一、业界动态
1、六方云:用人工智能防御未知威胁
当前,国内互联网+、工业互联网和物联网发展地如火如荼,由此引发的信息安全威胁也备受关注。信息安全威胁共分为两类:已知威胁和未知威胁。对于已知威胁的解决,很多信息安全厂商已经提供了多种解决方案;对于未知威胁的防范,虽然也出现了一些技术,如MTD、蜜罐等,但都无法很好的解决问题。六方云“超弦”人工智能实验室的专家经过多年研究、多次实验,首次将人工智能技术应用到未知威胁防御,使安全技术无需依赖大量人工干预和决策就可以实现自我进化,从而更有效的解决未知威胁的防御问题。
详情链接:六方云
http://www.6cloudtech.com/portal/article/index/id/15/cid/2.html
公安部最近公布了《公安机关互联网安全监督检查规定》,这项规定进一步扩大了执法部门自去年网络安全法推行以来所拥有的权力。新的《规定》将于 11 月 1 日起实施,针对了 ISP、IDC、CDN 以及各类通信服务和新闻网站,在加强网络安全的名义下要求这些服务商提供远程访问和技术支持服务,并允许执法机构远程复制相关信息,不配合的将会面临惩罚。《规定》要求:执法机构可以进入营业场所、机房、工作场所;查阅、复制与互联网安全监督检查事项相关的信息;开展现场监督检查或者远程检测,可以委托具有相应技术能力的网络安全服务机构提供技术支持。
详情链接: solidot
https://www.solidot.org/story?sid=58147
3、大规模DDoS攻击的物联网僵尸网络:2018年第二季度威胁报告
对于任何一个组织或企业来说,DDoS攻击绝对是杀伤力巨大的一种威胁类型,这种攻击活动目的就是耗尽目标网络和应用程序服务的所有可用资源,并给目标组织带来各种技术层面上的影响。
根据Nexusguard发布的2018年第二季度威胁报告,物联网僵尸网络使DDoS攻击的规模急剧增长,跟2017年第四季度相比,这一季度里发生的DDoS攻击无论是攻击规模还是影响,都出现了大规模增长。
详情链接: FreeBuf
http://www.freebuf.com/articles/paper/185479.html
4、加州法律禁止默认密码“admin”
加州通过了一项法律,2020 年之后禁止在所有新的消费电子产品中使用“admin”、“123456”和经典的“password”这样的默认密码。
从路由器到智能家居技术在该州建造的每个新设备都必须具有开箱即用的“合理”安全功能,法律特别要求每个设备都带有“每个设备独有的”预编程密码。它还要求任何新设备“包含一个安全功能,要求用户在首次授予设备访问权限之前生成新的身份验证方法”,在第一次打开是强制用户将其唯一密码更改为新的密码。此举能够有效防止僵尸网络的问题。
详情链接: cnbeta
https://www.cnbeta.com/articles/tech/774885.htm
二、工业安全
1、二十三项国家标准发布(包括智慧城市、信息安全、循环经济等领域)
国家市场监督管理总局、国家标准化管理委员会10日对外发布《智慧城市 信息技术运营指南》等23项国家标准。10月14日为世界标准日,此次发布的国家标准,紧紧围绕今年世界标准日的主题“国际标准与第四次工业革命”,包括了智慧城市、信息安全、循环经济等多个领域的国家标准。
在信息安全领域,发布了《信息安全技术 公民网络电子身份标识安全技术要求》等6项国家标准。针对网络安全事件频出、公民信息易泄露等数字经济时代的新安全隐患,新国标在加强网络产品和服务供应链安全保障、提高公民数字身份认证和网络身份识别技术的安全性、提升网络安全防护效率方面提出规范,为公民筑起信息安全的防护墙。
详情链接: 人民网
http://politics.people.com.cn/n1/2018/1011/c1001-30333622.html
2、Linux kernel KVM拒绝服务漏洞(CNVD-2018-20467)
基于arm64平台的Linux kernel 4.18.12之前版本中的KVM的t.c文件存在安全漏洞,该漏洞源于程序未能充分的执行访问限制并且PSTATE.M检测机制没有阻止非预期的执行状态。攻击者可利用该漏洞重定向虚拟机监视器的控制流或造成拒绝服务。
详情链接:CNVD
http://www.cnvd.org.cn/flaw/show/CNVD-2018-20467
3、多款Yokogawa产品安全漏洞
Yokogawa FCJ等都是日本横河电机(Yokogawa)公司的用于网络控制系统中的控制器。
