安全月报-1月
时间:2021-01-31 作者:安帝科技
政策法规扫描
- 1. 1月8日,网信办发布《互联网信息服务管理办法(修订草案征求意见稿)》公开征求意见》通知
为促进互联网信息服务健康有序发展,保护公民、法人和其他组织的合法权益,维护国家安全和公共利益,网信办同工业和信息化部、公安部起草了《互联网信息服务管理办法(修订草案征求意见稿)》,向社会公开征求意见。
http://www.cac.gov.cn/2021-01/08/c_1611676476075132.htm
- 2. 1月13日,工信部开展工业互联网企业网络安全分类分级管理试点工作
为深入贯彻落实《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》(国发〔2017〕50号)、《加强工业互联网安全工作的指导意见》(工信部联网安〔2019〕168号)等文件要求,加强工业互联网网络安全管理,提升工业互联网企业网络安全水平,工信部开展工业互联网企业网络安全分类分级管理试点工作。
https://www.miit.gov.cn/jgsj/waj/gzdt/art/2021/art_eb95e60794794fc29f768233e7d7739d.html
3.1月13日,工信部印发《工业互联网创新发展行动计划(2021-2023年)》(以下简称《计划》),计划提出5项发展目标,明确11项重点工作任务,安全保障为重点。
到2023年,我国工业互联网新型基础设施建设量质并进,新模式、新业态大范围推广,产业综合实力显著提升;新型基础设施进一步完善、融合应用成效进一步彰显、技术创新能力进一步提升、产业发展生态进一步健全、安全保障能力进一步增强。《行动计划》明确将开展网络体系强基行动、标识解析增强行动、平台体系壮大行动、数据汇聚赋能行动、新型模式培育行动、融通应用深化行动、关键标准建设行动、技术能力提升行动、产业协同发展行动、安全保障强化行动、开放合作深化行动等11项重点任务。
https://www.miit.gov.cn/jgsj/xgj/wjfb/art/2021/art_9b4032b6ce874653b0ee17998e975f18.html
- 4. 1月25日,国家保密局正式发布《涉密信息系统集成资质管理办法》
为了加强涉密信息系统集成资质管理,确保国家秘密安全,根据《中华人民共和国保守国家秘密法》、《中华人民共和国行政许可法》、《中华人民共和国行政处罚法》、《中华人民共和国保守国家秘密法实施条例》等有关法律法规,国家保密局正式发布《涉密信息系统集成资质管理办法》。
http://www.gjbmj.gov.cn/n1/2021/0125/c409089-32010949.html
安全漏洞播报
- 1.Apache Flink目录遍历漏洞(CVE-2020-17518/17519)
远程攻击者通过REST API目录遍历,可造成文件读取/写入的影响。对此,专家建议广大用户及时将Apache Flink升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
- 2.Siemens Jt2go和Siemens Teamcenter Visualization 缓冲区错误漏洞
Siemens Jt2go和Siemens Teamcenter Visualization都是德国Siemens公司的产品。Siemens Jt2go是一款JT文件查看器。该软件用于三维图形轻量化预览,可进行3D缩放、全景、旋转、缩放和重定位,具有精确3D测量、基本3D剖面查看、改进的选项过滤器等多种功能。Siemens Teamcenter Visualization是一个可为设计2D、3D场景提供团队协作功能的软件。该软件通过从多种机械计算机辅助设计(MCAD)格式创建虚拟原型,可简化了工程和制造流程。
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202101-839
Siemens Jt2go 和 Siemens Teamcenter Visualization 存在缓冲区错误全漏洞,该漏洞源于程序未进行正确的身份认证,攻击者可以利用该漏洞执行代码。
3.ACS SpiiPlusEC-08拒绝服务漏洞
ACS Motion Control是一家总部位于以色列,面向OEM的运动控制器和驱动解决方案供应商,其产品广泛应用于半导体制造、激光加工、增材制造、平板显示器制造、电子装配、生命科学等领域的高科技系统。
ACS SpiiPlusEC-08存在拒绝服务漏洞,攻击者可利用该漏洞造成拒绝服务。
https://www.cnvd.org.cn/flaw/show/CNVD-2020-70575
安全事件简析
1.超10万个Zyxel防火墙、VPN网关中发现后门帐户
Eye Controld1研究人员最近发现了一个秘密后门,该后门是在最近针对各种Zyxel防火墙和AP控制器的固件更新中引入的。硬编码凭据漏洞由未记录的用户账户和明文密码组成。
