一、发展动向热讯

    1、国务院办公厅印发《关于加强网络文明建设的意见》

    9月14日消息,中共中央办公厅、国务院办公厅近日印发了《关于加强网络文明建设的意见》(以下简称《意见》)。《意见》指出,加强网络文明建设,是推进社会主义精神文明建设、提高社会文明程度的必然要求,是适应社会主要矛盾变化、满足人民对美好生活向往的迫切需要,是加快建设网络强国、全面建设社会主义现代化国家的重要任务。《意见》包括总体要求、加强网络空间思想引领、加强网络空间文化培育、加强网络空间道德建设、加强网络空间行为规范、加强网络空间生态治理、加强网络空间文明创建、组织实施八个部分。《意见》要求,各地区各部门结合实际认真贯彻落实。(信息来源:新华社)

    2、工信部就网络产品安全漏洞收集平台备案管理办法征求意见 

    9月13日,工业和信息化部发布《网络产品安全漏洞收集平台备案管理办法(征求意见稿)》(以下简称《办法》)。《办法》明确:漏洞收集平台备案通过工业和信息化部网络安全威胁和漏洞信息共享平台开展,采用网上备案方式进行;拟设立漏洞收集平台的组织或个人,应当通过工业和信息化部网络安全威胁和漏洞信息共享平台如实填报《网络产品安全漏洞收集平台备案登记表》,并按要求完成平台后续备案手续;漏洞收集平台应在上线前完成备案,已上线运行的漏洞收集平台应在本办法施行之日起10个工作日内进行备案;工业和信息化部设立投诉举报渠道,用户可通过电话、邮箱等方式,对涉嫌违反法律法规的行为进行投诉举报。公开征求意见至2021年10月13日。(信息来源:工信部网站)

    3、美国政府发布零信任战略要求2024年完全部署

    9月7日消息,美国管理与预算办公室发布了《联邦零信任战略》,网络安全与基础设施安全局发布了《零信任成熟度模型》、《云安全技术参考架构》,并公开征集意见。这三份文件遵循了今年5月拜登总统签署发布的关于加强联邦政府网络安全的行政令,这项命令中明确涉及多种特定的安全方法与工具,包括多因素身份验证、加密与零信任等。文件要求各级机构在2024年9月底之前实现身份、设备、网络、应用、数据五大具体零信任安全目标,并确保将这些目标添加至机构实施计划中。(信息来源:Cybersecurity网)

    4、美众议院批准104亿美元的国防部网络安全预算

    9月1日消息,美众议院审议了780项修正案,这些修正案将被纳入《2022财年国防授权法案》,法案支持拜登政府提出的2022财年国防部104亿美元的网络安全预算。其中55亿美元用于网络安全,提供跨域解决方案,部署下一代任务系统和平台,并嵌入“零信任”架构;43亿美元用于网络作战领域,通过网络情报收集、作战情报准备、防御网络空间作战、进攻网络空间作战和其他活动来支持网络战略的实施,以及直接支持作战行动的基础设施;5亿美元用于网络安全和网络空间行动的研发活动,以继续支持网络战略和全球行动的实施,旨在通过加速发展和整合新兴技术,提高在网络空间和电磁频谱领域的主导地位。网络空间领域的预算将提高国防部网络靶场基础设施的能力、速度和灵活性。这将使国防部能够快速、全面评估增量和破坏性技术,确保网络能力满足美国网络司令部和其他部队不断发展的需求。(信息来源:MeriTalk网)

    5、美国石油协会发布新版管道网络安全标准

    8月21日消息,美国石油协会发布《管道网络安全标准》第三版,强调天然气和石油行业对保护美国关键基础设施免受恶意和潜在破坏性网络攻击的持续承诺。该标准提供了控制系统环境与非控制系统环境之间适当隔离的要求和指导,有助于运营商管理与控制系统网络安全环境相关的网络风险,包括对供应链的关键连接点(管道、终端和炼油厂)提供保护建议、风险评估指南、管道安全实施模型、工业自动化和控制安全程序框架等。更新后的标准支持拜登政府的国家安全优先事项,以及联合国可持续发展目标中关于弹性基础设施的要求。(信息来源:SecurityWeek网)

