安全态势周刊

News information

六方云 安全态势周刊丨第232期

<<返回

2023年01月10日 10:35

01.

业界动态


1、《证券公司网络和信息安全三年提升计划》征求行业意见

中国证券业协会前期组织起草了《证券公司网络和信息安全三年提升计划(2023-2025)(征求意见稿)》。据悉,中证协此举意在推动券商加强网络与信息系统安全稳定运行保障体系和能力建设,提高资本市场网络和信息安全水平。《安全提升计划》从科技治理能力、科技投入机制等六个方面明确了提升方向和要求,并要求券商从组织领导、人才培养等六个方面建立保障机制。

https://www.secrss.com/articles/50828


2、俄罗斯“冷河”黑客组织攻击美国核实验室

路透社2023年1月6日独家报道——根据路透社和五位网络安全专家查看的互联网记录,2022年夏天,一个名为Cold River(冷河)的俄罗斯黑客团队将美国的三个核研究实验室作为网络攻击目标。

https://www.secrss.com/articles/50834


3、全球首个“星到云”的安全解决方案

法国卫星公司Unseenlabs使用卫星跟踪船只动向,并与量子加密开发商Secure-IC合作开发新协议,已成为世界上首家提供“星到云”端到端后量子加密的公司。

https://www.secrss.com/articles/50833


02.

关键基础设施


1、美国铁路和机车公司Wabtec遭到LockBit的勒索攻击

媒体1月3日称,美国铁路和机车公司Wabtec Corporation透露其遭到勒索攻击导致数据泄露。黑客早在2022年3月15日就入侵了他们的网络并在系统上安装了恶意软件,Wabtec在6月26日称在网络上检测到异常活动。几周后,LockBit发布了从Wabtec窃取的数据样本,并最终在2022年8月20日公开了全部被盗数据。Wabtec对该事件的调查于2022年11月23日完成,确认泄露信息包括姓名、身份证号码、社会保险号码或财政代码、护照号码和雇主识别号码等。该公司于2022年12月30日开始向受影响的个人发送通知,但未透露确切人数。

https://www.bleepingcomputer.com/news/security/rail-giant-wabtec-discloses-data-breach-after-lockbit-ransomware-attack/


03.

安全事件


1、研究人员透露法拉利和宝马等制造商使用易被攻击的API

媒体1月4日称,研究人员发现丰田、法拉利和宝马等近20家汽车制造商和服务包含API安全漏洞。这些漏洞可能被用于广泛的恶意活动,例如解锁、启动、跟踪汽车以及泄露客户的个人信息。利用某些漏洞,攻击者可以通过配置不当的SSO访问数百个梅赛德斯内部应用程序、在多个系统上远程执行代码以及访问某些系统内存。在BMW的案例中,研究人员发现了SSO漏洞,可用来访问内部经销商门户,查询汽车的VIN并检索包含车主详细信息的销售文件。

https://securityaffairs.com/140328/hacking/bmw-mercedes-toyota-other-carmakers-flaws.html


2、企业协作平台Slack透露其部分私有代码存储库被盗

据1月5日报道,企业协作平台Slack透露其遭到攻击,部分私有代码存储库被盗。Slack于2022年12月29日获悉可疑活动并对事件展开调查,发现攻击者通过被盗的Slack员工令牌获得了Slack外部托管的GitHub存储库的访问权限。调查还显示,攻击者已于2022年12月27日下载了私有代码存储库,但Slack的主要代码库和客户数据不受影响。Slack还称,此次未经授权的访问不是由Slack中的漏洞导致的,他们还将继续调查和监控进一步的泄露。

https://www.bleepingcomputer.com/news/security/slacks-private-github-code-repositories-stolen-over-holidays/


3、加拿大某矿业公司遭到勒索攻击导致工厂暂时关闭

媒体2022年12月30日称,位于不列颠哥伦比亚省的加拿大铜山矿业公司(CMMC)遭到了勒索攻击。CMMC占地18000英亩,平均每年生产1亿磅铜,估计矿产储量还可以再使用32年。攻击发生在2022年12月27日,CMMC隔离了被感染的系统并关闭其它系统来确定勒索攻击的影响。此外,作为预防措施,工程师还关闭了工厂以确定其控制系统的状态,并将其它工序转为手动操作。2022年10月底,欧洲最大的铜生产商Aurubis也曾遭到网络攻击。

https://www.bleepingcomputer.com/news/security/canadian-mining-firm-shuts-down-mill-after-ransomware-attack/


04.

漏洞事件


1、群晖修复VPN Plus Server中漏洞CVE-2022-43931

据1月3日报道称,NAS制造商群晖修复了影响其配置为VPN服务器运行的路由器中的越界写入漏洞(CVE-2022-43931)。该漏洞存在于1.4.3-0534和1.4.4-0635之前的Synology VPN Plus Server的远程桌面功能中,攻击者可以利用该漏洞执行任意命令。漏洞的CVSS评分为10,可在低复杂性攻击中被利用,而无需目标路由器的权限或用户的交互。VPN Plus Server允许管理员将群晖路由器设置为VPN服务器,来远程访问资源。此次更新还修复了SRM中的多个漏洞。

https://www.bleepingcomputer.com/news/security/synology-fixes-maximum-severity-vulnerability-in-vpn-routers/


