网络空间安全动态第145期
一、发展动向热讯
1、2021世界互联网大会乌镇峰会召开
9月26日至28日,世界互联网大会乌镇峰会在浙江嘉兴乌镇召开,国家主席习近平向大会致贺信。来自部分国家政府、国际组织、行业机构、中外互联网企业、高校智库、科研机构的2000多名代表以线下或线上形式参会,共同围绕“迈向数字文明新时代——携手构建网络空间命运共同体”这一主题展开交流。本次大会20个分论坛围绕5G、人工智能、开源生态、下一代互联网、数据与算法等网络技术新趋势、新热点设置议题,回应各方对数据治理、网络法治、互联网企业社会责任、全球抗疫与国际传播等方面的普遍关切。大会首次推出“携手构建网络空间命运共同体精品案例”发布展示,并发布《世界互联网发展报告2021》和《中国互联网发展报告2021》蓝皮书。(信息来源:新华社)
2、我国发布《新一代人工智能伦理规范》
9月25日,国家新一代人工智能治理专业委员会发布《新一代人工智能伦理规范》,旨在将伦理道德融入人工智能全生命周期,为从事人工智能相关活动的自然人、法人和其他相关机构等提供伦理指引。同时,增强全社会的人工智能伦理意识与行为自觉,积极引导负责任的人工智能研发与应用活动,促进人工智能健康发展。该《伦理规范》明确提出,人工智能各类活动应遵循增进人类福祉、促进公平公正、保护隐私安全、确保可控可信、强化责任担当、提升伦理素养6项基本伦理规范,以及人工智能管理规范、研发规范、供应规范和使用规范共18项具体伦理要求。该《伦理规范》自发布之日起施行。(信息来源:科技部网站)。
3、工信部部署加强车联网网络安全和数据安全
9月16日,工业和信息化部发布《关于加强车联网网络安全和数据安全工作的通知》,在网络安全和数据安全基本要求、加强智能网联汽车安全防护、加强车联网网络安全防护、加强车联网服务平台安全防护、加强数据安全保护、健全安全标准体系等六方面提出17项具体要求。工信部明确,各相关企业要建立网络安全和数据安全管理制度,明确负责人和管理机构,落实网络安全和数据安全保护责任。加强汽车、网络、平台、数据等安全保护,监测、防范、及时处置网络安全风险和威胁,确保数据处于有效保护和合法利用状态,保障车联网安全稳定运行。(信息来源:新华社)
4、国家网信办进一步压实网站平台信息内容主体责任
9月15日,国家互联网信息办公室发布《关于进一步压实网站平台信息内容主体责任的意见》(以下简称《意见》),旨在充分发挥网站平台信息内容管理第一责任人作用,引导推动网站平台准确把握主体责任,明确工作规范,健全管理制度,完善运行规则,切实防范化解各种风险隐患,积极营造清朗网络空间。《意见》首次系统提出网站平台履行信息内容管理主体责任的工作要求,从完善平台社区规则、加强账号规范管理、健全内容审核机制、提升信息内容质量、规范信息内容传播、加强重点功能管理、坚持依法合规经营、严格未成年人网络保护、加强人员队伍建设9个方面提出具体要求。(信息来源:国家网信办网站)
5、工信部发布关于侵害用户权益行为的APP通报
9月23日,工业和信息化部发布关于侵害用户权益行为的APP通报(2021年第10批,总第19批)。依据《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,工信部近期组织第三方检测机构对手机应用软件进行检查,重点对假日出行、民生服务类APP进行抽测。截至目前,尚有52款未完成整改,282款未按时限要求完成整改。被通报的APP所涉问题包括违规收集个人信息;APP强制、频繁、过度索取用户权限;强制用户使用定向推送功能等。上述APP应在9月29日前完成整改落实工作。逾期不整改的,工信部将依法依规组织开展相关处置工作。(信息来源:工信部网站)
