新闻速览
•《网络数据安全管理条例》正式公布,2025年1月1日起施行
•中央网信办部署开展“清朗·整治违规开展互联网新闻信息服务”专项行动
•《网络安全技术 抗拒绝服务攻击产品技术规范》等15项网络安全国家标准公开征求意见
•谷歌将卡巴斯基杀毒软件从Play Store应用商店下架
•潜伏多年!恶意软件Perfctl或威胁数百万台Linux系统设备安全性
•一种新的Medusa勒索软件变体出现
•荷兰警方系统遭到入侵,部分警员信息被泄露
•CISA就Ivanti端点管理器安全漏洞发布风险提示
•数万台DrayTek路由器中存在严重安全缺陷
特别关注
《网络数据安全管理条例》正式公布,2025年1月1日起施行
国务院总理李强日前签署国务院令,公布《网络数据安全管理条例》(以下简称《条例》),自2025年1月1日起施行。
《条例》旨在规范网络数据处理活动,保障网络数据安全,促进网络数据依法合理有效利用,保护个人、组织的合法权益,维护国家安全和公共利益。《条例》共9章64条,主要规定了以下内容。
一是提出网络数据安全管理总体要求和一般规定。明确鼓励网络数据在各行业、各领域的创新应用,对网络数据实行分类分级保护,积极参与网络数据安全相关国际规则和标准的制定,加强行业自律,禁止非法网络数据处理活动。要求网络数据处理者履行建立健全网络数据安全管理制度、安全风险报告、安全事件处置等义务。
二是细化个人信息保护规定。明确处理个人信息的规则和应当遵守的具体规定。要求网络数据处理者提供便捷的支持个人行使权利的方法和途径,不得设置不合理条件限制个人的合理请求。明确使用自动化采集技术等采集个人信息的保护义务,细化个人信息转移请求实现途径等。
三是完善重要数据安全制度。明确制定重要数据目录职责要求,规定网络数据处理者识别、申报重要数据义务。规定网络数据安全管理机构和网络数据安全负责人的责任。明确重要数据风险评估具体要求。
四是优化网络数据跨境安全管理规定。明确网络数据处理者可以向境外提供个人信息的条件,规定可以按照缔结或者参加的国际条约、协定向境外提供个人信息。规定未被相关地区、部门告知或者公开发布为重要数据的,不需要将其作为重要数据申报数据出境安全评估。
五是明确网络平台服务提供者义务。规定网络平台服务提供者、第三方产品和服务提供者等主体的网络数据安全保护要求。明确通过自动化决策方式向个人进行信息推送的规则,规定大型网络平台服务提供者发布个人信息保护社会责任年度报告、防范网络数据跨境安全风险等要求。
原文链接:
https://mp.weixin.qq.com/s/xfXfIwJA2aZYvbIOS4xO3w
中央网信办部署开展“清朗·整治违规开展互联网新闻信息服务”专项行动
为进一步规范互联网新闻信息服务活动,提升主流新闻舆论影响力,营造清朗网络空间,近日,中央网信办印发通知,部署开展为期3个月的“清朗·整治违规开展互联网新闻信息服务”专项行动。
中央网信办有关负责人表示,本次专项行动针对违法违规开展互联网新闻信息服务行为,集中整治五类突出问题:
一是编发虚假不实新闻信息,使用与新闻信息内容严重不符的夸张标题,或者恶意篡改、断章取义、拼凑剪辑、合成伪造新闻信息,误导社会公众;
二是借舆论监督名义,通过采编、发布、转载、删除新闻信息,干预新闻信息呈现或搜索结果等手段,威胁、要挟他人提供财物、开展商业合作,谋取不正当利益;
三是仿冒、假冒新闻网站、报刊社、广播电视机构、通讯社等新闻单位,或者擅自使用“新闻”“报道”等具有新闻属性的名称、标识开设网站平台、注册账号、发布信息;
四是未经许可或超越许可范围开展互联网新闻信息采编发布服务、转载服务、传播平台服务。未取得互联网新闻信息采编发布服务资质,违规开展新闻采访、发布新闻信息;
五是伪造、倒卖、出租、出借、转让互联网新闻信息服务许可资质。出售、出租或以其他形式委托第三方主体运营互联网新闻信息服务频道等。通过不正当手段、虚假材料等取得互联网新闻信息服务许可。
