网络空间安全动态第140期

一、发展动向热讯

1、我国发布《网络产品安全漏洞管理规定》

7月12日，工业和信息化部、国家互联网信息办公室、公安部联合印发《网络产品安全漏洞管理规定》。《规定》明确，网络产品提供者和网络运营者是自身产品和系统漏洞的责任主体，要建立畅通的漏洞信息接收渠道，及时对漏洞进行验证并完成漏洞修补。《规定》还对网络产品提供者提出了漏洞报送的具体时限要求，以及对产品用户提供技术支持的义务。对于从事漏洞发现、收集、发布等活动的组织和个人，《规定》明确了其经评估协商后可提前披露产品漏洞、不得发布网络运营者漏洞细节、同步发布修补防范措施、不得将未公开漏洞提供给产品提供者之外的境外组织或者个人等具体要求。《规定》自2021年9月1日起施行。（信息来源：网信中国）

2、《网络安全审查办法》拟进行修订

7月10日，国家互联网信息办公室就《网络安全审查办法（修订草案征求意见稿）》公开征求意见，意见稿提出掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。意见稿明确，关键信息基础设施运营者采购网络产品和服务，数据处理者开展数据处理活动，影响或可能影响国家安全的，应当进行网络安全审查。根据征求意见稿，网络安全审查重点评估采购活动、数据处理活动以及国外上市可能带来的国家安全风险，主要考虑产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏的风险；核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险；国外上市后关键信息基础设施，核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险等因素。（信息来源：新华社）

3、俄罗斯发布新版《国家安全战略》

7月2日，俄罗斯总统普京签署新版《国家安全战略》。该战略旨在确定俄罗斯的国家利益、国家战略优先方向，以及保障国家安全和长期可持续发展方面的国家政策目标及任务。与上一版战略相比，新版战略“信息安全”部分变化最多。俄认为其面临更广泛的国家安全威胁，政府需要采取措施加强俄在信息空间的主权。其中包括：一是发展信息对抗的力量和手段；二是通过使用先进技术，包括人工智能技术和量子计算，改进确保信息安全的手段和方法，提高俄罗斯互联网的安全性；三是确保在信息基础设施中优先使用俄罗斯的技术和设备；四是将有关俄罗斯联邦国内和外交政策的可靠信息带给俄罗斯和国际社会；五是将个人数据泄露的数量降低到尽可能低的水平。战略明确指出，如果外国采取威胁俄罗斯联邦主权和领土完整的不友好网络行动，俄罗斯将采取必要的对称和非对称措施。（信息来源：俄罗斯克里姆林宫网站）

4、美将应对勒索软件威胁确定为国家安全优先方向

7月7日消息，拜登政府首次表态要把“应对勒索软件威胁”提高至国家安全优先工作方向。拜登将召集美国政府若干职能机构负责人，举行一场主要讨论“美国政府如何有效应对勒索软件这一日益猖獗之威胁”的闭门会议。副国家安全顾问安妮·纽伯格透露应对勒索软件威胁工作将包含以下方面：与私营部门密切合作，阻断破坏勒索软件攻击所使用的网络基础设施，并找出攻击背后的恶意行为者；开展国际合作，让庇护勒索软件攻击实施者的国家付出代价；加强对虚拟货币网络的分析取证，发现并追踪犯罪分子的非法交易活动；审视美国联邦政府的现有政策，针对受害者支付勒索软件赎金问题形成一个统一而一致的应对策略。（信息来源：国际安全简报）

5、美参议员提案允许私营企业遭受网络攻击时反击

7月1日，美国参议员怀特豪斯提出《网络攻击响应方案研究法案》，该法案允许私营企业反击对其业务发起攻击的网络黑客。联邦法律目前只允许联邦机构对黑客进行攻击，而所有其他团体都被禁止以任何类型的未经授权的方式访问其他网络。（信息来源：E安全网）