6、英国发布首个《国家人工智能战略》
9月22日,英国文化、媒体和体育部正式发布《国家人工智能战略》,旨在使英国成为人工智能领域的全球超级大国。该战略标志着英国对人工智能技术立场的重大转变,代表着英国人工智能逐步变革的开始。该战略设定了三大主要目标:一是投资并规划人工智能生态系统的长期需求,以延续英国作为科学和人工智能超级大国的领导地位;二是抓住英国创新的好处并确保人工智能惠及所有行业和地区,支持向人工智能经济转型;三是确保英国正确治理人工智能技术,以鼓励创新、投资并保护公众和英国基本价值观。(信息来源:英国政府网站)
7、美众议院拟追加55.6亿元构建现代化网络防御体系
9月16日消息,美国众议院国土安全委员会批准了为网络安全与基础设施安全局(CISA)增加8.65亿美元(约55.6亿元人民币)的修正案。其中,4亿美元将用于该局落实拜登总统网络安全行政令的要求,2.1亿美元用于一般运营,1亿美元投入人才培养,重点用于提升退伍军人的网络安全意识与技能、在局内实施网络安全学徒制以及为缺少网络安全支持的社区提供服务。此外,该修正案还计划拨款5000万美元用于建立多州信息共享与分析中心、5000万美元用于扩展CISA的资产发现项目、2500万美元用于制定并执行国家级多因素身份验证制度、2000万美元用于扩大CISA与国际伙伴在关键基础设施保护计划中的合作、1000万美元用于国家经历重大宕机并需要快速重启的情况下制定经济连续性保障计划。(信息来源:Nextgov网)
8、美众议院提议成立联邦贸易委员会数据安全局
9月13日消息,美国众议院能源和商务委员会启动新的立法议案,计划在未来十年内为联邦贸易委员会(FTC)提供10亿美元用于建立并运营新的数据安全局,负责管理FTC内部涉及隐私、数据安全、身份盗用、数据滥用等问题的不公平或欺诈行为。但在如何设立该局、具体关注哪些特定隐私或安全监管领域、实际人员需求以及如何与贸易委员会下辖的其他部门开展交互等问题上,该议案暂未做出任何详尽或方向性说明。(信息来源:SC Media网站)
9、美国土安全部发布初步跨部门控制系统安全目标
9月23日消息,美国国土安全部、国家标准与技术研究院(NIST)发布了关键基础设施控制系统网络安全绩效目标,这是白宫7月28日发布的《关于改善关键基础设施控制系统网络安全的国家安全备忘录》所要求的一套自愿跨部门安全目标。这些初步目标将不迟于2022年7月28日完成,同时将制定具体部门的目标。初步目标涵盖风险管理和网络安全治理;建筑与设计;配置和更改管理;物理安全;系统数据完整性、可用性和保密性;持续监控和漏洞管理;培训和意识;事件响应和恢复和供应链风险管理9类安全做法。国土安全部将与政府和部门合作,确定每个部门内部增强目标的适用性。(信息来源:NIST网站)
10、欧盟监管机构对TikTok开启两项数据隐私调查
9月15日消息,爱尔兰数据保护委员会根据《通用数据保护条例》(GDPR)规定,针对字节跳动旗下的短视频分享应用TikTok平台启动两项调查。第一项调查涉及18岁以下用户的个人数据处理,以及13岁以下用户的年龄验证措施;第二项调查侧重于TikTok向中国转移个人数据,以及向欧盟以外的国家转移个人数据时是否遵守了GDPR。TikTok回应称,将加强用户数据隐私保护,并计划在爱尔兰建立数据中心。(信息来源:路透社)
二、安全事件聚焦
11、俄罗斯国家杜马选举在线投票系统遭攻击
9月20日消息,俄罗斯驻美国大使馆在社交媒体发表声明称,俄罗斯国家杜马选举期间,其网络投票系统连续两天遭到来自美国、德国和乌克兰IP地址的网络攻击。攻击者通过操控不同区域的多台计算机迫使对方网络或系统资源耗尽,被迫暂停服务,导致用户无法正常访问。俄方已掌握大量美国情报机构和网络公司干扰其大选的证据,期待美国政府就此次攻击事件给出详尽解释,并警告美国不要进一步干涉俄罗斯选举。(信息来源:央视新闻网)
