一、发展动向热讯

    1、工信部等八部门印发物联网新型基础设施建设计划

    9月29日,工业和信息化部等八部门联合印发《物联网新型基础设施建设三年行动计划(2021—2023年)》(以下简称《行动计划》)。《行动计划》明确到2023年底,在国内主要城市初步建成物联网新型基础设施,社会现代化治理、产业数字化转型和民生消费升级的基础更加稳固。具体目标为,突破一批制约物联网发展的关键共性技术,培育一批示范带动作用强的物联网建设主体和运营主体,催生一批可复制、可推广、可持续的运营服务模式,导出一批赋能作用显著、综合效益优良的行业应用,构建一套健全完善的物联网标准和安全保障体系。(信息来源:工信部网站)

    2、工信部就《工业和信息化领域数据安全管理办法》征求意见

    9月30日,工信部发布《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》(以下简称《办法》),向社会公开征求意见。《办法》提出,工业和电信数据处理者收集数据应当遵循合法、正当、必要的原则,不得窃取或以其他非法方式收集数据。未经个人、单位等同意,不得使用数据挖掘、关联分析等技术手段针对特定主体进行精准画像、数据复原等加工处理活动。《办法》指出,工业和电信数据处理者在中华人民共和国境内收集和产生的重要数据,应当依照法律、行政法规要求在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估,在确保安全的前提下进行数据出境,并加强对数据出境后的跟踪掌握。核心数据不得出境。(信息来源:工信部网站)

    3、网信办等九部委加强互联网信息服务算法综合治理

    9月29日,国家互联网信息办公室、中央宣传部等九部委发布《关于加强互联网信息服务算法综合治理的指导意见》。意见提出,利用三年左右时间,逐步建立治理机制健全、监管体系完善、算法生态规范的算法安全综合治理格局。意见要求,维护网络空间传播秩序、市场秩序和社会秩序,防止利用算法干扰社会舆论、打压竞争对手、侵害网民权益等行为,防范算法滥用带来意识形态、经济发展和社会管理等方面的风险隐患。(信息来源:中国网信网)

    4、《上海市数据条例(草案)》公开征求意见

    9月30日,上海市人大常委会办公厅发布《上海市数据条例(草案)》(征求意见稿),公开向社会征求意见。征求意见稿共十章九十一条,分为总则、数据权益保障、公共数据、数据要素市场、数据资源开发和应用、浦东新区数据改革、长三角区域数据合作、数据安全、法律责任和附则。重点明确了数据发展和管理体系、数据权益保障、公共数据授权运营、数据要素市场培育、浦东新区数据改革、长三角区域数据合作以及数据安全治理等。(信息来源:上海人大网)

    5、2021年国家网络安全宣传周在西安开幕

    10月11日至17日,2021年国家网络安全宣传周在全国范围内统一开展,开幕式、网络安全高峰论坛等重要活动在西安举行。今年宣传周围绕网络安全领域的新热点、新进展、新成果,通过展览、论坛、云课堂、公益广告等形式,深入宣传网络安全领域的法律法规、政策标准、重大举措,大力营造全社会共筑网络安全防线的浓厚氛围。国家网络安全宣传周期间,还将举行校园日、电信日、法治日、金融日、青少年日、个人信息保护日等系列主题日活动。(信息来源:新华网)

    6、拜登签署《2021年K-12网络安全法案》

    10月8日,美国总统拜登签署《2021年K-12网络安全法案》,以加强K-12学校的网络安全,强调保护美国各地学校敏感信息的重要性。该法案要求,美国网络安全与基础设施安全局将在120天内完成对K-12学校面临的网络安全风险研究,并为学校提供网络安全建议和工具,以抵御攻击。(信息来源:美国国会山网站)

