网络空间安全动态第132期
一、发展动向热讯
1、拜登首份国家安全战略方针将网络安全列为优先事项
3月3日,美国白宫国家安全委员会公布拜登政府的《国家安全战略中期指导方针》。《国家安全战略中期指导方针》将网络安全列为国家安全优先事项,提出增强美国在网络空间中的能力、准备和弹性,将通过鼓励公私合作、加大资金投入、加强国际合作、制订网络空间全球规范、追究网络攻击责任、施加网络攻击成本等方式保护美国网络安全。(信息来源:国会山网站)
2、拜登签署通过《美国纾困计划法案》
3月13日消息,美国总统拜登签署通过《美国纾困计划法案》。其中,近20亿美元将用于网络安全和技术现代化。法案包括为网络安全与基础设施安全局(CISA)提供6.5亿美元资金,旨在增强联邦网络安全并保护疫苗供应链;为总务署的技术现代化基金拨款10亿美元,用于更新过时的IT系统;为美国数字服务拨款2亿美元。(信息来源:国会山网站)
3、美国弗吉尼亚州通过全面数据隐私法
3月2日,美国弗吉尼亚州州长拉尔夫·诺瑟姆签署了《消费者数据保护法》,使弗吉尼亚州成为美国第二个通过全面数据隐私法的州。该法案将赋予消费者相关权利,可拒绝将其个人数据用于定向广告,并有权确认其数据是否正在被处理。该法将于2023年生效,适用于计划控制或处理100000名及以上消费者数据的企业,以及从销售个人数据中获得总收入50%以上或处理至少25000名消费者个人数据的企业。与加州隐私权法案不同,弗吉尼亚州隐私法缺乏私人诉讼权,这意味着个人提起诉讼的能力受到限制,执法很大程度上将取决于州检察长。据悉,美国其他州也正在考虑数据隐私建议。(信息来源:华盛顿邮报)
4、美国国会成立特别工作组解决供应链安全问题
3月4日消息,美国国会成立国防关键供应链特别工作组,计划在三个月内迅速制定立法修正案,以纳入年度国防政策法案。该特别工作组将与五角大楼密切合作,评估国防工业基础供应链的脆弱性,以回应美国总统拜登的供应链审查行政命令。(信息来源:InsideDefense网)
5、美国国家安全局发布零信任安全模型指南
2月25日,美国国家安全局(NSA)发布关于零信任安全模型指南《拥抱零信任安全模型》,旨在促进NSA的网络安全任务,即识别和传播对国家安全系统(NSS)、国防部(DoD)和国防工业基础(DIB)信息系统的威胁,以及制定和发布网络安全规范和缓解措施。指南中描述了一些基本的零信任原则,同时规定了零信任的设计概念。指南还描述了威胁情景,以及组织机构如何使用新的零信任模型防止这些攻击。目前NSA正协助国防部客户试行零信任系统,并准备发布关于进一步实施零信任的其他指导意见。(信息来源:美国CISA官网)
6、美国人工智能国家安全委员会发布最终报告
3月2日,美国人工智能国家安全委员会发布最终建议报告。报告提出一个整合的国家战略,以重组政府,调整国家定位,并团结美国最亲密的盟友和合作伙伴,以便能在即将到来的人工智能加速竞争和冲突时代开展冲突和竞争。该报告就在人工智能时代保卫美国国家安全,美国如何在人工智能激烈竞争的时代赢得竞争、维持全球领导地位等展开一系列论述,并在报告最后详细阐述了联邦各机构今后改革的行动路线。(信息来源:美国人工智能国家安全委员会官网)
7、英国将“人工智能道德伦理”视作国家安全新要素