12、南非司法和宪法发展部遭勒索软件攻击
9月17日消息,南非司法和宪法发展部遭勒索软件攻击,所有的信息系统都被加密,内部员工以及公众都无法使用,包括签发授权书、保释服务、电子邮件和部门网站在内的多项服务受到影响,但未影响当月的儿童抚养费发放。南非司法和宪法发展部正在努力恢复其运营,调查期间,所有基于网络的司法服务都将处于离线状态,部分业务会转为人工程序,以尽可能地减轻网络攻击所造成的负面影响。截止目前,没有勒索软件团伙宣称为此次攻击负责。(信息来源:SecurityAffairs网)
13、欧洲呼叫中心巨头分部遭Conti勒索软件攻击
9月27日消息,欧洲呼叫中心巨头Covisian的西班牙语分部(GSS)遭Conti勒索软件袭击,内部系统被迫瘫痪,导致西班牙、南美洲的多个组织客服意外中断服务,包括移动运营商沃达丰、电信运营商MasMovil、马德里市供水公司、多家电视台及私营企业等。Covisian是欧洲规模最大的客户服务与呼叫中心供应商之一。GSS公司表示,他们已经下线了此次受影响的所有内部系统,目前正使用基于谷歌的系统作为替代方案,在事件解决之前,所有应用都无法重新上线。(信息来源:The Record网)
14、美国农业合作社系统遭勒索攻击被迫中断
9月23日消息,美国明州的农业合作社Crystal Valley遭勒索软件攻击,所有系统关闭,运营被迫中断,位于曼凯托总部的所有合作社系统均已关闭,电话系统同样受到攻击影响。该公司表示,内部IT团队正与多家外部技术供应商合作,全方位恢复数据和服务运营。此次攻击是近期针对美国农业合作社的第二起攻击。9月19日,位于爱荷华州的农场服务供应商NEW Cooperative也遇到勒索软件攻击。BlackMatter勒索团伙宣布对此事负责,并要求受害者支付590万美元赎金。(信息来源:互联网安全内参网)
15、医疗公司奥林巴斯遭BlackMatter勒索软件攻击
9月14日消息,日本医疗公司奥林巴斯遭BlackMatter勒索软件攻击,其在欧洲、中东和非洲的部分销售和制造网络产生影响。该公司在检测到可疑网络攻击后,立即启动应急响应解决此次事件。虽然客户安全和服务没有受到影响,但作为调查的一部分,该公司已暂停受影响系统中的数据传输,并通知合作伙伴。(来源:BleepingComputer网)
16、黑客组织TeamTNT发起新攻击感染数千个组织
9月22日消息,AT&T外星人实验室网络安全研究人员发现,黑客组织TeamTNT在运行一项针对多个操作系统和应用程序的攻击活动Chimaera,已经在全球范围内引起了数千起感染。该攻击使用多个shell/批处理脚本、新的开源工具、加密货币矿工、TeamTNT IRC bot等,从受感染的机器上窃取用户名和密码。自2020年以来,TeamTNT一直是最活跃的黑客组织之一,通常使用Lazagne开源工具,反病毒软件难以检测。(信息来源:ZDNet网)
17、1.06亿条泰国游客个人数据遭泄露
9月21日,网络安全研究人员Bob Diachenko发现一个大小为200GB但未受保护的Elasticsearch数据库,含有超过1.06亿泰国游客个人详细信息,包括姓名、性别、身份信息、护照号码、抵达日期、签证信息和泰国入境卡号码等,部分数据可以追溯到十年前。研究人员在8月22日发现这个不安全数据库后立即通知了泰国当局。目前,无法确定数据库在被发现之前的暴露程度,泰国当局称,数据库中不包含任何财务数据,也没有被未经授权者访问。(信息来源:SecurityAffairs网)