原文链接:
https://mp.weixin.qq.com/s/gL-3YON_m7tjuAgg8DPz7w
《网络安全技术 抗拒绝服务攻击产品技术规范》等15项网络安全国家标准公开征求意见
日前,全国网络安全标准化技术委员会归口的《网络安全技术 抗拒绝服务攻击产品技术规范》等15项国家标准现已形成标准征求意见稿。
根据《全国网络安全标准化技术委员会标准制修订工作程序》要求,全国网络安全标准化技术委员会秘书处通过网安标委官方网站(网址https://www.tc260.org.cn/front/bzzqyjList.html?start=0&length=10)
将该15项标准征求意见稿面向社会公开征求意见。如有意见或建议可于2024年11月29日24:00前反馈秘书处。
原文链接:
https://mp.weixin.qq.com/s/K7vlUNgRz_sfP4KpdboNcA
热点观察
谷歌将卡巴斯基杀毒软件从Play Store应用商店下架
日前,有用户声称,卡巴斯基的产品(包括卡巴斯基端点安全软件和卡巴斯基VPN &杀毒软件)在Google Play上已不再可用,该公司的开发者账户也已被禁用。
10月6日,卡巴斯基公司通过其官方论坛表示,目前正在调查为什么其软件在谷歌的应用商店中不再可用。卡巴斯基建议用户从其他应用商店安装,包括Galaxy Store、华为AppGallery和小米GetApps等,也可以通过从卡巴斯基官网下载.apk安装文件来安装。
谷歌在早些时候的声明中证实决定在谷歌Play商店中封杀卡巴斯基及其产品。9月,这家俄罗斯跨国网络安全公司已从美国各地的客户电脑上删除了其反恶意软件,并自动替换成了UltraAV的杀毒解决方案。
原文链接:
https://www.bleepingcomputer.com/news/security/google-removes-kasperskys-antivirus-software-from-play-store-disables-developer-accounts/
网络攻击
潜伏多年!恶意软件Perfctl或威胁数百万台Linux系统设备安全性
Aqua Security的研究人员近日声称,已在数千台运行Linux系统的计算机设备上发现了一种极具隐蔽性、可利用的众多错误配置以及执行一系列恶意活动的恶意软件。该恶意软件至少从2021年就开始隐秘传播,可以通过利用2万多种常见的错误配置来安装,还可以利用严重等级为10分的CVE-2023-33426漏洞,这种能力可能使数百万台联网机器成为潜在目标。
研究人员称这种恶意软件为Perfctl,这是一种秘密挖掘加密货币的恶意组件。未知的恶意软件开发者给这个进程取的名字结合了perf Linux监控工具和常与命令行工具结合使用的ctl。Perfctl的一个显著特征是,使用的进程名和文件名与Linux环境中常见的进程名和文件名相同或相似。这种命名约定是恶意软件企图避免被感染用户注意的许多方法之一。
Perfctl还使用其他众多手法进一步隐藏自己。包括将许多组件作为rootkit加以安装,从而不被操作系统和管理工具察觉,并在系统重启或试图删除核心组件后仍能留在受感染机器上。除了使用机器资源挖掘加密货币外,Perfctl还将被感染的机器变成牟取利润的代理,并可充当安装其他恶意软件系列的后门。
原文链接:
https://www.wired.com/story/perfctl-stealthy-malware-infected-linux-systems/
一种新的Medusa勒索软件变体出现
据思科Talos研究团队的分析显示,一伙以牟利为动机的攻击者利用MedusaLocker勒索软件变体攻击全球组织。这个变体名为“BabyLockerKZ”,至少从2023年底开始就存在了,这是它第一次被专门称为MedusaLocker变体。
