网络空间安全动态第136期
一、发展动向热讯
1、美国总统拜登签署改善国家网络安全行政令
5月12日,美国总统拜登签署《改善国家网络安全行政令》。该行政令的重点集中在七大方面:一是消除政府与私营部门之间威胁信息共享的障碍,包括解除供应商合同义务约束以及强制其提供网络威胁信息等;二是实现联邦政府IT服务现代化,实施更严格的网络安全标准,增加对最佳安全实践的采用,包括推动联邦政府迈向安全云服务和零信任架构以及强制部署多因素身份验证和加密等;三是改善软件供应链安全,包括设立软件开发基线安全标准、创建软件安全标签试点计划、利用联邦购买力激励市场等;四是建立网络安全事务安全审查委员会,在重大网络事件发生后召集会议,以分析事件情况并提出改善网络安全的具体建议;五是创建用于应对网络事件的标准手册,确保政府内部应对计划成熟度,并为私营部门提供应对工作的模板;六是启用整个政府范围内的终端检测和响应系统,改善联邦政府内部的信息共享;七是提高调查和补救能力,向联邦部门和机构提出创建网络安全事件日志要求。(信息来源:奇安网情局公众号)
2、拜登政府开展新一轮网络安全专项行动
5月6日消息,拜登政府新一轮网络安全行动已拉开序幕。美国司法部副部长丽莎·摩纳哥指出,美国司法部的关注重点将包括:加密货币如何推动网络犯罪的实施;在诸如SolarWinds的供应链攻击事件中,攻击者如何从最薄弱环节渗透到美国政府国家安全机构网络内;某些国家如何与网络犯罪组织勾结,并利用美国本土网络基础设施发动对美网络攻击;如何打击勒索软件所赖以生存的整个网络犯罪生态系统。美国国土安全部长亚历山卓·马约卡斯表示,勒索软件是紧迫而急剧增加的美国家安全威胁,因此国土安全部将采用“政府整体”的方法进行应对,并根据勒索软件工作组《打击勒索软件:一个全面的行动框架》提出的建议采取行动。文件提议建立几个新组织:由白宫国家安全委员会领导、与国家网络总监进行工作协调的跨部门工作组;美国政府内部的联合勒索软件工作组;由美国私营部门主导、协作性非正式的勒索软件威胁聚焦中心。这份文件还提出美国政府打击勒索软件应优先考虑的五个事项:开展国际外交和执法合作;开展一个由美国牵头,持续、积极、政府整体且情报驱动的反勒索软件运动;设立网络响应与恢复基金,强制勒索软件攻击报告,要求受攻击机构考虑除支付赎金外的其他办法;建立一个应对勒索软件攻击的框架;监管网络犯罪分子用于匿名收取赎金的加密货币。(信息来源:国际安全简报)
3、美拟在国务院下设国际网络空间政策局
4月20日,美国众议院通过《网络外交法案》。该法案要求在美国国务院内设立一个国际网络空间政策局,职责包括:领导美国国务院的网络安全工作;与其他国家就网络安全事件进行协调,包括支援受到恶意网络活动威胁的盟国、与北大西洋公约组织成员国和其他志同道合的国家进行合作;促进数据跨境流动,打击对美国企业施加不合理要求的跨境数据流动国际倡议;领导美国政府为打击恶意网络活动制定全球性威慑框架,帮助美国更好地影响网络空间国际规则的制定。(信息来源:CyberScoop网)
4、美国土安全部新增200名网络专家岗位
5月5日,美国国土安全部宣布,计划在7月前新招聘200名网络安全专业人员,以遏制影响美国企业的勒索软件攻击以及外国间谍活动。其中,网络安全与基础设施安全局计划设置100个岗位,其他国土安全部下属机构设置100个岗位。此次招聘活动预计将成为国土安全部历史上规模最大的网络招聘活动之一。(信息来源:CyberScoop网)
5、美国防部将漏洞披露程序扩展到所有可公开访问系统
5月5日,美国国防部(DOD)宣布该部门漏洞披露程序(VDP)已扩展到所有可公开访问的国防部网站和应用程序。VDP由国防部网络犯罪中心领导,它使安全研究人员可以搜索和报告影响面向公众的DOD信息系统的任何漏洞。自2016年启动以来,已通过该计划提交了30000多个漏洞报告,其中70%以上包含影响国防部系统的有效漏洞。该程序的扩展将增加与黑客的交互,漏洞报告数量也将急剧增加。国防部通过漏洞赏金计划收集信息,进一步增强美国国防部信息网络的安全性。(信息来源:BleepingComputer网)
