安全热点周报(2023.2.27-2023.3.5)
安全资讯导视
01 美国政府发布2023年版《国家网络安全战略》 |
02 中共中央、国务院印发《数字中国建设整体布局规划》 |
03 知名互联网厂商APP利用漏洞非法控制用户手机窃密,数亿设备受影响 |
美国政府发布2023年版《国家网络安全战略》 |
| 3月2日美国白宫官网消息,美国拜登政府发布新版《国家网络安全战略》,详细阐述了拜登政府网络安全的行动纲领和将采取的全方位措施。该文件围绕五大支柱来建立和加强合作,具体包括保卫关键基础设施、打击和摧毁威胁行为体、塑造市场力量以推动安全和弹性、以投资打造富有弹性的未来、建立国际伙伴关系以实现共同目标。该文件还重点提出两个根本性的改变,一是重新调整美国在网络空间中的角色和责任,更加突出和强调政府与行业的地位和作用;二是改变资源分配方式,试图建立一个长效的网络安全激励机制,以平衡战略规划与投资的关系。 |
原文链接: https://www.whitehouse.gov/wp-content/uploads/2023/03/National-Cybersecurity-Strategy-2023.pdf |
证监会发布《证券期货业网络和信息安全管理办法》 |
| 2月27日证监会官网消息,证监会制定并发布了《证券期货业网络和信息安全管理办法》(以下简称《办法》)。《办法》聚焦网络和信息安全领域,在总结实践经验的基础上,为上位法在证券期货行业的落地实施明确了路径。《办法》全面覆盖了包括证券期货关键信息基础设施运营者、核心机构、经营机构、信息技术系统服务机构等各类主体,以安全保障为基本原则,对网络和信息安全管理提出规范要求,主要内容包括:网络和信息安全运行、投资者个人信息保护、网络和信息安全应急处置、关键信息基础设施安全保护、网络和信息安全促进与发展、监督管理和法律责任等。《办法》将于2023年5月1日起正式实施。 |
原文链接: http://www.csrc.gov.cn/csrc/c101953/c7202800/7202800/files/%E9%99%84%E4%BB%B61%EF%BC%9A%E8%AF%81%E5%88%B8%E6%9C%9F%E8%B4%A7%E4%B8%9A%E7%BD%91%E7%BB%9C%E5%92%8C%E4%BF%A1%E6%81%AF%E5%AE%89%E5%85%A8%E7%AE%A1%E7%90%86%E5%8A%9E%E6%B3%95.pdf |
工信部印发进一步提升移动互联网应用服务能力的通知 |
| 2月28日工业和信息化部官网消息,工业和信息化部印发《关于进一步提升移动互联网应用服务能力的通知》。该文件围绕提升用户服务感知、提升行业管理能力,即“两提升”,共提出26条措施:一是聚焦APP安装卸载、服务体验、个人信息保护、诉求响应等,针对性提出改善用户服务感知的12条措施。二是从行业协同规范发展、上下游联防共治的角度出发,抓住当前移动互联网服务的5类关键主体,即APP开发运营者、分发平台、SDK(软件开发工具)、终端和接入企业,提出14条措施。 |
原文链接: https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2023/art_261ee9a52be545c09dc4323a45e8631f.html |
中共中央、国务院印发《数字中国建设整体布局规划》 |
| 2月27日新华社消息,中共中央、国务院印发了《数字中国建设整体布局规划》(以下简称《规划》)。《规划》提出,到2025年,基本形成横向打通、纵向贯通、协调有力的一体化推进格局,数字中国建设取得重要进展,包括政务数字化智能化水平明显提升,数字技术创新实现重大突破,数字安全保障能力全面提升等。《规划》指出,要强化数字中国关键能力。一是构筑自立自强的数字技术创新体系,二是筑牢可信可控的数字安全屏障。《规划》还指出,要切实维护网络安全,完善网络安全法律法规和政策体系。增强数据安全保障能力,建立数据分类分级保护基础制度,健全网络数据监测预警和应急处置工作体系。 |
原文链接: http://www.news.cn/2023-02/27/c_1129401407.htm |
美国知名卫星电视服务中断超一周:因遭受勒索攻击 |
3月2日美联社消息,美国知名卫星电视运营商Dish Network在2月23日遭遇勒索软件攻击,电视、客户支持等服务全部瘫痪,持续时间超一周仍未恢复。该公司在2月23日的财报电话会议上称发生了业务中断,直到28日向美国证券交易委员会提交披露文件时,才透露发生了网络安全事件。Dish Network表示,发现部分内部数据被盗,正在调查其中是否包含客户的个人信息。 |
| 原文链接: https://apnews.com/article/dish-network-ransomware-outage-7cb1db876073e99db0cec13091aa992f |
知名互联网厂商APP利用漏洞非法控制用户手机窃密,数亿设备受影响 |
2月28日DarkNavy公众号消息,国内网络安全厂商DarkNavy在公众号发布文章《2022年度最“不可赦”漏洞》称,有知名互联网厂商持续挖掘新的安卓OEM系统相关漏洞,在其公开发布的App中实现对目前市场主流手机系统的漏洞攻击。该互联网厂商使用了多种黑客手段,实现对用户手机的提权、隐私信息收集、应用防卸载、应用长期驻留后台等违法违规行为。研究员警告,这些是此刻正发生在数以亿计手机上的真实案例,对于绝大部分未升级到Android 13的设备和用户来说,他们仍处于危险之中。 |
| 原文链接: https://mp.weixin.qq.com/s/P_EYQxOEupqdU0BJMRqWsw |
LastPass用户数据遭窃:关键运维员工遭定向攻击,内部安全控制失效 |
2月27日BleepingComputer消息,密码管理供应商LastPass日前公布了去年遭受“二次协同攻击”事件的更多信息。“二次协同攻击”事件,是指LastPass在2022年8月、12月先后披露的两起违规事件,这两起事件的攻击链有关联。LastPass发现,恶意黑客通过8月首次窃取的信息,定向攻击了一名有权访问公司云服务密钥的关键运维员工,利用远程提权漏洞在其电脑上安装了键盘记录器,进而获取了访问凭证等大量敏感数据。由于恶意黑客窃取并使用了有效的访问凭证,LastPass的安全人员难以检测到对手活动,导致其从LastPass的云存储服务器处访问并窃取到大量数据,持续驻留达两个月以上。 |
| 原文链接: https://www.bleepingcomputer.com/news/security/lastpass-devops-engineer-hacked-to-steal-password-vault-data-in-2022-breach/ |
Smartbi远程命令执行漏洞安全风险通告 |
3月1日,奇安信CERT监测到Smartbi官方发布安全更新,其中包含Smartbi 远程命令执行漏洞。Smartbi大数据分析平台存在远程命令执行漏洞,未经身份认证的远程攻击者可利用stub接口构造请求绕过补丁限制,进而控制JDBC URL,最终可导致远程代码执行或信息泄露。目前,奇安信CERT已通过技术手段分析出该漏洞并编写出此漏洞验证POC,经研判,此漏洞触发简单、危害较大,建议客户尽快更新至最新版本。 |
完
Smartbi远程命令执行漏洞安全风险通告
本期周报内容由安全内参&虎符智库&奇安信CERT联合出品!