安全态势周刊

News information

六方云 安全态势周刊丨第220期

<<返回

2022年10月17日 14:00

01.

业界动态


1、中国民航局印发《关于民航大数据建设发展的指导意见》

加快民航大数据建设是适应新一轮科技革命和产业变革趋势、支撑智慧民航建设、加快数字化转型的必然要求,是建设新时代民航强国的基础性和先导性工程,是创新民航发展理念、深度挖掘数字要素价值、推进民航治理体系和治理能力现代化的重要举措。

http://www.caac.gov.cn/XXGK/XXGK/ZCFB/202210/P020221013613729785193.pdf


2、美国发布《国家先进制造业战略》概述

2022年10月7日,美国白宫发布了由白宫科技政策办公室(OSTP)和国家科学技术委员会(NSTC)制定的《国家先进制造业战略》。为了实现促进经济增长、创造就业机会、加强环境可持续性、应对气候变化、加强供应链、确保国家安全和改善医疗保健的战略愿景,本次战略更新了2018年《先进制造业美国领导力战略》,提出了新阶段美国先进制造的愿景与目标,制定了发展和实施先进制造技术、培育先进制造业劳动力和建立制造业供应链弹性三个互相关联的目标,并确定了未来四年的11项战略方向及相关技术方案建议。

https://www.163.com/dy/article/HJOEPIJL05348OX3.html


3、信通院发布《勒索攻击安全防护要点》

聚焦风险化解重点环节,夯实风险防护基础,切实加强勒索攻击应急处置、安全加固等重点工作。

https://www.secrss.com/articles/47895


4、CSET发布《下一步:对中国网络靶场的调查》报告

报告认为,中国正在迅速建立网络靶场,使网络安全团队能够测试新工具、练习攻击和防御以及评估特定产品或服务的网络安全。中国34个省中有19个省正在建设或已经建设此类设施。简而言之,这些设施的存在表明政府与工业界和学术界合作,共同努力推进技术研究并提高其网络安全人员的技能,更多证据表明中国在网络领域已进入接近同行的地位。本报告审查了19个设施中的5个,这些设施与军事或安全部门有明显的联系。

https://cset.georgetown.edu/publication/downrange-a-survey-of-chinas-cyber-ranges/



02.

关键基础设施



1、美国多个机场的网站在遭到KillNet的DDoS攻击后中断

黑客团伙KillNet声称对美国多个主要机场的网站进行了大规模DDoS攻击,使其无法访问。目前,网站不可用的机场包括哈茨菲尔德-杰克逊亚特兰大国际机场(ATL)和洛杉矶国际机场(LAX)等。其他返回数据库连接错误的机场包括芝加哥奥黑尔国际机场(ORD)、奥兰多国际机场(MCO)和丹佛国际机场(DIA)等。KillNet在在其Telegram上列出了这些域名,它的成员和志愿者会在此处获取新目标。此次攻击不会影响航班,但会产生不利影响。

https://www.bleepingcomputer.com/news/security/us-airports-sites-taken-down-in-ddos-attacks-by-pro-russian-hackers/


2、Everest入侵南非国有电力公司ESKOM并勒索20万美元

黑客团伙Everest入侵了南非国有电力公司ESKOM。Everest在2022年3月发布声明称以12.5万美元的价格出售南非电力公司的root访问权限,当时该公司否认发生了安全事件。10月8日,研究人员称ESKOM Hld SOC Ltd的服务器遇到问题。与此同时,Everest发布了攻击声明,表示可以访问公司的所有服务器,还提供一个软件包,其中包括带有管理员、root、用于Linux和Windows服务器的系统管理员密码的服务器等,要求该公司支付20万美元。

https://securityaffairs.co/wordpress/136866/cyber-crime/south-africa-eskom-everest-ransomware.html


3、印度塔塔电力公司遭网络攻击,部分IT系统受影响

印度头部电力企业 Tata Power 证实其遭遇了网络攻击,并对其部分 IT 系统造成了影响。由提交给当地证券交易监管机构的 PDF 文档可知,该公司已采取措施来检索并恢复系统、所有关键操作系统都在运作。不过为了防患于未然,Tata Power 还是对员工、客户门户和接触点实施了限制访问和预防性检查。

https://www.chinaz.com/2022/1015/1457005.shtml



03.

