安全月报-3月

安全月报-3月

时间:2021-03-30 作者:安帝科技

一、政策法规扫描

《常见类型移动互联网应用程序必要个人信息范围规定》的通知

为贯彻落实《中华人民共和国网络安全法》关于“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则”“网络运营者不得收集与其提供的服务无关的个人信息”等规定,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合制定了《常见类型移动互联网应用程序必要个人信息范围规定》,明确移动互联网应用程序(App)运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用App基本功能服务。

政策解读:对于目前现有互联网厂商是一个明确的政策指导,也给了明确的政策执行日期本规定自2021年5月1日起施行网络安全除恶意APT攻击外,其他基本都是以数据为导向,目前国家新出政策将互联网运营方所能涉及收集信息做明确规范,减少用户信息在运营方的存储,这对于中国互联网安全起到的意义是巨大,这是国家最新最细最严格的法律测试,可以更好的保护国民个人信息泛滥,个人信息安全。

链接来源:http://www.cac.gov.cn/2021-03/22/c_1617990997054277.htm

为了增进网络传输安全性,央行要求跨境金融报文信息存储在境内

人民银行高度重视相关要求,于2018年发布了《关于加强跨境金融网络与信息服务管理的通知》。为进一步提升跨境金融网络与信息服务水平,保障SWIFT境内用户(以下简称用户)合法权益和业务连续性,SWIFT与4家中资机构合资成立金融网关信息服务有限公司,向用户提供金融网关服务,包括建立并运营金融报文服务的本地网络集中点、建立并运营本地数据仓库等服务。SWIFT与中资机构合作开展金融网关服务有利于实现互利共赢,为用户提供更为稳定、韧性强、安全且合规的服务。

政策解读:为推动跨境金融网络与信息服务更加透明,实现穿透式监管和跨境离岸数据的统筹监测,更好地识别和管理与核心服务相关的运行风险和金融风险,有必要将跨境金融报文信息存储在境内,并基于内部风控和监管需要使用。目前,全球已有多家央行作出了类似安排,通过建立数据仓库进行合规审慎分析。

链接来源:http://www.pbc.gov.cn/goutongjiaoliu/113456/113469/4212383/index.html

二、安全漏洞播报

1、LOT智能设备漏洞

Baxter Spectrum WBM信任管理漏洞

影响产品:Baxter Spectrum WBM

漏洞类型:逻辑缺陷漏洞

Baxter WBM和Baxter Spectrum都是美国百特(Baxter)公司的产品。Baxter WBM是一款用于Baxter产品的无线电池模块。Baxter Spectrum是一款输液泵。

Baxter Spectrum中所使用的WBM存在信任管理问题漏洞,攻击者可借助硬编码凭证利用该漏洞启用FTP服务。

2、Apache OFBiz 远程代码执行漏洞

漏洞编号:CVE-2021-26295

Apache OFBiz是美国阿帕奇(Apache)基金会的一套企业资源计划(ERP)系统。该系统提供了一整套基于Java的Web应用程序组件和工具。

未经身份验证的攻击者可以通过构造恶意请求,触发反序列化漏洞造成任意代码执行,从而控制服务器。

3、GitHub Enterprise Server远程代码执行

漏洞编号:CVE-2021-22864

GitHub Enterprise Server是(Github)开源的一个应用软件。提供一个将自己的GitHub实例设置为虚拟设备,从而提供可扩展,易于管理的平台。

由于GitHub页面使用的用户控制的配置选项没有受到足够的限制,攻击者可使用环境变量覆盖,从而导致在GitHub Enterprise Server实例上执行任意代码。

4、Ntopng 远程代码执行漏洞

漏洞编号:CVE-2021-28074

Ntop是一款可以监控大型网络、并分析局域网内每台主机及端口网络状态的网络管理系统。攻击者通过利用CVE-2021-28073 Ntopng未授权漏洞,再配合相关功能造成任意代码执行,从而控制服务器。