6、日本政府多举措加强自卫队网络防御能力

7月8日消息，为加强网络防御能力建设，日本防卫省计划采取多方面举措，包括增加五成人手、建立网络防御统筹部门、开设网络安全课程、引入外部专业知识指导、加强与美国合作等。日本防卫省计划在2022财年将网络安全人员增加至800人，在2023财年增加至超过1000名。2022年内防卫省还将建立新的自卫队网络防御监督部门，负责整合各分支机构中的相应单位以提高网络保护效率。此外，日本也不断加强与其主要盟友的合作。6月，海上自卫队就与美军共同完成了网络攻击演习，陆上自卫队也与美国陆军举行了“东方盾牌”年度演习。（信息来源：日经新闻）

7、德国《IT安全法》2.0正式生效

7月5日消息，德国《IT安全法》2.0版本正式生效。德国希望通过弥补法律漏洞并扩大监管框架，以提高德国IT系统的安全性，并加强国家关键基础设施安全保障。法案侧重点如下：一是扩大联邦信息安全办公室的权限；二是加强对数字消费者的保护；三是扩展关键基础设施范畴；四是新增制造商、供应商和关键基础设施部门的义务；五是对有关罚款的规定进行了修订。（信息来源：安全内参网）

8、ENISA发布中小企业网络安全指南

7月6日消息，欧洲网络与信息安全局（ENISA）发布了针对中小企业的网络安全指南，旨在COVID-19流行期间支持中小企业改善其网络安全态势。该指南为中小型企业提供关于如何提高其基础设施和业务安全性的12项建议，其中包括培养良好的网络安全文化、提供适当的安全培训、确保有效的第三方管理、制定事故响应计划、安全访问系统、确保设备安全、保护网络安全、提高物理安全性、确保备份安全、参与云计算、确保在线网站安全以及寻求和分享信息。（信息来源：SecurityAffairs网）

9、美日澳印四国联盟将在AI等技术领域开展合作

7月7日消息，美日澳印四国联盟（Quad）将以线上会议形式召开科学技术部长级会议，研讨在人工智能、半导体等领域的合作事宜。会议议题涉及人工智能与量子技术等领域的研究合作、专业人才的培育与交流、制定包括伦理问题在内的国际规则、半导体的稳定供给、下一代通信机器的普及、防止机密情报泄露等。（信息来源：日本读卖新闻）

二、安全事件聚焦

10、Kaseya公司遭勒索软件攻击波及全球上千家企业

7月2日，美国IT软件服务公司Kaseya遭勒索软件攻击，目前已有至少200家使用该公司产品的美国企业受影响，攻击源头指向黑客组织Revil。Kaseya公司指出，由于许多公司用户本身就是IT管理服务的提供者，所以此次攻击也会影响到他们的用户，全部受害者估计有数千家。除美国外，瑞典Coop公司连锁超市门店也因使用Kaseya公司软件遭受影响，全国800多家门店已有超过500家被关闭。7月3日，美国总统拜登表示，已命令美国情报机构调查此次供应链攻击事件。（信息来源：TheVerge网）

11、微软称Nobelium黑客组织仍在继续攻击IT企业

6月28日消息，微软指出和俄罗斯存在关联、攻陷SolarWinds公司的威胁组织Nobelium发动密码喷射和暴力攻击，其目标遍布36个国家，包括IT企业、政府组织机构以及少数非政府实体、智库和金融行业的组织机构。美国受到的攻击最多，占45%，英国、德国和加拿大也遭受了攻击。虽然多数攻击并未获得成功，但黑客至少攻陷了3家组织机构。微软表示已经加固了受影响设备的安全并通知受影响客户。（信息来源：SecurityWeek网）

