安全态势周刊

News information

六方云 安全态势周刊丨第228期

<<返回

2022年12月16日 12:00

01.

业界动态


1、多个团伙利用社保公积金系统漏洞,非法获取公民个人信息

红星新闻从四川南充市公安局顺庆区分局获悉,当地警方侦破一起公安部挂牌督办案件,打掉多个利用社保、公积金等系统漏洞非法获取公民个人信息的犯罪团伙,涉及四川、河南、广东多个省市,抓获犯罪嫌疑人121人,查获公民个人信息2300余万条,发现国内多地各类信息系统平台漏洞300余个,收缴黑客工具12套。

https://www.163.com/dy/article/HO0JVJDN0514R9KQ.html


2、超过半数EDR工具存在严重漏洞

在12月7日举行的欧洲黑帽大会上,SafeBreach安全研究员Yair发表了主题为“开发下一代擦除器”的演讲,并公布了对多家安全厂商的11种EDR工具的测试结果,其中四家厂商的六种工具存在严重漏洞。这些易受攻击的产品分别是Microsoft Windows Defender,Windows Defender for Endpoint、TrendMicro ApexOne、Avast Antivirus、AVG Antivirus和SentinelOne。

https://www.blackhat.com/eu-22/briefings/schedule/index.html#aikido-turning-edrs-to-malicious-wipers-using--day-exploits-29336


3、法国电力公司因MD5算法存储密码及数据收集问题遭监管罚款

法国数据保护监督机构于11月29日,对电力供应商法国电力公司(EDF)处以了60万欧元的罚款,因为它违反了欧盟通用数据保护条例(GDPR)的多个要求。法国电力公司(EDF)是一家法国能源巨头,拥有840亿欧元的营业额和近2600万的客户。

https://thehackernews.com/2022/11/french-electricity-provider-fined-for.html


02.

关键基础设施



1、因供应商被攻击比利时安特卫普市的市政系统瘫痪

媒体12月6日称,为比利时安特卫普市提供管理软件的合作伙伴Digipolis遭到攻击,该市的市政系统瘫痪。据悉,部分电话服务无法使用,电子邮件服务也出现故障,预订系统也被关闭导致居民无法领取身份证,警察和消防部门也受到影响。调查正在进行中,少量可用的信息表明这是一次勒索攻击,但攻击者身份尚未披露。目前还不清楚安特卫普的系统何时才能恢复正常运行,该市市长表示,影响可能会持续到12月底。

https://www.bleepingcomputer.com/news/security/antwerps-city-services-down-after-hackers-attack-digital-partner/



03.

安全事件



1、印度安全公司CloudSEK称遭到另一家安全公司的攻击

据媒体12月7日报道,印度网络安全公司CloudSEK称,攻击者使用其员工Jira账户的被盗凭据访问了其Confluence服务器,部分信息泄露。黑客sedut现正在多个论坛上出售对CloudSek网络、Xvigil、代码库、电子邮件、JIRA和社交媒体账户的访问权限,并以10000美元价格出售CloudSEK数据库,以每个8000美元的价格出售代码库、员工和工程产品文档。CloudSEK已锁定嫌疑人范围,根据Sasi发布的文章,他们怀疑一家进行暗网监控的安全公司是幕后黑手,但拒绝提供有关该公司的详细信息。

https://www.bleepingcomputer.com/news/security/cloudsek-claims-it-was-hacked-by-another-cybersecurity-firm/


2、以色列多家物流公司约50 GB个人和运输记录在暗网出售

据媒体12月5日报道,约50 GB的数据库在暗网上出售,数据发布时间为2022年11月26日和27日。调查显示,这些数据属于29家以色列的运输、物流和货运公司。研究人员认为,黑客通过软件供应商的单点故障,未经授权进入这些物流公司的供应链,并窃取了大量个人数据和运输记录。每个数据库的售价为1 BTC,相当于17000美元。攻击者总共列出了110万条记录,尚不清楚会影响多少人。

https://www.hackread.com/israel-logistics-employees-data/


3、新西兰多个政府机构的MSP Mercury IT遭到勒索攻击

据媒体12月7日称,托管服务提供商(MSP)Mercury IT遭到攻击,影响了该国的数十个公司和政府机构。司法部和新西兰卫生部透露因为此次攻击,他们的部分文件无法访问。卫生部还称现阶段这些文件并未受到未经授权的访问或下载,且卫生服务也没有中断。非营利性健康保险提供商BusinessNZ也宣布其日常运营和客户服务受到影响。目前,新西兰相关部门正在开展紧急工作,以了解受影响的组织数量、所涉及信息的性质以及信息泄露程度。

https://therecord.media/multiple-government-departments-in-new-zealand-affected-by-ransomware-attack-on-it-provider/


4、美国佛罗里达州的税务网站泄露纳税人的信息

据12月3日报道,佛罗里达州的税务局网站存在一个安全漏洞,泄露了至少数百个纳税人的社会安全号码和银行帐号。该漏洞为不安全的直接对象引用(IDOR),由于申请编号是连续的,任何人都可以通过将申请编号递增一位来列举纳税人的信息,系统中有超过713000份申请。登录该网站的任何人,都可以通过修改包含纳税人申请号码的网址部分,访问、修改和删除该税务机关存档的企业主的个人资料。

https://www.databreaches.net/florida-state-tax-website-bug-exposed-filers-data/



04.