三、安全事件简析

1、特斯拉用视频监控引发隐私担忧

近日,美国权威的消费者权益媒体《消费者报告》指出,美国特斯拉公司在车内部署了摄像头,为了开发自动驾驶技术记录车内乘客或司机的画面,带来了侵犯个人隐私权的担忧。这场争议始于国外一位黑客@greentheonly ,其在推特上发布了一张由特斯拉内置摄像头在激活后所拍摄的情景。

2、Netgear JGS516PE交换机存在15个漏洞,包括严重的RCE

NCC Group IT的研究人员发现Netgear JGS516PE交换机存在15个漏洞,且大多数漏洞都会影响NSDP协议(出于遗留原因仍启用该功能),以允许客户使用Prosafe Plus。研究人员指出,最严重的漏洞是CVE-2020-26919的关键RCE,其CVSS v3评分为9.8,其余漏洞为9个高严重性问题和5个中度漏洞。CVE-2020-26919以2.6.0.43之前的固件版本驻留在交换机内部管理Web应用程序中,未经身份验证的攻击者可以利用它来绕过身份验证并以管理员权限执行操作。目前,Netgear已发布安全性和固件更新,以解决其JGS516PE以太网交换机中的15个漏洞。

3、未打补丁的QNAP NAS

2021年3月2日,360Netlab威胁检测系统开始报告通过未经授权的远程命令执行漏洞(CVE-2020-2506和CVE-2020-2507)针对广泛使用的QNAP NAS设备的攻击,成功攻击后,攻击者将获得读取设备上的特权并执行恶意的挖掘活动。行动者通过隐藏挖掘过程和真实的CPU内存资源使用情况信息来定制程序,以向QNAP所有者隐藏恶意活动,该行为可以通过WEB管理界面检查其系统使用情况。挖掘程序由unity_install.sh和Quick.tar.gz组成。unity_install.sh下载,设置并执行加密货币矿工,并劫持NAS的manaRequest.cgi程序。Quick.tar.gz包含矿工程序,矿工配置文件,矿工启动脚本和伪造的manaRequest.cgi。

4、专家发现Realtek Wi-Fi模块存在严重缺陷

以色列物联网安全公司Vdoo的研究人员在Realtek RTL8195A Wi-Fi模块中发现了六个漏洞,这些漏洞可能已被利用来获得root用户访问权限并控制设备的无线通信。

Realtek RTL8195AM是一款高度集成的单芯片,具有低功耗机制,非常适合多个行业的IoT(物联网)应用。该模块实现了“ Ameba” API,以允许开发人员通过Wi-Fi,HTTP和MQTT与设备进行通信 ,这是用于小型传感器和移动设备的轻量级消息传递协议。Realtek提供了 与设备一起使用的自己的 “ Ameba” API,该API允许任何开发人员通过Wi-Fi,HTTP,mDNS,MQTT等轻松进行通信。

四、安全技术先知

1、微软将安全核心扩展到服务器,IoT设备

微软在推出安全核心PC时表示,它们非常适用于存在高度敏感信息的行业,例如金融服务、政府和医疗保健。微软目前正在将其安全核心的覆盖范围扩展到服务器和物联网(IoT)设备,旨在保护它们免受常见攻击媒介的侵害。Edge Secured-core旨在提高运行完整OS的IoT设备的内置安全性,并将Secured-core引入Linux。微软还在Azure认证设备程序中提供Edge Secured-core公开预览。经过认证的设备满足与设备标识,数据保护,设备更新,安全启动,操作系统加固和漏洞披露有关的其他安全要求。

政策解读:系统的升级带来的往往是安全漏洞最大范围的封堵,良好的安全环境肯定是从底层坐骑,但同时也会带来更严重的危害,这个和我们在使用的Windows和linux一样,每年linux爆发的漏洞更多,因为他是开源的,你可以真真切切的看着源码一点点剖析,虽然漏洞爆发的多但是更新频率更快,这也是一个安全的系统必须要经过的。