18、GetHealth因数据库配置错误泄露6100万条记录
9月13日消息,WebsitePlanet网络安全研究团队发现一个没有密码保护的数据库,包含超过6100万条记录,如姓名、性别、出生日期、体重、身高和GPS日志,以及其他数据集。该数据库属于总部位于美国纽约的GetHealth公司,大部分数据源来自Fitbit和Apple的HealthKit。该公司在得到通知后立即做出响应,在数小时内对数据库进行保护。目前尚不清楚数据库在线暴露的时间及受影响的人数。(信息来源:ZDNet网)
19、英国防部意外暴露250多名阿富汗口译员个人信息
9月23日消息,Arap(英国国防部负责阿富汗安置和援助的部门)在用电子邮件同身处阿富汗或已经抵达第三国的阿富汗口译员联系时,误将250多位口译员的资料外泄,包括姓名、电邮、个人资料和照片。此次泄露事件应是人为疏忽,且存在泄露机密的风险。英国国防部已公开致歉并宣布将立即调查此事件,同时呼吁收件者应紧急删除信件,口译人员要尽快更改电邮信箱。(信息来源:互联网安全内参网)
三、安全风险警示
20、海康威视摄像机存在高危漏洞影响数亿用户
9月26日消息,研究人员在海康威视IP摄像机/NVR设备固件中发现一个未认证的远程代码执行漏洞CVE-2021-36260,CVSS评分9.8,漏洞影响IP摄像头和NVR设备固件,包括今年6月的最新固件以及2006年发布的固件。攻击者只需要访问http或HTTPS服务器端口(80/443)即可利用该漏洞,无需用户名、密码以及其他操作,除了以root shell来完全控制设备,入侵IP摄像头外,还可以访问和攻击内部网络,预计超1亿台设备受影响。海康威视已修复漏洞,并通知用户更新。(信息来源:HacKdig网)
21、美三部门联合发布WindowsAD域管理软件漏洞警报
9月16日,美国联邦调查局(FBI)、美国海岸警卫队网络司令部(CGCYBER)和网络安全与基础设施安全局(CISA) 发布联合警报,称有APT组织正利用Windows AD域管理软件中的身份验证绕过漏洞CVE-2021-40539展开攻击活动。其攻击目标为运输、IT、通信、金融等领域的学术机构、国防承包商和关键基础设施实体。FBI、CISA和CGCYBER敦促用户和管理员尽快更新。(信息来源:安恒情报威胁中心)
22、美国VMware虚拟化管理软件存在多个漏洞
9月24日消息,VMware官方发布漏洞公告,称其虚拟化管理软件VMware vCenterServer中存在多个安全漏洞。包括(文件上传漏洞CVE-2021-22005,CVSS评分9.8;本地提权漏洞CVE-2021-21991,CVSS评分8.8;反向代理绕过漏洞CVE-2021-22006,CVSS评分8.3;服务器未经身份验证的API端点漏洞CVE-2021-22011,CVSS评分8.1等),影响多个版本。VMware vCenter Server是美国威睿(Vmware)公司的一套服务器和虚拟化管理软件,广泛应用于企业私有云内网中,可自动实施和交付虚拟基础架构。VMware建议用户尽快采取修补措施。(信息来源:VMware网站)
23、美国CISA称三菱工业控制器存在多个漏洞
9月22日消息,美国网络安全与基础设施安全局(CISA)发布紧急安全通知,称三菱电机MELSEC iQ-R系列CPU模块存在一系列漏洞,该模块部署在全球关键制造部门。漏洞被跟踪为CVE-2021-20594,CVSS评分5.9;CVE-2021-20597,CVSS评分7.4;CVE-2021-20598CVSS评分3.7。受影响产品包括R08/16/32/120SFCPU所有版本和R08/16/32/120PSFCPU所有版本。目前还没有针对这些漏洞的修复补丁,用户将面临未经授权的远程访问、CPU模块访问、DoS攻击、网络流量嗅探等风险。CISA敦促易受攻击产品的用户尽快采取缓解措施。三菱公司已推出针对前两个漏洞的固件修复,第三个漏洞将自动修复。(信息来源:TechNadu网)
