一、发展动向热讯
1、我国反电信网络诈骗法草案在全国人大进行审议
10月23日,第十三届全国人大常委会第三十一次会议对《中华人民共和国反电信网络诈骗法(草案)》进行审议,并予以公布。该草案共39条,分为7章,主要涵盖6方面内容:一是反电信网络诈骗工作的基本原则;二是完善电话卡、物联网卡、金融账户、互联网账号有关基础管理制度;三是支持研发电信网络诈骗反制技术措施,统筹推进跨行业、企业统一监测系统建设,为利用大数据反诈提供制度支持;四是加强对涉诈相关非法服务、设备、产业的治理;五是其他防范措施;六是明确法律责任,加大惩处力度。(信息来源:中国人大网)
2、国家网信办拟规范互联网用户账号名称信息
10月26日,国家互联网信息办公室公布《互联网用户账号名称信息管理规定(征求意见稿)》,要求互联网用户账号使用者在注册、使用账号名称信息中应当遵循以下原则:互联网个人用户的账号名称信息应当充分体现个人特征,不得模仿类似党政军机关、新闻媒体、企事业单位等组织机构的名称、标识,或是国家行政区域的地理名称,避免误导公众;互联网机构用户的账号名称信息应当与机构自身的名称、标识等相符合,与机构性质、经营范围和所属行业类型相匹配;未成年人注册账号时,应当取得其监护人的同意并提供未成年人本人居民身份证号码用于真实身份信息核验。(信息来源:中国网信网)
3、工信部印发《物联网基础安全标准体系建设指南》
10月27日消息,工业和信息化部近日印发《物联网基础安全标准体系建设指南(2021版)》。提出到2022年,初步建立物联网基础安全标准体系,研制重点行业标准10项以上,明确物联网终端、网关、平台等关键基础环节安全要求,满足物联网基础安全保障需要,促进物联网基础安全能力提升。到2025年,推动形成较为完善的物联网基础安全标准体系,研制行业标准30项以上,提升标准在细分行业及领域的覆盖程度,提高跨行业物联网应用安全水平,保障消费者安全使用。(信息来源:工信部官网)
4、信安标委就《汽车采集数据的安全要求》征求意见
10月19日,全国信息安全标准化技术委员会发布《信息安全技术 汽车采集数据的安全要求》(征求意见稿),向社会公开征求意见。该标准拟解决汽车采集数据在传输、存储和出境等环节出现的个人信息或重要数据泄露、滥用等安全问题。该标准共包含8章,分别为范围、规范性引用文件、术语和定义、汽车采集数据内容、传输要求、存储要求、数据出境要求、其他要求。(信息来源:信安标委网站)
5、美国国务院将设立网络空间和数字政策局
10月27日消息,美国务院宣布将设立网络空间和数字政策局,以应对勒索软件攻击、网络安全国际规范、全球数字自由等方面的挑战。新机构将设立三个部门,重点关注国际网络空间安全、国际数字政策和数字自由三个关键领域。此外,美国务院还将设立新的关键和新兴技术特使,负责协调人工智能、量子计算、生物技术等领域的国际政策,与盟友和合作伙伴共同领导技术外交议程。(信息来源:美国白宫网站)
6、美国邀请30多个国家参加勒索软件峰会
10月16日消息,美国白宫国家安全委员会启动了国际反勒索软件峰会,来自英国、德国、日本、澳大利亚、印度等30多个国家的司法高级官员参会,中国和俄罗斯未被邀请。峰会旨在提高全球网络弹性,解决非法使用加密货币问题,并提升执法和外交合作。此次峰会包括4场专题会议:一场是关于国家复原力的会议,由印度官员领导;一项关于打击非法融资的行动,由英国牵头;一项由澳大利亚牵头的执法工作;一项由德国领导的外交工作。(信息来源:美国白宫网站)
7、美国政府将禁止向中国和俄罗斯出口黑客工具
10月20日,美国商务部发布一项新的出口管制规定,要求各企业在未获得获得商务部工业与安全局许可的情况下,不得向中国、俄罗斯及其他重点针对国家出售任何黑客软件及设备,该规定将在90天后生效。美国商务部在一份声明中表示,禁止出售黑客工具,能在继续保持美国研究人员及网络安全公司同海外合作伙伴与客户合作解决软件漏洞和恶意攻击的同时,有效遏制对手掌握相关黑客技术。(信息来源:The Record网)
8、北约发布首个人工智能战略
10月25日消息,北约组织(NATO)30个成员国国防部长在布鲁塞尔总部举行会议,正式通过北约首个人工智能战略。战略明确四个目标:一是为北约和盟国以身作则奠定基础,并鼓励以负责任的方式开发和使用人工智能,以实现盟国的国防和安全目的;二是加速人工智能在能力开发和交付中的应用,增强联盟内的互操作性,包括通过人工智能用例、新结构和新计划的建议;三是保护和监控NATO的人工智能技术和创新能力,解决安全政策考虑因素;四是识别和防范国家和非国家行为者恶意使用人工智能带来的威胁。(信息来源:NATO网站)
