安全态势周刊

News information

六方云 安全态势周刊丨第229期

<<返回

2022年12月19日 16:00

01.

业界动态


1、车联网产品安全漏洞专业库漏洞公开模块正式上线

2022年12月15日,由中国汽车技术研究中心有限公司建设运营的工信部网络安全威胁和漏洞信息共享平台车联网产品安全漏洞专业库(CAVD)正式上线漏洞公开模块,不定期发布车联网产品安全通用漏洞,助力行业及时发现与化解汽车安全隐患,支撑汽车信息安全标准法规落地。

https://www.secrss.com/articles/50087


2、CISA等机构联合发布关于5G网络切片潜在威胁的指南

美国国家安全局(NSA)、CISA和国家情报总监办公室(ODNI)联合发布了5G网络切片的潜在威胁的指南。该指南以ESF于2021年发布的5G基础设施的潜在威胁为基础,介绍了与5G网络切片相关的好处和风险,它还提供了解决5G网络切片潜在威胁的缓解策略。CISA鼓励5G提供商、集成商和网络运营商查看本指南并实施建议的缓解措施。

https://www.cisa.gov/uscert/ncas/current-activity/2022/12/13/nsa-cisa-and-odni-release-guidance-potential-threats-5g-network


3、Cisco近期发现使用新型HTML走私技术分发QBot的活动

Cisco Talos在12月13日称其发现了使用可缩放矢量图形(SVG)图像的新HTML走私技术。这种攻击是通过含有JavaScript的嵌入式SVG文件进行的,这些文件重新组合成一个Base64编码的QBot恶意软件安装程序,通过目标的浏览器自动下载。由于恶意软件payload是直接在目标中构建的,而不是通过网络传输的,因此这种HTML走私技术可以绕过旨在过滤传输中的恶意内容的安全检测。为抵御HTML走私攻击,可阻止对下载内容执行JavaScript或VBScript。

https://blog.talosintelligence.com/html-smugglers-turn-to-svg-images/


4、研究人员演示如何绕过流行的Web防火墙并入侵系统

研究团队发现了一种新的攻击方法,可绕过各种供应商的Web应用程序防火墙(WAF)并入侵系统。该攻击技术涉及将JSON语法附加到WAF无法解析的SQL注入payload,大多数WAF都可以轻松检测到SQLi攻击,但将JSON附加到SQL语法会使WAF对这些攻击视而不见。目前,研究人员已成功绕过AWS、Cloudflare、F5、Imperva和Palo Alto Networks等供应商的WAF。

https://thehackernews.com/2022/12/researchers-detail-new-attack-method-to.html


02.

关键基础设施


1、加拿大安大略省的疫苗管理系统泄露数十万公民的信息

加拿大安大略省的疫苗管理系统数据泄露影响了数十万公民。据悉,从上周五开始,约360000人会收到通知,告知他们的个人信息在2021年11月COVAXX系统数据泄露事件中受到影响。当局并未说明该事件是如何发生的,但有两人因违规而被起诉,其中一人是疫苗联络中心的雇员。当时,几个通过预约系统预约疫苗或获取疫苗证书的人报告了垃圾短信,这些欺诈性垃圾短信要求人们提供个人信息。

https://www.cbc.ca/news/canada/toronto/vaccine-data-breach-ontario-1.6680714


2、哥伦比亚能源供应商EPM遭受BlackCat勒索软件攻击

哥伦比亚能源公司Empresas Públicas de Medellín (EPM) 当地时间12月12日(周一)遭受了BlackCat/ALPHV勒索软件攻击,扰乱了公司的运营并中断了在线服务。EPM 是哥伦比亚最大的公共能源、水和天然气供应商之一,为 123 个城市提供服务。

https://www.bleepingcomputer.com/news/security/colombian-energy-supplier-epm-hit-by-blackcat-ransomware-attack/


03.

安全事件


1、ESET披露MirrorFace针对日本政府机构的钓鱼攻击详情

ESET于12月14日披露了MirrorFace针对日本政府机构的钓鱼攻击活动Operation LiberalFace。此次活动开始于2022年6月底,伪装成来自特定日本政党公关部门的官方通讯,敦促收件人在自己的社交媒体资料中分享附件中的视频。附件是一个自解压的WinRAR压缩包,打开就会开始感染LODEINFO。攻击者还使用了一个新的凭证窃取程序MirrorStealer,它可从多个应用中窃取凭证,包括浏览器和电子邮件客户端。

https://www.welivesecurity.com/2022/12/14/unmasking-mirrorface-operation-liberalface-targeting-japanese-political-entities/


2、印度外交部的网站泄露外籍人士护照详细信息等内容

印度外交部的Global Pravasi Rishta Portal网站泄露了外籍人士的护照详细信息。这是一个旨在连接3000万印度侨民的平台,以明文的形式公开了姓名、居住国家邮件地址、职业状况、电话和护照号码等信息。泄露原因可能是安全措施不足,例如缺乏身份验证方法。Cybernews已联系外交部告知其泄露事件,并没有收到回复,但该问题在几天后得到了解决。

https://securityaffairs.co/wordpress/139561/data-breach/indian-foreign-ministrys-global-pravasi-rishta-portal-leaks-expat-passport-details.html


