网络空间安全动态第135期
一、发展动向热讯
1、我国数据安全法和个人信息保护法提请二审
4月26日至29日,我国数据安全法草案和个人信息保护法草案提请全国人大常委会二次审议。数据安全法草案将对数据安全等含义予以完善,完善数据分级分类和重要数据保护制度,充实数据出境安全管理规定。个人信息保护法草案将针对当前个人信息过度收集使用等突出问题,完善个人信息处理应遵循的原则;完善、充实合法处理个人信息的情形、撤回同意、跨境提供个人信息等方面的规则;增加死者个人信息保护规定;明确国家网信部门统筹推进个人信息保护工作职责;与民法典有关规定相衔接,完善侵害个人信息权益的民事法律责任。(信息来源:中国人大网)
2、我国医疗保障网络安全体系2022年基本建成
4月12日消息,国家医保局近日发布《关于印发加强网络安全和数据保护工作指导意见的通知》,要求到2022年,基本建成基础强、技术优、制度全、责任明、管理严的医疗保障网络安全和数据安全保护工作体制机制。到“十四五”期末,医疗保障系统网络安全和数据安全保护制度体系更加健全,智慧医保和安全医保建设达到新水平。《通知》要求,全面推进网络安全等级保护工作,落实关键信息基础设施重点保护工作,加强关键信息基础设施网络安全监测预警体系建设,提升关键信息基础设施应急响应和恢复能力。(信息来源:中国政府网)
3、人脸识别数据安全要求征求意见稿发布
4月23日,全国信息安全标准化技术委员会发布国家标准《信息安全技术 人脸识别数据安全要求》征求意见稿,旨在完善人脸识别相关标准,解决当前存在的人脸识别数据滥用等关键问题。标准要求,收集人脸识别数据时应征得数据主体明示同意,不得利用人脸识别数据评估或预测数据主体工作表现、经济状况、健康状况、偏好等情况。同时,应提供除人脸识别外的其他身份识别方式供用户选择,不应因用户不同意收集人脸识别数据而拒绝数据主体使用基本业务功能等。此外,还对开发商提出了技术资质门槛,要求其具备相应的数据安全防护和个人信息保护能力,以防范人脸识别被“活照片”等非法破解。(信息来源:新浪网)
4、美政府启动电网网络安全百日计划
4月20日,美政府启动针对美国电力行业的网络安全试点项目——电网网络安全百日计划。该项目由能源部、国土安全部网络安全与基础设施安全局和电力行业的利益相关方联合开展,目标是在未来100日内,提升美国电力行业关键工业控制系统的网络安全性,对美国电力行业供应链进行必要安全保障,以应对针对美国关键基础设施领域日益增多且手段愈发先进的网络攻击活动。美国能源部的网络安全-能源安全-应急响应办公室将负责能源部方面对该试点项目的落实,主要包括:推动美国电力行业所有者和运营商部署可增强其威胁检测、处置和取证能力的网络安全措施或技术;明确提出美国电力行业所有者和运营商,可通过在其关键工业控制系统和运维网络内部署相关网络安全技术及系统,实现近实时的态势感知及威胁响应;提升美国电力行业信息技术网络安全状态;启动一个向工业控制系统及运维网络部署相关技术及系统、增强目标系统及网络可见性的行业资源参与项目。(信息来源:CyberScoop网)
5、美政府提名首任国家网络总监
4月12日消息,美国拜登政府已提名国家安全局(NSA)前副局长Chris Inglis担任首任国家网络总监。国家网络总监一职来自美国网络空间日光浴委员会的建议,并通过2021财年《国防授权法案》成为正式的法定职位,其主要职责是协调美国政府的网络安全工作。除国家网络总监外,拜登政府还同时提名NSA反恐中心前副主任Jen Easterly担任国土安全部下属的网络安全与基础设施安全局局长。(信息来源:CNN网站)
6、美国以黑客攻击和干预大选为由全面制裁俄罗斯