漏洞事件



1、APT 37利用IE中的零日漏洞CVE-2022-41128攻击韩国

Google于12月7日披露了朝鲜团伙APT 37针对韩国的攻击活动。攻击者首先以首尔梨泰院事故为诱饵,分发包含恶意软件的Microsoft Office文档,该文档会下载一个富文本文件(RTF)远程模板,然后获取远程HTML内容。加载远程HTML内容允许攻击者利用IE零日漏洞(CVE-2022-41128),即使目标没有将其作为默认浏览器。这是IE的JavaScript引擎的一个漏洞,成功利用它的攻击者在呈现恶意网站时可执行任意代码,已于11月8日在微软发布的周二补丁中修复。

https://blog.google/threat-analysis-group/internet-explorer-0-day-exploited-by-north-korean-actor-apt37/


2、AMI MegaRAC BMC多个高危漏洞安全风险通告

Eclypsium公开了American Megatrends Inc (AMI) MegaRAC 底板管理控制器 (Baseboard Management Controller,BMC) 软件中的3个高危漏洞,包括:AMI MegaRAC BMC远程代码执行漏洞(CVE-2022-40259)、AMI MegaRAC BMC默认凭据漏洞(CVE-2022-40242)以及AMI MegaRAC BMC信息泄露漏洞(CVE-2022-2827)。远程攻击者可利用这些漏洞以超级用户权限访问目标设备、在目标设备上以超级用户权限执行任意代码或进行信息泄露。

https://eclypsium.com/2022/12/05/supply-chain-vulnerabilities-put-server-ecosystem-at-risk/


3、Advantech iView系列安全漏洞

超弦实验室最新情报捕捉到Advantech iView系列存在安全漏洞,Advantech  iView 是中国台湾研华(Advantech)公司的一个基于简单网络协议(SNMP)设备进行管理的软件。

https://mp.weixin.qq.com/s/JzkqB2-XnqFs6bQb5EgmQw


4、Rockwell Automation Logix controllers安全漏洞

超弦实验室最新情报捕捉到Rockwell Automation存在安全漏洞,Rockwell Automation Logix Controllers是美国Rockwell Automation公司的一个高性能控制平台。使用这个单一平台以任意组合执行顺序、过程、驱动或运动控制。

https://mp.weixin.qq.com/s/NKDS67nygVdHE4FVJTNj1A



05.

政策监管



1、三部门发布互联网信息服务深度合成管理规定

近日,国家互联网信息办公室、工业和信息化部、公安部联合发布《互联网信息服务深度合成管理规定》,自2023年1月10日起施行。国家互联网信息办公室有关负责人表示,出台《规定》,旨在加强互联网信息服务深度合成管理,弘扬社会主义核心价值观,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。

http://www.cac.gov.cn/2022-12/11/c_1672221949354811.htm

 

2、工信部发布组织开展工业互联网安全深度行活动典型案例和成效突出地区遴选工作的通知

12月8日,按照《工业和信息化部办公厅关于开展工业互联网安全深度行活动的通知》(工信厅网安函〔2022〕97号)部署,为切实增强工业互联网企业网络安全防护能力,加快提升地方工业互联网安全保障水平,工信部发布组织开展2022年工业互联网安全深度行活动(以下简称深度行活动)典型案例和成效突出地区遴选工作的通知。

https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2022/art_a90445138eca446582c300c791b70ae9.html

 

3、最高法发布《关于规范和加强人工智能司法应用的意见》

2022年12月9日,最高人民法院发布《关于规范和加强人工智能司法应用的意见》(以下简称《意见》)。这是人民法院认真学习贯彻党的二十大精神,深入贯彻习近平法治思想,落实《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》和《新一代人工智能发展规划》的具体举措,将进一步推动人工智能同司法工作深度融合,全面深化智慧法院建设,创造更高水平的数字正义,推动智慧法治建设迈向更高层次。

https://www.court.gov.cn/fabu-xiangqing-382461.html



06.

国家/行业标准



1、国家密码局发布9项密码行业新标准

近日,国家密码管理局公告(第44号)现发布GM/T 0117-2022《网络身份服务密码应用技术要求》等9项密码行业标准,自2023年6月1日起实施,具体标准编号及名称如下:

GM/T 0117-2022 网络身份服务密码应用技术要求

GM/T 0118-2022 浏览器数字证书应用接口规范

GM/T 0119-2022 PLC控制系统及PLC控制器密码应用技术规范

GM/T 0120-2022 基于云计算的电子签名服务技术实施指南

GM/T 0121-2022 密码卡检测规范

GM/T 0122-2022 区块链密码检测规范

GM/T 0123-2022 时间戳服务器密码检测规范

GM/T 0124-2022 安全间隔与信息交换产品密码检测规范

GM/T 0125.1-2022 JSON Web 密码应用语法规范 第1部分:算法标识

GM/T 0125.2-2022 JSON Web 密码应用语法规范 第2部分:数字签名

GM/T 0125.3-2022 JSON Web 密码应用语法规范 第3部分:数据加密GM/T 0125.4-2022 JSON Web 密码应用语法规范 第4部分:密钥

http://www.sca.gov.cn/sca/xwdt/2022-11/20/content_1060961.shtml