24、德国持续集成供应商Travis CI被曝安全漏洞
9月18日消息,德国持续集成供应商Travis CI修补了一个严重漏洞CVE-2021-41077。该漏洞暴露了签名密钥、API密钥和访问令牌凭证,使用公开源代码仓库的组织机构面临攻击风险。Travis CI提供托管式CI/CD解决方案,用于构建和测试托管在源代码仓库系统(GitHub和Bitbucket)上的软件项目。Travis CI称尚未发现该漏洞遭恶意利用的证据,建议用户经常更换密钥。(信息来源:TheHackerNews网)
25、网络管理产品Nagios中存在11个安全漏洞
9月23日消息,工业网络安全公司Claroty的研究人员在广泛使用的网络管理产品Nagios中发现11个漏洞(CVE-2021-37343—CVE-2021-37353),可能导致远程代码执行、凭据盗窃、网络钓鱼攻击、本地升级特权用户权限等。通过组合利用其中一些漏洞,攻击者可以使用高权限root实现身份验证后的远程代码执行。Nagios产品使用范围广泛,涉及政府、国防工业、医疗、能源、金融等。供应商已发布补丁,建议用户尽快更新。(信息来源:SecurityWeek网)
26、开放管理基础设施软件OMI中存在多个漏洞
9月18日消息,微软修复了开放管理基础设施(OMI)软件代理中存在的四个零日漏洞,统称为OMIGOD。其中一个为远程代码执行漏洞CVE-2021-38647,CVSS评分9.8,未经身份认证的攻击者可通过HTTPS协议发送特制的数据包到目标系统的OMI端口,实现远程代码执行。三个为权限提升漏洞(CVE-2021-38648,CVSS评分7.8;CVE-2021-38645, CVSS 评分7.8;CVE-2021-38649,CVSS评分7.0)。攻击者可利用上述漏洞远程执行代码或提升云计算平台Azure上易受攻击的Linux虚拟机权限,数以千计的Azure客户和数百万个端点可能面临风险。OMI支持大多数Unix和Linux系统,适用于嵌入式系统和其他基础设施组件。微软建议用户限制对OMI侦听端口5985、5986、1270的网络访问。(信息来源:SecurityAffairs网)
27、微软发布安全更新修复MSHTML RCE漏洞
9月15日,微软发布66个安全修复程序和更新解决影响Windows和其他组件(包括Azure、Office、BitLocker和 Visual Studio)的安全漏洞。其中包括被积极利用的MSHTML远程代码执行漏洞CVE-2021-40444,CVSS评分8.8。攻击者通过精心制作的包含恶意ActiveX的Offcie文档,诱导用户打开,从而实现远程代码执行。研究人员已截获利用MSHTML漏洞攻击俄罗斯火箭中心和内政部的电子邮件,建议用户尽快更新。(信息来源:微软安全响应中心网站)
四、前沿技术瞭望
28、我国科学家首次实现量子安全直接通信网络
9月23日消息,上海交通大学陈险峰团队和江西师范大学李渊华等人合作,利用量子安全直接通信原理,首次实现了网络中15个用户之间的安全通信,其传输距离达40公里,该研究为未来基于卫星量子通信网络和全球量子通信网络奠定了基础。实验结果表明,其信息传输率达到了1Kbp/s,以此实验为基础,研究人员可以开展更长距离的量子通信网络研究,以及实现星地之间,乃至全球化的量子通信网络。(信息来源:科技日报)