    6、美国司法部宣布设立网络奖学金计划

    8月27日消息,美国司法部宣布设立一个新的网络奖学金计划,旨在培养新一代检察官和律师,以应对新出现的国家安全威胁。该计划由刑事司的计算机犯罪和知识产权科协调,提供有关网络安全相关案例的详细信息,例如国家资助的威胁行为者和网络犯罪组织的运作以及相关的战术技术过程(TTP)。该计划要求所有培训人员获得最高机密的安全许可,并在整个计划期间(三年)做出承诺。(信息来源:美国司法部)

    7、新加坡政府推出新的漏洞赏金计划

    9月2日消息,新加坡政府科技局推出了一项新的漏洞奖励计划(VRP),提供高达15万美元的漏洞赏金奖励,旨在进一步加强现有的政府漏洞奖励计划和漏洞披露计划。VRP会根据挖掘漏洞的严重程度等级,向白帽黑客提供250美元到5000美元不等的奖金;如果发现对选定系统和数据造成异常影响的漏洞,将获得高达15万美元的特别奖励。为确保安全测试活动在允许的业务规则(ROE)范围内,注册参与者将通过指定的漏洞赏金公司HackerOne提供的指定虚拟专用网(VPN)网关进行安全测试,如参与者违反ROE,其VPN访问可能被撤销。(信息来源:安全内参)

    8、巴西总统签署新法令限制社交媒体删帖权利

    9月9日消息,巴西总统博索纳罗签署了一项新法令,旨在限制社交媒体删除账号和内容的权利,禁止社交平台在没有正当理由的情况下删帖和封号。这一变化加大了脸书、推特、Instagram、YouTube等社交网络删除违反平台规则的账号、资料和内容的难度。新法令规定社交网络在删除账号、个人资料和内容前必须遵循一系列协议,如提前通知用户、确定采取的措施、说明删除的原因、并告知截止日期、沟通渠道和投诉程序。目前,还不确定新法令是否会得到执行。(信息来源:ZDNet网)

    9、阿联酋网络安全委员会将进行防护盾网络演习

    8月31日消息,阿联酋网络安全委员会与国家危机和应急管理局及其战略伙伴合作,计划从9月开始进行防护盾网络演习。演习将涵盖各种网络攻击情况,包括在受监控的环境中模拟一系列网络攻击,培训各部门并评估其快速应对电子事件的能力等。演习通过一系列符合最佳国际标准的程序,协助国家关键部门,尤其是教育、卫生和经济部门,保护其设备免遭网络攻击。(信息来源:FreeBuf网)

    二、安全事件聚焦

    10、1万多台Fortinet VPN设备登录凭证遭泄露

    9月9日消息,攻击者在黑客论坛发布一份近50万条Fortinet VPN设备登录凭证清单,包含12856台设备上的498908名用户的VPN登录凭证。安全研究人员发现,设备的IP分布在世界各地,其中位于中国大陆和台湾地区的设备占比为11.89%。获得VPN凭证的攻击者很可能访问目标网络,进而实施数据窃取、恶意软件安装和勒索软件攻击等活动。研究人员建议用户检查日志以验证设备是否遭入侵,并重置所有用户密码,安装最新补丁。(信息来源:BleepingComputer网)

    11、泰国曼谷航空遭勒索软件攻击致200GB数据泄露

    9月2日消息,泰国曼谷航空公司遭LockBit勒索软件攻击,超200GB内部数据泄露,包括乘客姓名、性别、国籍、电话号码、电子邮件、居住地址、护照信息、历史旅行信息、部分信用卡信息以及特殊饮食信息等。LockBit勒索软件团伙在泄密网站上发布消息,称已经成功入侵曼谷航空,威胁对方若不支付赎金则会泄露被盗数据。曼谷航空发现被攻击后立即在网络安全团队的协助下展开调查,事件并未影响曼谷航空运营及安全系统。(信息来源:SecurityAffairs网)

