网络空间安全动态第141期
一、发展动向热讯
1、工信部发布网络安全产业高质量发展三年行动计划
7月12日,工信部发布《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》,并面向社会公开征求意见。意见稿显示,三年发展行动计划的发展目标是到2023年,网络安全技术创新能力明显提高,产品和服务水平不断提升,经济社会网络安全需求加快释放,产融合作精准高效,网络安全人才队伍日益壮大,产业基础能力和综合实力持续增强,产业结构布局更加优化,产业发展生态健康有序。具体包括:在产业规模上,网络安全产业规模超过2500亿元,年复合增长率超过15%;在技术创新上,一批网络安全关键核心技术实现突破,达到先进水平;在企业发展上,一批质量品牌、经营效益优势明显的具有网络安全生态引领能力的领航企业初步形成;在需求释放上,电信等重点行业网络安全投入占信息化投入比例达10%;在人才培养上,建成一批网络安全人才实训基地、公共服务平台和实训靶场,多层次网络安全人才培养体系更加健全,网络安全人才规模质量不断提高;在生态培育上,产融对接更加精准高效,资本赋能作用持续加大,网络安全产业结构进一步优化,产业聚集效应显著增强。(信息来源:工信部网站)
2、三部门联合印发《数字经济对外投资合作工作指引》
7月21日,商务部、中央网信办、工信部联合印发《数字经济对外投资合作工作指引》。指引要求推动数字经济对外投资合作,深入实施数字经济战略,积极参与全球数字经济合作与竞争等。重点包括积极融入数字经济全球产业链、加快推进数字基础设施建设、推动传统产业数字化转型、打造具有国际竞争力的数字经济企业、优化数字经济走出去布局、建设数字化境外经贸合作区等。指引强调,企业在走出去的同时,要强化数字经济走出去的指导监管、做好数字经济的风险防范、积极参与国际数字规则标准制定等。鼓励数字经济企业完善内部合规制度,严格落实我国法律法规有关数据出境安全管理的规定,遵守东道国法律法规及国际通行规则;提高知识产权保护意识,健全数据安全管理制度,采取必要技术措施,保护数据安全和个人信息,支持企业通过法律手段维权;密切跟踪全球数字经济反垄断及加征数字税最新政策动向,做好应对准备等。(信息来源:商务部网站)
3、美参议院军事委员会通过《2022财年国防授权法案》
7月22日,美参议院军事委员会通过《2022财年国防授权法案》,使2022财年国防总预算达到7779亿美元。其中美国防部预算为7403亿美元,能源部国家安全项目预算为277亿美元,海外行动预算为99亿美元。用于加强国防工业基础和供应链以应对大国威胁,应对网络信息战带来的威胁;为新的“太平洋威慑计划”增加10亿美元的预算;投资使美军领先于竞争对手的国防技术,包括微电子、人工智能、5G、高超声速和定向能武器;为网络司令部提供充足资金,通过评估网络进攻和防御能力来防范持续的网络攻击。(信息来源:美参议院军事委员会网站)
4、美众议院国防关键供应链任务组发布最终报告
7月22日,美国会众议院国防关键供应链任务组发布最终报告,向美国防部提出六大建议:将供应链安全视作美国防战略优先方向;掌握国防供应链运行情况以理解其薄弱环节并制订相应风险处置措施;减少对潜在对手资源及制造能力的依赖;组建由美国防部与行业、教育、劳工、其他联邦政府及地方实体等方面构成的联合体,发挥其影响来提升美国防行业劳动力素质;建立一个国家技术与行业基础国际委员会,以增强美西方国防行业基础及供应链安全政策的协调;充分运用美国科技创新成果来保障其涉及稀土元素的供应链。(信息来源:美国众议院军事委员会网站)
5、美多项法案聚焦关键基础设施和工控系统网络安全