    7、美国发布“后量子密码过渡”路线图

    10月4日,美国国土安全部(DHS)与国家标准与技术研究院(NIST)合作发布了应对量子技术风险的路线图,旨在帮助企业保护其数据和系统,降低量子技术发展相关的风险,主要包括参与标准组织、制定关键数据目录、制定加密技术目录、识别内部标准、公钥加密识别、识别系统替换优先级和制定过渡计划七个具体步骤。此外,路线图还明确了后量子密码过渡时期的两大关键,一是严控采购,在NIST完成具有批准算法的替换产品的标准化、实施和测试之前,各部门不得采购任何后量子密码行业产品;二是关键要素,过渡计划和密码技术清单是DHS进行量子准备工作的关键要素。国土安全部首席信息安全官将在2022财年第三季度之前为加密技术组件清单提供指导,并在2023财年第一季度之前制定过渡计划。(信息来源:DHS网站)

    8、美国国家地理空间情报局发布新数据战略

    10月6日,美国国家地理空间情报局(NGA)发布新的数据战略,概述了其转型和改进数据创建、管理和共享方式的计划,以保持其在提供地理空间情报方面的主导地位。新战略描述了NGA为满足其使命和业务需求而追求的四个关键目标:(1)将数据作为战略资产进行管理:部署联合企业数据治理框架,确保主动、战略性和一致地管理数据,同时实现敏捷性、灵活性和创新。(2)将数据作为共享服务交付:提供以高效直观的方式将数据(包括消费数据和创建数据)直接交付给消费者的服务。(3)扩展数据和分析能力:支持改变NGA运营方式的数据创新;为情报界、国防部和地理空间业界内的卓越数据和分析以及领先实践树立榜样。(4)提高员工的数据素养:促进数据文化并提高员工的数据敏锐度。(信息来源:ParabolicArc网站)

    9、日本网络安全战略首次将中俄朝列为网络攻击“威胁”

    9月27日,日本政府举行网络安全战略本部会议,确定了新版网络安全战略议案,战略中首次将中国、俄罗斯和朝鲜列为潜在网络攻击“威胁”。战略称,日本网络安全形势面临迅速向危机局势演变的风险,网络攻击在国际法范畴下可以被视为(国家)行使武力或武力攻击,有必要提高抑制能力。并提出为实现“自由开放的印太”构想,日本将在网络领域加强与美澳印三国和东南亚国家联盟的合作。(信息来源:环球网)

    10、英国计划耗资50亿英镑建设国家网络部队总部

    10月9日消息,英国国防大臣本·华莱士表示,英国政府将耗资50亿英磅建立国家网络部队(NCF)总部。该部将设在兰开夏郡的萨默斯伯里,由英国国防部和政府通讯总部(GCHQ)共同运营,这将使英国处于能够发动进攻性网络攻击的国家的“前沿”。该部计划在2030年全面投入运营,预计届时将雇用数千名网络专家和分析师。(信息来源:奇安网情局)

    二、安全事件聚焦

    11、38亿条Clubhouse和Facebook用户数据被出售

    10月7日消息,研究人员发现有用户在某知名黑客论坛出售一个包含38亿Clubhouse和Facebook用户记录的数据库,报价10万美元。被泄露数据包括姓名、电话号码、Clubhouse排名和Facebook个人资料链接。攻击者可通过使用泄漏数据来攻击潜在受害者;开展有针对性的网络钓鱼和其他社会工程活动;向38亿个电话号码和Facebook个人资料发送垃圾邮件;暴力破解受影响的Facebook个人账户密码。研究人员建议用户更改Clubhouse和Facebook账户密码并启用双因素身份验证。(信息来源:安全牛网)

    12、全球电信企业Syniverse承认用户数据遭泄露

    10月8日消息,全球电信企业Syniverse承认了发生在5月份的一起黑客攻击事件。经调查发现,自2016年5月以来,黑客多次入侵该企业的电子资料传输环境,并访问其数据库,约有235家客户受到波及。Syniverse客户主要为电信企业(全球拥有800多家客户)和大型技术企业(全球拥有450多家客户),服务内容包括全球网络服务、电信企业解决方案、通讯解决方案、协助全球移动网络运营商进行全球的连接与通讯等。目前,Syniverse已修复漏洞,所有客户都已收到通知并重置凭据。(信息来源:E安全网)

