网络空间安全动态第142期

一、发展动向热讯

1、中央解密《党委（党组）网络安全工作责任制实施办法》

8月4日，《人民日报》头版发布《中国共产党党内法规体系》一文。与此同时，《中国共产党党内法规汇编》由法律出版社公开出版发行，该书正式解密公开了《党委（党组）网络安全工作责任制实施办法》（以下简称“《实施办法》”）。《实施办法》作为《中国共产党党内法规体系》唯一收录的网络安全领域的党内法规，它的公开发布将对厘清网络安全责任、落实保障措施、推动网信事业发展产生巨大影响。《实施办法》从责任主体、责任范围、责任事项、问责主体、启动问责的条件、问责措施等角度对网络安全工作责任制进行了明确定义。（信息来源：公安三所网络安全法律研究中心）

2、我国最高法发布司法解释规范人脸识别技术应用

7月28日，我国发布《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》，明确了滥用人脸识别技术处理人脸信息行为的性质和责任。规定要求：物业不得强制将人脸识别作为出入小区唯一验证方式；处理未成年人人脸信息，须征得监护人的单独同意；应用程序不得强制索取非必要个人信息。同时明确了五类情形可以使用人脸识别：为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需而处理人脸信息的；为维护公共安全，依据国家有关规定在公共场所使用人脸识别技术的；为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理人脸信息的；在自然人或者其监护人同意的范围内合理处理人脸信息的；符合法律、行政法规规定的其他情形。该规定于8月1日起实施。（信息来源：最高人民法院网站）

3、拜登签署美国关键基础设施网络安全备忘录

7月28日，美国总统拜登签署了关于改善关键基础设施控制系统网络安全的国家安全备忘录，旨在鼓励关键基础设施所有者和运营商自愿采用更好的网络安全标准。备忘录要求美国网络安全与基础设施安全局和美国国家标准与技术研究院与其他机构合作，为关键基础设施领域制定网络安全性能目标。此外，备忘录提出将正式建立工业控制系统网络安全倡议，主要目标是通过在关键优先基础设施上部署先进技术及系统，提供威胁的可视性、指征、探测和警告，提高基本控制系统和操作技术网络的安全响应能力，以保护美国关键基础设施安全。（信息来源：美国白宫网站）

4、美国基础设施投资法案为网络安全拨款20亿美元

8月8日，美国参议院通过了1.2万亿美元的《基础设施投资和就业法案》。该法案将投资约20亿美元，以实现联邦、州和地方IT及网络的现代化和安全；保护关键基础设施和公共设施；支持公营或私营实体应对重大网络攻击和漏洞并从中恢复，提升美国网络安全能力。该法案中共有300多处出现网络和网络安全，包括网络响应与恢复基金，该基金将在2028年之前每年提供2000万美元，用于协助政府、私营部门和企业应对网络事件。（信息来源：美国国会网站）

5、美国NSA发布公共环境中保护无线设备指南

7月29日，美国国家安全局(NSA)发布《在公共环境中保护无线设备》指南，就美国政府机构如何减轻在公共环境中使用无线设备相关的网络安全风险提供一系列建议。指南旨在帮助美国国家安全系统、国防部和国防工业基地的远程工作人员识别潜在威胁，将无线设备和数据风险降至最低。（信息来源：美国国防部网站）

6、美国CISA推出全新漏洞披露政策平台

7月29日消息，美国网络安全与基础设施安全局（CISA）推出新的漏洞披露政策平台，允许美联邦行政部门机构识别、监控关键系统的安全漏洞，并在白帽黑客的帮助下进行修复。新平台提供了一个集中管理的单一在线网站，使安全研究人员和公众能在网站中查找漏洞、提交报告并进行分析，同时可深入了解潜在漏洞，以改善其网络安全态势。（信息来源：美国CISA网站）