12、西班牙电信巨头MasMovil遭Revil勒索软件攻击

7月1日消息，西班牙第四大电信运营商MasMovil遭Revil勒索软件攻击。Revil勒索软件团伙声称下载了属于MasMovil的数据库和其他重要数据，还分享了窃取MasMovil数据的截图。MasMovil承认遭受了勒索软件攻击，但Revil组织并未要求赎金。MasMovil在西班牙固网ADSL户数达1800万户，光纤户数接近2600万户，其4G移动网络覆盖了98.5%的西班牙人口。该公司还拥有Yoigo、Pepephone、Llamaya、Lebara等品牌。目前尚不清楚MasMovil的下一步计划。（信息来源：HackRead网）

13、伊朗国家铁路系统遭攻击最高领导人电话被公布

7月9日消息，伊朗国家铁路公司的计算机系统遭网络攻击，用于管理列车日程和购票服务的系统宕机，公告板显示列车取消或延误。黑客还将伊朗最高领袖阿亚图拉·赛义德·阿里·哈梅内伊的办公室电话号码公布在个别火车站，并让旅客拨打以获取更多详情。目前铁路服务网站已恢复正常。（信息来源：TheRecord网）

14、LinkedIn 6亿用户资料被兜售

7月13日消息，6亿份LinkedIn用户的个人资料出现在黑客论坛上。在论坛公布的样本数据中，可以看到用户的姓名、LinkedIn ID、电子邮件地址、电话号码、社交媒体账户链接以及用户在自己LinkedIn个人资料中公开的其他数据等。样本文档中似乎并不涉及个人消息内容、文档扫描或信用卡详情等高度敏感信息，但恶意攻击者仍然可以利用泄露信息通过社会工程方式轻松找到新的侵扰目标。4个月以来，LinkedIn已经经历了三轮大规模用户个人资料泄露，规模均为数亿级别。建议用户在公开的个人资料中删除电子邮件地址及电话号码，更换LinkedIn与电子邮件账户密码，启用双因素身份验证等。（信息来源：CyberNews网）

15、恶意软件感染300多万台电脑1.2TB敏感数据遭窃

7月2日消息，安全研究人员发现，一款尚未被命名的恶意软件从超过325万台Windows PC中窃取了1.2TB以上的敏感信息，包括20亿个cookies，110万个电子邮件相关的2600多万个凭证，超65万份PDF和 Word文档，22.4万张JPG图片以及69.6万个PNG文件。黑客通过破解应用程序及垃圾邮件活动分发恶意软件，进而获取用户数据。按被盗cookies数量比例排名前五的网站是eBay、沃尔玛、Gearbest、AliExpress和亚马逊。（信息来源：cnBeta网）

16、韩国航空公司遭黑客攻击泄露大量机密文件

7月7日消息，韩国航空宇宙产业公司遭黑客攻击，公司大量机密文件遭泄露，包括在研的韩国第五代隐身战机KF-21设计图纸以及军用无人机、FA-50轻型攻击机、直升机、电子战和雷达等诸多现役装备的相关资料。此次攻击可能引发合作伙伴不满和追责，对韩国军工业或将造成不小打击。（信息来源：中国国防报）

17、印度某邦公共分配系统450万公民信息遭泄露

7月1日消息，印度网络安全公司Technisanct发现，印度泰米尔纳德邦公共分配系统超450万公民身份信息及公民个人信息等被保存在一个数据共享平台中出售。被泄露数据包括受益人ID、Aadhaar号码、受益人及其家庭成员的姓名、地址、手机号码等。Technisanct已向印度CERT报告了数据泄露事件。（信息来源：ExpressComputer网）

18、以色列28万名学生个人信息遭泄露

6月28日消息，黑客组织DragonForce针对AcadeME公司发起攻击，约28万名以色列学生的个人信息被泄露，包括姓名、电话号码、地址、电子邮件和密码等。AcadeME是以色列一个全国性的服务提供商，为在11000个不同的行业中寻找工作的学生提供支持。（信息来源：cnBeta网）