2月25日,英国政府通信总部(GCHQ)发布新报告《探索国家安全的一个新要素:人工智能道德伦理》。报告指出,政府通信总部已认识到道德伦理、包容性及民主价值对人工智能的发展应用在英国未来的国家安全中占有极其重要的地位,因此该机构将人工智能置于其情报业务未来转变改革的核心位置,还要利用英国担任七国集团轮值主席国的机会,广泛地推动人工智能及其他新兴科技发展应用的国际规则规范形成。报告主要包括:(1)GCHQ将在业务中全面加强对人工智能的应用。(2)GCHQ将在国际认可、平衡“维护重要人权和自由”和“保护生活方式免受重大威胁损害”两个方面的法规框架下开展工作。(3)GCHQ将聚焦开发“增强情报”系统,运用人工智能技术汇聚信息并支持决策过程。(4)GCHQ在适用数据来训练及测试人工智能软件,以及使用人工智能软件分析真实数据两个方面都进行审慎评估。(5)GCHQ正在开发针对人工智能及数据道德伦理监管、融入由外部利益相关方提供之最佳实践及意见的全面治理系统,并通过一个支持性教育项目来帮助开发者们遵守相关标准和指导。(信息来源:英国GCHQ官网)
8、欧盟委员会发布报告明确未来十年数字化目标
3月9日,欧盟委员会发布《2030数字指南针:欧洲数字十年之路》报告,明确了欧洲到2030年数字化转型的愿景和实现途径。欧盟的数字雄心是在一个开放和互联的世界中确保数字主权并推行数字政策,解决脆弱性和依赖性以及加快投资,使其公民和企业能够抓住以人为中心、可持续和更繁荣的数字未来。报告明确欧盟在以下四大领域实现2030年数字雄心:(1)具备数字技能的公民和高技能的数字专业人员;(2)安全、高性能和可持续的数字基础设施;(3)企业数字化转型;(4)公共服务的数字化。(信息来源:欧盟委员会官网)
9、欧盟委员会发布CONNECT 2021年管理计划
3月1日消息,欧盟委员会发布《2021年管理计划:通信网络、内容和技术》政策文件。文件围绕6大战略目标明确了欧盟通信网络、内容和技术局(CONNECT)在2021年的管理计划,包括法规、资助项目以及行动。一是针对在关键技术领域确保欧洲战略自主权,CONNECT将重点开发微电子技术、量子技术、区块链技术、石墨烯、脑科学、未来电池技术,发起欧洲共同利益重要项目提案和关键数字技术联合承诺;二是针对构建欧洲数据单一市场,CONNECT将通过法案以协调不同行为者间的关系;三是针对发展可持续的人工智能,CONNECT将提出AI横向监管框架,与国际标准化组织合作建立AI国际规范,开发动态的全欧盟AI创新生态系统;四是针对发展公平高效的数字经济,CONNECT将开发针对智能城市的欧洲互操作性框架和针对无线网络部署的政策工具箱;五是针对提高欧洲网络韧性,CONNECT将实施网络安全认证计划和政府管理数字化转型;六是针对网络内容管理,CONNECT将启动欧洲数字媒体天文台,加强反情报工作等。(信息来源:欧盟委员会官网)
10、英特尔和微软共同助力美国DARPA加密项目
3月9日消息,英特尔和微软将参与美国国防高级研究计划局(DARPA)虚拟环境中的数据保护(DPRIVE)计划,以帮助DARPA打造完全同态加密(FHE)的硬件加速器。DARPA表示,FHE可在加密状态下运算,允许用户在保护及利用资料之间取得平衡,然而,难以实践FHE的最大原因在于它需要大量的计算资源与时间。DARPA遴选出Duality Technologies、Galois、SRI International与Intel Federal 4个团队来参与该项目,每个团队都将开发一个FHE硬件加速器及软件堆栈,目标是让FHE的运算速度可以接近未加密的资料操作。英特尔表示,该公司计划设计一个特殊应用集成电路加速器,来减少全同态加密的性能负担,若可完全实现,也许可降低5个级数的密文处理时间。(信息来源:HelpNetSecurity网)
二、安全事件聚焦
11、云服务商OVH数据中心大火导致大量知名站点瘫痪