多款Yokogawa产品中存在安全绕过漏洞。远程攻击者可利用该漏洞在受影响设备的上下文中执行任意代码或造成拒绝服务。以下产品和版本受到影响:Yokogawa FCJ R4.02及之前版本;FCN-100 R4.02及之前版本;FCN-RTU R4.02及之前版本;FCN-500 R4.02及之前版本。
详情链接: CNNVD
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201806-808
4、Siemens EN100 Ethernet Communication Module和SIPROTEC 5 relays 安全漏洞
Siemens EN100 Ethernet Communication Module和SIPROTEC 5 relays中存在拒绝服务漏洞。攻击者可通过向102/tcp端口发送特制的数据包利用该漏洞造成拒绝服务,影响系统的可用性。以下产品和版本受到影响:Siemens Firmware variant IEC 61850 for EN100 Ethernet module 4.33之前版本;Firmware variant PROFINET IO for EN100 Ethernet module 所有版本;Firmware variant Modbus TCP for EN100 Ethernet module 所有版本;Firmware variant DNP3 TCP for EN100 Ethernet module 所有版本;Firmware variant IEC104 for EN100 Ethernet module 所有版本;SIPROTEC 5 relays(带有CPU variants CP300、CP100和Ethernet communication模块)7.80之前版本;SIPROTEC 5 relays(CPU variants CP200和Ethernet communication模块)所有版本。
Siemens EN100 Ethernet Communication Module中存在拒绝服务漏洞。当oscillographs正在运行时,攻击者可通过向102/tcp端口发送特制的数据包利用该漏洞造成拒绝服务,影响系统的可用性。以下产品和版本受到影响:Firmware variant IEC 61850 for EN100 Ethernet module 4.33之前版本;Firmware variant PROFINET IO for EN100 Ethernet module(所有版本);Firmware variant Modbus TCP for EN100 Ethernet module(所有版本);Firmware variant DNP3 TCP for EN100 Ethernet module(所有版本);Firmware variant IEC104 for EN100 Ethernet module(所有版本)。
漏洞号CVE-2018-11451和CVE-2018-11452
详情链接: CERT
https://cert-portal.siemens.com/productcert/pdf/ssa-635129.pdf
三、安全事件
1、CoinHive挖矿劫持仍在肆虐 超3万台印度路由器遭挖矿软件劫持
降维安全实验室了解到截止到10月5日,黑客已经破解了超过3万台路由器。被植入浏览器的恶意挖矿脚本为CoinHive,黑客利用它通过用户浏览器来挖掘门罗币。
据统计,目前所有被劫持电脑一个月内产出价值约25万美元的门罗币。降维安全曾爆出印度地方政府网站已成为黑客的目标,超过119个印度网站被植入了CoinHive。
详情链接:bianews
https://www.bianews.com/news/flash?id=21869
2、程序员非法出售VPN被判刑三年,罚款10000元
近日,上海市宝山区人民法院依法公开开庭宣判被告人戴某提供侵入、非法控制计算机信息系统程序、工具罪一案,判处有期徒刑三年,缓刑三年,并处罚金人民币一万元。
宝山区法院经审理查明,被告人戴某原在某证券管理公司从事软件开发工作。自2016年4月起,其为牟取非法利益,创建某网站,并在网站上出售VPN翻墙软件的账户。同时租用境外服务商的多台服务器,向所出售的账户提供可以访问国内IP不能访问的外国网站服务。戴某于2017年10月10日被抓获,截至2017年10月案发,戴某共计向数百人次非法提供VPN服务。
详情链接: 人民法院报
http://rmfyb.chinacourt.org/paper/html/2018-10/09/content_144238.htm?div=-1