6、美参议院提出电路板供应链安全新法案
4月29日消息,美国参议院武装部队委员会成员、参议员乔什·霍利近日提出《通过透明和持久再投资保护关键电路板和电子产品法案》,以保护国防部的印刷电路板供应链安全。法案要求国防部长支持并鼓励在国内制造印制电路板(PCB),识别自中国、俄罗斯、伊朗和朝鲜进口的PCB造成的安全风险,并避免美军使用上述国家制造的PCB。该法案还要求财政部设立一个为期10年的电子供应链基金,促进美国印制电路板和其他微电子产品制造业的发展,提高电子产品供应链的安全性。目前,该提案已递交至参议院武装部队委员会。(信息来源:防务新闻网站)
7、美国防部副部长签发五项数据法令
5月5日,美国防部副部长凯瑟琳·希克斯签发新备忘录,旨在指导国防部数据领导和治理及数据管理,以创建国防部数据优势。国防部指令提出五项数据法令:一是最大化数据共享和数据使用权:所有国防部数据都是体系资源;二是将数据资产以及通用接口规范发布到国防部联合数据目录中;三是使用可从外部访问且机器可读的自动化数据接口,并确保接口使用行业标准的、非专有的、开源的技术、协议和有效载荷;四是摆脱硬件或软件依赖性,采用与平台和环境无关的方式存储数据;五是实施行业最佳实践,以实现静态、传输和使用中数据的安全认证、访问管理、加密、监视和保护。该备忘录授权国防部首席数据官提供与国防部数据生态系统、数据共享、数据体系架构、数据生命周期管理和数据战备劳动力有关的行动计划。(信息来源:奇安网情局公众号)
8、国信办发布《汽车数据安全管理若干规定(征求意见稿)》
5月12日,国家互联网信息办公室发布《汽车数据安全管理若干规定(征求意见稿)》,对运营者在中华人民共和国境内设计、生产、销售、运维、管理汽车过程中处理个人信息或重要数据做出了详细要求。意见反馈截止时间为2021年6月11日。(信息来源:中国网信网)
9、我国发布多项网络安全国家标准征求意见稿/草案
4月下旬至5月上旬,全国信安标委发布多项网络安全国家标准征求意见稿/草案,分别是《信息安全技术 移动互联网应用程序(APP)个人信息安全测评规范》《信息安全技术 移动互联网应用程序(APP)SDK安全指南》《信息安全技术 人脸识别数据安全要求》《信息安全技术 网联汽车 采集数据的安全要求(草案)》《信息安全技术 声纹识别数据安全要求》《信息安全技术 步态识别数据安全要求》《信息安全技术 基因识别数据安全要求》。(信息来源:信安标委网站)
二、安全事件聚焦
10、大规模DDoS攻击使比利时政府网站瘫痪
5月8日消息,比利时互联网服务供应商Belnet遭受大规模分布式拒绝服务(DDoS)攻击,大部分政府IT网络被迫暂时关闭。200家连接Belnet网络的机构受影响,包括官方税收与报表提交门户My Minfin,多个供中小学、大学用于远程学习的IT系统,司法部网站,COVID-19疫苗预约门户网站等。Belnet专门为比利时各政府机构(包括议会、教育机构、政府部门与研究中心等)提供网络连接服务。目前网络攻击仍在继续。(信息来源:华盛顿邮报)
11、美国燃油管道公司感染勒索软件致主要输油管停运
5月7日,美国最大的燃料管道公司Colonial Pipeline遭到勒索软件攻击,5500英里输油管停运。Colonial Pipeline的输油管道每天运送250万桶石油,占东海岸柴油、汽油和喷气发动机燃料供应量的45%。该公司发现攻击后主动关闭了关键系统以避免传播,目前正与安全公司合作对该事件的性质和范围进行调查。美国一名官员称,此次勒索攻击事件与DarkSide团伙有关。(信息来源:路透社)
