安全态势周刊

News information

六方云 安全态势周刊丨第281期

<<返回

2024年01月10日 08:00

01.

业界动态


1、ESET发布2023年十起最大的安全事件的回顾报告

ESET发布报告回顾了2023年发生的一些备受瞩目的安全事件。2023年十大攻击事件分别是:Clop利用MOVEit漏洞的攻击、英国选举委员会约4000万选民的信息被盗、北爱尔兰警察局上万名工作人员的信息泄露、DarkBeam配置错误泄露38亿条记录、从印度医学研究委员会窃取的8.15亿居民的信息被出售、23andMe的2000万条数据被盗、快速重置DDoS攻击、T-Mobile 3700万客户的信息被盗、MGM/Cesars遭到勒索攻击以及美国五角大楼军事文件泄露事件。
https://www.eset.com/hk/about/newsroom/press-releases/news/eset-2023/

2、全球1100万SSH服务器面临“水龟攻击”威胁

安全威胁监控平台Shadowserver最近的一份报告警告说,互联网上有近1100万台SSH服务器(由唯一的IP地址标识),很容易受到水龟攻击(TerrapinAttack),从而威胁到某些SSH连接的完整性。“水龟攻击”是德国波鸿鲁尔大学安全研究人员开发的新攻击技术,。利用了SSH传输层协议的弱点,并结合了OpenSSH十多年前引入的较新的加密算法和加密模式。后者已被广泛的SSH实现所采用,因此影响当前的大多数SSH实例。

https://terrapin-attack.com/TerrapinAttack.pdf


3、黑客解锁特斯拉自动驾驶系统的“隐藏模式”

在近日举行的混沌计算大会上,来自柏林工业大学的三名网络安全研究人员演示了如何通过“电压故障攻击”成功破解特斯拉的自动驾驶系统,不但能获取系统和用户敏感数据,而且解锁了特斯拉自动驾驶的隐藏模式——“Elon模式”。

https://berlin-ak.ftp.media.ccc.de//congress/2023/h264-hd/37c3-12144-eng-Back_in_the_Drivers_Seat_Recovering_Critical_Data_from_Tesla_Autopilot_Using_Voltage_Glitching.mp4



02.

关键基础设施


1、境外机构在我国海域周边投放大量航空信息窃密设备

近期,国家安全机关工作发现,多个境外机构以免费提供设备、共享航空信息为诱饵,依托网络社交平台面向境内航空爱好者精准招募“志愿者”,并跨境邮寄设备,指挥“志愿者”在我境内非法采集、向境外秘密传输我国飞行器飞行数据。

https://www.secrss.com/articles/62554


2、西班牙全国互联网中断了大约3小时

Orange西班牙公司的RIPE账号被盗,攻击者将其网络核心配置(BGP和RPKI)改为无效,导致全国互联网中断了大约3小时;据悉,攻击者在信息窃取软件的数据集中发现了此次被利用的账号(未启用双因子认证),为了“找乐子”实施了此次攻击。

https://www.bleepingcomputer.com/news/security/hacker-hijacks-orange-spain-ripe-account-to-cause-bgp-havoc/


3、《铁路关键信息基础设施安全保护管理办法》公布

《铁路关键信息基础设施安全保护管理办法》已于2023年12月1日经第27次部务会议通过,现予公布,自2024年2月1日起施行。

https://www.gov.cn/zhengce/2023-05/06/content_5754526.htm



03.

安全事件


1、加密货币平台Orbit Chain被黑损失超过8000万美元

加密货币平台Orbit Chain正在与韩国警方合作,解决导致其损失超过8000万美元的网络攻击。攻击发生于2023年12月31日晚上9:07:59,Orbit Chain在其平台上发现未经授权的交易,涉及多种加密货币,包括USDC、USDT和ETH等。区块链情报平台Arkham报告,Orbit Chain的余额从1.15亿美元减至2900万美元,这意味着损失估计为8600万美元左右。目前,黑客执行攻击所利用的漏洞的性质仍然未知。

https://cloud.tencent.com/developer/article/2376794



2、Mandiant推特账户被黑,双因素认证被绕过

谷歌旗下的著名威胁情报公司Mandiant的X(推特)账户被黑客劫持用于分发虚假加密币空投消息,洗劫了大量用户的加密币钱包,并用劫持的账户发推文嘲笑Mandiant。

https://www.secrss.com/articles/62511



3、黑客攻击全国21个省市社保/医疗等系统,“爬取”公民信息获利500余万

2021年初至2022年7月,王某等人通过网络渠道委托黑客,利用搜集到的各种政府、企业网络平台的接口漏洞,通过对接口进行数据抓包、参数解析等,开发出100余款黑客软件。王某等人利用相关黑客软件,先后入侵全国21个省市的社保、医疗等共计29个行业的51个系统,“爬取”包括姓名、身份证号、手机号码、工作单位、家庭成员、社保缴纳等在内的公民个人信息,并贩卖给相关催债公司。被盗的公民个人信息被催债公司大规模用于数据画像,勾勒人物关系和活动轨迹,由此通过手机短信、微信、抖音等社交平台向欠款人的社会关系人发送催债信息。

https://www.secrss.com/articles/62519



04.

漏洞事件


1、Apache OFBiz漏洞CVE-2023-49070已被在野利用

Apache OFBiz中的身份验证绕过漏洞(CVE-2023-49070)正在被积极利用。该漏洞能够在未经身份验证的情况下提权、执行任意代码并访问敏感信息,已于2023年12月5日修复。SonicWall研究人员发现,在使用特定的凭据组合可绕过该漏洞的修复。这是由于处理空参数或特殊参数时的逻辑漏洞导致的,新的漏洞被追踪为CVE-2023-51467,于12月26日修复。Shadowserver报告称,已检测到很多利用公开PoC的扫描,试图利用漏洞CVE-2023-49070,并预计CVE-2023-51467也会出现类似情况。

https://blog.sonicwall.com/en-us/2023/12/sonicwall-discovers-critical-apache-ofbiz-zero-day-authbiz/


05.

政策发布


1、《产业结构调整指导目录(2024年本)》发布实施,新增“网络安全”行业大类

为深入贯彻党的二十大精神落实中央财经委第一次会议部署,适应产业发展新形势新任务新要求,加快建设现代化产业体系,根据《国务院关于发布实施〈促进产业结构调整暂行规定〉的决定》(国发〔2005〕40号),国家发展改革委牵头会同相关部门共同修订形成《产业结构调整指导目录(2024 年本)》

https://www.ndrc.gov.cn/xxgk/zcfb/fzggwl/202312/P020231229700886191069.pdf



06.

安全标准


1、数据跨域管控实操指引,《数据跨域管控白皮书》正式发布

数据跨域管控实操指引,《数据跨域管控白皮书》正式发布。2023年12月27日在第六届中国数据法律高峰论坛上,《数据跨域管控白皮书》(以下简称“白皮书”)正式发布。该白皮书由华东政法大学数据法律研究中心、蚂蚁集团牵头,华控清交、华为云、中电数创、广州数据交易所等单位联合参与。白皮书首次系统化给出了数据跨域管控的实操指引,是行业积极响应国家数据流通政策,共同应对数据流通风险挑战,助力数据价值释放的重要成果。

https://mdn.alipayobjects.com/huamei_fghzjg/afts/file/A*v_d-Sptx-TEAAAAAAAAAAAAADod9AQ/%E6%95%B0%E6%8D%AE%E8%B7%A8%E5%9F%9F%E7%AE%A1%E6%8E%A7%E7%99%BD%E7%9A%AE%E4%B9%A6.pdf