    12、新西兰电信运营商遭DDoS攻击致全国大范围断网

    9月6日消息,新西兰因电信运营商Vocus的客户遭DDoS攻击引发连锁反应,导致全国多地断网达30分钟,包括奥克兰、惠灵顿及基督城在内的多个大城市受到影响。Vocus在澳大利亚和新西兰提供零售、批发和企业电信服务,旗下拥有Orcon、Slingshot及Stuff Fiber等多个品牌。Vocus称此次攻击对客户产生了重大影响。目前,网络服务已恢复正常。(信息来源:互联网安全内参)

    13、新型勒索软件Hive已攻陷多个组织机构

    8月25日,美国联邦调查局(FBI)发布了关于勒索软件Hive的警告,该组织此前攻击了美国连锁医疗机构Memorial Health System的IT系统。Hive是今年6月首次出现的联合运营形式的勒索软件,其部署了多种机制以入侵商业网络,包括使用网络钓鱼邮件中的恶意附件夺取访问权限,配合远程桌面协议在网络中横向移动等。成功入侵后,攻击者会窃取数据、加密文件,并在受影响目录内留下勒索信,威胁受害者若不支付赎金将在暗网公开数据。FBI建议用户离线备份关键数据,使用双因素身份验证和强密码,确保设备和应用程序处于最新状态,在所有主机上安装和定期更新防病毒或反恶意软件。(信息来源:GovInfoSecurity网)

    14、攻击者利用Konni RAT新变体攻击俄罗斯

    8月25日消息,MalwareBytes研究人员发现了两份用俄语编写的武器化文件,其中一份以俄罗斯和朝鲜半岛之间的贸易和经济问题为诱饵,另一份以俄蒙政府间委员会的一次会议为诱饵。该恶意软件的攻击方式涉及社会工程技术,例如诱使受害者下载使用恶意宏进行武器化的文档文件,一旦受害者启用宏,它就会执行一系列活动,包括部署一个经过严重混淆的新Konni RAT变体,其主要攻击目标为俄罗斯。该恶意软件2014年被首次发现,可能与朝鲜威胁行为者Thallium或APT37有关,主要用于高度针对性的攻击,能够在目标系统上执行任意代码并窃取数据。研究人员还观察到其他国家的感染情况,包括日本、尼泊尔、蒙古和越南。(信息来源:SecurityAffairs网)

    15、俄罗斯银行业遭大规模DDoS攻击致系统宕机

    9月13日消息,俄罗斯银行业遭大规模DDoS攻击,其互联网服务商Orange Business Services陷入瘫痪,多家银行系统宕机,包括通过固网线路、自动取款机、POS终端所接入的登陆点、客户支付业务均受影响。Orange Business Services表示,自8月9日以来,其网络威胁监控中心持续记录到使用放大式攻击等手段对金融客户发动攻击,并利用加密协议实施其他攻击。攻击目前仍在持续,峰值状态下流量可达100 Gbps左右。(信息来源:互联网安全内参)

    16、黑客组织FIN8使用新后门攻击美国金融机构

    8月25日消息,罗马尼亚安全研究人员在FIN8针对美国金融机构发起的攻击中,发现了该组织使用的新后门组件Sardonic。该组件具有获取系统信息、执行任意命令以及加载和执行附加插件的功能,甚至可以帮助攻击者在不更新组件的情况下利用新的恶意软件。FIN8至少从2016年1月开始活跃,其目标是美国、加拿大、意大利等国的保险、零售、技术和化学行业。该恶意软件利用多种技术,从POS系统窃取支付卡数据,同时推出具有升级功能的BADHATCH植入物版本,包括屏幕捕捉、代理隧道、凭证盗窃和无文件执行,并不断改进工具和策略逃避检测。(信息来源:Cyclonis网)

