来源:国信中心
一、发展动向热讯
1、国新办发布《携手构建网络空间命运共同体》白皮书
11月7日,国务院新闻办公室发布《携手构建网络空间命运共同体》白皮书。白皮书介绍了新时代中国互联网发展和治理理念与实践,分享中国推动构建网络空间命运共同体的积极成果,展望网络空间国际合作前景。白皮书指出,互联网是人类的共同家园,让这个家园更繁荣、更干净、更安全,是国际社会的共同责任。中国愿同世界各国一道,共同构建更加公平合理、开放包容、安全稳定、富有生机活力的网络空间,携手构建网络空间命运共同体,开创人类更加美好的未来。白皮书由前言、正文和结束语三部分组成,其中正文包括四个部分:一是构建网络空间命运共同体是信息时代的必然选择;二是中国的互联网发展治理实践;三是构建网络空间命运共同体的中国贡献;四是构建更加紧密的网络空间命运共同体的中国主张。(信息来源:新华社)
2、首个关键信息基础设施安全保护国家标准发布
11月7日,国家标准《信息安全技术 关键信息基础设施安全保护要求》(GB/T 39204-2022)发布,将于2023年5月1日正式实施。该标准是关键信息基础设施安全保护标准体系的构建基础,提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护3项基本原则,从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等6个方面提出了111条安全要求,为运营者开展关键信息基础设施保护工作需求提供了强有力的标准保障。(信息来源:信安标委网站)
3、工信部拟建立智能汽车网络安全制度
10月28日,工业和信息化部发布《道路机动车辆生产准入许可管理条例(征求意见稿)》(以下简称《条例》)。《条例》提到,智能网联汽车生产企业应当建立车辆产品网络安全、数据安全、个人信息保护、车联网卡安全管理、软件升级管理制度,完善安全保障机制,落实安全保障措施,明确责任部门和负责人,落实安全保护责任。《条例》明确,智能网联汽车生产企业在产品销售、使用等过程中收集和产生的个人信息和重要数据,应当依法在境内存储。因业务需要确需向境外提供的,应当通过国家网信部门会同工业和信息化等有关部门组织的安全评估,并向相关部门报备,法律、行政法规另有规定的,依照其规定。此外,智能网联汽车生产企业应当定期开展车辆产品网络和数据安全风险评估,加强安全风险监测,制定应急预案,发生网络安全、数据安全、个人信息安全事件时,应当立即启动应急预案,并按照规定及时向工业和信息化、电信、公安、网信等部门报告。(信息来源:工信部网站)
4、美CISA发布关键基础设施部门网络安全效能目标
10月31日消息,美国网络安全与基础设施安全局(CISA)发布文件,对所有关键基础设施部门的基线网络安全效能目标(CPG)进行了概述。该文件是拜登于2022年7月签署的安全备忘录的实施结果。其中,CISA和美国国家标准与技术研究院受托为关键基础设施创建基本的网络安全实践,重点帮助中小型企业改进其网络安全工作。CPG旨在成为一套能够广泛适用于关键基础设施网络安全的标准做法,是关键基础设施运营商衡量和提高其网络安全成熟度的基准。CPG是IT和OT网络安全实践的一个优先子集,关键基础设施的所有者和经营者通过实施这些目标,将减少对关基运营及美国公民的风险。(信息来源:美CISA网站)
5、美国防部开发人工智能枢纽云通用基础设施工程
11月7日消息,美国防部正在开发一项名为人工智能枢纽的云通用基础设施工程,旨在使军事实验室和研发单位在符合国防部安全协议的共享建模和仿真环境中,进行数据共享和交互。根据需要,目前主要建立三个人工智能枢纽:一是图像处理,重点关注光电/红外、激光雷达类型的图像;二是信号处理,重点是结合声纳、射频及相关技术,实现跨军种通用数据生成、利用通用数据网络进行测试与评估、通用数据处理与标记等能力;三是建模与推理,重点是将各军种的行动集成到统一的建模与仿真环境中,支持共同测试与评估,以及符合全域指挥控制概念的发展。(信息来源:美FedScoop网)