4月15日,美国总统拜登签署行政令,对俄罗斯实施“全面”制裁,并宣布驱逐10名俄罗斯外交官,以回应俄罗斯对美国“发动网络攻击”“干预美国大选”及“占领克里米亚”。美国新一轮对俄制裁包括,禁止美国金融机构交易俄罗斯政府一系列债券、基金投资;制裁32个“企图影响美国大选”的实体及个人;与英欧加澳合作,制裁与克里米亚相关的8个俄实体及个人。这是拜登就任后对俄罗斯发起的第三轮制裁,其制裁力度远超前两次。俄罗斯称将对美国制裁做出对等回应,驱逐10名美国大使馆成员,同时采取一系列报复性措施。(信息来源:环球网)
7、法国投入10亿欧元加强网络安全建设
4月6日消息,法国将斥资10亿欧元加强网络安全建设、应对网络攻击行为。这项计划主要致力于加强网络安全人员的教育培训、探索技术解决方案,以更好地保护企业和社区。法国政府将投入1.4亿欧元用于相关人员的教育和培训,并建设占地2万平方米的“网络校园”。这个校园不仅提供培训,还汇集网络安全领域60多个公私机构,是一个更有效率、更安全的网络建设“孵化器”。法国政府还将投入1.36亿欧元用于国家信息安全局“网络消防员”项目的建设,通过在各地建立应急机构,在网络袭击发生时迅速采取应对行动。(信息来源:人民日报)
8、欧盟人工智能系列新规强调可信安全及创新
4月21日,欧盟委员会提出新的规则和行动,旨在使欧洲成为全球可信人工智能中心。具体包括:(1)人工智能法律框架,即制定统一的人工智能规则(人工智能法)并修正某些联合立法行为;(2)新的协调计划,即2021年人工智能协调计划审查;(3)针对机器的新规,即针对机器产品的立法提案。前两者将确保欧盟企业和公民的安全和基本权利,同时加强欧盟对人工智能的使用、投资和创新。针对机器的新规将起到补充作用,通过调整安全规则提高用户对新一代多功能产品的信任度。(信息来源:赛博研究院公众号)
9、北约举行2021年度“锁定盾牌”网络防御演习
4月13日至16日,北约举行2021年度“锁定盾牌”网络演习,来自30个国家的2000多名网络安全专家和决策者参加。“锁定盾牌”演习使用最先进的技术、复杂的网络和多种攻击方法来模拟一系列现实和复杂的网络攻击情形,以测试各国保护重要服务和关键基础设施的能力。此次演习以虚构岛国“贝里里亚”的主要军事和民用IT系统遭受了协调性网络攻击为背景,该国军事防空、卫星任务控制、水净化、电网以及金融体系的运行遭受重大破坏。该演习涉及约5000个虚拟系统,这些系统遭受了4000多次攻击。每个团队除维护150多个复杂的IT系统之外,蓝队还必须高效报告事件,执行战略决策,解决取证、法律和媒体方面的挑战,以及应对敌对信息行动。(信息来源:奇安网情局公众号)
10、巴西发布《国家人工智能战略》
4月13日消息,巴西政府发布人工智能战略。该战略指导巴西围绕研究、创新和相关技术开发采取行动,以应对该国面临的人工智能挑战以及道德问题。该战略讨论了以下垂直主题:数字未来;劳动力创造;研究、开发、创新和创业;政府应用人工智能;在生产部门和公共安全领域的应用等。此外,还讨论了三个共同主题:立法、监管和道德使用以及人工智能治理。该战略规定的目标聚焦以下几点:促进对人工智能研发的持续投资;消除人工智能创新障碍;为人工智能生态系统培训专业人员;在国际环境中促进巴西人工智能的创新和发展,并在公共和私营组织、行业和人工智能研究中心之间建立合作关系。(信息来源:LDNet网)
二、安全事件聚焦
11、Codecov供应链攻击危及多家科技巨头
4月20日消息,软件审计公司Codecov的产品代码遭供应链攻击,复杂性堪比SolarWinds。攻击已导致数百个Codecov客户的网络被访问。Codecov的客户多达2.9万,其中包括许多大型科技品牌,如IBM、Google、媒体发行商《华盛顿邮报》及宝洁公司等。由于该公司的一个Docker文件发生错误,攻击者可以窃取凭据并修改客户使用的Bash Uploader脚本,获取存储在客户的持续集成环境中的所有凭据令牌或密钥,进而可以访问任何服务、数据存储和应用程序代码。(信息来源:路透社)
12、数万企业使用的本地密码管理软件被植入窃密后门