7月23日消息,美众议院通过多项网络安全法案,包括《网络安全漏洞修补法案》《CISA网络演习法案》《2021年工业控制系统能力增强法案》《州和地方网络安全改善法案》《国土安全关键领域法案》《网络感应法案》《能源紧急领导法案》《通过公私合作伙伴关系加强电网安全法案》。法案重点关注关键基础设施和工业控制系统网络安全,内容包括增加州/地方的网络拨款,扩大网络演习,并将CISA推向工业控制系统网络安全工作的前沿。(信息来源:美国国会网站)
6、美国土安全部发布第二个管道行业网络安全指令
7月20日,美国土安全部运输安全管理局(TSA)发布第二个管道行业网络安全指令,对主要输油管道所有者提出了额外网络安全要求。指令要求关键管道所有者和运营商实施具体的缓解措施,以防止勒索软件攻击和其他对信息技术和运营技术系统的已知威胁,制定和实施网络安全应急和恢复计划,并进行网络安全架构设计审查。(信息来源:美国土安全部网站)
7、美政府建立专门网站并重金悬赏打击勒索攻击
7月15日,美国联邦调查局(FBI)、司法部(DOJ)、网络安全与基础设施安全局(CISA)宣布了旨在打击勒索软件和其他网络威胁的新举措,包括建立一个新网站StopRansomware.gov,并对提供外国黑客信息者给予高达1000万美元的奖励。新网站将整合来自CISA、联邦调查局、特勤局、美国国家标准与技术研究院、财政部和卫生与公众服务部等政府机构的勒索软件资源,同时还提供来自CISA和FBI的勒索软件警报和声明,以及对个人和组织、培训课程和网络研讨会有用的免费服务链接。网站还将为16个关键基础设施行业提供具体指导。(信息来源:CISA网站)
8、美提出“一体化威慑”新战略
7月13日,美国国防部长劳埃德·奥斯汀在美国人工智能国家安全委员会举办的全球新兴技术峰会上发表演讲,提出“一体化威慑”概念,宣称要把技术、作战理念和各种能力恰当地加以结合起来,通过对创新和新技术进行大规模的投资,从而保持技术优势并加强与欧洲及太平洋地区盟友的合作。此次美国提出“一体化威慑”概念,就是着眼于人工智能、电磁频谱、无人系统等高新技术领域,建立一支新的分散但高度联网的军事力量,并通过不断推动技术更新,维护其在军事领域的优势地位,让对手了解自己具有优势实力并相信使用实力的决心,迫使对手就范,从而实现更佳的威慑效果。(信息来源:Nextgov网)
二、安全事件聚焦
9、腾云蛇组织APT-C-61针对南亚地区发起攻击
7月16日消息,360高级威胁研究院披露了一起新的APT攻击活动,攻击最早可追溯到2020年1月,至今仍然处于极度活跃状态。该组织主要针对南亚地区巴基斯坦、孟加拉等国家的政府机构、军工、科研、国防等重要领域,通过鱼叉邮件配合社会工程学手段进行渗透,向目标设备传播恶意程序,暗中控制目标设备,持续窃取设备上的敏感文件。由于其使用的C2、载荷下发、窃取的数据存储等均依赖于云服务,且使用的木马为Python语言编写,因此研究人员将其命名为腾云蛇(APT-C-61)。腾云蛇与南亚地区已知活跃的蔓灵花、响尾蛇等APT组织暂无关联,疑似属于新的APT攻击组织。(信息来源:360高级威胁研究院)
10、伊朗黑客组织攻击美国防及航空航天企业
7月15日消息,Facebook安全团队发现伊朗黑客组织Tortoiseshell网络攻击活动升级,攻击目标已扩展至美国和欧洲国防、航空航天军事人员及相关公司。该组织使用社会工程学、网络钓鱼和凭据盗窃、恶意软件、外包恶意软件开发等策略和技术来识别目标,并使用恶意软件感染设备以进行间谍活动。该组织具有资源丰富和持续行动的特点,同时依靠相对强大的运营安全措施来隐藏幕后黑手。目前,Facebook已阻止了恶意软件在平台上的共享,并关闭相关攻击账户。(信息来源:Facebook官网)
11、NSO利用间谍软件Pegasus监视全球政治活动家
