一、业界动态
2020中国网络安全等级保护和关键信息基础设施保护大会成功召开
12月20日,“2020中国网络安全等级保护和关键信息基础设施保护大会”(以下简称大会)在南宁隆重召开。会议分设了安全保护和新技术新应用安全两个分论坛。安全保护分论坛上,中国密码学会密评联委会副主任委员马原、公安部第一研究所信息安全等级保护测评中心总工程师刘志宇分别分享了密码应用与安全性评估、关键信息基础设施安全保护要点。新技术新应用安全分论坛上,公安部信息安全等级保护评估中心李明博士从等级保护2.0标准的角度分享了落实等级保护制度的方法。
https://www.secrss.com/articles/28095
CVE漏洞数量连续第四年创历史新高
截至12月15日,CVE共录得17,447个漏洞,这已经超过了2019年全年的数量,其中高风险漏洞4168个,中等风险漏洞10710个,低风险漏洞2569个。而2019年的数据为共计17,306个漏洞,其中包括4337个高风险漏洞、10,956个中等风险漏洞和2013个的低风险漏洞。
https://www.secrss.com/articles/28029
美国防部2021年全面推行零信任架构
美国国防信息系统局(DISA)计划于明年发布一份零信任指南,这也是美国国防部推动整体网络迈向全新安全配置的重要一步。这份参考指南将为美国国防机构及IT部门提供一份指导性蓝图,推动网络体系过渡到新的模式,尝试对所有人采取相同的安全控制级别。换言之,新的安全体系将对所有用户都实施“零信任”策略。
https://www.secrss.com/articles/27943
二、关键基础设施
水利部网信办约谈10家网络安全问题较多单位负责人
12月15日,水利部网信办组织开展2020年水利网信建设和应用监督检查及网络攻防演习工作总结。总结工作后,蔡阳就监督检查中发现问题,集体约谈了10个单位负责同志。各单位分别作了表态发言,诚恳接受批评,表示要深刻剖析产生问题的原因,按照举一反三、标本兼治要求,采取必要措施,避免类似问题再次出现。
https://www.secrss.com/articles/28063
美国关基行业广泛使用SolarWinds,电力协会紧急组织全体排查
上周一,来自美国多家电力公司的高管组织电话会议,商讨联邦政府承包商SolarWinds曝出的严重后门问题。据报道,SolarWinds遭遇入侵已经给美国财政部、国土安全部在内的多家美国联邦政府机构造成影响。受影响的软件被广泛部署在电力、石油、天然气以及制造业等多个领域,而相关从业组织纷纷开始评估自身可能因此受到哪些影响与威胁。
https://www.secrss.com/articles/28051
三、安全事件
从恶龙到毒龙:SolarWinds上演完美风暴
上周一,SolarWinds证实,Orion——其旗舰网络管理软件——在不知不觉中充当了一个庞大的国际网络间谍活动的渠道。黑客将恶意代码后门(SUNBURST,日爆攻击)插入Orion软件更新,并推送给包括美国关键基础设施、军队和政府机构在内的全球1.8万个客户。
https://www.secrss.com/articles/28038
全球4500万医学影像照片在线暴露
近日,根据CybelAngel最新发布的为期六个月的调查报告,由于存储、发送和接收医疗数据的技术存在安全问题,全球已经发现超过4500万张医学图像以及与之相关的个人身份信息(PII)和个人医疗保健信息(PHI)在线暴露。
https://www.secrss.com/articles/27932
英特尔旗下AI处理器实验室遭勒索攻击,数据被盗
英特尔(intel)旗下的人工智能芯片制造商哈瓦那实验室(Habana Labs)遭到Pay2key勒索软件运营商的攻击,该运营商声称窃取了该公司的数据。该组织在推特上宣布了此次黑客行动,他们声称已经窃取了敏感数据,包括有关名为Gaudi的新人工智能芯片代码的信息。
https://www.secrss.com/articles/27893
四、漏洞事件
火狐浏览器修复一枚神秘严重漏洞,同时影响Chrome
Mozilla 基金会发布了火狐 84 浏览器版本,本次火狐共修复了6个高危缺陷,一个严重漏洞 (CVE-2020-16042)。实际上本月初谷歌 Chrome 在浏览器安全更新中也提到了该漏洞并将其评级为高危漏洞。目前 Mozilla 和谷歌均未给出完整的漏洞说明,仅提到属于内存类型的漏洞。
https://www.secrss.com/articles/28016
OpenSSL拒绝服务漏洞 (CVE-2020-1971) 预警
近日,监测发现OpenSSL发布了OpenSSL拒绝服务漏洞的风险通告,对应CVE编号:CVE-2020-1971,远程攻击者通过构造特制的证书验证过程触发该漏洞,并导致服务端拒绝服务。目前,OpenSSL官方已发布新版本修复该漏洞,建议受影响用户将OpenSSL升级至1.1.1i版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
https://www.secrss.com/articles/27900
Cisco FXOS安全启动绕过漏洞
Cisco FXOS Software是美国思科(Cisco)公司的一套运行在思科安全设备中的防火墙软件。Cisco FXOS存在安全漏洞,该漏洞源于安全引导过程的保护不够。攻击者可利用该漏洞破坏信任链,并将代码注入设备的引导过程中,该过程将在每次引导时执行,并在重新引导时保持持久性。
https://www.cnvd.org.cn/flaw/show/CNVD-2020-72732
D-Link DSR-250命令注入漏洞
D-Link DSR-250是一款具有动态Web内容过滤功能的8端口千兆VPN路由器。D-Link DSR-250 3.17的Unified Services Router web界面存在命令注入漏洞。该漏洞源于对多部分HTTP POST请求中提供的输入缺少认证。攻击者可利用该漏洞执行任意命令。
https://www.cnvd.org.cn/flaw/show/CNVD-2020-72723