基础设施和边缘社群的微电网及分布式能源基础设施增强电网弹性提供20亿美元资助,并为独立基础设施及具有强网络安全控制网络的建设保留一定的投资额度。(信息来源:美国白宫网站)
3、美国出台五项法案以增强对网络攻击的防御能力
5月18日,美国众议院国土安全委员会通过了五项法案,以增强对网络攻击的防御能力。法案包括:《网络安全漏洞补救法案》,授权美国网络安全与基础设施安全局(CISA)协助关键基础设施所有者和运营商针对最关键的已知漏洞制定缓解策略;《州和地方网络安全改进法案》,寻求批准一项新的5亿美元拨款计划,为州和地方、部落和地区政府提供专用资金,以保护其网络免受勒索软件和其他网络攻击;《CISA网络演习法案》,在CISA内建立一个国家网络演习计划,以促进定期测试和系统评估针对关键基础设施网络攻击的准备和恢复能力;《管道安全法案》,增强TSA(负责管道安全的联邦实体)保护管道系统免受网络攻击、恐怖袭击和其他威胁的能力;《国土安全关键领域法案》,授权国土安全部对美国经济关键领域的供应链风险进行研究和开发,并将研究结果提交国会。(信息来源:美国国土安全委员会网站)
4、美参议院委员会通过针对中国的科技竞争法案
5月12日,美国参议院商务、科学和运输委员会通过《无尽前沿法案》,旨在加强技术领域的资金投入以便与中国展开科技竞争。该法案将在未来五年内投资1000亿美元用于关键技术领域的基础性和前沿研究,涉及人工智能、半导体、量子计算、先进通信、生物技术、网络安全、先进能源和先进材料科学等十大关键领域;还将投资100亿美元资助10-15个科技中心,并建立一项供应链危机应对计划,以解决汽车半导体芯片短缺问题。法案正文多次点名中国,为中国“量身设计”多项限制性措施,希望通过加强技术发展和限制,延缓中国赶超美国进度。该法案需参众两院及美国总统批准方能生效,预计最快将在5月底提交参议院审议。(信息来源:俄罗斯卫星通讯社网站)
5、俄罗斯制定《2027年前俄联邦国家安全学说》草案
5月20日消息,俄联邦安全局已完成《2027年前俄联邦国家安全学说》草案的制定工作。新版国家安全学说的修订和更新主要涉及最新的挑战与威胁,包括与气候变化、生物安全威胁、新型冠状病毒相关的重大问题。除了对全球经济和金融体系产生负面影响的一般性全球威胁外,俄罗斯还面临严厉的制裁压力。更新的国家安全学说将在下一次安全理事会的会议上进行审议。(信息来源:俄罗斯军事工业综合体网站)
6、欧盟将延长网络攻击制裁框架
5月17日,欧洲理事会宣布将对威胁到欧盟及其成员国的网络攻击的制裁框架再次延长一年,直至2022年5月18日。该框架建立于2017年,其允许成员国对网络攻击采取限制性措施,以预防、阻止、威慑和应对网络威胁和恶意网络活动,维护欧洲的安全和利益。目前,已有八个主体和四个实体受到此规则框架的制裁,所施加的限制包括资产冻结、旅行禁令、以及禁止欧盟人员和实体向被制裁者提供资金等。(信息来源:欧洲理事会网站)
7、日本将限制在关键基础设施领域使用外国设备和技术
5月18日消息,日本政府将针对电信、电力、金融、铁路、政府服务和医疗等14个关键基础设施行业出台新的法规,以加强网络防御。这类关键基础设施的运营商将被要求调查因使用外国设备或服务引发的问题,包括云数据存储和连接位于海外的服务器。政府还将监督企业的合规情况,若出现任何重大问题,暂停或吊销许可证。详细标准将在政府法令和指南中有所概述。(信息来源:日经新闻)
8、英国GCHQ发布智慧城市网络安全指南
5月7日,英国国家网络安全中心(NCSC)下属情报机构GCHQ发布《智慧城市网络安全指南》。指南中,NCSC警告称,连接到物联网的智慧城市系统收集和存储的大量敏感数据,被滥用后将产生巨大的破坏力,使这些系统成为各种威胁参与者的诱人目标。为了帮助指导智慧城市相关的组织和个人免受针对智慧城市的网络攻击的威胁,NCSC发布了一系列原则,智慧城市的建设和运营者应当遵循这些原则,为网络提供最高级别的安全性。(信息来源:英国NCSC网站)
二、安全事件聚焦
9、23款安卓应用暴露超1亿用户的数据
