1、美国铁路和机车公司Wabtec遭到LockBit的勒索攻击
媒体1月3日称,美国铁路和机车公司Wabtec Corporation透露其遭到勒索攻击导致数据泄露。黑客早在2022年3月15日就入侵了他们的网络并在系统上安装了恶意软件,Wabtec在6月26日称在网络上检测到异常活动。几周后,LockBit发布了从Wabtec窃取的数据样本,并最终在2022年8月20日公开了全部被盗数据。Wabtec对该事件的调查于2022年11月23日完成,确认泄露信息包括姓名、身份证号码、社会保险号码或财政代码、护照号码和雇主识别号码等。该公司于2022年12月30日开始向受影响的个人发送通知,但未透露确切人数。
https://www.bleepingcomputer.com/news/security/rail-giant-wabtec-discloses-data-breach-after-lockbit-ransomware-attack/
1、研究人员透露法拉利和宝马等制造商使用易被攻击的API
媒体1月4日称,研究人员发现丰田、法拉利和宝马等近20家汽车制造商和服务包含API安全漏洞。这些漏洞可能被用于广泛的恶意活动,例如解锁、启动、跟踪汽车以及泄露客户的个人信息。利用某些漏洞,攻击者可以通过配置不当的SSO访问数百个梅赛德斯内部应用程序、在多个系统上远程执行代码以及访问某些系统内存。在BMW的案例中,研究人员发现了SSO漏洞,可用来访问内部经销商门户,查询汽车的VIN并检索包含车主详细信息的销售文件。
https://securityaffairs.com/140328/hacking/bmw-mercedes-toyota-other-carmakers-flaws.html
2、企业协作平台Slack透露其部分私有代码存储库被盗
据1月5日报道,企业协作平台Slack透露其遭到攻击,部分私有代码存储库被盗。Slack于2022年12月29日获悉可疑活动并对事件展开调查,发现攻击者通过被盗的Slack员工令牌获得了Slack外部托管的GitHub存储库的访问权限。调查还显示,攻击者已于2022年12月27日下载了私有代码存储库,但Slack的主要代码库和客户数据不受影响。Slack还称,此次未经授权的访问不是由Slack中的漏洞导致的,他们还将继续调查和监控进一步的泄露。
https://www.bleepingcomputer.com/news/security/slacks-private-github-code-repositories-stolen-over-holidays/
3、加拿大某矿业公司遭到勒索攻击导致工厂暂时关闭
媒体2022年12月30日称,位于不列颠哥伦比亚省的加拿大铜山矿业公司(CMMC)遭到了勒索攻击。CMMC占地18000英亩,平均每年生产1亿磅铜,估计矿产储量还可以再使用32年。攻击发生在2022年12月27日,CMMC隔离了被感染的系统并关闭其它系统来确定勒索攻击的影响。此外,作为预防措施,工程师还关闭了工厂以确定其控制系统的状态,并将其它工序转为手动操作。2022年10月底,欧洲最大的铜生产商Aurubis也曾遭到网络攻击。
https://www.bleepingcomputer.com/news/security/canadian-mining-firm-shuts-down-mill-after-ransomware-attack/
1、群晖修复VPN Plus Server中漏洞CVE-2022-43931
据1月3日报道称,NAS制造商群晖修复了影响其配置为VPN服务器运行的路由器中的越界写入漏洞(CVE-2022-43931)。该漏洞存在于1.4.3-0534和1.4.4-0635之前的Synology VPN Plus Server的远程桌面功能中,攻击者可以利用该漏洞执行任意命令。漏洞的CVSS评分为10,可在低复杂性攻击中被利用,而无需目标路由器的权限或用户的交互。VPN Plus Server允许管理员将群晖路由器设置为VPN服务器,来远程访问资源。此次更新还修复了SRM中的多个漏洞。
https://www.bleepingcomputer.com/news/security/synology-fixes-maximum-severity-vulnerability-in-vpn-routers/