9、欧盟就《数据治理法》提案达成一致意见
10月14日消息,欧盟理事会就《数据治理法》提案达成一致意见。该法案规定了一系列增加数据共享信任度的措施,意图消除因缺乏信任所产生的障碍。该法案将寻求建立坚实的机制,以促进某些类别的受保护公共部门数据的再利用,增加对数据中介服务的信任,并促进欧盟各成员国之间的数据共享。(信息来源:欧盟理事会网站)
10、澳大利亚政府发布反勒索软件计划
10月15日消息,澳大利亚政府发布反勒索软件计划,这是该国为应对日益严重的网络威胁而采取的新措施。该计划包括准备和预防、应对和恢复、破坏和威慑3部分核心内容。具体举措为成立一个名为“奥库斯行动”的多机构工作组,由澳大利亚联邦警察领导;为所有受害实体引入强制性勒索软件事件报告条款;为各种规模的企业制定提高认识的计划;对该国的网络勒索者和勒索软件实施者实施更严厉的惩罚;更积极地呼吁制裁促进勒索软件攻击或为网络犯罪分子提供避风港的国家;积极跟踪和拦截已确认链接到勒索软件操作或其他网络犯罪的加密货币交易等。澳大利亚政府对勒索软件攻击采取零容忍的态度。(信息来源:BleepingComputer网)
11、印度政府发布电力行业网络安全指南
10日25日消息,印度电力部和中央电力管理局发布电力行业网络安全指南,旨在创建一个安全的网络生态系统。该指南制定了网络安全保障框架,加强了监管框架,并建立了安全威胁预警、漏洞管理和应对安全威胁的机制。该指南针对的系统范围包括3部分,即系统运行和运行管理控制系统;通信系统;辅助的、自动化和远程控制技术。该指南适用于印度电力供应系统中的所有责任实体和系统集成商、设备制造商、供应商和生产商、服务提供商及IT硬件和软件原始设备制造商。(信息来源:互联网安全内参)
二、安全事件聚焦
12、APT组织针对南亚政府及电信部门发起攻击
10月21日消息,赛门铁克研究人员发现APT组织Harvester使用新工具集,对南亚政府、IT及电信部门进行信息窃取活动,其主要攻击目标是阿富汗。攻击者通过在受害者设备上部署一个名为Backdoor.Graphon的自定义后门、下载器和屏幕截图工具,对受害者进行远程访问,监视用户活动并窃取信息。该组织在今年6月开始活跃,研究人员建议相关地区和组织应提高警惕。(信息来源:ThreatPost网)
13、伊朗多地加油站因遭网络攻击而关闭
10月26日,伊朗国有天然气分销企业NIOPDC疑似遭网络攻击,全国多地加油站出现故障,无法正确计费收款,加油泵屏幕与油价广告牌显示异常内容。伊朗石油部将该事件归咎于软件故障。NIOPDC在全国范围内管理着3500多家加油站,目前受影响的加油站均已恢复运营。(信息来源:互联网安全内参)
14、韩国电信巨头遭DDoS攻击致全国网络关闭
10月25日,韩国电信巨头KT公司遭大规模DDoS攻击,其有线和无线网络服务突然中断,韩国全国范围内出现大面积网络服务中断,持续约1小时左右。断网期间,包括证券交易系统在内的大型商业网站被迫关闭,饭店结算系统以及居民家中的网络、手机信号等服务均受影响,用户无法使用信用卡、交易股票或访问在线应用程序。目前大部分网络服务已恢复,相关部门已展开调查。(信息来源:E安全网)
15、德国汽车零配件龙头遭勒索攻击致生产系统瘫痪
10月28日消息,德国跨国企业Eberspächer Group遭勒索软件攻击,其官网、邮件、办公网络、生产系统等纷纷瘫痪。由于无法正常协调生产并管理客户订单,该公司只能通知部分工厂员工在宕机处理期间留在家中带薪休假。Eberspächer Group目前拥有超过1万名员工,有28个国家/地区运营拥有80处生产工厂(包括中国)。他们的主要业务是为全球几乎所有顶级汽车品牌供应空调、供暖及排气系统。受影响系统目前仍未恢复。(信息来源:The Record网)
16、中国台湾电脑制造商宏基遭黑客组织攻击
10月20日消息,中国台湾电脑制造商宏基位于印度和台湾的服务器系统遭黑客组织Desorden攻击,并窃取了超60GB的文件和数据库,包括1万名客户记录,3000家宏基印度分销商和零售商的财务数据、客户数据、登录凭证等商业机密信息,以及员工个人信息和产品信息。攻击者还通过视频展示了被盗信息的真实性,并威胁称其他地区的网络也易受攻击。宏基表示此次攻击仅影响其在印度的售后服务系统,目前已启动安全协议,并对系统进行全面扫描。(信息来源:BleepingComputer网)