7、印度航天部发布《2021印度卫星导航政策》草案

7月29日，印度航天部（DOS）发布《2021印度卫星导航政策》草案。旨在通过制定全面和可操作性的国家政策来指导政府有效开发、运行和维护自主控制的卫星导航系统及其增强系统，进一步推进其“自力更生”计划的实施。政策提出八项目标：针对卫星导航系统，确保民用免费导航信号和基于战略应用的安全导航信号具备保障能力和持续可用性；针对星基增强系统，确保为航空安全领域提供有效保障能力和持续可用性；发布空间信号接口定义文件和针对预期应用的系统性能报告；逐步发展导航信号，并扩大覆盖范围以提升应用服务；注重技术开发，增强导航卫星系统能力；促进印度卫星导航和增强系统信号与其他GNSS/SBAS信号的兼容性和互操作性；推动印度工业界和学术界基于社会效益开展卫星导航应用领域的研发活动；促进印度卫星导航和增强系统的全球应用。草案最终将提交印度联邦内阁批准和授权。（信息来源：印度空间研究组织网站）

8、巴西政府宣布建立一个网络攻击响应网络

7月28日消息，巴西政府宣布创建一个网络攻击响应网络，由巴西总统机构安全办公室信息安全部门负责，旨在通过联邦政府机构间的协调作用，促进对网络威胁和漏洞的更快响应，进一步加强巴西联邦政府在应对网络威胁方面的能力。（信息来源：cnBeta网）

二、安全事件聚焦

9、APT组织以国防部会议记录为诱饵进行攻击活动

8月5日消息，奇安信威胁情报中心发现，一个具有政府背景的APT组织以国防部会议记录、军事材料等为主题针对南亚地区进行攻击活动，攻击手法与此前披露的“透明部落”类似，即利用社会工程学进行鱼叉攻击，通过向目标投递带有VBA的doc、xls的恶意文档，执行诱饵文档中的宏代码，最终释放CrimsonRAT、PeppyRAT执行，窃取相关敏感资料信息。该组织于2016年2月被披露并命名，也称为C-Major、PrijectM，主要攻击目标为印度政府、军队或相关机构。（信息来源：奇安信威胁情报中心）

10、黑客组织针对乌克兰边防局和国防部发起攻击

8月4日消息，启明星辰ADLab发现多起针对乌克兰边防局和乌克兰国防部的网络攻击事件。黑客组织以“辉瑞疫苗签订协议、向 ATO 退伍军人付款、紧急更新！！！、乌克兰总统令№186_2021”等内容为邮件标题向目标发起鱼叉式钓鱼攻击，并进一步向攻击目标计算机植入木马。该组织持有大量用于定向攻击的网络基础设施，擅于使用恶意快捷方式、多级链接跳转以及多级Loader加载等方式投放恶意木马。该组织从去年6月展开攻击，今年2月利用新冠疫情为诱饵攻击格鲁吉亚政府。3月攻击了上海某机电设备服务器，并将作为存储服务器来投递木马。（信息来源：启明星辰网站）

11、新型APT组织Praying Mantis攻击企业和组织

8月2日消息，以色列网络安全公司Sygnia研究人员发现，APT组织Praying Mantis（螳螂）利用面向公众的ASP.NET应用程序中的反序列漏洞，部署无文件恶意软件工具集来执行凭据收集、侦察、横向移动、加载和执行DLL并实施各种攻击，危害一些主要的公共和私营组织。该组织使用的恶意软件通过主动干扰日志记录机制、成功规避检测。此外，攻击者在使用后主动删除了所有磁盘驻留工具，有效地放弃了持久性以换取隐匿性。（信息来源：TheHackerNews网）

12、安卓恶意软件FlyTrap攻击144个国家和地区

8月11日消息，网络安全公司Zimperium发现了一种新的安卓恶意软件FlyTrap，能通过社交媒体劫持、第三方应用程序商店和加载应用程序三种方式广泛传播，144个国家和地区的10000多名用户遭攻击。攻击者通过有吸引力的主题，如免费的优惠券代码、投票选出最佳球员等信息吸引受害者，并通过受害者的地理位置和详细信息进行虚假宣传，形成恶意传播链条。研究人员将恶意软件归因于越南的攻击组织，该组织能够使用Google Play和其他应用程序商店传播恶意软件。谷歌已从商店中删除了所有相关恶意应用程序。（信息来源：E安全网）