    13、墨西哥政府卫生机构遭攻击致新冠患者信息泄露

    9月30日消息,墨西哥政府卫生机构Inmegen遭CoomingProject黑客组织攻击,一个与收集新冠病毒患者信息相关的数据库遭泄露,包含姓名、年龄、出生日期、电子邮件、电话及其他详细信息等。该黑客组织声称已从Inmegen及其合作伙伴处窃取了50GB数据,暂未提出赎金要求。(信息来源:DataBreaches网)

    14、英国工程巨头遭勒索攻击致运营临时中断

    10月7日,英国工程巨头伟尔集团9月遭受了一起勒索软件攻击,导致出货、制造与工程系统发生中断,集团损失达5000万英镑(约4.38亿元人民币)。该集团已针对复杂的外部攻击行为做出了快速全面响应,并最大程度减少客户受到的影响。截止目前,还没有证据表明有任何个人或其他敏感数据遭外泄或被加密。伟尔公司在全球50多个国家/地区拥有11500多名员工,主要服务于采矿、基础设施以及石油与天然气等市场。(信息来源:BleepingComputer网)

    15、日本跨国公司遭攻击被勒索700万美元赎金

    10月11日消息,日本跨国公司JVCKenwood在欧洲的销售公司服务器遭Conti勒索软件攻击,攻击者声称窃取了包含该公司客户和供应商信息的1.7TB数据,要求该公司支付700万美元赎金,否则将对外公布被盗信息。Conti是一个勒索软件家族,可能由TrickBot黑客组织运营,曾针对塔尔萨市、爱尔兰卫生服务执行局和众多医疗保健组织发起攻击。目前,该公司正在开展调查。(信息来源:E安全网)

    16、美国医疗中心UHC遭Vice Society勒索软件攻击

    9月26日消息,总部位于美国加利福尼亚州的美国医疗中心(UHC)遭Vice Society勒索软件攻击,IT系统中断,部分数据遭泄露,包括患者补助、财务文件、化验结果等敏感信息,其拥有的21个社区医疗中心均受影响。UHC表示,已经开始对电脑进行重新镜像,并从离线备份中恢复数据,但尚未披露此次攻击的具体时间及泄漏患者数据的潜在危害。Vice Society是一个相对较新的勒索软件,于今年6月出现,20%的受害者属于医疗保健行业。(信息来源:Bleeping Computer网)

    17、GriftHorse恶意软件感染1000万部安卓手机

    10月6日消息,安全人员发现了一款大规模活跃的GriftHorse恶意软件,攻击者将该恶意软件隐藏在谷歌应用商店和第三方安卓应用商店的APP中,通过向用户发送弹窗和通知,提供各种奖品和特别优惠,诱导用户订阅收费超过30欧元每月的高级短信服务,窃取受害者钱财。该恶意软件自2020年11月开始活跃。目前全球70多个国家的1000多万部安卓智能手机被感染,涉及金额可能高达数亿欧元。(信息来源:SecurityAffairs网)

    18、网络攻击导致厄瓜多尔最大私人银行系统关闭

    10月12日消息,厄瓜多尔最大私人银行Banco Pichincha遭网络攻击,导致业务中断,ATM和在线银行门户网站下线,为防止攻击蔓延至其他系统,银行暂时关闭了部分业务。该银行的内部通知显示,银行应用程序、电子邮件、数字渠道和自助服务由于技术问题将无法运行,自助服务客户可被引导至银行柜员窗口,以便在停电期间继续为用户提供服务。Banco Pichincha承认遭网络攻击,目前正在协助网络安全专家调查该事件。(信息来源:Bleeping Computer网)