17、以色列Hillel Yaffe医院遭勒索软件攻击
10月19日消息,以色列Hillel Yaffe医院遭勒索软件攻击,其计算机系统瘫痪。由于该医院一直在使用替代系统为患者提供治疗,并一直在手写患者信息,包括CT和MRI扫描仪等关键设备都在正常工作。该医院已要求以色列红十字会和以色列卫生部将不需要紧急护理的患者转移至其他医院。以色列将此次攻击归类为重大事件,已组织该领域最优秀的专家展开调查。(信息来源:SecurityAffairs网)
18、美国媒体巨头遭勒索软件攻击致多个电视节目停播
10月17日消息,在全美89个地区拥有294家电视台的美国媒体巨头辛克莱广播集团遭勒索软件攻击,其内部网络、电子邮件服务器、电话服务及地方电视台广播系统中断,旗下多个电视台节目停播,涉及华盛顿、马里兰、伊利诺伊和得克萨斯等州。由于辛克莱集团IT网络的大部分用户都借助同一个活动目录互联互通,攻击者以此入侵地方电视台播送系统。该集团目前已通过调用其他影像资源替换被攻击频道中的预定节目,确保电视频道处于工作状态。(信息来源:互联网安全内参)
19、阿根廷4500万居民身份信息遭泄露
10月21日消息,黑客入侵了阿根廷国家人事登记处(ReNaPer)的IT网络,窃取了该国4500万居民的身份证详细信息并出售。黑客发布了44名阿根廷名人的身份证照片和个人详情,包括阿根廷总统、多名记者、政治人物以及足球巨星梅西和阿圭罗的个人数据。泄露信息包括姓名、性别、出生日期、身份证签发和到期日期、公民号码和家庭住址等。ReNaPer是阿根廷内政部的一个重要组成部分,其任务是向所有公民发放国民身份证,并将信息以数字格式存储,作为其他政府机构可访问的数据库,是大多数政府查询公民个人信息的支柱。阿根廷政府随后证实了该事件,称这是该国历史上第二起重大安全事件。(信息来源:The Record网)
20、超260万Instagram和TikTok用户数据遭泄露
10月22日消息,安全公司Infosecurity研究人员发现,IGBlade公司将超过260万份TikTok和Instagram社交媒体用户的数据,暴露在配置错误的Elasticsearch服务器上,没有任何密码保护,且数据已在互联网上公开一个多月。攻击者可通过收集大量用户数据来加速大规模社会工程和欺诈活动。IGBlade是一家为客户提供社交媒体用户营销见解的公司,此次数据泄露违反了TikTok和Instagram的服务条款。(信息来源:互联网安全内参)
21、3D模型网站Thingiverse泄露22.8万名用户信息
10月16日消息,知名3D模型网站Thingiverse泄露超22.8万名用户详细信息,包括用户名、出生日期、电子邮件地址、IP地址以及OAuth令牌。拥有OAuth令牌的攻击者可远程访问并完全控制3D打印机,调用打印机摄像头对用户实行监视,同时还可向3D打印机发送错误示意图,损坏其电机。Thingiverse公司负责人称该事件为内部人员操作失误导致,并已通知受影响用户。(信息来源:FreeBuf网)
三、安全风险警示
22、江森自控旗下视频监控系统被曝高危漏洞
10月13日消息,研究人员在美国建筑科技巨头江森自控旗下Exacq Technologies公司生产的视频监控系统中发现两个严重高危漏洞。第一个漏洞被描述为直通账户安全问题,CVSS评分为9.8分,允许攻击者使用网络浏览器从ExacqVision服务器获取视频和其他数据;第二个漏洞被描述为DoS问题,CVSS评分为8.8分,可被未经身份验证的远程攻击者利用,通过发送特制的消息使服务器崩溃。上述漏洞影响32位版本的exacqVision Server 210.06.11.0和更老版本。研究人员建议用户尽快升级版本。(信息来源:US-Cert网站)
23、全球最大NFC交易平台OpenSea存在严重漏洞
10月14日消息,网络安全公司Check Point称全球最大NFC交易平台OpenSea存在一个严重漏洞。攻击者可利用该漏洞构造恶意NFTs,并诱使用户点击,从而劫持用户账户,窃取整个密币钱包。OpenSea是全球最大的综合NFT交易平台,用户可以在平台上铸造、展示、交易、拍卖NFT和其他数字资产,交易量达到34亿。OpenSea称尚未发现该漏洞遭在野利用的实例,漏洞目前已被修复。(信息来源:TheHackerNews网)
24、开源网页服务器Apache被曝远程代码执行漏洞