2、华为鸿蒙系统去年修复近300个漏洞,超3成是高危漏洞

安全媒体SecurityWeek分析显示,鸿蒙系统在2022年修复了290多个漏洞,其中包括近100个影响第三方库的安全漏洞。这些数据来自华为公司去年发布的月度安全公告。其中有20余个漏洞被划定为“严重”等级,94个漏洞被评为“高”威胁等级。这些漏洞可被用于实施拒绝服务(DoS)攻击、远程代码执行、信息获取和权限提升等活动。

https://www.securityweek.com/nearly-300-vulnerabilities-patched-huaweis-harmonyos-2022


3、Hitachi Energy Lumada APM安全漏洞

Hitachi Energy Lumada APM(Asset Performance Management)是日本日立(Hitachi)株式会社的一款企业资产管理。通过部署 AI 和机器学习 (ML) 来分析各种图像类型、资产和风险,从而解决故障和强制关闭的各种根本原因。在6.5.0.0及更早版本存在安全漏洞,该漏洞源于依赖不安全的第三方组件和zlib版本,受影响的第三方组件在处理某些证书链签名验证,zlib版本存在越界写入漏洞,成功利用此漏洞攻击者可以使用恶意证书签名导致特定Lumada APM拒绝服务或未经授权的远程代码执行。

https://mp.weixin.qq.com/s/I95MERQdMXt-iR1Eur8ypQ


4、欧姆龙CX编程软件高危漏洞通告

Omron CX-Programmer是日本欧姆龙(Omron)公司的一款PLC(可编程逻辑控制器)编程软件。在v.9.78版本及之前版本存在安全漏洞,该漏洞源于越权写入,当用户打开特制的 CXP 文件时,CX-Programmer 会受到越界写入的影响。导致敏感信息丢失或任意代码执行。

https://mp.weixin.qq.com/s/yUv-XOJFOk34nE5GVZSjXQ


05.

政策监管


1、《银行保险机构消费者权益保护管理办法》发布

近日,中国银保监会发布《银行保险机构消费者权益保护管理办法》(以下简称《管理办法》),自2023年3月1日起施行。《管理办法》要求,银行保险机构应当建立消费者个人信息保护机制,完善内部管理制度、分级授权审批和内部控制措施,对消费者个人信息实施全流程分级分类管控,有效保障消费者个人信息安全。


银行保险机构收集消费者个人信息应当向消费者告知收集使用的目的、方式和范围等规则,并经消费者同意,法律法规另有规定的除外。消费者不同意的,银行保险机构不得因此拒绝提供不依赖于其所拒绝授权信息的金融产品或服务。银行保险机构不得采取变相强制、违规购买等不正当方式收集使用消费者个人信息。银行保险机构应当督促和规范与其合作的互联网平台企业有效保护消费者个人信息,未经消费者同意,不得在不同平台间传递消费者个人信息。

http://www.cbirc.gov.cn/cn/view/pages/ItemDetail.html?docId=1087524&itemId=928


2、反间谍法修订草案二审稿增加有关网络间谍的规定

近日,反间谍法修订草案今天再次提请十三届全国人大常委会第三十八次会议审议。修订草案二审稿进一步加强反间谍宣传教育,提高全民反间谍意识,在立法指导思想和基本原则中增加规定“筑牢国家安全人民防线”。同时,修订草案二审稿将为间谍组织及其代理人提供针对关键信息基础设施的网络安全漏洞等信息的行为规定为间谍行为。

http://www.npc.gov.cn/npc/c30834/202212/b0517126986c48a2ab3c1ab5a165fd1b.shtml

06.

安全/行业标准


1、团体标准《数据安全和个人信息保护社会责任指南》发布

为落实《数据安全法》《个人信息保护法》等法律法规中所提出关于数据安全和个人信息保护社会责任的要求,放大数据处理和个人信息使用的社会价值,由中国网络安全产业联盟归口,CCIA数据安全委员会组织委员单位编制了联盟技术规范《数据安全和个人信息保护社会责任指南》(T/CCIA 002—2022),发布日期为2022年12月30日,实施日期为2023年2月1日。该文件为组织理解数据安全和个人信息保护社会责任以及实施相关活动提供指南,适用于处理数据的组织,还适用于第三方机构评价组织履行数据安全和个人信息保护社会责任的水平。

http://www.china-cia.org.cn/home/WorkDetail?id=63ae40ce0200342bd438bfa0


2、中国信通院牵头标准《互联网广告匿名化实施指南》正式发布

近日,由中国信通院牵头制定的双编号团体标准T/CAAAD 004-2022 | T/CCSA 424-2022《互联网广告匿名化实施指南》(以下简称“《指南》”)正式发布。该标准得到了科研机构、行业头部品牌企业、数字媒体等主体的大力支持和广泛参与,将于2023年1月6日正式实施。

https://mp.weixin.qq.com/s/o3eECWEemDjtR6h2OyMLqg


3、5项数字化转型国家标准正式立项

近日,国家标准化管理委员会近日下达2022年第四批推荐性国家标准计划,由全国信息化和工业化融合管理标准化技术委员会(SAC/TC573)归口管理的《数字化转型管理 参考架构》(计划号:20221958-T-339)、《数字化转型管理 能力体系建设指南》(计划号:20221959-T-339)、《数字化供应链 体系架构》(计划号:20221956-T-339)、《数字化供应链 成熟度模型》(计划号:20221957-T-339)和《数字化供应链 通用安全要求》(计划号:20221955-T-339)5项国家标准正式获批立项。

https://www.siiidt.org.cn/system/advice?topicType=none&column=dynamic&arr=advice&newsId=33683