19、摩根士丹利遭黑客攻击导致数据泄露

7月12日消息，美国跨国公司摩根士丹利声称，攻击者通过入侵第三方供应商Guidehouse的Accellion FTA服务器窃取了其股票计划参与者的个人信息，包含姓名、地址、出生日期、社会安全号码、法人公司名称。摩根士丹利是一家领先的全球金融服务公司，提供投资银行、证券、财富和投资管理服务。该公司客户包括超过41个国家的公司、政府、机构和个人。从1月至今，因Accellion FTA服务器遭到入侵而发生敏感数据泄露事件的受害者包括能源巨头壳牌、网络安全公司Qualys公司、新西兰储备银行、新加坡电信、超市巨头克罗格、澳大利亚证券和投资委员会以及多所大学和其他组织。（信息来源：安全牛网）

三、安全风险警示

20、飞利浦Vue医学成像系统受15个漏洞影响

7月7日消息，美国网络安全与基础设施安全局(CISA) 发布安全公告称，飞利浦Vue医疗产品受15个漏洞影响（4个严重级别，4个高危级别，其它为中低危级别），受影响产品包括MyVue、Vue Speech和Vue Motion等。上述漏洞和输入验证不当、认证不当、资源初始化不当、使用过期密钥、使用弱加密算法、防护机制不当、数据完整性问题、跨站点脚本、凭据保护不当以及敏感数据明文传输等有关。CISA指出，攻击者可利用这些漏洞查看或修改数据，获取系统访问权限，执行代码，安装越权软件，监听流程等。CISA 建议用户和管理员应用必要的更新或缓解措施。（信息来源：SecurityWeek网）

21、所有Windows系统都存在PrintNightmare漏洞

7月2日消息，微软确认所有Windows系统都存在PrintNightmare漏洞CVE-2021-3452，允许攻击者以系统权限运行任意代码，通过Windows打印机后台处理程序服务中的一个缺陷来安装程序、处理数据或创建具有完全用户权限的新账户。微软证实，PrintNightmare漏洞正在被广泛利用。该漏洞是否在每个Windows版本中都可以被利用还未知，但域控制器确实受到了影响。安全研究人员建议关闭域控制器上的Windows Print Spooler服务，将域控制器与打印任务分离。（信息来源：安全牛网）

22、德国菲尼克斯电气多款工业产品存在高危漏洞

6月29日消息，德国工业解决方案提供商菲尼克斯通知客户，称其多款产品中存在10个漏洞。TC路由器、FL MGUARD模块、ILC 2050 BI楼宇控制器和PLCNext产品受到两个漏洞（一个高危安全绕过和一个中危拒绝服务）的影响。SMARTRTU AXC远程终端和自动化系统、CHARX控制模块化交流充电控制器、EEM-SB37x电表和PLCNext产品受高危漏洞影响，攻击者可利用该漏洞在设备上安装恶意固件。FL SWITCH SMCS系列交换机受三个漏洞影响，攻击者可利用这些漏洞进行DoS和跨站点脚本(XSS)攻击。用于将串行接口集成到现有以太网网络中的FL COMSERVER UNI产品受一个高危DoS漏洞影响。ILC1x1工业控制器受高危DoS漏洞影响，该漏洞可以使用特制的IP数据包触发。菲尼克斯通过固件更新解决了上述漏洞。（信息来源：SecurityWeek网）

23、Sage X3 企业资源平台被曝存在安全漏洞

7月7日消息，Rapid7的研究人员披露Sage X3企业资源规划(ERP)平台中的4个漏洞。其中，最为严重的是远程命令执行漏洞CVE-2020-7388，CVSS评分10分，允许未经身份验证的攻击者以最高的NT AUTHORITY/SYSTEM用户权限在服务器上执行命令。其它为信息泄露漏洞CVE-2020-7387、身份验证不足漏洞CVE-2020-7389和持久性跨站脚本漏洞CVE-2020-7390。结合利用CVE-2020-7387和CVE-2020-7388，攻击者可获悉受影响软件的安装路径，利用该信息将命令传递给主机系统，运行任意操作系统命令以创建管理员级别用户、安装恶意软件并完全控制系统。目前，上述漏洞已被修复。（信息来源：ThreatPost网）