7月20日,国际特赦组织披露以色列NSO Group集团利用iMessage中的0day漏洞安装间谍软件Pegasus。该间谍软件是远程访问木马,可以访问几乎每一款手机(包括是最新的iPhone和Android机型),获取受害者信息、电子邮件、照片、秘密录音通话甚至激活麦克风,进行广泛、持续的非法监视和侵犯人权活动。目前已有1000多名受感染用户身份被确认,其中包括阿拉伯王室成员、人权活动家、政府工作者、持反对政见者等。NSO否认其工具针对非犯罪对象,并否认所有指控,但承诺调查所有可信的指控。苹果公司目前正在调查此事。(信息来源:赛博研究院)
12、以色列Candiru公司向政府出售间谍软件
7月16日消息,微软及CitizenLab研究人员发现,以色列秘密监控软件公司Candiru利用Windows零日漏洞向政府出售一种名为DevilsTongue的新型间谍软件。该软件可感染和监控iPhone、Android、Mac、PC和云账户,通过不同载体进行部署,包括恶意链接、中间人攻击和物理攻击,允许运营商监视受害者、收集敏感数据、解密和窃取Windows设备上的信号消息、窃取主要网络浏览器的信息。通过网络扫描,目前已确定750多个网站与Candiru的间谍软件基础设施相关联,至少有10个国家的100名活动人士、记者及政府持不同政见者成为该间谍软件的攻击目标。(信息来源:SecurityAffairs网)
13、南非国家运输公司遭攻击致多个重要港口系统瘫痪
7月26日消息,南非国家运输公司遭网络攻击,其经营的开普勒、德班港口等受到影响,集装箱运输业务陷入停顿,当地货运企业已无法正常完成货物进出口运营,已造成超过2.59亿兰特的损失。该公司已确定并隔离了引发IT系统宕机的设备,调查仍在持续。(信息来源:互联网安全内参)
14、厄瓜多尔电信公司遭RansomEXX勒索软件攻击
7月17日消息,厄瓜多尔国营电信运营商(CNT)遭勒索软件攻击,导致业务运营、支付渠道和客户服务中断。CNT为厄瓜多尔提供固定电话服务、移动、卫星电视和互联网连接。此次攻击是由一个名为RansomEXX的勒索组织发起的,该团伙声称窃取了CNT公司190 GB数据,并在隐藏数据泄漏页面上分享了部分文档的截图,截图包括联系人列表、合同和支持日志。该组织警告CNT,如果不支付赎金,将泄露在攻击期间窃取的数据。(信息来源:BleepingComputer网)
15、美共和党全国委员会遭网络攻击
7月18日消息,美共和党全国委员会发布声明称,网络犯罪分子获得了该委员会承包商Synnex的IT基础设施的访问权限。美共和党全国委员会表示,尽管基础设施遭到破坏,但没有数据因为网络攻击而丢失。美国当局尚未确认这起网络攻击的具体责任人。目前,联邦调查局已经接到通知,但未对此事进行置评。(信息来源:Softpedia网)
16、俄罗斯国防部网站遭DDoS攻击
7月16日,俄罗斯国防部官方网站遭到一系列DDoS攻击,导致部分用户难以访问网站。俄罗斯国防部技术部门第一时间采取应对措施,并于2小时后恢复网站运行。俄罗斯国防部表示,此次攻击源头位于俄罗斯境外,但其基础设施未遭入侵。(信息来源:俄罗斯卫星通讯社)
17、沙特阿拉伯国家石油公司1TB数据在暗网出售
7月19日消息,黑客组织ZeroX在暗网以500万美元的价格出售沙特阿拉伯国家石油公司1 TB敏感数据,包括14254名员工的完整信息;电力、建筑、电信等相关系统的项目规范;内部分析报告、协议、信函、定价表;IP地址、WiFi接入点和IoT设备的网络布局;位置图和精确坐标;客户名单、发票及合同。沙特阿拉伯国家石油公司是全球最大的公共石油和天然气公司之一,拥有超过66000名员工。该公司将数据泄露事件归于第三方承包商,称该事件对其运营没有影响。(信息来源:BleepingComputer网)
18、东京奥运会购票者与志愿者账号数据泄露
7月23日消息,东京奥运门票购票者及志愿者的ID和密码在网络上泄露,被盗的凭据可用于登录志愿者和购票人网站,并泄露姓名、地址和银行账号等个人数据。泄露数据疑似通过未经授权访问的电脑或智能手机盗取。日本政府已采取防范措施。(信息来源:东京新闻)