5月20日消息,Check Point公司发布报告称,23款安卓应用暴露了超过1亿用户的个人信息,原因在于对第三方服务的多种错误配置,如开发人员忘记通过密码保护后端数据库,或者开发人员将访问令牌/密钥落在云存储或推送通知等服务的移动应用的源代码中。攻击者可通过从这23款应用中找到的信息访问由13款应用组成的后端数据库。在所暴露的数据库中,研究人员发现的信息包括邮件地址、密码、私密聊天、位置坐标、用户标识符、屏幕记录、社交媒体凭证和个人图像。另外,虽然某些应用并非直接暴露用户数据,但其暴露的访问密钥允许攻击者向用户推送通知,从而被滥用于钓鱼攻击中。(信息来源:CheckPoint网)
10、黑客入侵富士通信息共享平台致日本政府数据被窃
5月27日消息,黑客攻击了富士通公司开发的信息共享平台ProjectWEB,导致日本多个政府机构数据被黑客窃取。日本国土交通省、外务省、内阁秘书处等政府机构和日本成田国际机场受影响。其中,国土交通省至少7.6万名员工和商业伙伴的电子邮件地址遭泄露。内阁秘书处网络安全中心部分办公室信息系统数据被盗。成田国际机场空中交通管制数据、航班时刻表和商业运作文件等信息被盗。为防止进一步的未授权访问,富士通ProjectWEB门户站点暂时关闭。目前,尚不清楚此次攻击是否通过漏洞利用或针对性的供应链攻击实施,事件仍在调查中。(信息来源:ZDNet网)
11、印度尼西亚部分公民社保信息遭泄露
5月21日消息,名为Kotz的黑客称其拥有2.7亿印度尼西亚公民的信息,并在暗网公开了100万印度尼西亚公民的信息详情,包括姓名、身份证号码、电话号码和居住地址等。目前,印度尼西亚通信和信息部确认其部分公民的社保信息已遭泄露,但坚称泄露信息的规模比黑客声称的要小得多。该国当局表示已采取措施防止被盗数据的扩散,并已着手调查此事。(信息来源:SecurityAffairs网)
12、网络安全公司Rapid7遭Codecov供应链攻击
5月13日,美国网络安全公司Rapid7称遭遇了Codecov供应链攻击,部分源代码存储库泄露。攻击者只能访问存储库的一小部分,其中包括Rapid7的托管检测和响应服务内部工具的源代码。攻击者没有访问其他公司系统或生产环境,也没有对这些存储库进行未经授权的更改。(信息来源:BleepingComputer网)
13、东芝公司遭DarkSide勒索软件攻击
5月14日,东芝发表声明称,东芝欧洲子公司遭受了Darkside勒索软件攻击,超过740GB的数据被盗,包含护照扫描件及项目文档等。在发现攻击后,东芝立即关闭了日本和欧洲以及子公司之间的网络,以防止损害蔓延,同时在完成备份后有序恢复实施。5月11日,美国CISA和FBI联合发布了有关DarkSide团伙的安全警报,称DarkSide将目标对准了多个领域的关键基础设施,包括制造、法律、保险、医疗保健和能源行业。(信息来源:ZDNet网)
14、法国保险公司AXA遭Avaddon勒索软件攻击
5月16日消息,法国保险公司安盛集团(AXA Group)发布声明,称其遭到Avaddon勒索软件的攻击,影响了亚洲业务部门的IT运营。Avaddon勒索团伙则在其网站上声称,已经从AXA公司窃取了3TB的敏感数据,包括客户医疗报告、身份证复印件、银行对账单、索赔表、付款记录和合同等,并对AXA在泰国、马来西亚、香港和菲律宾的网站发起了有效的DDoS攻击。AXA表示仅泄露了泰国国际合作伙伴的部分数据,其它分公司未受影响。(信息来源:HackRead网)
15、欧洲能源技术供应商Volue遭Ryuk勒索攻击
5月4日至5日,欧洲能源技术供应商Volue遭遇Ryuk勒索软件攻击,挪威国内200座城市的供水与水处理设施的应用程序被迫关闭,影响范围覆盖全国约85%的居民。目前还未发现数据泄露的证据。Volue公司在全球44个国家及地区拥有2000多家客户,挪威负责能源与水务部门的网络安全响应单位建议,所有Volue客户应立即关闭与该公司应用的连接并重置登录凭证。(信息来源:安全内参网)
16、Conti勒索软件攻击16家美国医疗和应急响应机构