12、伊朗Raychat应用泄露1.5亿条用户记录
5月4日消息,伊朗流行的社交和商务消息传递平台Raychat超过1.5亿用户的个人数据遭泄露。黑客声称下载了2020年12月至2021年1月之间在线暴露的Raychat应用程序数据,包括用户名、IP地址、电子邮箱、加密密码及Telegram ID等。(信息来源:红数位网)
13、美国阿拉斯加法院系统因网络攻击而被迫下线
5月1日,美国阿拉斯加法院(ACS)发布声明,由于网络攻击,阿拉斯加法院系统服务器被迫临时断开,虚拟法庭听证会被破坏。ACS的网站下线可能会影响其他活动,包括公众查看Zoom上的法院听证会、在线保释金、提交陪审员问卷以及发送或接收电子邮件等。ACS正在与一家未公开的网络安全公司合作调查此事件,但强调没有泄露任何机密文件、员工信息或信用卡信息。(信息来源:E安全网)
14、巴西法院遭受勒索软件REvil攻击
4月28日,巴西南里奥格兰德州法院遭受了REvil勒索软件攻击,勒索赎金为500万美元。攻击者对员工的文件进行了加密,并迫使法院关闭了网络。同时,其他巴西联邦政府机构的网站也处于离线状态,但尚不清楚这些网站是否受到攻击。(信息来源:BleepingComputer网)
15、一家美国医疗保健提供商遭勒索软件攻击
5月1日消息,美国圣地亚哥非营利医疗保健提供商Scripps Health遭勒索软件攻击,影响了两家医院的计算机系统。目前,患者服务已经中断,一些重症监护患者已被转移到其他医院。Scripps Health暂停了用户对医疗设施应用程序的访问。由于此次攻击,Encinitas、La Jolla、San Diego、及Chula Vista的医院不再接收中风或心脏病发作的患者。Scripps Health正在努力恢复正常运营,并已将情况通报执法部门和政府组织。(信息来源:BleepingComputer网)
16、云托管提供商Swiss Cloud遭勒索软件攻击
4月27日,瑞士云托管提供商Swiss Cloud遭勒索软件攻击,严重影响其服务器基础设施及该供应商的6500多名客户,包括德国人力资源软件巨头Sage。该公司目前正在HPE和Microsoft专家的帮助下,从备份中恢复操作。受攻击影响的部分复杂服务器网络必须单独清理,预计将在一周后恢复。(信息来源:SecurityAffairs网)
17、美国全球媒体署雇员信息泄露
5月5日消息,美国全球媒体署(USAGM)因遭钓鱼攻击,泄露了现任和前任雇员及其受益人的个人信息,包括姓名和社保号码。攻击者访问了包含2013至2020年间在该机构工作的现任和前任USAGM、美国之音和古巴广播办公室员工个人信息的电子邮件账户。USAGM已采取保护措施,同时加快针对Office 365、SharePoint和OneDrive账户的多因素认证的使用。(信息来源:BleepingComputer网)
三、安全风险警示
18、FragAttacks漏洞影响全球WiFi设备
5月13日消息,安全研究人员发现了一组堪称“核弹级”的WiFi安全漏洞FragAttacks,该漏洞存在于包括计算机、智能手机、家庭路由器、智能家居设备、智能汽车、物联网等所有WiFi设备。其中三个漏洞属于WiFi 802.11标准帧聚合和帧分段功能中的设计缺陷,其他漏洞是WiFi产品中的编程错误。黑客只要在目标设备的WiFi范围内,就能利用FragAttacks漏洞窃取敏感数据并执行恶意代码,甚至接管整个设备。目前,思科、HPE、Juniper和微软等已发布FragAttacks漏洞的安全更新和安全公告。研究人员建议所有Wi-Fi用户应确保已安装设备制造商提供的最新推荐更新。(信息来源:安全牛网)
19、邮件服务器Exim中存在21Nails漏洞