19、美国保险巨头Humana客户医疗数据遭泄露
7月24日消息,攻击者在黑客论坛泄露了美国保险巨头Humana的数据库,包含6000多名患者的姓名、ID、电子邮件地址、哈希密码、隐私政策确认状态、医疗保险计划、医疗数据、与患者有关的图片和视频,以及该公司2019年以来健康计划内客户的详细医疗记录。Humana确认被泄露的数据属于该公司,数据库已被删除。(信息来源:FreeBuf网)
三、安全风险警示
20、施耐德电气的Modicon PLC存在高危漏洞
7月13日消息,物联网安全公司Armis的研究人员发现,施耐德电气的Modicon可编程逻辑控制器(PLC)中存在一个认证绕过漏洞CVE-2021-22779,被命名为ModiPwn,影响Modicon M580和M340 PLC。未经身份验证的攻击者可通过欺骗工程软件和控制器之间的Modbus通信,访问目标设备的PLC。攻击链还涉及过去几年发现的其他几个漏洞CVE-2018-7852、CVE-2019-6829和CVE-2020-7537,这些漏洞与施耐德的统一消息应用服务协议有关,该协议用于配置和监控其PLC。施耐德已提供缓解措施,但未发布补丁。(信息来源:SecurityAffairs网)
21、UDP Technology的IP摄像机固件中存在多个漏洞
7月18日消息,法国安全咨询公司Randorisec安全研究人员发现了大量来自UDP Technology的IP摄像机固件的严重漏洞,编号为CVE-2021-33543到CVE-2021-33554,包括身份验证绕过漏洞及远程代码执行漏洞。UDP固件捆绑在多个供应商的摄像头中,如Geutebrück、VCA、Sprinx Technologies等。攻击者将身份验证绕过漏洞与任何RCE漏洞相结合,就能得到了一个root shell,可以停止视频流、更改视频或将其用作连接网络的中继等。目前,上述漏洞已在固件更新中得到解决。(信息来源:TheDailySwig网)
22、研华路由器监控软件R-SeeNet存在多个漏洞
7月15日消息,思科安全研究人员称,中国台湾工业和物联网解决方案提供商研华R-SeeNet监控软件中存在多个漏洞CVE-2021-21799、CVE-2021-21800和CVE-2021-21801, 影响R-SeeNet 2.4.12 版本。允许攻击者在目标用户浏览器的上下文中执行任意JavaScript代码,通过向目标发送恶意URL并诱使用户打开该URL来利用这些漏洞。文件包含漏洞CVE-2021-21804存在于R-SeeNet的options.php脚本功能中,可能允许攻击者执行任意PHP命令,通过恶意HTTP请求触发。命令注入漏洞CVE-2021-21805可能允许攻击者通过向目标设备发送特制的HTTP请求来执行操作系统命令。R-SeeNet是用于监控研华路由器的软件系统,不断从网络中的各个路由器收集信息,并将数据记录到SQL数据库中。目前,研华还未发布正式更新。(信息来源:Cisco网站)
23、罗克韦尔MicroLogix PLC存在高危漏洞
7月20日消息,罗克韦尔MicroLogix 1100可编程逻辑控制器(PLC)中存在一个高危漏洞CVE-2021-33012,未经身份验证的远程攻击者可利用该漏洞向目标控制器发送精心编制的命令,导致设备进入持续故障状态,即使重置设备也无法解决此问题。Shodan搜索结果显示,大约有230个可直接从互联网访问的潜在易受攻击的PLC,主要位于美国和部分欧洲国家。由于MicroLogix 1100 PLC已停产,研究人员建议用户迁移到Micro870控制器。罗克韦尔尚未针对该漏洞发布修补程序。(信息来源:SecurityWeek网)
24、D-LINK DIR-3040无线路由器中存在多个漏洞