安全事件



1、Fortinet发现利用乌克兰军事主题Excel的攻击活动

Fortinet在10月11日称,在近期观察到越来越多利用俄乌冲突主题的攻击活动。研究人员发现了一个带有恶意宏的Excel文档,它伪装成一个用于计算乌克兰军事人员薪水的电子表格工具。攻击使用的VBA代码采用了简单的混淆技术,包括不可读的函数和变量名来干扰静态分析。此外,重要数据被编码为十六进制字符串,包括嵌入的恶意二进制文件。攻击还使用了多阶段加载程序,并最终安装Cobalt Strike Beacon。

https://www.fortinet.com/blog/threat-research/ukrainian-excel-file-delivers-multi-stage-cobalt-strike-loader


2、丰田称其T-Connect服务中约29万客户的信息可能泄露

据路透社10月8日报道,丰田汽车公司发现其T-Connect服务中约29万客户的信息可能已被泄露。Toyota T-Connect是该公司的官方连接应用,车主可利用该应用将智能手机与车辆的信息娱乐系统连接起来。该汽车制造商表示,开发T-Connect网站的承包商不小心上传了带有公共设置的部分源代码,其中包含存储客户邮件地址和管理号码的数据服务器的访问密钥。这使得未经授权的第三方可以在2017年12月至2022年9月15日访问296019名客户的详细信息。该公司已在2022年9月17日更改了数据库的密钥。

https://www.reuters.com/technology/toyota-says-information-about-296000-users-its-t-connect-service-leaked-2022-10-07/


3、某券商OA系统遭受网络攻击

10月13日,深圳证监局公布了最新一期的证券期货机构监管通讯(2022第5期),其中,通报了一起证券公司网络安全风险管理不规范的风险案例。

http://www.csrc.gov.cn/shenzhen/c101531/c5966160/5966160/files/%E8%AF%81%E5%88%B8%E6%9C%9F%E8%B4%A7%E6%9C%BA%E6%9E%84%E7%9B%91%E7%AE%A1%E9%80%9A%E8%AE%AF%EF%BC%882022%E7%AC%AC5%E6%9C%9F%EF%BC%89.pdf


4、伊朗社会抗议引发信息战:国家电视台又遭篡改 播放“杀死最高领袖”

支持伊朗女性抗议浪潮的黑客劫持了该国国家电视台的新闻播报,在画面中放出最高领袖阿亚图拉·阿里·哈梅内伊 (Ayatollah Ali Khamenei)头部被十字准星瞄准并在火焰中燃烧的形象。该视频在互联网上广泛传播。

https://www.securityweek.com/iran-state-tv-hacked-image-supreme-leader-crosshairs



04.

漏洞事件



1、研发团队修复JavaScript沙箱vm2的漏洞CVE-2022-36067

据10月11日报道, JavaScript沙箱vm2存在一个严重的远程代码执行漏洞。vm2是一个流行的Node库,用于运行带有被列入白名单的内置模块的不受信代码,每周下载量接近350万次。该漏洞追踪为CVE-2022-36067,代号为Sandbreak,CVSS评分为10,可被远程攻击者用来逃逸沙箱并在主机系统上执行任意命令。目前,漏洞已在2022年8月28日发布的版本3.9.11中得到解决。

https://www.bleepingcomputer.com/news/security/critical-vm2-flaw-lets-attackers-run-code-outside-the-sandbox/


2、分布式监控软件Centreon的SQL注入漏洞分析

Centreon是一款开源的分布式IT和应用监控软件,具有丰富的监控功能和超高的灵活性。Centreon底层采用nagios监视系统运行状态和网络信息,nagios通过ndoutil模块将监控数据写入数据库,Centreon读取该数据并即时展现监控信息,同时通过Centreon可以管理和配置所有nagios。因此,使用 Centreon可以轻易搭建企业级分布式IT基础运维监控系统。

https://docs.centreon.com/docs/21.10/installation/installation-of-a-central-server/using-virtual-machines/