4月24日消息,澳大利亚企业级密码管理器Passwordstate的开发厂商Click Studios发布警告称,有攻击者破坏了这款应用程序的更新机制,成功入侵其内部网络后以供应链攻击的形式大肆传播恶意软件。带有恶意软件的更新包在4月20至22日期间持续传播28个小时。Passwordstate是一款支持本地部署的密码管理解决方案,客户来自政府、国防、金融、航空航天、零售、汽车、医疗保健、法律与媒体等各个行业。从攻击者破坏的软件性质来判断,黑客希望从受感染的系统中获取机密信息,甚至可能已经获得了对客户密码存储的完全访问权限。一旦泄露相关密码,许多客户的内网邮件、账号、防火墙、虚拟专用网、交换机、路由器、网络网关以及本地存储系统,都将面临严重威胁。目前Click Studios已发布修复程序包,建议客户立即更换所有密码。(信息来源:BleepingComputer网)
13、电脑制造商Quanta感染REvil泄露苹果产品图纸
4月20日消息,中国台湾笔记本电脑及电子硬件制造商Quanta遭受Revil勒索软件攻击,苹果公司包含即将发布产品在内的大量设计蓝图泄露,被勒索5000万美元。Quanta是全球第二大笔记本电脑原始设计制造商,客户包括Apple、Dell、Hewlett-Packard、Alienware、Lenovo、Cisco和Microsoft。到目前为止,REvil在其网站上公开了十几个MacBook组件的示意图,并表示正在与几个有兴趣购买机密图纸的第三方进行谈判。目前,Quanta和苹果均未对此事件进行回应。(信息来源:HackRead网)
14、某欧洲制造商旗下两家工厂因勒索攻击被迫关停
4月26日消息,勒索软件团伙利用一种较新的勒索病毒Cring,成功加密了某欧洲制造商的工业流程控制服务器,最终导致两处生产工厂关停两天。该勒索软件1月份开始活跃,利用Fortinet VPN中存在的CVE-2018-13379等漏洞发动攻击。为掩盖行迹,勒索团伙将Cring伪装成卡巴斯基实验室或其他供应商的安全软件。安装完成后,该勒索软件会锁定由256位AES密钥加密的数据,使用硬编码形式的RSA-8192公钥对该密钥进行加密,要求受害者支付两个比特币以换取解锁密钥。响应小组通过备份还原了大部分加密数据,但仍有部分数据彻底丢失。受害者未支付赎金,也没有发布具体损失和感染状况报告。(信息来源:Arstechnica网)
15、斯洛伐克发生多起重大勒索软件攻击事件
4月16日消息,斯洛伐克国家安全局披露,该国发生了一系列重大勒索软件攻击事件,涉及公共管理、电信、能源和IT领域的信息技术部门。黑客加密了关键数据,并限制了目标机构的职能和工作活动,要求支付数十万欧元的赎金,以恢复系统全部功能。斯洛伐克国家网络安全中心SK-CERT发现,重大且成功的勒索软件攻击事件近期有所增加。斯洛伐克国家安全局敦促所有公司和机构立即保护和备份其系统,以免遭受潜在攻击。(信息来源:SK-CERT官网)
16、荷兰物流公司遭勒索攻击致多地超市断货
4月14日消息,荷兰大型物流公司巴克尔遭遇勒索软件攻击,导致该国供应链中断,多家超市发生食品断货。黑客利用勒索软件对物流公司的微软邮件服务器进行了加密,勒索到赎金后才能解密。由于该公司日常运营基本依赖电脑,此次事件直接阻断了物流进程,公司既无法向客户发货,也没法在仓库里提货。目前,巴克尔物流的电脑系统已恢复,但未透露是否支付了赎金。(信息来源:今日俄罗斯)
17、黑客在暗网出售超过7000万Twitter用户的数据
4月19日消息,安全公司Swascan发现黑客在暗网以800美元的价格出售超过7000万Twitter用户的数据,包括用户姓名、Twitter账户、电子邮件地址和电话号码等信息,但不包括密码。之后,研究人员又发现暗网公开了1800万Twitter用户的数据,包括邮箱密码。目前,尚不清楚黑客是以何种方法收集到的这些数据,Swascan建议用户采用2FA身份验证并定时更新密码来保护账户。(信息来源:LatestHackingNews网)