13、法国情报部门在记者手机上发现“飞马”间谍软件

8月3日消息，法国情报调查人员在三名记者的手机上发现了由以色列NSO集团开发的“飞马”间谍软件的数字痕迹，其中包括法国国际24电视台的一名高级工作人员。该间谍软件有能力感染数十亿运行iOS或安卓操作系统的手机。使用该间谍软件的攻击者能够提取信息、照片和电子邮件，记录电话并秘密激活麦克风。调查表明，“飞马”间谍软件被广泛和持续地滥用，世界各地的人权活动家、记者和律师已被选为潜在入侵性监控的可能人选。但NSO坚持认为该软件只用于打击罪犯和恐怖分子。（信息来源：cnBeta网）

14、中国台湾企业技嘉遭勒索软件攻击致大量数据失窃

8月9日消息，中国台湾企业技嘉遭RansomExx勒索软件攻击，包括保密协议在内的超112 GB商业数据遭泄露，涉及英特尔、AMD等合作伙伴。技嘉称此次攻击并未影响技嘉的生产系统，只有个别内部服务器遭入侵，目前已被关闭隔离。此次攻击可能与RansomExx勒索团伙有关，攻击者威胁技嘉公司，如果不予合作，就会在暗网公布对方的敏感数据。（信息来源：TheRecord网）

15、意大利政府数据中心和能源公司遭勒索软件攻击

8月1日，意大利拉齐奥大区政府数据中心遭黑客攻击，几乎所有政府在线系统都已停用，其中包括拉齐奥大区的疫苗预约系统。此次攻击由cryptolocker勒索软件发起，该软件通常被伪装成exe文件进行发送，一旦被下载和运行，计算机系统就会被感染且文件被加密。拉齐奥大区已向有关部门报告此事，检察官办公室已授权意大利邮政警察进行调查，并将对攻击者以“未经授权访问计算机系统”罪进行起诉。目前，拉齐奥大区政府数据中心以及疫苗接种网站均无法正常访问。8月4日，意大利能源公司ERG也遭到了该勒索软件攻击，但未造成重大影响。（信息来源：BleepingComputer网）

16、希腊萨罗尼加市遭网络攻击致市政服务中断

7月24日消息，希腊第二大城市萨罗尼加遭网络攻击，市政服务暂时中断，该市随后立即关闭了服务和web应用程序。工作人员打开被破坏的文件时，会弹出一条索要赎金的超链接。当地网络犯罪检察院命令工作人员不要进行下一步操作。副市长Avarlis表示，由于市政当局备份了系统数据，因此所有文件都是安全的。（信息来源：中希时报）

17、加拿大停车管理局服务器泄露502 GB敏感数据

8月1日消息，安全研究人员发现加拿大卡尔加里停车管理局的服务器暴露了卡尔加里数千名司机的个人信息，大小为502 GB，含有超过100,000个用户的数据和记录。包括姓名、出生日期、住址、电子邮件地址、车辆详情、停车票信息以及信用卡信息。由于服务器没有密码保护，任何拥有服务器URL的人都可以访问它。（信息来源：HackRead网）

18、美国3500万公民信息遭泄露

8月4日消息，英国科技网站Comparitech发布消息称，一个未受保护的Elasticsearch数据库泄露了美国芝加哥、圣地亚哥和洛杉矶约3500万居民的详细信息。包括姓名、性别、出生日期、种族、婚姻状况、邮件地址、收入及净资产等。该数据库可能是某营销公司数据抓取的结果，存储在了配置错误的服务器上。目前无法确定该数据库的所有者，亚马逊已将其强行关闭。（信息来源：HackRead网）

三、安全风险警示

19、TCP/IP堆栈漏洞影响数百家工控设备供应商

8月3日消息，网络安全研究人员在NicheStack TCP/IP堆栈中发现了14个漏洞，统称为INFRA:HALT，其中10个高危漏洞。该堆栈已被西门子、霍尼韦尔、罗克韦尔、施耐德等200多家工业自动化供应商整合到其可编程逻辑控制器(PLC)和其他产品中，涉及制造、发电、水处理等多个关键基础设施领域。攻击者可利用这些漏洞进行远程代码执行、拒绝服务攻击、信息泄漏、TCP欺骗、甚至直接接管设备。4.3之前所有版本都易受到攻击。NicheStack是用于嵌入式系统的闭源TCP/IP协议堆栈，旨在提供工业设备的互联网连接。目前官方已发布补丁。（信息来源：TheHackerNews网）