5月8日消息,Qualys研究人员发现,邮件服务器Exim中存在11个本地漏洞和10个远程漏洞,统称为21Nails,可导致攻击者接管系统并拦截或篡改流经Exim服务器的邮件通信,所有版本的Exim均受影响。Exim是一种邮件传输代理(MTA)类型的邮件服务器,目前约60%可公开访问的电子邮件服务器运行Exim。Qualys称其团队成功利用了三个远程代码执行漏洞和四个本地权限提升漏洞,从而获得了易受攻击的邮件服务器上的超级用户访问权限,安全专家建议用户更新至Exim版本4.94。(信息来源:SecurityWeek网)
20、高通芯片被曝严重漏洞影响全球数亿安卓用户
5月6日消息,高通公司移动调制解调器MSM芯片中发现了一个高危漏洞(CVE-2020-11292),攻击者可以利用该漏洞获取手机用户的短信、通话记录,监听对话甚至远程解锁SIM卡,且常规系统安全功能无法检测到。目前全球约30亿手机都使用了MSM芯片,其中包括三星、谷歌、LG、OnePlus和小米等品牌。研究人员建议安卓手机用户应当从官方应用商店中安装应用程序,降低安装恶意应用程序的风险,并将安卓操作系统更新至最新版本。(信息来源:CheckPoint网)
21、戴尔驱动软件存在12年高危漏洞影响数亿设备
5月4日消息,戴尔发布安全更新,修复了上亿台电脑固件升级驱动中已存在12年之久的5个漏洞,漏洞被追踪为CVE-2021-21551,CVSS评分为8.8,其中4个可被用于特权升级,1个可被用于DoS攻击。这些漏洞是由内存损坏、缺乏输入验证和代码逻辑问题引起的,自2009年以来一直存在,影响全球数亿台戴尔台式机、笔记本电脑和平板电脑。目前尚未发现这些漏洞被在野利用。戴尔建议用户立即删除有漏洞的驱动程序文件。(信息来源:SecurityWeek网)
22、微软在IoT/OT设备中发现25个内存分配漏洞
4月29日消息,微软物联网安全研究团队Azure Defender发现了25个漏洞,被统称为BadAlloc,CVSS评分为9.8,存在于广泛用于实时操作系统、嵌入式软件开发包和C语言标准库实现的标准内存分配函数中。攻击者利用这些漏洞可以绕过安全控制来执行恶意代码或引发系统崩溃,影响家用和医疗用物联网设备、工业物联网、工业控制系统等。美国网络安全与基础设施安全局发布公告指出,截至目前,在25家受影响的组织机构中,仅有15家发布安全更新。研究人员建议减小设备暴露在互联网的可能性以减少攻击面、实现网络安全监控以检测是否被攻击、加强网络隔离以保护关键资产设施。(信息来源:TheRecord网)
23、思科修复SD-WAN软件及数据平台中多个严重漏洞
5月6日,思科发布修补程序,修复了SD-WAN软件和HyperFlex HX数据平台中的多个严重漏洞。漏洞CVE-2021-1468(CVSS得分为9.8)可能允许未经身份验证的远程攻击者调用特权操作,创建新的管理账户,并查看、更改或删除数据。漏洞CVE-2021-1505(CVSS得分为9.1)影响SD-WAN vManage基于Web的管理界面,允许攻击者获得更高的权限。SD-WAN vManage中的获得权限提升漏洞CVE-2021-1508、造成DoS状态漏洞CVE-2021-1275及获得对服务的未经授权访问漏洞CVE-2021-1506,影响IOS XE SD-WAN、SD-WAN vEdge路由器、SD-WAN vBond Orchestrator、SD-WAN vEdge云路由器、SD-WAN vSmart Controller软件。思科还修复了针对HyperFlex HX安装程序虚拟机基于Web的管理界面中的两个关键漏洞CVE-2021-1497(CVSS评分为9.8)和CVE-2021-1498(CVSS评分7.3)以及SD-WAN、Small Business 100、300和500系列路由器、企业NFV基础结构软件中的多个高危漏洞。(信息来源:SecurityWeek网)