    17、攻击者以COVID-19疫苗为诱饵攻击中东地区

    9月1日消息,奇安信威胁情报中心检测到多起以新冠疫苗为主题的攻击活动。攻击者大多使用投递邮件的方式,向用户发送恶意构造的诱饵文件欺骗用户点击,恶意文件类型包括但不限于EXE、MS Office宏文档、漏洞文档、LNK文件、VBS和PowerShell脚本等。其中一起疑似为具有俄语背景的未知团伙,利用样本为ZIP文件针对沙特地区进行攻击。(信息来源:奇安信威胁情报中心)

    18、美国波士顿公共图书馆遭网络攻击致系统中断

    8月25日,美国波士顿公共图书馆遭网络攻击,全部技术系统中断,公共计算机和公共打印服务以及一些在线资源暂停。攻击发生后,图书馆立即中断受影响系统,关闭网络通信,并与执法部门和IT专家合作展开调查,尚未发现任何从受影响系统中窃取员工或顾客数据的证据。该图书馆每年通过其中央图书馆和25个社区分支机构为近400万用户提供服务。(信息来源:BleepingComputer网)

    三、安全风险警示

    19、数十亿设备受BrakTooth蓝牙漏洞影响

    9月6日消息,新加坡科技与设计大学研究人员针对11家供应商的13款蓝牙设备进行测试,共发现20个新漏洞,统称为BrakTooth,存在漏洞的设备数量超10亿,涉及1400多个产品,包括英特尔、高通、德州仪器、Cypress、Silicon Labs等主流SoC供应商。设备类型包括智能手机、笔记本电脑、信息娱乐系统、音频设备、键盘、工业设备PLC等。与BrakTooth安全漏洞集相关的风险包括通过破坏设备固件而导致的拒绝服务,或蓝牙通信出现死锁状态以及任意代码执行。由于BrakTooth基于蓝牙经典协议,攻击者必须在目标的无线电范围内才能执行攻击。(信息来源:TheRegister网)

    20、攻击者利用Confluence漏洞入侵Jenkins服务器

    9月8日消息,Jenkins项目开发团队,在攻击者破坏了其内部一台服务器并安装了加密货币挖矿工具后,披露了一个安全漏洞Confluence CVE-2021-26084,CVSS评分为9.8。经过身份验证的攻击者可利用该漏洞,在Confluence服务器和数据中心执行任意代码。攻击发生后,Jenkins团队已将受影响的服务器下线,并对安全事件展开调查。Jenkins作为最流行的开源自动化服务器,支持开发人员构建、测试和部署他们的应用程序。Confluence服务器由Jenkins维护,在全球拥有超过100万用户。目前已出现针对Confluence服务器的大规模扫描活动,软件开发商已发布补丁,建议用户立即更新。(信息来源:TheRecord网)

    21、香港Annke视频监控产品存在严重RCE漏洞

    8月26日,研究人员发现香港Annke N48PBB网络录像机(NVR)的Web服务中存在RCE漏洞CVE-2021-32941,CVSS评分为9.4,攻击者可以利用该漏洞劫持设备、窥探或删除镜头、更改运动检测器警报配置或完全停止录制,破坏存储数据的机密性、完整性和可用性。攻击者还可直接利用漏洞本身提升系统权限,或间接利用驱动下载攻击。NVR是一种物联网设备,通常配备大型硬盘驱动器或其他永久内存解决方案,以存储数天的视频内容。Annke已发布补丁,建议客户尽快更新设备固件。(信息来源:NozomiNetworks网)

    22、台达电子工业能源管理系统存在多个漏洞

    8月26日消息,研究人员发现台达电子工业能源管理系统DIAEnergie存在多个漏洞,其中四个为严重SQL注入漏洞,未经验证的远程攻击者可利用这些漏洞执行任意代码;一个为身份验证漏洞,可被用来添加新管理员用户,并获得设备访问权限;一个为任意文件上传漏洞,可用于不受限制的文件上传和远程代码执行;还有两个中危漏洞可被用来获取明文密码并发起跨站点请求伪造攻击。DIAEnergie系统用于远程维护,可与各种工业控制系统和数据接收器集成,包括电能表、可编程逻辑控制器和其他Modbus设备,帮助企业实现可视化和改进电力系统,全球使用范围广泛。上述漏洞暂未被修复。(信息来源:SecurityWeek网)