18、2100万ParkMobile用户信息遭泄露
4月13日消息,威胁情报公司Gemini Advisory发现黑客在暗网出售北美移动停车应用ParkMobile的2100万用户信息,包括用户出生日期、电话号码、邮件地址、车牌号和哈希密码等。ParkMobile表示,公司在3月26日发生了一起网络安全事件,原因是使用的一款第三方软件存在漏洞。目前已通知了相关执法部门,并展开调查,加密的敏感数据或支付卡信息均未受影响。(信息来源:SecurityAffairs网)
三、安全风险警示
19、OpENer栈被曝多个高危漏洞
4月16日消息,工业网络安全公司Claroty披露了 OpENer栈中的多个高危漏洞:越界写入漏洞CVE-2020-13556,CVSS评分为9.8,攻击者通过特殊构造的网络请求即可滥用该漏洞,最终实现远程代码执行。数字类型之间会话不正确漏洞CVE-2021-27478,CVSS评分8.2,位于开放的CIP连接路径解析机制中,攻击者通过发送特殊的数据包导致拒绝服务攻击。界外读取漏洞CVE-2021-27482,CVSS评分7.5,由“未检查所提供数据包的字节”造成。攻击者可利用该漏洞向易受攻击系统发送特殊构造ENIP/CIP数据包读取任意数据。漏洞CVE-2021-27500和CVE-2021-27498 的CVSS评分均为7.5,被描述为“可触及断言”,可被用于引发拒绝服务条件。美国网络安全与基础设施安全局发布安全公告称,2月10日前的所有OpENer EtherNet/IP栈版本均受上述漏洞影响。(信息来源:SecurityWeek网)
20、Oracle修复多个存在于WebLogic组件中的漏洞
4月21日消息,Oracle发布关键补丁程序更新,修复了存在于WebLogic中的多个漏洞,包括2个高危漏洞CVE-2021-2136和CVE-2021-2135,CVSS评分均为9.8,攻击者可在未授权的情况下通过IIOP协议对存在漏洞的WebLogic Server组件进行攻击,实现远程代码执行。一旦攻击成功便可接管WebLogic Server。WebLogic是Oracle公司出品的Java应用服务器,是用于开发、集成、部署和管理的大型分布式Web应用、网络应用和数据库应用。Oracle建议用户尽快应用补丁更新。(信息来源:Oracle官网)
21、Chromium浏览器被曝存在零日漏洞
4月13日,印度安全研究人员Rajvardhan Agarwal披露了一个有效的Chromium概念验证(PoC)零日漏洞,位于V8 JavaScript引擎中,该引擎是负责处理和执行浏览器内JavaScript代码的开源组件,影响Google Chrome、Microsoft Edge以及其它基于Chromium的浏览器,如Opera和Brave。虽然Agarwal并未共享该漏洞的详情,但PoC代码已发布在GitHub上。Agarwal已将该漏洞告知Chromium团队,后者在上周修复了V8代码,但补丁尚未集成到浏览器中。安全研究员警告称,攻击者可能会在补丁间隔期内利用该漏洞攻击用户。(信息来源:安全牛网)
22、Junos OS操作系统存在严重RCE漏洞
4月20日消息,网络安全提供商Juniper Networks近日发布安全公告称,其Junos OS操作系统存在远程代码执行漏洞CVE-2021-0254,CVSS评分为9.8,未经身份验证的远程攻击者可以利用该漏洞执行任意代码或触发DoS条件,或导致远程代码执行(RCE)。目前尚未发现利用该漏洞的恶意攻击。(信息来源:JuniperNetwork官网)
23、Exchange Server被曝存在四个高危RCE漏洞