    19、印度27家金融机构遭Drinik银行木马攻击

    10月3日消息,印度联邦网络安全机构CERT-In表示,近期出现了一种针对安卓智能手机的银行木马病毒Drinik,该病毒已经攻击了超过27家印度金融机构。Drinik病毒通过向用户显示一个虚假的银行页面来诱导用户输入敏感信息(包括姓名、出生日期、PAN、Aadhaar号码、地址、手机号码和电子邮件等),用于从银行服务器中窃取数据和资金。专家建议金融机构应针对Drinik银行木马做好防范。(信息来源:安恒威胁情报中心)

    20、安卓恶意应用程序瞄准巴西PIX支付系统

    10月5日消息,安全研究人员在Google Play应用商店中发现2个恶意安卓应用程序PixStealer和MalRhino,主要针对巴西PIX即时支付生态系统的用户。攻击者通过恶意应用程序分发不同的银行恶意软件变种,通过用户交互和原始PIX应用程序窃取受害者钱财。Pix于2020年11月由该国货币当局巴西中央银行推出,是一个国有支付平台,该平台可以让消费者和公司无需借记卡或信用卡即可从其银行账户进行转账。目前,恶意应用程序已被删除。(信息来源:TheHackerNews网)

    三、安全风险警示

    21、工业路由器漏洞使多家工业公司面临网络攻击风险

    10月11日消息,研究人员在工业物联网解决方案提供商InHand Networks生产的IR615 LTE路由器上发现了13个严重的漏洞,包括严重的跨站请求伪造、远程代码执行、命令注入和弱密码策略问题以及严重程度不正确的授权和跨站脚本漏洞等,其中9个漏洞CVSS评分在8分以上。这批严重漏洞使许多工业组织暴露在黑客远程攻击之下,攻击者可通过运行CLI命令在设备上获得第一个立足点;在设备上植入第一个后门作为持久潜伏阶段;并开始扫描内部组织网络,以提高攻击者的特权,并转移网络上的敏感资产;扰乱产品线的日常功能,造成额外的损害和财务成本。该公司在中国、美国和德国设有办事处,在四川和浙江设有研发中心,其产品在世界各地使用。目前,InHand Networks暂未做出回应。(信息来源:SecurityWeek网)

    22、物联网监控平台NanoMQ存在漏洞影响一亿台设备

    10月3日消息,研究人员在NanoMQ中发现一个零日漏洞,由内存缓冲区范围内的操作限制不当引起。NanoMQ是EMQ的一个开源平台,可实时监控物联网设备,其产品用于监测出院患者的健康状况、探测火灾、监测汽车系统、智能手表、智慧城市应用等。该漏洞可能导致系统崩溃、传感器、医疗设备损坏,上万家企业的一亿多台设备易受攻击,数百万人的生命和财产处于危险之中。目前,软件开发商已修复漏洞,建议用户尽快更新。(信息来源:ThreatPost网)

    23、霍尼韦尔产品被曝存在三个严重漏洞

    10月7日消息,工业网络安全公司Claroty的研究人员发现,工业巨头霍尼韦尔的Experion过程知识系统(PKS)受三个漏洞影响,其中CVE-2021-38395和CVE-2021-38397被评定为严重级别,CVSS评分为9.1和7.5,允许攻击者远程执行系统上的任意代码或导致拒绝服务条件。第三个为路径遍历漏洞CVE-2021-38399,被列为高度严重,CVSS评分10,攻击者可利用该漏洞访问设备上的文件和文件夹。目前,霍尼韦尔已为受影响的Experion PKS版本提供了补丁,并敦促用户尽快迁移到最新的版本。(信息来源:Honeywell网站)

    24、开源平台OnionShare中被曝存在安全漏洞

    10月4日消息,研究人员发现OnionShare上存在两个漏洞。(1)未经身份验证的文件上传漏洞CVE-2021-41868,由receive_mode.py函数中的一个逻辑问题导致;(2)信息泄露漏洞CVE-2021-41867,未经身份验证的攻击者可利用该漏洞启动websocket连接并检索用户的完整列表。OnionShare是一种开源通信服务,提供安全的聊天、文件共享和其他通信功能。目前,漏洞已被修复。(信息来源:NIST网站)