    23、OpenSSL RCE 漏洞影响多个Synology产品

    8月26日,中国台湾NAS制造商Synology发布公告,称其多款产品受最近披露的OpenSSL漏洞影响。(1)漏洞CVE-2021-3711,CVSS3评分8.1,是由于SM2解密实现中的EVP_PKEY_decrypt()函数的边界检查不当所导致的缓冲区溢出漏洞。远程攻击者可以通过发送特制的SM2内容,在系统上执行任意代码或导致拒绝服务;(2)漏洞CVE-2021-3712,是由于X509_aux_print()函数中处理ASN.1字符串时的缓冲区溢出缺陷所导致,攻击者可以利用该漏洞造成拒绝服务或泄露私钥内容。OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份,被广泛应用在互联网的网页服务器上。目前,漏洞已被修复,建议用户及时更新。(信息来源:BleepingComputer网)

    24、智能家庭安全系统Fortress WiFi曝安全漏洞

    9月1日消息,网络安全公司Rapid7研究人员发现Fortress S03 WiFi家庭安全系统存在两个安全漏洞。CVE-2021-39276,CVSS评分5.3和CVE-2021-39277,CVSS评分5.7。攻击者可利用这些漏洞获得对系统的未经授权访问,在用户不知情的情况下远程禁用家庭安全系统。Fortress S03 WiFi允许用户构建警报系统,支持安全摄像头、门窗传感器、玻璃破碎传感器、振动和运动传感器以及烟雾、气体、水警报等。目前,Fortress还未发布补丁。研究人员建议用户使用一次性电子邮件地址配置警报系统。(信息来源:SecurityAffairs网)

    25、思科修复可视化基础设施软件严重漏洞

    9月4日消息, 思科修复了企业网络功能可视化基础设施软件NFVIS中的一个严重漏洞CVE-2021-34746,CVSS评分为9.8,该漏洞是由于在登录过程中对认证脚本的用户输入验证不完整造成的,攻击者可利用该漏洞在认证请求中注入参数,控制受影响系统。思科已发现公开的PoC利用代码,但未检测到成功的在野利用。(信息来源:TheHackerNews网)

    26、微软MSHTML远程代码执行漏洞遭在野利用

    9月8日消息,研究人员在微软IE浏览器引擎MSHTML中发现远程代码执行漏洞CVE-2021-40444,CVSS评分为8.8。攻击者可通过制作带有恶意ActiveX控件的Office文档,诱导用户打开此文档来利用该漏洞,成功利用该漏洞的远程攻击者可在受害者系统上以用户权限执行任意代码。目前,该漏洞已被检测到在野利用,微软暂未发布补丁程序。(信息来源:Microsoft 安全响应中心)

    27、微软Azure Cosmos数据库存在严重漏洞

    8月27日消息,以色列网络安全研究人员发现,微软Azure的Cosmos云数据库系统中存在一个严重漏洞ChaosDB,攻击者能够读取、删除、修改存放在Cosmos云数据库中的信息。该漏洞影响数千家企业,包括埃森克美孚、可口可乐、赛门铁克等,以及微软Skype、Xbox、Office等服务。目前,微软已修复该漏洞,建议Cosmos云数据库的客户重新生成证书密钥,以阻止未经授权访问。(信息来源:Wiz网)

    四、前沿技术瞭望

    28、新研发扫描设备可应对来自U盘的威胁

9月3日消息,英国利物浦霍普大学的研究人员开发出一种新的扫描设备,可以对抗USB设备带来的威胁。新扫描设备位于U盘和电脑之间,既有识别恶意软件,充当网关或屏障的功能,还有隐藏主机信息的能力,使恶意代码几乎无法攻击设备。该扫描设备通过提供额外的硬件安全层和隐藏主机操作系统信息来保护主机,并决定主机USB中存在文件的可见性和可访问性,给予完全访问、部分访问或完全封锁。该设备属于网络安全研究的一个新兴领域,被称为自然启发的网络安全。(信息来源:cnBeta网)