3、支付宝检测到部分苹果用户ID被盗
支付宝官方微博发布关于苹果手机的安全提示,称检测到部分苹果用户ID被盗,由此带来ID绑定支付工具遭到资金损失。支付宝表示,已经多次联系苹果公司并推动其尽快定位被盗原因,提升安全防范水平,并彻底解决用户权益损失的问题。苹果公司回复已经在积极解决,支付宝建议苹果用户调低免密支付额度以最大限度保护资产安全。
详情链接:cnbeta
https://www.cnbeta.com/articles/tech/775877.htm
4、华夏银行技术处长编病毒程序取款700余万,现已受审
利用职务便利,在华夏银行总行核心系统内植入计算机病毒程序,使跨行ATM机取款交易不能计入账户,之后成功取款717.9万元非法占为己有。10 号上午,覃某因涉嫌职务侵占罪在北京朝阳法院受审。
检方指控,覃某将其编写的“计算机病毒程序”植入华夏银行总行核心系统应用服务器,并通过该计算机病毒程序使其跨行ATM机取款的交易不能计入账户,自2016年11月至2018年1月间,覃某通过其掌控的华夏银行卡多次在ATM机上跨行取款,将银行资金717.9万元转入其使用控制的银行账户,非法占为己有。对于指控,覃某当庭表示认罪。
详情链接:freebuf
http://www.freebuf.com/news/186335.html
四、 漏洞事件
1、Git中的远程代码执行漏洞已被修复,多个工具受影响
这个漏洞已被分配 CVE-2018-17456 这个唯一 ID,与之前的 CVE-2017-1000117 可选注入漏洞相似 —— 恶意仓库可以新建一个 .gitmodules 文件,其中包含以破折号开头的 URL。GitHub-logo.png通过破折号,当 Git 使用 –recurse-submodules 参数来克隆仓库时,该命令会将 URL 翻译为一个选项,然后可以使用该选项在计算机上进行远程代码执行。
当运行 “git clone –recurse-submodules” 时,Git 会解析 .gitmodules 文件中的 URL 字段,然后将其作为参数传递给 “git clone” 子进程。如果 URL 字段是一个字符串,并使用短划线开头,这个 “git clone” 子进程将会把 URL 翻译为一个选项。这可能导致用户运行 “git clone” 时,会执行 superproject 中的任意脚本。
详情链接: bleepingcomputer
https://www.bleepingcomputer.com/news/security/git-project-patches-remote-code-execution-vulnerability-in-git/
2、苹果发布iOS 12.0.1更新修复绕过密码访问联系人漏洞
苹果公司发布了适用于 iPhone 和 iPad 的 iOS 12.0.1 更新,这是苹果自 9 月发布 iOS 12 和 iPhone XS 系列手机以来第一次对发现的 bug 进行修复。除了官方更新说明上的修复,还包括对iOS12绕过口令直接访问联系人和照片的安全漏洞的修复,该漏洞最早由Jose Rodriguez发现。
详情链接:cnbeta
https://www.cnbeta.com/articles/tech/775483.htm
3、900万台杭州雄迈科技生产的视频监控设备被曝DVR漏洞
安全研究人员发现的漏洞包括默认管理员密码(即无密码,初始设置没有强制设置密码)、“默认”帐户的不安全凭据、多个未加密信道、薄弱的更新机制和未签名的固件等。
研究人员表示帮助用户连接到公司“XMEye P2P Cloud”并与设备进行交互操作的ID很容易通过设备的MAC地址获得,而且与云服务器提供商建立的链路(默认情况下已启用)没有加密,这些服务器的地理位置等信息暂时没有想请提供。最关键的是,设备的P2P云功能可以绕过防火墙并允许远程连接到专用网络,这也是之前成为Mirai僵尸网络重灾区的原因之一。
详情链接:helpnetsecurity
https://www.helpnetsecurity.com/2018/10/10/vulnerable-xiongmai-cameras/
五、安全峰会
1、安全行业峰会日程预报
GeekPwn2018国际安全极客大赛,时间:2018.10.24 地点:中国上海。
北京六方云科技有限公司,是一家致力于工业互联网安全产品和解决方案提供商。聚集了一大批来自于工业控制、云计算、网络安全、大数据挖掘、人工智能等领域的优秀专家和工程师,为中国网络空间安全保驾护航。