3月10日,欧洲最大的云服务和托管服务提供商法国斯特拉斯堡OVH数据中心被大火烧毁,导致多个数据中心无法使用,受影响的客户包括网络威胁情报公司Bad Packets、法国数据中心SBG1、SBG2、SBG3和SBG4、免费国际象棋服务器Lichess.org的提供者、视频游戏开发商Rust、加密货币交易所Deribit的博客和文档站点、电信公司AFR-IX、加密实用程序VeraCrypt、新闻媒体eeNews Europe、艺术建筑群蓬皮杜中心等。其中,视频游戏开发商Rust全部数据丢失,且无法恢复。法国数据中心SBG1、SBG2、SBG3和SBG4已关闭,以防止SBG2起火引起的损害。OVH建议客户制定灾难恢复计划。(信息来源:安全牛网)
12、IT服务公司SITA数据泄露事件波及多家航空公司
3月4日,IT服务公司SITA宣布旅客服务系统(SITA PSS)被黑客入侵,汉莎航空、新西兰航空、新加坡航空、北欧航空、国泰航空、济州航空、全日本航空、日本航空、马来西亚航空以及芬兰航空等多家知名航空公司的会员数据遭泄露,包括姓名、会员卡号,但不包括护照数据、地址、信用卡数据等。SITA公司已通知受影响的SITA PSS用户,并展开调查。(信息来源:美联社)
13、Lazarus利用ThreatNeedle攻击多国国防工业机构
3月4日消息,卡巴斯基的研究人员表示,朝鲜APT组织Lazarus一直在利用一种名为ThreatNeedle的恶意软件,对十多个国家的国防工业目标发起鱼叉式网络钓鱼攻击。ThreatNeedle是Lazarus工具集Manuscrypt的高阶变种,具有方法步骤多、在网络中横向移动、消除网络细分的特点,一旦下载并运行,该恶意软件即可操纵文件和目录,进行系统配置文件,控制后门进程,强制设备进入睡眠或休眠模式,更新后门配置并执行接收到的命令,最终完全控制受害者设备。(信息来源:E安全网)
14、SolarWinds黑客或已入侵NASA和FAA网络
2月24日消息,SolarWinds黑客或已入侵美国宇航局(NASA)和美国联邦航空管理局(FAA)的网络。美国政府此前表示,此次攻击“很可能源自俄罗斯”。NASA发言人未否认此次攻击事件,但以正在进行调查为由拒绝发表评论。FAA的发言人没有回应置评请求。美众议院国土安全委员会和监督与改革委员会将针对SolarWinds遭黑客攻击一事举行听证会。(信息来源:华盛顿邮报)
15、Immunity Canvas工具源代码遭泄露
3月2日消息,安全研究人员称Immunity Canvas 7.26工具的源码遭到泄露,包含959个漏洞利用工具,2018年公开的英特尔“幽灵”漏洞的利用工具也在其中。Canvas是Immunity公司开发的专业安全工具包,为全球渗透测试人员和安全专业人员提供数百种漏洞利用,是一个自动化的漏洞利用系统以及一个全面、可靠的漏洞利用开发框架,有集成化、自动化、简单化的特点。黑客可能利用已泄露工具包的源码在未经用户许可的情况下,对其感兴趣的目标进行检测、渗透活动。(信息来源:腾讯安全威胁情报中心)
16、Verkada安全摄像头遭攻击致2万客户受影响
3月9日消息,某黑客组织表示攻陷了硅谷创业公司 Verkada收集的大量安全摄像头数据,获得在医院、企业、警察局、监狱和学校安装的15万个监控摄像头的访问权限。数据遭暴露的企业包括汽车厂商特斯拉和软件提供商 Cloudflare。此外,黑客还能够查看女性健康诊所、精神疾患医疗院所和Verkada公司等视频。其中某些摄像头使用面部识别技术来识别并将镜头捕捉到的人员分类。(信息来源:彭博社)
17、印度政府网站漏洞致800万核酸检测结果泄露
2月24日消息,安全研究员 Sourajeet Majumder发现印度政府网站因存在漏洞泄露了超过800万条核酸检测结果。这些数据来自印度西孟加拉邦卫生福利部,包含公民的姓名、年龄、婚姻状况、检测时间、居住地址等敏感信息。泄露原因是发送给检测者短信的URL中包括一个base64编码的报告ID号(SRF ID),该ID号可被解码,并通过递增和递减以构造新的URL集,来访问其他患者的核酸检测报告。(信息来源:BleepingComputer网)