6、日本宣布正式加入北约网络防御中心
11月4日消息,日本正式加入北约网络防御中心,成为第二个加入该机构的亚洲国家。北约网络防御中心全称为“北约合作网络防御卓越中心”,2008年成立,总部设在爱沙尼亚首都塔林。据称,该中心在网络防御训练、战略研究等领域拥有强大力量,其主要任务是为北约及该组织成员国提供技术、战略、行动和法律领域的网络防御专业支持。今年5月,韩国已成为首个加入该机构的亚洲国家。(信息来源:中国国防报)
7、欧盟《数字市场法》11月1日起正式生效
11月1日,欧盟《数字市场法》正式生效,以规范大型互联网平台公司运营,适用于市值超过650亿欧元的公司,并要求平台允许其他竞争对手进入,违法的互联网平台企业将被最高处以其全球年销售额6%的罚款。该法生效后进入为期6个月的关键执行期,到2023年5月2日,所有自认为应被归为“守门人”公司的大型互联网企业需主动向欧盟委员会申报,该委员将在45个工作日内会确认符合标准的公司,这些公司随后有6个月的过渡期。按照以上程序,该法最晚在2024年3月6日全面实施。“守门人”公司需满足以下条件:对市场产生重大影响;提供核心平台服务,作为业务用户接触客户和其他最终用户的重要门户;目前或将来具有根深蒂固和持久的地位。(信息来源:欧盟委员会网站)
8、英国政府证实对乌克兰的网络安全支持计划
11月2日消息,英政府证实,在俄乌战争爆发几天后,英国政府出台了一项耗资635万英镑的对乌援助项目,名为“乌克兰网络计划”,旨在保护乌克兰国家关键基础设施和重要公共服务免遭网络攻击。该计划已为乌克兰政府实体提供了事件响应支持,防止了恶意行为者获取与战争活动相关的重要信息;限制了攻击者对重要网络的访问,并支持乌克兰加强其关键基础设施以抵御未来的攻击;提供了网络安全硬件和软件,涉及防火墙、DDoS保护、取证能力等。(信息来源:奇安网情局)
9、乌克兰议会公布《个人数据保护法草案》
11月8日消息,乌克兰议会公布《个人数据保护法草案》,草案由十一章六十条组成,包括一般规定、处理个人数据的特殊要求、个人数据主体权利、控制者和经营者职责、个人数据跨境传输和第三方个人数据访问程序等内容,为处理个人数据、敏感信息以及其他特定类型的数据提供了依据。乌克兰企业正在更新其隐私流程和个人数据处理的部门和规则,以期与乌克兰《个人数据保护法》及欧盟政策标准相符合,使个人数据保护规则与新标准接轨。(信息来源:DataGuidance网)
10、新加坡正式成立以网络为重点的数字和情报军
10月28日,新加坡正式成立数字和情报军(DIS),旨在应对数字领域的现代威胁,并利用该领域的新兴技术。DIS是继陆海空军之后的新加坡第四军种,整合了新加坡武装部队现有的指挥、控制、通信、计算机和情报及网络能力。DIS包括一个军种总部、相关联合和网络参谋部门、四个司令部和一个数字作战技术中心。其使命是主导数字领域并进行防御,保护新加坡免遭数字领域威胁,并使新加坡武装部队能够作为一支网络化和综合性部队更好地运作,加强和维护新加坡的和平与主权。(信息来源:奇安网情局)
二、安全事件聚焦
11、APT29利用Windows漏洞入侵欧洲外交实体网络
11月10日消息,与俄罗斯有关的APT29组织利用Windows Server 2003 Service Pack 1(SP1)中引入的“凭证漫游”漏洞(CVE-2022-30170)对欧洲外交实体发起攻击,该漏洞允许用户以安全的方式在Windows域的不同工作站中访问他们的凭证(即私钥和证书),攻击者可利用该漏洞实现远程代码执行。APT29疑似为俄罗斯间谍组织,也被称为Cozy Bear等,目的是收集与国家战略目标一致的情报。(信息来源:FreeBuf网)