20、Buffalo路由器漏洞遭利用影响数百万台设备

8月6日消息，网络安全研究人员从Buffalo路由器中发现一个存在10年之久的路径遍历漏洞CVE-2021-20090，CVSS评分9.9。攻击者可利用该漏洞修改配置，以启用Telnet并获取访问设备的root级shell访问权限，甚至完全接管存在漏洞的设备。该漏洞存在于中国台湾企业Arcadyan生产的固件中，影响17家厂商制造的数百万台设备。（信息来源：奇安信代码卫士）

21、Zimbra新漏洞影响20万家企业和数百万用户

7月27日，研究人员称电子邮件协作软件Zimbra中存在2个安全漏洞：（1）劫持Zimbra服务器漏洞CVE-2021-35208，CVSS评分5.4，当用户浏览查看Zimbra传入的电子邮件时，就会触发该漏洞，攻击者即可获得受害者所有电子邮件的访问权限，并发起进一步攻击；（2）服务器端请求伪造漏洞CVE-2021-35209，CVSS评分6.1。远程攻击者结合使用这两个漏洞，可窃取谷歌云API令牌或AWS IAM凭据。全球每天有超过20万家企业和1000多家政府、金融机构和数百万个人用户使用Zimbra交换电子邮件。研究人员建议，用户可通过禁止HTTP请求处理程序执行重定向的方式来减少此类攻击。（信息来源：SonarSource网）

22、工业自动化软件CODESYS中存在7个严重漏洞

7月26日，Cisco Talos研究人员在工业自动化软件CODESYS的开发系统中发现7个漏洞:（1）跨站点请求伪造漏洞CVE-2021-29238，CVSS评分8.0；（2）数据认证验证不充分漏洞CVE-2021-29240，CVSS评分7.8；（3）空指针解引用漏洞CVE-2021-29241，CVSS评分7.5；（4）诊断工具界外写入漏洞CVE-2021-34569，CVSS评分10；（5）服务内存缓冲区溢出漏洞CVE-2021-34566，CVSS评分9.1；（6）界外写入漏洞CVE-2021-34567，CVSS评分8.2；（7）资源无限制分配漏洞CVE-2021-34568，CVSS评分7.5)。攻击者可利用这些漏洞安装恶意CODESYS 程序包，造成拒绝服务条件，或通过恶意JavaScript代码执行引起提权后果，甚至完全操纵或破坏设备。（信息来源：奇安信代码卫士）

23、IDEMIA制造的生物识别设备中存在3个严重漏洞

7月22日消息，研究人员在全球生物识别解决方案公司IDEMIA制造的面部识别设备、指纹读取设备以及手指静脉识别设备中发现3个漏洞：（1）严重缓冲区溢出漏洞CVE-2021-35522，CVSS得分为9.8，是Thrift协议网络数据包接收到的数据中缺少长度检查而导致的，攻击者可利用该漏洞远程执行任意代码；（2）串行端口处理程序中的堆溢出漏洞CVE-2021-35520，CVSS得分为6.2，可能导致拒绝服务，但前提是攻击者能物理访问串行端口；（3）路径遍历漏洞CVE-2021-35521，CVSS得分为5.9，允许攻击者在受影响的设备上读写任意文件，执行特权命令。IDEMIA已修复上述漏洞。（信息来源：TheDailySwig网）

24、多款电动汽车充电器与充电网络存在漏洞

8月4日消息，英国网络安全公司曝光了在六个家用电动汽车充电品牌以及一个大型公共EV充电网络API中的存在漏洞，涉及Project EV、Wallbox、EVBox、EO Charging的EO Hub/EO mini pro 2、Rolec以及Hypervolt。研究人员称这些漏洞或允许黑客劫持用户账户、阻碍充电，甚至利用其中一款充电器编程入侵用户家庭网络“后门”。若公共充电网络遭攻击，可导致电费被窃取以及通过开启或关闭充电器造成电网波动，使电网过载。（信息来源：cnBeta网）