24、思科ASA设备中的XSS漏洞遭黑客利用

6月24日消息，思科ASA设备中存在一个XSS漏洞CVE-2020-3580，该漏洞允许未经身份验证的攻击者向用户发送有针对性的网络钓鱼电子邮件或恶意链接，执行任意脚本代码，或访问基于浏览器的敏感信息。研究人员在Twitter上发布了该漏洞PoC利用，不久就有黑客扫描并积极利用该漏洞。思科于2020年10月首次披露了该漏洞并发布了修复程序，但初始补丁不完整，又于今年4月发布了进一步的修复程序。研究人员建议管理员立即修补易受攻击的Cisco ASA设备。（信息来源：BleepingComputer网）

25、微软披露Netgear路由器中的多个固件漏洞

7月1日消息，微软研究人员在Netgear DGN-2200v1系列路由器固件中发现了三个漏洞，被追踪为PSV-2020-0363、PSV-2020-0364和PSV-2020-0365，CVSS评分为7.1-9.4，影响运行v1.0.0.60之前的固件版本的路由器。上述漏洞允许使用认证旁路访问路由器管理页面，使攻击者能够达到对路由器的完全控制，还可以通过加密的侧信道攻击获得保存的路由器凭证，甚至通过利用配置备份/恢复功能恢复存储在路由器内存中的用户名和密码，破坏目标的基础设施。目前漏洞已被修复，建议所有用户下载并更新到最新固件，避免遭受攻击。（信息来源：SecurityAffairs网）

26、NFC漏洞使ATM机和POS机面临严重威胁

7月10日消息，IOActive网络安全研究人员发现，NFC读取芯片的漏洞可以被攻击者利用并对ATM机和POS终端造成危害。研究人员称，只要使用一个专有的安卓应用程序以及一个带有NFC模块的智能手机，就可以轻松在这些设备上安装某种勒索软件或向ATM机的计算机发送一个独特的有效负载，进而通过点击智能手机获取ATM里的现金。此类攻击不仅可以利用ATM机，还能利用POS机来获取支付卡信息、置入恶意软件等。（信息来源：GBHackers网）

27、德国WAGO公司设备存在多个严重漏洞

7月2日消息，德国专门从事电气连接和自动化解决方案的WAGO公司生产的可编程逻辑控制器(PLC)和人机界面(HMI)产品中存在多个高危及严重漏洞。WAGO的PFC100和PFC200 PLC、边缘控制器产品和触摸屏600 HMI受影响。漏洞可能允许攻击者执行任意代码，操纵或破坏设备，访问OT网络并接管网络的其他部分。研究人员向供应商报告了这些漏洞，称有数百个WAGO PFC设备暴露在互联网上。WAGO已发布补丁并分享了缓解建议。（信息来源：SecurityWeek网）

28、中国台湾QNAP修复NAS设备中的严重漏洞

7月5日消息，中国台湾供应商QNAP修复了一个NAS灾难恢复和数据备份解决方案HBS 3 Hybrid Backup Sync中存在的严重漏洞CVE-2021-28809，该漏洞是由有缺陷的软件引起，由于该软件没有正确限制获取系统资源的访问权限，攻击者可利用该漏洞在未经授权的情况下提升权限、远程执行命令或读取敏感信息，破坏易受攻击的NAS设备。建议用户将应用程序更新到最新发布的版本。（信息来源：BleepingComputer网）

四、前沿技术瞭望

29、“祖冲之号”再次展示量子计算优越性

6月28日，潘建伟团队表示，使用“祖冲之号”超导量子计算系统中的56个量子比特，实现了比当年谷歌 Sycamore处理器53个量子比特强2-3个数量级的量子优越性。世界最强大的超级计算机8年才能完成的任务，用“祖冲之号”量子计算机最短1.2小时就能实现，再次刷新记录。这距离我国2020年12月4日首次实现量子计算优越性仅过去7个月时间。（信息来源：中国科学技术大学网站）