    25、苹果AirTag产品被曝存储型跨站点脚本漏洞

    10月9日消息,安全研究员在苹果AirTag产品中发现一个存储型跨站脚本攻击漏洞。AirTag是一种用来充当钥匙查找器的追踪设备,可以帮助用户查找个人物品(例如钥匙、包、服装、小型电子设备、车辆等),用户可以通过AirTag丢失模式将设备标记为丢失,然后生成一个唯一的https://found.apple.com页面。攻击者可通过电脑共享,将该页面用作钓鱼链接,通过Find My应用程序发起注入攻击。(信息来源:SecurityAffairs网)

    26、大华摄像头2个漏洞PoC泄露影响120多万台设备

    10月9日消息,大华摄像头中的两个漏洞概念验证程序(PoC)泄露,漏洞编号为CVE-2021-33044和CVE-2021-33045,攻击者可通过构建恶意数据包来绕过设备身份验证,全球范围内至少有超过120万台大华设备可能存有风险。研究人员建议,用户须尽快安装最新固件版本,并更改设备初始密码。(信息来源:SecurityAffairs网)

    27、SonicWall修复SMA 100系列中任意文件删除漏洞

    9月28日消息,互联网安全方案提供商SonicWall发布安全公告,修复了SMA 100系列设备(包括SMA 200、210、400、410和500v)中的一个任意文件删除漏洞CVE-2021-20034,CVSS评分9.1。由于对文件路径限制不当,未经身份验证的远程攻击者可绕过路径遍历检查并从SMA 100系列设备上删除任意文件,最终获得对该设备的管理员权限,或导致设备重新启动到出厂默认设置。目前该漏洞已被修复,SonicWall建议受影响用户及时更新。(信息来源:启明星辰网站)

    28、思科修复IOS XE软件中三个严重漏洞

    9月27日消息,思科修复了影响其IOS XE网络操作系统的三个严重漏洞。(1)远程代码执行漏洞CVE-2021-34770,CVSS评分10,存在于CAPWAP(无线接入点的控制和供应)数据包的处理过程中,攻击者可以通过向受影响的设备发送特制的CAPWAP数据包利用该漏洞,以管理权限执行任意代码,使受影响设备崩溃并重新加载,导致拒绝服务;(2)缓冲区溢出漏洞CVE-2021-34727,CVSS评分9.8,由接受设备的传入网络流量边界检查不足导致,允许攻击者传输专门设计的流量,从而导致以根级别权限执行任意代码或设备重新加载。(3)身份验证绕过漏洞CVE-2021-1619,CVSS评分9.8,与Cisco IOS XE软件的身份验证、授权和记账功能中的未初始化变量有关,该变量允许经过身份验证的远程攻击者安装、操作或删除网络设备的配置或损坏设备上的内存。思科建议用户和管理员尽快更新。(信息来源:TheHackerNews网)

    四、前沿技术瞭望

    29、研究人员发现用以太网线作天线的新型电磁攻击

10月9日消息,以色列内盖夫本·古里安大学网络安全研究中心验证了一种新的数据泄露机制LANTENNA Attack。该机制利用以太网电缆作为“传输天线”,从物理隔离系统中窃取敏感数据。研究人员指出,恶意代码既能在普通用户模式进程中运行,也能在虚拟机内成功运行。研究人员提出了几种用于对抗LANTENNA攻击的防御措施:对物理网络区域实施隔离,禁止无线电接收器;在用户和内核级别监视网络接口卡链接活动,链接状态的任何变化都应触发警报;使用射频监控硬件设备识别LANETNNA频段的异常情况;通过干扰LANTENNA频段来阻塞隐蔽信道;屏蔽电缆。(信息来源:安全牛网)