12、波音子公司遭网络攻击致全球多个航班规划中断
11月4日消息,波音子公司航班规划工具商Jeppesen遭网络攻击,公司部分系统服务中断,致北美、中东等多家航空公司的部分航班延误。初步判断此次事件不会对飞机或飞行安全构成威胁,该公司目前正与客户和监管机构沟通,并在最短时间内恢复服务。伊拉克航空、沙特Flynas航空、加拿大太阳之翼航空均发布安全公告。(信息来源:TheRecord网)
13、黑客组织Justice Blade攻击沙特阿拉伯
11月8日消息,黑客组织Justice Blade泄露了从Smart Link BPO Solutions公司盗取的大量数据,包括CRM记录、个人信息、电子邮件通信、合同和账户凭证,并发布了该地区各公司之间的活动RDP会话和Office 365通信截图,以及可能与航空公司和由沙特阿拉伯中央银行管理项目有关的用户名单,共计超10万条记录。该公司是一家外包IT供应商,与沙特阿拉伯王国、海湾合作委员会及其他国家的主要企业和政府机构均有合作。目前执法部门已展开调查。(信息来源:SecurityAffairs网)
14、丹麦最大铁路公司因网络攻击致火车全部停运
11月7日消息,丹麦最大铁路公司DSB因其供应商Supeo遭网络攻击后关闭服务器,导致该公司旗下所有列车均陷入停运,连续数小时未能恢复。此次攻击是针对DSB运营技术系统实施的恶意攻击事件。Supeo是专为铁路、交通基础设施和公共客运提供资产管理解决方案的外包供应商。美国运输安全管理局最近发布一项新指令,希望改善铁路运营中的网络安全水平。(信息来源:SecurityWeek网)
15、澳医疗保险公司遭攻击致970万客户信息泄露
11月10日消息,澳大利亚最大的医疗保险公司Medibank遭网络攻击,约970万名客户的姓名、出生日期、地址、电话号码和电子邮件,以及ahm客户的医疗保险号码、国际客户的护照号码和签证详细信息等被泄露。受影响用户包括约510万Medibank客户、约280万ahm客户和约180万国际客户。该公司称,所有客户数据可能均已被盗取,但其不会支付任何赎金。勒索被拒后,攻击者在暗网发布了大量Medibank的用户信息。(信息来源:TheHackerNews网)
16、乌克兰黑客入侵俄罗斯央行致大量敏感数据泄露
11月9日消息,乌克兰黑客组织“IT军团”声称已成功入侵俄罗斯中央银行,窃取了2.7万份内部文件。该组织公开了一个大小为2.6GB的文件包,内容包括银行业务、安全政策和部分员工的个人资料,甚至一些俄罗斯军人的个人资料、电话号码和银行账号等。部分已公开的文件可追溯到近20年,还有一些文件概述了俄罗斯央行未来两年的战略。俄罗斯中央银行是俄罗斯最重要的金融机构之一,也是国家货币政策的制定和监管单位。(信息来源:安全内参网)
17、黑客成功入侵乌军战场指挥系统致战场数据泄露
11月3日消息,黑客组织Joker DPR宣称已成功入侵乌克兰武装部队使用的所有军事指挥和控制程序,包括可接入北约ISR系统的美国Delta数字地图战场指挥系统,该系统目前是乌克兰部队主要使用的战场指挥系统。Joker DPR所公布的详细信息证实乌军使用的美国先进军事系统确实遭到黑客攻击。但有消息称,美军已解决了这个问题。目前尚不清楚俄罗斯军方是否获得或仍然拥有该系统的数据。(信息来源:SouthFront网)
18、LockBit 3.0勒索组织声称从Kearney窃取数据
11月7日消息,勒索软件组织LockBit 3.0声称窃取了咨询和IT服务提供商Kearney的数据。Kearney公司为美国政府提供审计、咨询和IT服务。Lockbit 3.0要求支付200万美元以销毁被盗数据,并要求支付1万美元以将计时器延长24小时。目前,该组织已公布被盗数据样本,包括财务文件、合同、审计报告、账单文件等。Lockbit至少自2019年以来一直活跃。(信息来源:SecurityAffairs网)