5月20日,美国联邦调查局(FBI)发布安全警报称,勒索软件团伙Conti一年内至少对16家美国医疗和应急响应机构的网络,包括执法机构、紧急医疗服务、911调度中心和市政当局发起攻击。攻击影响全球超过400个组织,其中290个位于美国。Conti赎金要求是针对每位受害者量身定制的,最近的要求高达2500万美元。Conti勒索软件据悉是由俄罗斯网络犯罪组织Wizard Spider所控制。Conti最近还入侵了爱尔兰卫生服务机构(HSE)和卫生部(DoH)的网络。(信息来源:美国CISA网站)
17、新西兰卫生局遭勒索软件攻击致IT服务中断
5月18日,新西兰怀卡托地区卫生局(DHB)遭勒索软件攻击,导致除电子邮件以外的所有IT服务无法使用,病人病历无法获取,临床服务中断,手术推迟,电话线中断,医院被迫只接收紧急病人。DHB在声明中称,正在与有关部门合作,努力恢复受感染的系统。(信息来源:TheRegister网)
18、欧洲及南美70家银行遭受Bizarro银行木马攻击
5月21日消息,卡巴斯基研究人员发现了一种名为Bizarro的新型银行木马,攻击目标为欧洲和南美70家银行的客户。Bizarro木马诱使受害者下载手机应用程序,在假弹出窗口中输入双因素验证码,捕获受害者的在线银行凭据并劫持比特币钱包。Bizarro的核心组件是一个支持100多个命令的后门,如获取受害者数据并管理连接状态的命令,控制位于受害者硬盘上的文件的命令,控制用户鼠标和键盘的命令,控制后门操作、关闭、重启或破坏操作系统并限制Windows功能的命令等。目前已在巴西、阿根廷、智利、德国、西班牙、葡萄牙、法国和意大利等地检测到了感染。(信息来源:SecurityAffairs网)
三、安全风险警示
19、奔驰MBUX信息娱乐系统被曝存在5个漏洞
5月12日消息,研究人员披露了奔驰MBUX信息娱乐系统中的5个漏洞,分别为CVE-2021-23906、CVE-2021-23907、CVE-2021-23908、CVE-2021-23909和CVE-2021-23910,攻击者可利用上述漏洞绕过车辆的防盗保护,甚至控制车辆,如打开氛围灯或打开遮阳罩,更改内部氛围灯的颜色,在信息娱乐屏幕上显示图像等。研究人员还发现了多种攻击场景,包括利用浏览器的JavaScript引擎、Wi-Fi芯片、蓝牙堆栈、USB功能或第三方应用程序进行攻击。(信息来源:腾讯安全科恩实验室)
20、苹果macOS的SMB协议中存在安全漏洞
5月19日,思科Talos团队披露苹果macOS中存在一个整数溢出漏洞CVE-2021-1878,存在于macOS SMB协议处理SMB3数据包的过程中。攻击者可以通过向目标系统发送特制数据包来利用该漏洞,通过劫持现有应用程序的权限,来秘密截取屏幕画面或录制视频。除泄露敏感信息外,攻击者还可以利用该漏洞绕过加密检查并导致拒绝服务。目前,苹果已发布了漏洞补丁。(信息来源:cnBeta网)
21、蓝牙安全漏洞可被黑客利用进行中间人攻击
5月24日消息,美国国家情报系统研究人员在蓝牙Bluetooth Core和Mesh Profile规范中发现7个安全漏洞,分别为CVE-2020-26559、CVE-2020-26556、CVE-2020-26557、CVE-2020-26560、CVE-2020-26555和CVE-2020-26558,还有一个未分配编号。攻击者可利用这些漏洞在配对过程中冒充合法设备,并发起中间人攻击。截止目前,Android开源项目(AOSP)、思科、英特尔、红帽、Microchip Technology和Cradlepoint的产品都受到上述漏洞影响。(信息来源:BleepingComputer网)
22、Windows HTTP协议栈被曝严重漏洞
5月23日消息,研究人员发现Windows的HTTP协议栈(http.sys)中存在严重远程代码执行漏洞CVE-2021-31166,CVSS评分为9.8。该漏洞允许攻击者将经特殊设计的数据包发送到目标服务器,以内核身份远程执行代码。微软官方指出此漏洞可用于蠕虫式传播,并且极有可能被利用。微软已发布漏洞安全更新,建议用户及时更新设备。(信息来源:SecurityAffairs网)