18、数据分析公司Polecat近30TB业务数据被破坏
3月2日消息,英国数据分析公司Polecat的Elasticsearch服务器未受任何身份验证或其他加密形式的保护,接近30 TB的数据遭泄露。被暴露的数据可追溯至2008年,包括员工用户名、密码、超过65亿条推文、收集自各个网站及博客的超过10亿篇帖子以及社交媒体记录。研究人员发现,该数据库曾遭遇两轮Meow攻击,大量数据已被破坏,服务器中的正常数据仅剩4TB。同时还发现勒索记录,黑客要求Polecat支付0.04比特币(约合550美元)以赎回数据。(信息来源:HackRead网)
19、法国近50万公民的医疗档案信息在暗网出售
2月24日消息,研究人员发现近50万法国公民医疗档案信息在暗网出售,包括姓名、出生日期、电话号码、社会保险号、血型、全科医生、健康保险提供者、医疗方法、艾滋病毒状况、妊娠试验结果等。被售卖的信息来自法国西北地区30多个医学实验室,为2015年至2020年10月之间采集的样本,这些实验室全部使用了Dedalus Healthcare Systems Group发布的医疗管理软件。(信息来源:InfoSecurity网)
20、俄罗斯四大网络犯罪论坛被入侵
3月4日消息,俄罗斯四大网络犯罪论坛Maza、Crdclub、Verified、Exploit被入侵。网络犯罪论坛是许多网络犯罪活动的重要交易场所,包括恶意软件分发、洗钱、信用卡信息销售、账户销售和许多其他非法行为。攻击者获取了论坛用户数据库,包括姓名、电子邮件地址、IP地址、哈希密码、加密货币钱包密钥等信息,并公布到暗网上。遭泄露的数据可能被情报和执法机构用来关联破译并锁定用户的真实身份。(信息来源:KrebsOnSecurity网)
21、Facebook为隐私官司支付6.5亿美元和解金
3月1日消息,Facebook支付6.5亿美元和解金,结束历经6年的隐私诉讼案。因涉嫌未经用户许可收集和存储用户面部数字扫描信息和其他生物信息,Facebook被指控违反了伊利诺伊州的《生物识别信息隐私法》。(信息来源:cnBeta网)
三、安全风险警示
22、苹果远程命令执行漏洞影响数十亿台设备
3月9日消息,苹果公司已为iOS、macOS、watchOS和Safari浏览器发布补丁,修复了可导致攻击者通过恶意 Web内容在设备上执行任意代码的漏洞CVE-2021-1844。运行iOS 14.4、iPad OS 14.4、macOS Big Sur和watchOS 7.3.1 (Apple Watch Series 3及后续版本)的设备可应用补丁,运行macOS Catalina和macOS Mojave的MacBooks版本的Safari可更新。(信息来源:安全内参网)
23、Saltstack存在多个高危漏洞可导致远程代码执行
2月25日,集中化管理平台Saltstack近日发布安全更新公告,修复了Saltstack组件中存在的命令注入、远程代码执行等共计10个漏洞。其中包括7个高危漏洞:(1)漏洞CVE-2021-3197存在于SSH模块的SaltStack服务器中,攻击者可通过Salt-API的SSH功能接口使用SSH命令的ProxyCommand参数进行shell命令注入。(2)漏洞CVE-2021-25281存在于SaltStack SaltAPI中,由于wheel_async模块未正确处理身份验证请求,攻击者可利用该模块执行任意python代码。(3)漏洞CVE-2021-25283存在于SaltStack jinja模块中,在请求相关页面时触发jinja引擎渲染导致代码执行。