4月13日消息,美国国家安全局(NSA)发布报告称,微软Exchange Server存在四个高危漏洞CVE-2021-28480、CVE-2021-28481、CVE-2021-28482和CVE-2021-28483,其中最为严重的漏洞评分是9.8分、9分和8.8分,上述漏洞均可导致在易受攻击设备上执行远程代码。微软已发布补丁修复上述漏洞。(信息来源:BleepingComputer网)
24、开源搜索服务Apache Solr被曝存在多个高危漏洞
4月13日消息,开源搜索引擎服务Apache Solr公布了三个漏洞及其缓解措施。(1)SSRF漏洞CVE-2021-27905,影响8.8.2之前的所有Solr版本。(2)敏感信息泄露漏洞CVE-2021-29262。(3)越权读取数据漏洞CVE-2021-29943。在Apache Solr未开启认证的情况下,攻击者可直接构造特定请求开启特定配置。研究人员建议Apache Solr用户应将设备升级至最新版本8.8.2。(信息来源:阿里云)
25、微软修复NTFS格式磁盘拒绝服务漏洞
4月19日消息,微软已修复NTFS格式磁盘拒绝服务漏洞CVE-2021-28312,该漏洞存在于Windows 10中,攻击者可利用该漏洞来破坏NTFS格式化驱动器的内容,只需要一个特别制作的文件夹名称,就可以导致卷被标记为dirty状态,然后系统需要使用Chkdsk实用程序进行修复,导致受害者无法启动系统。目前,微软已在Windows Insiders社区测试中修复补丁。(信息来源:cnBeta网)
26、加密挖矿僵尸网络Sysrv-hello感染企业服务器
4月25日消息,安全研究人员发现加密挖矿僵尸网络Sysrv-hello正在积极扫描易受攻击的Windows和Linux企业服务器,并通过自传播式恶意软件载荷感染门罗币挖矿机。该僵尸网络于去年12月开始活跃,使用带有矿工和蠕虫模块的多组件体系结构,后升级为使用单个二进制文件,能够将挖矿恶意软件自动传播到其他设备。Sysrv-hello传播器组件能主动扫描互联网,寻找更易受攻击的系统,利用远程执行代码漏洞,将受害设备添加到僵尸网络中。目前已发现6个被利用的漏洞:Mongo Express RCE(CVE-2019-10758),XML-RPC(CVE-2017-11610),Saltstack RCE(CVE-2020-16846),Drupal Ajax RCE(CVE-2018-7600),ThinkPHP RCE和XXL-JOB Unauth RCE。(信息来源:安全牛网)
四、前沿技术瞭望
27、荷兰构建出世界首个基于量子纠缠的量子互联网络
4月19日消息,荷兰QuTech量子计算实验室研究人员使用新方法,在多个独立量子处理器之间建立共享纠缠,搭建出世界首个基于量子纠缠的量子互联网络。传统量子网络一般由三个量子节点组成,要求节点之间保持一定距离。新方法能扩展到比单个链路更复杂的架构,将中间节点B与A、C两个外部节点进行物理连接,以此建立纠缠链路。网络一旦建立协议,就能保留由此产生的纠缠态,从而实现量子密钥分发、量子计算或其他后续量子协议功能。新技术有望大幅提升量子计算机的运算能力,为量子技术创新应用搭建新的开发、测试平台。(信息来源:国防科技要闻)
28、美陆军资助的量子计算研究取得突破性进展
4月23日消息,美国《陆军时报》报道,美陆军科学基金资助的量子计算研究取得突破性进展。其中,马萨诸塞州阿默斯特大学找到了自发纠正量子计算中错误的新方法。该方法可保护量子信息免受超导系统中错误影响,从而极大提高效率,有助于减轻未来计算机的负担。芝加哥大学普利兹克分子工程学院建立了量子通信新方法,通过通信电缆发送纠缠的量子比特,将两个网络节点连接起来。该成果为大规模量子网络的应用铺平了道路。(信息来源:国防科技要闻)