23、艾默生修复X-STREAM气体分析仪中的6个漏洞
5月18日,美国工业巨头艾默生在内部测试中发现,其X-STREAM增强分析仪受6个漏洞的影响。其中3个为高危漏洞:一个与使用弱算法加密的用户凭据有关,获得这些凭据的攻击者可以访问设备并对其进行重新配置或获取敏感信息;一个与允许文件上载的应用程序有关,该漏洞可让攻击者上载恶意文件,使其能够访问登录凭据和其他敏感信息;另一个为路径遍历漏洞,可以通过直接键入目标页面的URL访问存储在Web服务器上的数据。另外三个漏洞为中危漏洞,攻击者可以利用这些漏洞截取Cookie,通过XSS攻击将任意代码插入网页,并通过点击劫持获取密码和其他敏感数据。受影响版本包括X-STREAM enhanced XEGP,X-STREAM enhanced XEGK,X-STREAM enhanced XEFD,X-STREAM enhanced XEXF等。(信息来源: SecurityWeek网)
24、研究人员披露两个影响AMD处理器的SEV漏洞
5月27日,第15届IEEE WOOT'21技术研讨会上,来自德国慕尼黑工业大学和吕贝克大学的研究人员分别披露了美国超威半导体公司AMD处理器的SEV安全漏洞CVE-2020-12967和CVE-2021-26311。AMD表示,相关漏洞影响所有EPYC嵌入式CPU以及1、2、3代霄龙处理器。该公司已经提供了专门的SEV-SNP缓解功能。至于其它产品线,官方建议客户尽量在各个方面都遵从最佳安全实践,以避免受到潜在的SEV-SNP攻击的影响。(信息来源:cnBeta网)
25、高通驱动中的4个漏洞已遭黑客利用
5月21日消息,高通芯片中存在的42个漏洞中,有4个已遭黑客利用发起攻击,数百万台安卓设备受影响。其中两个漏洞影响数百个芯片组中的高通GPU,包括最新的支持5G的芯片组,如骁龙768G和骁龙888。另外两个漏洞影响Arm Mali GPU(用于数百万安卓设备)的内核驱动,其严重性不可低估,因为它们允许攻击者完全控制用户手机。截止目前,Google Pixel是唯一得到修补的设备,其他安卓设备延迟更新的问题仍然存在。(信息来源:cnBeta网)
26、黑客可利用API密钥窃取加密货币
5月21日消息,CyberNews研究人员发现黑客可利用API密钥,从受害者账户中窃取资金。为简化交易流程,交易者可授权第三方应用通过API密钥访问他们在加密货币交易所的账户并执行各种操作,黑客借此可轻易绕过API密钥上的“仅交易”设置,在没有被授予提款的情况下从受害者账户中窃取加密货币。目前,有超过100万美元的加密货币被存放在API密钥暴露在公共代码存储库的账户中。(信息来源:CyberNews网)
四、前沿技术瞭望
27、全球首个抗量子攻击的网络加密解决方案推出
5月12日消息,泰雷兹与Senetas合作推出了世界上首个抗量子攻击的网络加密解决方案,可保护客户数据(以高达100Gbps的速度)免受未来的量子攻击。该解决方案使客户能够在一个单一的网络安全平台中将常规加密和抗量子加密相结合,还能在量子世界中提供长期数据保护。现在正在收集加密数据的黑客,将在未来试图用超级计算能力破解数据时陷入困境。该解决方案符合未来的抗量子加密算法全球标准。(信息来源:搜狐网)
28、美国陆军开发出深度伪造检测技术DefakeHop
5月18日消息,美国陆军研究人员宣布开发出一种深度伪造检测技术DefakeHop,可以帮助士兵快速检测和识别深度伪造相关威胁。这项研究工作的目标是开发出轻量化、低训练成本、高性能的面部生物特征识别技术,可以满足士兵在战斗中对随身设备的尺寸、重量和功率要求。研究团队认为,DefakeHop相比现有技术有着显著优势:一是DefakeHop基于全新的SSL信号表示和转换理论,在数学上是透明的,其内部模块和处理都是可以解释的;二是DefakeHop提供了一种通过无需反向传播的学习机制,节省了数据标注成本,降低了培训的复杂性;三是生成的模型尺寸和参数小,复杂度低,可以在战术边缘设备和平台上有效实现。(信息来源:安全牛网)