3、漏洞预警: Siemens SIMATIC高危漏洞通告

六方云超弦实验室捕获到最新消息,SIMATIC S7-1200、S7-1500 CPU 和相关产品以一种无法再充分利用的方式保护内置全局私钥。该密钥用于机密配置数据的传统保护以及传统 PG/PC 和 HMI 通信。这可能允许攻击者通过针对该系列的单个 CPU 的离线攻击来发现 CPU 产品系列的私钥。然后,攻击者可以利用这些知识从受该密钥保护的项目中提取机密配置数据,或对传统的 PG/PC 和 HMI 通信进行攻击。

https://mp.weixin.qq.com/s/GbSXpwMKYtOKhTotCuK_hw


4、Daikin 智能控制系统SVMPC1和SVMPC2设备高危漏洞通告

六方云超弦实验室捕获到最新消息,日本大金公司(DAIKIN)是世界上唯一集空调、冷媒、压缩机的生产、销售为一体的跨国企业。智能控制系统 SVMPC1 和 SVMPC2 设备存在安全漏洞,该产品主要用于能源领域,并在全球范围内使用。该漏洞源于使用硬编码密码、访问控制不当。成功利用此漏洞攻击者会获取受影响设备的敏感信息,并使攻击者完全控制系统。

https://mp.weixin.qq.com/s/gji3mopkWvoAT-KAXKakag



05.

政策监管



1、《陕西大数据条例》发布

9月29日,陕西省第十三届人民代表大会常务委员会第三十六次会议通过《陕西大数据条例》,该条例计划于2023年1月1日执行。陕西省行政区域内大数据的基础设施建设、资源管理、开发应用、产业发展、安全保障等相关活动,适用该条例。条例规定,县级以上人民政府及其有关部门应当加强大数据安全的教育和培训,提高全社会大数据安全意识和保护能力,维护大数据安全。


关键信息基础设施运营者依照有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。大数据主管部门和大数据生产运营单位应当制定数据安全应急预案,定期开展安全评测、风险评估和应急演练。

http://www.sxrd.gov.cn/shanxi/gg/139231.htm

 

2、某科技公司违反《数据安全法》被上海网信办处以行政处罚

近期,上海网信办发现,某科技公司在处理政务类数据时违规操作,且未采取相应的技术措施和其他必要措施保障数据安全,导致数据存在泄露风险。上海网信办依据《中华人民共和国数据安全法》对该公司责令改正,给予警告,并处以人民币五万元罚款的行政处罚。

https://mp.weixin.qq.com/s/gViJnRho08RsyguMQ5x-WA



06.

国家/行业标准



1、《信息安全技术 智能手机预装应用程序基本安全要求》征求意见稿公开征求意见

10月9日,全国信息安全标准化技术委员会秘书处发布《信息安全技术 智能手机预装应用程序基本安全要求》征求意见稿,并面向社会广泛征求意见。


该标准给出了智能手机预装应用程序的基本安全要求,适用于智能手机生产企业的生产活动,也可为相关监管、第三方评估工作提供参考。该标准从技术和管理两个层面对安全要求作出说明,技术方面包含卸载要求、安全功能及保障要求和个人信息安全要求;管理方面包含预装行为安全、第三方预装应用程序安全管理、预装应用程序安全信息公示和投诉举报。

https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20221009202120&norm_id=20220921103038&recode_id=48947


2、上海发布全国首个网络安全保险服务团体标准

上海银保监局指导上海市保险同业公会发布了国内首个网络安全保险服务团体标准《网络安全保险服务规范》,由7家保险公司共同起草并承诺执行。《服务规范》的实施,将帮助保险消费者以及社会各方对网络安全保险服务质量进行监督、评价,推动网络安全保险服务质量不断改善与提升,切实保障保险消费者合法权益,提升客户服务体验。

https://mp.weixin.qq.com/s/94ElHuA2kbICNsYuWHEVww