10月17日消息,研究人员发现Apache HTTP Server中存在一个路径遍历和文件泄露漏洞CVE-2021-41773,该漏洞可能泄漏CGI脚本等解释文件的来源,目前已遭利用。Apache HTTP Server 是一个开源、跨平台的Web服务器,在全球范围内被广泛使用。Apache已发布安全更新,建议用户尽快修复。(信息来源:启明星辰网站)
25、应用软件Cachet被曝存在三个安全漏洞
10月18日消息,研究人员发现应用软件Cachet中存在三个安全漏洞。(1)换行注入漏洞CVE-2021-39172,允许攻击者注入新指令并修改代码特性,当用户更新实例配置时就会被触发,最终导致任意代码执行;(2)漏洞CVE-2021-39174,允许攻击者提取存储在配置文件中的机密信息,如数据库密码和框架密钥;(3)漏洞CVE-2021-39173,允许攻击者在目标实例已被完全配置的情况下仍然更改设置进程。上述漏洞已被修复。(信息来源:代码卫士)
26、压缩软件WinRAR试用版存在远程代码执行漏洞
10月20日,研究人员发现Windows压缩软件WinRAR中存在一个远程代码执行漏洞CVE-2021-35052,影响该程序的试用版5.70。该漏洞允许攻击者拦截和修改发送给应用程序用户的请求,远程攻击计算机系统,并访问系统内的所有资源。此外,访问同一网域的攻击者还可通过ARP欺骗攻击,远程启动应用程序、检索本地主机信息、运行任意代码。目前漏洞已经公开披露,建议受影响用户使用官方版本。(信息来源:SecurityAffairs网)
27、思科发布安全更新修复多个严重漏洞
10月27日,思科发布安全公告,修复了思科 Firepower威胁防御(FTD)、自适应安全设备和Firepower管理中心中的多个安全漏洞。CVE-2021-34755、CVE-2021-34756和CVE-2021-34752都是思科 FTD中的命令注入漏洞,由于对用户提供的命令参数验证不足导致,攻击者可以提交恶意输入来利用这些漏洞。其中,CVE-2021-34755和CVE-2021-34756可导致经过身份验证的本地攻击者以root权限在受影响设备的系统上执行任意命令;CVE-2021-34752可导致经过身份验证且具有管理权限的本地攻击者以root权限在受影响设备的系统上执行任意命令;CVE-2021-34762是由于思科Firepower管理中心基于Web的管理界面对HTTPS URL 的输入验证不足导致,经过身份验证的远程攻击者,可通过向受影响的设备发送包含目录遍历字符序列的恶意HTTPS请求来利用该漏洞,最终在受害者设备上读取或写入任意文件。目前,思科已经发布相关补丁,建议受影响用户及时更新。(信息来源:Cisco官网)
28、微软修复包含4个零日漏洞在内的74个安全漏洞
10月15日,微软修复包含Microsoft Windows和其他软件中的74个安全漏洞,其中3个被评为严重,70个被评为高危,1个被评为中危。四个零日漏洞分别为Win32k提权漏洞CVE-2021-40449,CVSS评分7.8,正被攻击者用于针对IT公司、军事/国防承包商和外交实体的间谍活动;Windows内核特权提升漏洞CVE-2021-41335,CVSS评分7.8,该漏洞无需用户交互即可远程利用,攻击复杂度低,但所需权限高,并且仅在服务器配置为DNS服务器时才可被利用;Windows DNS服务器远程代码执行漏洞CVE-2021-40469,CVSS评分7.2;Windows AppContainer防火墙规则安全功能绕过漏洞CVE-2021-41338,CVSS评分5.5。微软已发布相关安全更新,建议受影响用户尽快修复。(信息来源:启明星辰网站)
四、前沿技术瞭望
29、我国量子计算优越性研究取得重要进展
10月26日消息,中科院量子信息与量子科技创新研究院科研团队在超导量子和光量子两种系统的量子计算方面取得重要进展。研究团队构建了66比特可编程超导量子计算原型机“祖冲之二号”,实现了对“量子随机线路取样”任务的快速求解,比目前最快的超级计算机快一千万倍,计算复杂度比谷歌的超导量子计算原型机“悬铃木”高一百万倍。同时,光量子计算研究团队构建了113个光子144模式的量子计算原型机“九章二号”,处理特定问题的速度比超级计算机快亿亿亿倍,并增强了光量子计算原型机的编程计算能力。使我国成为目前世界上唯一在两种物理体系达到“量子计算优越性”里程碑的国家。(信息来源:环球网)
来源:国信中心