7月15日消息,思科Talos研究人员发现,D-LINK DIR-3040无线路由器中存在多个漏洞。其中,CVE-2021-21816和CVE-2021-21817是路由器中的信息泄露漏洞,可由特制的网络请求触发,攻击者可利用这些漏洞查看设备系统日志。CVE-2021-21818和CVE-2021-21820为硬编码密码漏洞,但CVE-2021-21818可能导致拒绝服务,而CVE-2021-21820可能允许攻击者在路由器上执行代码,在向目标发送一系列请求后,攻击者还可以通过利用CVE-2021-21819获得执行代码的能力。DIR-3040是基于AC3000的无线互联网路由器。思科建议用户更新设备。(信息来源:Cisco网站)
25、惠普、施乐和三星打印机驱动程序存在严重漏洞
7月20日消息,研究人员在惠普、施乐和三星打印机驱动程序中发现一个存在长达16年的缓冲区溢出漏洞CVE-2021-3438,可影响超过380种不同型号的惠普、三星打印机以及12种不同的施乐产品。该驱动程序无需询问或通知用户即可安装和加载,攻击者可利用该漏洞获得系统管理员权限,从而安装程序、查看、更改、加密或删除数据,或者创建具有全部用户权限的新账户。目前还未发现该漏洞被利用。惠普、施乐均已发布安全公告。(信息来源:SecurityAffairs)
26、工业自动化解决方案提供商MDT修复多个关键漏洞
7月16日消息,工业自动化解决方案提供商MDT Software修复了其旗舰产品MDT AutoSave中存在的七个漏洞,其中两个严重漏洞。(1)SQL注入漏洞CVE-2021-32953,攻击者可利用SQL命令在系统中创建一个新用户并更新用户权限,从而授予攻击者登录的能力;(2)命令注入漏洞CVE-2021-32933,攻击者可通过在API中注入命令来执行系统命令。其余五个为高危漏洞,可让攻击者破解加密并获得系统访问权限、用恶意文件替换合法文件、执行恶意文件并获取敏感信息。漏洞影响MDT AutoSave版本6.x和7.x等。MDT AutoSave是一种自动化变更管理解决方案,为工业控制系统提供备份、版本控制及历史跟踪。MDT Software已发布修补程序。(信息来源:SecurityWeek网)
27、西门子修复多款工业产品中的多个漏洞
7月13日,西门子修复其多款产品中的近80个漏洞,多个漏洞涉及工业产品。(1)缓冲区溢出漏洞CVE-2015-8011,CVSS评分为9.8,存在于西门子多款产品的LLDP协议中,远程攻击者通过发送特制数据包,可导致拒绝服务条件和任意代码执行;(2)不受控制的资源消耗漏洞CVE-2020-27827,CVSS评分为7.5分,远程攻击者通过发送特制的LLDP数据包,导致分配数据时丢失内存或拒绝服务;(3)缓冲区溢出漏洞CVE-2021-29998,CVSS评分为9.8分,存在于西门子DHCP客户端中;(4)OpenSSL拒绝服务漏洞CVE-2021-3449,CVSS评分为5.9分。受影响的产品包括交换机、物联网网关、工业物联网设备等。(信息来源:Siemens网站)
28、Kaseya紧急修复VSA软件中的零日漏洞
7月12日消息,荷兰漏洞披露研究所发现软件供应商Kaseya VSA服务器中的多个漏洞:凭据泄漏和业务逻辑漏洞CVE-2021-30116,SQL注入漏洞CVE-2021-30117,远程代码执行漏洞CVE-2021-30118,跨站点脚本漏洞CVE-2021-30119,2FA旁路漏洞CVE-2021-30120,本地文件包含漏洞CVE-2021-30121,XML外部实体漏洞CVE-2021-30201。其中CVE-2021-30116漏洞被REvil勒索软件团伙利用,对Kaseya发起攻击,其60家客户及1500家下游企业受影响。目前,Kaseya已发布安全更新。(信息来源:SecurityAffairs网)