2、华为鸿蒙系统去年修复近300个漏洞,超3成是高危漏洞
安全媒体SecurityWeek分析显示,鸿蒙系统在2022年修复了290多个漏洞,其中包括近100个影响第三方库的安全漏洞。这些数据来自华为公司去年发布的月度安全公告。其中有20余个漏洞被划定为“严重”等级,94个漏洞被评为“高”威胁等级。这些漏洞可被用于实施拒绝服务(DoS)攻击、远程代码执行、信息获取和权限提升等活动。
https://www.securityweek.com/nearly-300-vulnerabilities-patched-huaweis-harmonyos-2022
3、Hitachi Energy Lumada APM安全漏洞
Hitachi Energy Lumada APM(Asset Performance Management)是日本日立(Hitachi)株式会社的一款企业资产管理。通过部署 AI 和机器学习 (ML) 来分析各种图像类型、资产和风险,从而解决故障和强制关闭的各种根本原因。在6.5.0.0及更早版本存在安全漏洞,该漏洞源于依赖不安全的第三方组件和zlib版本,受影响的第三方组件在处理某些证书链签名验证,zlib版本存在越界写入漏洞,成功利用此漏洞攻击者可以使用恶意证书签名导致特定Lumada APM拒绝服务或未经授权的远程代码执行。
https://mp.weixin.qq.com/s/I95MERQdMXt-iR1Eur8ypQ
4、欧姆龙CX编程软件高危漏洞通告
Omron CX-Programmer是日本欧姆龙(Omron)公司的一款PLC(可编程逻辑控制器)编程软件。在v.9.78版本及之前版本存在安全漏洞,该漏洞源于越权写入,当用户打开特制的 CXP 文件时,CX-Programmer 会受到越界写入的影响。导致敏感信息丢失或任意代码执行。
https://mp.weixin.qq.com/s/yUv-XOJFOk34nE5GVZSjXQ
1、团体标准《数据安全和个人信息保护社会责任指南》发布
为落实《数据安全法》《个人信息保护法》等法律法规中所提出关于数据安全和个人信息保护社会责任的要求,放大数据处理和个人信息使用的社会价值,由中国网络安全产业联盟归口,CCIA数据安全委员会组织委员单位编制了联盟技术规范《数据安全和个人信息保护社会责任指南》(T/CCIA 002—2022),发布日期为2022年12月30日,实施日期为2023年2月1日。该文件为组织理解数据安全和个人信息保护社会责任以及实施相关活动提供指南,适用于处理数据的组织,还适用于第三方机构评价组织履行数据安全和个人信息保护社会责任的水平。
http://www.china-cia.org.cn/home/WorkDetail?id=63ae40ce0200342bd438bfa0
2、中国信通院牵头标准《互联网广告匿名化实施指南》正式发布
近日,由中国信通院牵头制定的双编号团体标准T/CAAAD 004-2022 | T/CCSA 424-2022《互联网广告匿名化实施指南》(以下简称“《指南》”)正式发布。该标准得到了科研机构、行业头部品牌企业、数字媒体等主体的大力支持和广泛参与,将于2023年1月6日正式实施。
https://mp.weixin.qq.com/s/o3eECWEemDjtR6h2OyMLqg
3、5项数字化转型国家标准正式立项
近日,国家标准化管理委员会近日下达2022年第四批推荐性国家标准计划,由全国信息化和工业化融合管理标准化技术委员会(SAC/TC573)归口管理的《数字化转型管理 参考架构》(计划号:20221958-T-339)、《数字化转型管理 能力体系建设指南》(计划号:20221959-T-339)、《数字化供应链 体系架构》(计划号:20221956-T-339)、《数字化供应链 成熟度模型》(计划号:20221957-T-339)和《数字化供应链 通用安全要求》(计划号:20221955-T-339)5项国家标准正式获批立项。
https://www.siiidt.org.cn/system/advice?topicType=none&column=dynamic&arr=advice&newsId=33683