三、安全风险警示
19、美CISA警告3个工控软件系统存在严重漏洞
11月7日消息,美国CISA发布了三份工业控制系统公告,涉及ETIC电信、诺基亚和Delta工业自动化软件中的多个漏洞。其中最突出的是影响ETIC电信公司远程访问服务器的3个漏洞:CVE-2022-3703(CVSS评分9.0),CVE-2022-41607(CVSS评分8.6)和CVE-2022-40981(CVSS评分8.3),攻击者可利用上述漏洞读取任意文件和上传恶意文件、获取敏感信息、控制有漏洞的设备和其他连接的机器等。第二个公告涉及诺基亚ASIK AirScale 5G通用系统模块的3个漏洞CVE-2022-2482、CVE-2022-2483和CVE-2022-2484(CVSS评分为8.4),成功利用上述漏洞可导致执行恶意内核、运行任意恶意程序或运行修改过的诺基亚程序。第三个公告是1个路径穿越漏洞CVE-2022-2969(CVSS评分8.1),影响台达工业自动化公司的DIALink产品,可被利用在目标设备上植入恶意代码。上述漏洞均已被修复。(信息来源:E安全网)
20、Juniper Junos OS设备中存在多个高危漏洞
10月31日消息,研究人员发现Juniper Networks设备中存在多个高危漏洞:位于Junos OS J-Web组件中的远程预认证PHP文档文件反序列化漏洞(CVE-2022-22241,CVSS评分8.1),未认证远程攻击者可利用该漏洞使远程phar文件反序列化,导致任意文件写入,造成远程代码执行后果;位于出错页面(“error.php”)上的预认证反射型XSS漏洞CVE-2022-22242(CVSS评分6.1),可导致远程攻击者嗅探Junos OS管理员会话并可与其它缺陷组合利用;2个XPATH注入漏洞CVE-2022-22243(CVSS评分4.3)和CVE-2022-22244(CVSS评分5.3),远程认证攻击者可利用上述漏洞窃取并操纵Junos OS管理员会话。上述漏洞已在Junos OS版本中被修复,建议用户及时更新。(信息来源:TheHackerNews网)
21、三星手机漏洞可被用于在目标设备上秘密安装应用
11月10日消息,谷歌研究人员发现一家监控供应商正利用三星手机的3个零日漏洞入侵三星手机。(1)CVE-2021-25337,SMR MAR-2021第1版之前的三星移动设备中剪贴板服务访问控制不当,允许不受信任的应用程序读取或写入某些本地文件。(2)CVE-2021-25369,SMR MAR-2021第1版之前的sec_log文件中存在一个不正确的访问控制漏洞,导致敏感的内核信息暴露给用户空间。(3)CVE-2021-25370,SMR Mar-2021第1版之前,dpu驱动程序中处理文件描述符的实现不正确,导致内存损坏,从而导致内核崩溃。三星已发布安全公告但未提及漏洞遭在野利用的情况。(信息来源:SecurityAffairs网)
22、Workspace ONE Assist解决方案中存在5个漏洞
11月9日消息,VMware修复了影响Workspace ONE Assist解决方案中的5个漏洞,其中3个漏洞CVE-2022-31685、CVE-2022-31686和CVE-2022-31687的CVSS评分均为9.8。认证绕过漏洞CVE-2022-31685,对VMware Workspace ONE Assist有网络访问权限的攻击者可滥用该漏洞获取管理员访问权限,而无需在应用中进行认证。认证方法破坏漏洞CVE-2022-31686和访问控制破坏漏洞CVE-2022-31687,具有网络访问权限的攻击者可利用这2个漏洞获得管理员权限。其余2个漏洞为CVE-2022-31688(CVSS评分6.4)和CVE-2022-31689(CVSS评分4.2),是因用户输入清理不当导致的反射型XSS漏洞,可用于在目标用户窗口中注入任意JavaScript代码,获得合法会话令牌的攻击者可通过该令牌在应用中得以认证。上述漏洞均影响VMware Workspace ONE Assist版本21.x和22.x,目前均已被修复。(信息来源:TheHackerNews网)