根据Eye的说法,该帐户授予管理员权限,并且可以在SSH和Web界面上使用。攻击者可以使用凭据更改防火墙设置,以阻止或允许某些流量。还可以创建VPN帐户来访问设备后面的网络。
https://baijiahao.baidu.com/s?id=1688010067771411616&wfr=spider&for=pc
2.思科放弃修补部分路由器中的70多个漏洞
思科的小型企业RV110W,RV130,RV130W和RV215W路由器总共发现了68个高严重性漏洞,但该公司表示不会发布补丁,因为这些设备已经达到使用寿命(EOL)。软件维护版本和错误修复的最后一天是2020年12月1日。
之所以存在安全漏洞,是因为未正确验证用户对受影响路由器系列的基于Web的管理界面提供的输入,从而使攻击者可以发送精心制作的HTTP请求来利用这些问题。
能够成功利用这些漏洞的攻击者将能够在基础操作系统上以root用户特权执行任意代码。但是,成功的前提是,需要有效的管理员凭据才能进行利用。
https://www.securityweek.com/over-70-vulnerabilities-will-remain-unpatched-cisco-eol-routers
3.黑客利用未修复的 Atlassian 服务器攻击电信运营商和 ISP
黑客可能访问了超过250台Oracle和Atlassian服务器,这些服务器主要属于提供移动通信和基于Internet的服务的组织,据研究人员称,黑客进行侦察工作以选择受害者,并依靠公共工具找到他们。他们使用URI Brute Force工具(GoBuster和DirBuster)查找可能允许进行Web Shell注入的打开目录,寻找未打补丁的Atlassian Confluence,Atlassian Jira和Oracle Fusion Middleware服务器。利用的漏洞为CVE-2019-3396,C VE-2019-11581和CVE-2012-3152。
- 4.DreamBus 僵尸网络瞄准在 Linux 服务器上运行的企业应用程序
DreamBus是名为SystemdMiner的旧僵尸网络的变种,该僵尸网络于2019年初首次出现目前,DreamBus僵尸网络针对在Linux系统上运行的企业级应用程序,目标包括各种各样的应用程序,例如PostgreSQL,Redis,Hadoop YARN,Apache Spark,HashiCorp Consul,SaltStack和SSH服务。其中一些应用程序针对其默认管理员用户名进行暴力攻击,另一些应用程序通过发送至公开的API端点的恶意命令,或通过利用较早版本的漏洞的来进行攻击。攻击成功后,他们可会在服务器上下载并安装一个开源应用程序,该应用程序可以挖掘Monero(XMR)加密货币,从而为攻击者创造利润。
https://www.zdnet.com/article/dreambus-botnet-targets-enterprise-apps-running-on-linux-servers/
- 5.特斯拉起诉前员工涉嫌“蓄意”盗窃机密文件
特斯拉正在起诉一名前职员,理由是据称他窃取了机密信息并试图掩盖他的踪迹。 该诉讼已在美国加利福尼亚北部地区法院提起诉讼,嫌疑人亚历克斯·哈蒂洛夫(Alex Khatilov)离职前任软件测试工程师一职。 根据特斯拉的投诉,据CNBC报道,在2020年12月28日被雇用后仅三天,哈蒂洛夫就“无耻地”偷走了汽车制造商WARP Drive后端系统中的数千个文件。
http://www.techweb.com.cn/it/2021-01-25/2822674.shtml
- 6.富士电机的Tellus Lite V-Simulator和V-Server Lite可以使攻击者利用工厂,公用事业工厂等场所的运营技术(OT)-IT融合。
联邦警告称,富士电机公司的工业控制软件(ICS)容易受到几个严重程度很高的任意代码执行安全性漏洞的攻击。有关部门警告说,这些缺陷可能会导致对工厂和关键基础设施设备的物理攻击。富士电机的Tellus Lite V-Simulator和V-Server Lite都受到漏洞的影响,这些漏洞的CVSS严重等级均为7.8。两者构成了一个全面的人机界面(HMI)系统,用于实时远程监视和收集生产数据,并控制各种工业和关键基础设施。它可用于与各种制造商的可编程逻辑控制器(PLC),温度控制器,逆变器等接口。
安全技术先知
Aliya Tabassum等在Privacy-Preserving Distributed IDS Using Incremental Learning for IoT Health Systems文中指出现有的入侵检测中用到的增量学习技术计算代价较高,并会产生重复的特征,导致出现假阳性和真阴性的概率更高。提出了一种新的基于分布式增量学习的隐私保护入侵检测技术。文中指出首先采用预处理技术消除冗余,并通过创新的提取技术选择独特的特征。使用带有非负性约束的自动编码器,这有助于提取更少的冗余特征。更重要的是,分布式入侵检测模型减少了边缘分类器的负担,并将负载分配到物联网和边缘设备上。理论分析和数值实验表明,与最先进的技术相比,该方法的空间和时间成本更低,分类精度也相当。