24、HPE企业边缘应用程序管理工具EIM存在严重漏洞
4月29日,HPE修复了存在于边缘应用程序管理工具Edgeline Infrastructure Manager中的身份验证绕过漏洞CVE-2021-29203。该漏洞CVSS得分为9.8,影响HPE的Edgeline Infrastructure Manager(EIM)1.21之前的所有版本。攻击者可利用该漏洞实施远程身份验证绕过攻击,并渗透到客户的云基础设施中。EIM是HPE两年前推出的边缘计算管理套件。HPE建议用户更新到HPE EIM v1.22或更高版本以修复该漏洞。(信息来源:ThreatPost网)
25、新DNS漏洞TsuNAME可用于DDoS攻击
5月6日消息,研究团队披露新的DNS漏洞TsuNAME,该漏洞可被滥用于将流向顶层DNS节点的流量放大,并执行拒绝服务攻击,使得关键的互联网节点崩溃或放缓。正常情况下,数百万递归DNS服务器每天会将数十亿DNS查询发送给权威DNS服务器,这些权威DNS服务器通常由大企业和组织机构如内容交付网络、大型技术巨头、互联网服务提供商、域名注册商或政府组织机构托管和管理。目前,谷歌和思科已修复该漏洞。(信息来源:TheRecord网)
26、特斯拉零点击安全漏洞允许黑客发起TBONE攻击
5月6日消息,安全研究人员从一架无人机上成功发起攻击,在无需任何用户交互的情况下,通过WiFi系统控制特斯拉信息娱乐系统,该攻击被命名为TBONE。攻击者可以执行驾驶员在中控屏幕上执行的任何操作,包括远程打开车门、调整座椅位置、设置转向和加速模式等。攻击涉及对两个远程零点击安全漏洞的利用,这些漏洞来自嵌入式设备的互联网连接管理器ConnMan。该漏洞利用甚至还可被武器化成蠕虫病毒。特斯拉已停止使用ConnMan,但ConnMan组件在汽车工业中广泛使用,黑客可对其他车辆发起类似攻击。(信息来源:安全牛网)
27、卡巴斯基发现疑似来自美CIA的新恶意软件
4月29日消息,网络安全公司卡巴斯基称,发现了一个疑似由美国中央情报局(CIA)开发的新恶意软件Purple Lambert,该恶意软件样本具有在Lambert家族中发现的编码模式、风格和技术的交集。卡巴斯基认为Purple Lambert样本很可能早在2014年就已经部署,用来监听网络流量、获取特定的数据包,为攻击者提供关于受感染系统的基本信息并执行已接收的载荷。(信息来源:cnBeta网)
28、趋势科技曝光恶意软件Panda Stealer
5月6日消息,趋势科技安全研究人员公布了有关恶意软件Panda Stealer的详情,该恶意软件已波及美国、澳大利亚、日本和德国等地。Panda Stealer会在钓鱼邮件中将自身伪装成企业询价,在欺骗受害者打开.XLSM后缀的文件并启用宏操作后,恶意软件会尝试下载并执行主窃取程序。Panda Stealer还可通过在.XLS格式的附件中插入一个隐藏PowerShell命令的Excel公式,恶意软件会在触发后尝试访问paste.ee网址,以将PowerShell脚本引入受害者的系统,以窃取用户的加密货币。(信息来源:cnBeta网)
四、前沿技术瞭望
29、美国在改善量子信息传输方面取得重大进步
5月12日消息,美国罗切斯特大学研究人员展示了两种在量子比特间传递信息的新技术:①“绝热量子态转移”技术,该技术利用电子自旋量子比特在量子比特之间传递信息,可有效改善量子比特间的信息传输质量,对量子网络和系统纠错至关重要;②通过为电子施加一系列电场脉冲,创建类似于“时间晶体”的状态,以此改善电子自旋态在半导体量子点链中的转移。上述研究为量子处理应用领域提供了新技术方案,有望改善量子计算机性能。(信息来源:美国物理学家组织网)