23、石油和天然气企业使用的关键系统被曝高危漏洞
11月10日消息,工业安全公司Claroty发布报告称,石油和天然气组织机构都在使用的一个系统中存在路径遍历漏洞(CVE-2022-0902,CVSS评分8.1),位于ABB Totalflow流量(flow)计算机和远程控制器中。攻击者可利用该漏洞在ABB流量计算机上获得根访问权限、读写文件,并远程执行代码。ABB是一家瑞典-瑞士工业自动化企业。流量计算机是石化制造商所使用的专用电子仪器,用来解释流量计中的数据并计算和记录物质在特定时间点的容积。上述漏洞已被修复。(信息来源:TheHackerNews网)
24、Citrix修复位于Gateway和ADC中的严重漏洞
11月10日消息,Citrix修复了影响Gateway和ADC产品中的3个漏洞。可用于绕过认证漏洞CVE-2022-27510(CVSS评分9.8),可导致远程桌面接管的钓鱼攻击漏洞CVE-2022-27513(CVSS评分8.3)以及绕过暴力防护措施漏洞CVE-2022-27516(CVSS评分5.3)。Ctrix Gateway广泛部署在本地和云环境中,是一个SSL VPN解决方案,负责应用和设备的单点登录。Citrix ADC是一款应用交付和加载均衡解决方案,负责交付多个云环境中应用程序的可见性。目前上述漏洞均已被修复。(信息来源:SecurityWeek网)
25、OpenSSL修复了2个高危漏洞
11月2日消息,OpenSSL修复其用于加密通信通道和HTTPS连接的开源密码库中的2个高危漏洞CVE-2022-3602和CVE-2022-3786,主要影响OpenSSL 3.0.0及更高版本。其中,CVE-2022-3602(CVSS评分7.1)是一个任意4字节堆栈缓冲区溢出漏洞,可导致拒绝服务或远程代码执行;CVE-2022-3786(CVSS评分5.9)可被攻击者通过恶意电子邮件地址利用,通过缓冲区溢出触发拒绝服务状态。OpenSSL表示,目前没有证据表明这2个漏洞已被利用,建议用户尽快升级。(信息来源:FreeBuf网)
26、恶意插件让攻击者可远程控制Google Chrome
11月9日消息,一个名为Cloud9的Chrome浏览器僵尸网络被发现,它利用恶意插件来窃取在线账户、记录击键内容、注入广告和恶意JavaScript代码,利用受害者的浏览器来发动DDoS攻击等。Cloud9浏览器僵尸网络实际上是一种针对Chromium浏览器(包括谷歌Chrome和微软Edge)的远程访问木马,该恶意插件未出现在官方Chrome网站商店中,而是通过其他渠道来传播。目前,已在全球各地的系统上看到了Cloud9感染。(信息来源:BleepingComputer网)
四、前沿技术瞭望
27、新攻击技术Wi-Peep可监控WiFi中的设备和人员
11月1日消息,伊利诺伊大学的研究人员发表了题为“非合作式WiFi定位与隐私影响”的新攻击技术—Wi-Peep。攻击者无需获取WiFi网络的访问权限,即可通过802.11协议中的一个缺陷来跟踪WiFi设备的踪迹。攻击者无需在目标设备上安装任何软件即可实施攻击(监控),系统可移植到无人机上或携带到物理空间中,设备成本不到20美元,重量不到10克。研究人员还发现攻击者甚至可以监控目标如何使用设备。