3、美国医院CommonSpirit遭到勒索攻击60多万患者信息泄露

CommonSpirit Health透露10月份的勒索攻击泄露了623774名患者的信息。CommonSpirit Health是美国最大的连锁医院之一,此次攻击导致其部分系统瘫痪。攻击发生于10月2日,该组织在12月1日公布了对事件的最新调查结果,确定未经授权的第三方在2022年9月16日至10月3日获得了对部分文件的访问权限。目前,尚未有黑客团伙声称对此次攻击活动负责。

https://securityaffairs.co/wordpress/139472/data-breach/commonspirit-data-breach-623k-patients.html


04.

漏洞事件


1、Citrix修复ADC和Gateway中已被利用的任意代码执行漏洞

Citrix修复了Citrix应用程序交付控制器(ADC)和Gateway中的任意代码执行漏洞(CVE-2022-27518)。该公司称已经检测到利用此漏洞的针对性攻击活动,建议客户尽快安装更新。美国国家安全局(NSA)在本周二表示,攻击团伙APT5一直在利用Citrix ADC和Gateway中的零日漏洞来劫持受影响的系统。但是,想要利用该漏洞需要将ADC或Gateway设备配置为 SAML SP(SAML 服务提供商)或SAML IdP(SAML身份提供商)。

https://support.citrix.com/article/CTX474995/citrix-adc-and-citrix-gateway-security-bulletin-for-cve202227518


2、Fortinet FortiOS sslvpnd远程代码执行漏洞 (CVE-2022-42475)

Fortinet FortiOS 是美国飞塔(Fortinet)公司的一套专用于 FortiGate 网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。

https://www.fortiguard.com/psirt/FG-IR-22-398


05.

政策监管


1、工信部、国家网信办进一步规范移动智能终端应用软件预置行为

工业和信息化部、国家互联网信息办公室近日联合印发《关于进一步规范移动智能终端应用软件预置行为的通告》。《通告》指出,移动智能终端应用软件预置行为应遵循依法合规、用户至上、安全便捷、最小必要的原则,依据谁预置、谁负责的要求,落实企业主体责任,尊重并依法维护用户知情权、选择权,保障用户合法权益。生产企业应确保移动智能终端中除基本功能软件外的预置应用软件均可卸载,并提供安全便捷的卸载方式供用户选择。

http://www.cac.gov.cn/2022-12/14/c_1672656825925035.htm


2、国家能源局印发《电力行业网络安全管理办法》

国家能源局对《电力行业网络与信息安全管理办法》(国能安全〔2014〕317号)进行了修订。近日,修订后的《电力行业网络安全管理办法》正式发布。


本办法所称网络是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,包括电力监控系统、管理信息系统及通信网络设施。


该办法不适用于涉及国家秘密的网络。涉及国家秘密的网络应当按照国家保密工作部门有关涉密信息系统管理规定和技术标准,结合网络实际情况进行管理。

http://zfxxgk.nea.gov.cn/2022-11/16/c_1310683245.htm

 

3、国家能源局印发《电力行业网络安全等级保护管理办法》

国家能源局12月12日发布《电力行业网络安全等级保护管理办法》。办法指出,组织制定电力行业网络安全等级保护、关键信息基础设施安全保护、电力监控系统安全防护、网络安全监测预警和信息通报、网络安全事件应急处置等方面的政策规定及技术规范,并监督实施。

http://zfxxgk.nea.gov.cn/2022-11/16/c_1310683235.htm

 

4、工信部发布工业和信息化领域数据安全管理办法(试行)

12月13日,工信部印发《工业和信息化领域数据安全管理办法(试行)》,其中提到,工业和信息化领域数据处理者在中华人民共和国境内收集和产生的重要数据和核心数据,法律、行政法规有境内存储要求的,应当在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估。


《办法》提出,工信部根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国工业、电信、无线电执法机构关于提供工业和信息化领域数据的请求。非经工业和信息化部批准,工业和信息化领域数据处理者不得向外国工业、电信、无线电执法机构提供存储于中华人民共和国境内的工业和信息化领域数据。

https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2022/art_e0f06662e37140808d43d7735e9d9fd3.html


06.

国家/行业标准


1、《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》发布

12月16日,全国信息安全标准化技术委员会秘书处发布正式版《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》。

开展跨境处理活动的个人信息处理者申请个人信息保护认证应符合GB/T 35273《信息安全技术 个人信息安全规范》和本文件的要求。本《实践指南》包括基本原则、个人信息处理者和境外接收方在个人信息跨境处理活动的个人信息保护、个人信息主体权益保障等方面内容,为认证机构对个人信息处理者的个人信息跨境处理活动开展认证提供依据,也为个人信息处理者规范个人信息跨境处理活动提供参考。

https://www.tc260.org.cn/front/postDetail.html?id=20221216161852