25、TransLogic医疗气动管道系统被曝严重漏洞

8月4日消息，研究人员在Swisslog Healthcare公司生产的TransLogic医疗气动导管系统(PTS)中发现多个严重漏洞，被追踪为PwnedPiper。该系统能帮助医院实现对静脉输液等药品、实验室标本、文件和其他材料的高效稳定传递，在全球超过3000家医院中使用。攻击者首先瞄准连接到互联网且易受攻击的IP摄像头来访问包含PTS的网络，再利用PwnedPiper漏洞向目标系统发送特制数据包，未经认证的攻击者可直接接管TransLogic气动管道系统，完全控制目标医院PTS网络，泄露敏感信息，并在设备上保持持久性。官方已发布固件更新。（信息来源：Armis Security网站）

26、Mirai僵尸网络利用任意文件上传漏洞攻击云主机

8月6日消息，腾讯安全威胁情报中心检测发现Mirai僵尸网络利用Apache Flink任意文件上传漏洞CVE-2020-17518攻击云主机，成功后会植入Mirai僵尸木马。Mirai僵尸网络主要控制肉鸡系统发起DDoS攻击，或通过受控主机挖矿牟利。Apache Flink服务器分布于世界各地，中国位居首位，占比超过60%，美国、德国分列2、3位。由于互联网上存在安全漏洞的物联网设备和云主机数量庞大，Mirai僵尸网络的规模还在不断扩大。研究人员建议用户尽快修复漏洞。（信息来源：腾讯安全威胁情报中心）

27、Microsoft Exchange存在远程代码执行漏洞

8月9日消息，安全研究员公开了Microsoft Exchange多个漏洞的细节、PoC及验证视频。其中包括CVE-2021-34473 Microsoft Exchange ACL绕过漏洞、CVE-2021-34523 Microsoft Exchange权限提升漏洞以及CVE-2021-31207 Microsoft Exchange授权任意文件写入漏洞。由于Microsoft Exchange多个漏洞细节及部分PoC已公开，攻击者可通过组合这些漏洞在未经身份验证的情况下远程接管目标服务器。目前，微软已发布以上漏洞受影响版本的安全补丁，建议受影响用户尽快更新。（信息来源：奇安信CERT）

28、思科修复小型企业VPN路由器中的多个严重漏洞

8月4日，思科修复了其小型企业VPN路由器中的两个严重漏洞CVE-2021-1609和CVE-2021-1610，CVSS评分为为9.8，和7.2，存在于运行1.0.03.22版之前固件版本的小型企业RV340、RV340W、RV345和RV345P双WAN千兆位VPN路由器的基于Web的管理界面中。允许未经验证的远程攻击者在设备上执行任意代码，或导致设备重新加载，甚至造成DoS攻击。（信息来源：TheHackerNews网）

29、福昕阅读器被曝多个任意代码执行漏洞

8月2日消息，Cisco Talos研究人员发现，福昕PDF阅读器和PDF编辑器存在多个安全漏洞CVE-2021-21831、CVE-2021-21870和CVE-2021-21893，CVSS评分为8.8。由于某些Java代码或注释对象的处理方式，恶意制作的PDF文件可能导致重复使用以前空闲的内存和任意代码执行。攻击者可通过欺骗目标用户打开恶意PDF文件来利用该漏洞，若受害者启用Foxit的浏览器插件，攻击者还可通过恶意网站利用该漏洞。福昕已发布补丁。（信息来源：安全牛网）

四、前沿技术瞭望

30、研究人员发现一种名为“萤火虫”的新型窃听技术

8月10日消息，以色列内盖夫本·古里安大学的研究人员发现了一种名为“萤火虫”的新型被动攻击技术。攻击只需在远处监视目标设备的信号灯变化（经测试35米还能保持有效）就能把对话内容还原出来，不需要任何特定触发条件即可实现攻击，且不会受任何电子对抗扫描的影响。而抵御“萤火虫”攻击最简单的方法，是对会议设备的信号灯进行遮挡。（信息来源:安全内参）