(4)漏洞CVE-2020-35662是由于SaltStack默认情况下未能正确验证SSL证书导致。(5)漏洞CVE-2021-3144是由于eauth令牌在过期后仍可以使用导致。(6)漏洞CVE-2020-28972是由于VMware模块代码库无法验证服务器的SSL/TLS证书,攻击者可通过中间人攻击获取敏感信息。(7)漏洞CVE-2020-28243存在于SaltStack Minion模块中,当普通用户能够通过进程名称中的命令注入而能够在任何未列入黑名单的目录中创建文件时,SaltStack的Minion可获取权限提升。建议受影响用户及时升级最新版本进行防护,做好资产自查以及预防工作。(信息来源:网络安全威胁和漏洞信息共享平台)
24、VMware vCenter Server曝远程代码执行漏洞
3月2日消息,Vmware官方发布了vCenter Server安全更新,修复了vSphereClient(HTML5)在vCenter Server插件vRealizeOperations中的一个远程代码执行漏洞(CVE-2021-21972)。VMware vCenter Server是美国VMware公司的一套服务器和虚拟化管理软件,提供了一个用于管理VMware vCenter环境的集中式平台,可自动实施和交付虚拟基础架构。攻击者可通过访问web管理端向vCenter Server发送精心构造的请求从而在操作系统上执行任意命令。全球超过6000台VMware vCenter设备受影响,其中26%位于美国,其余位于德国、法国、中国、英国、加拿大、俄罗斯、中国台湾、伊朗和意大利。(信息来源:E安全网)
25、微软Exchange曝多个高危漏洞无需验证即可触发
3月2日,微软发布了电子邮件服务组件Microsoft Exchange Server的安全更新公告,其中包含多个高危安全漏洞:(1)Exchange中的服务端请求伪造漏洞(SSRF)CVE-2021-26855,允许攻击者发送任意HTTP请求并绕过Exchange Server身份验证,进行内网探测,窃取用户邮箱的全部内容。(2)Unified Messaging服务中的不安全反序列化漏洞CVE-2021-26857,允许攻击者发送精心构造的恶意请求,在Exchange Server上以SYSTEM身份执行任意代码。(3)Exchange中的任意文件写入漏洞CVE-2021-26858,允许攻击者将文件写入服务器上的任何路径,并可结合利用CVE-2021-26855 SSRF漏洞或绕过权限认证进行文件写入。(信息来源:cnBeta网)
26、Linux内核虚拟套接字实现中存在5个高危漏洞
3月3日消息,Positive Technologies公司安全研究人员在Linux kernel虚拟套接字实现中发现5个高危漏洞。攻击者可利用漏洞CVE-2021-26708获得root权限并对服务器发起拒绝服务攻击,所有用户均易受攻击。目前,Linux已发布升级补丁以修复上述漏洞。(信息来源:ZDNet网)
27、苹果Find My功能存在漏洞可暴露用户位置信息
3月8日消息,德国达姆施塔特技术大学安全移动网络实验室安全团队发现苹果Find My功能追踪系统中的设计和实现漏洞CVE-2020-9986。该漏洞允许攻击者访问解密密钥,下载并加密Find My网络提交的位置报告,导致位置相关攻击和对用户过去7天位置历史信息的未授权访问以及用户去匿名化,并最终高度准确地定位受害者。苹果设备的Find My功能可让用户轻易定位到其它苹果设备如iPhone、iPad、iPod touch、Apple Watch、Mac或AirPods的位置。苹果已通过“改进访问限制”修复了该漏洞。(信息来源:安全内参网)