该变体使用与原始MedusaLocker勒索软件相同的聊天和泄露网站URL,但使用不同的自动运行密钥或存储在注册库中的额外公钥和私钥集。
攻击最初的目标是法国、德国、西班牙和意大利等欧洲国家的组织。自2023年第二季度以来,它将重心转移到巴西、墨西哥、阿根廷和哥伦比亚等南美国家的组织,导致每月受害者数量几乎翻番。据信攻击者是初始访问代理或者是勒索软件团伙的加盟机构。
思科Talos表示,攻击者使用几种公开的攻击工具和寄生攻击二进制代码来实现凭据盗窃和受感染组织内的横向移动。这些工具大多是唾手可得的工具包装器,含有简化攻击过程、提供图形界面或命令行接口的附加功能。这些工具包括HRSword_v5.0.1.1.rar和 Advanced_Port_Scanner_2.5.3869.exe。攻击者常使用受攻击系统的Music、Pictures或Documents用户文件夹来存放攻击工具。
原文链接:
https://www.infosecurity-magazine.com/news/medusalocker-ransomware-deployed/
荷兰警方系统遭到入侵,部分警员信息被泄露
荷兰司法部长对议员们表示,荷兰警方近日将最近泄露了警员个人资料的泄露事件归咎于一个有国家背景支持的攻击组织。该事件发生在2024年9月26日,警方已向数据保护局报告了这起安全事件。
攻击者闯入了荷兰警察系统,进而获得了多名警察的联系人资料。攻击者获得了属于警察的姓名、电子邮件、电话号码和一些私人信息。
警方表示,内部网络专家正在调查这安全事件。荷兰警方宣布已确定了攻击者的身份,但还没有公开归咎于特定的攻击者。
荷兰情报机构认为,最近这起警方数据泄露事件的幕后黑手极可能是政府背景的攻击者。荷兰司法部长已向议员们保证,警方和国家安全伙伴正在努力保护受影响的警察,防止进一步的损害。
原文链接:
https://securityaffairs.com/169328/hacking/dutch-police-breached-by-state-actor.html
安全漏洞
CISA就Ivanti端点管理器安全漏洞发布风险提示
美国网络安全和基础设施安全局(CISA)就Ivanti端点管理器(EPM)的漏洞被大肆利用发出风险警告。通告表示,这个编号为CVE-2024-29824的安全漏洞已构成了严重威胁,可允许攻击者在没有身份验证的情况下在受影响的服务器上远程执行恶意代码。
尽管Ivanti公司在今年5月就已经修补了这个漏洞。然而,许多组织似乎还没有及时更新补丁,因此仍然面临被攻击风险。CISA在通告中强调了修复这一漏洞的紧迫性,特别是鉴于已证实黑客正在大肆利用未打补丁的系统。
CISA要求所有联邦机构需要在2024年10月23日之前修复这个漏洞。Ivanti端点管理器中的漏洞之所以特别令人担忧,是由于它允许未经身份验证的攻击者访问敏感系统。Ivanti证实,这个漏洞正被大肆用来攻击“数量有限”的高价值组织。
据了解,Ivanti公司多次因其产品的漏洞而面临审查或被通告。今年初,该公司承认Connect Secure VPN解决方案的漏洞被广泛利用,该解决方案被全球数千家公司使用。
原文链接:
https://thecyberexpress.com/critical-ivanti-vulnerability-cve-2024-29824/
数万台DrayTek路由器中存在严重安全缺陷
研究人员表示,数以万计的DrayTek路由器(包括众多企业和政府机构使用的型号)正面临14个固件安全缺陷风险。其中几个缺陷允许拒绝服务和远程代码执行(RCE)攻击,另一些缺陷允许攻击者将恶意代码注入到访问受感染网站的用户的网页和浏览器中并执行代码。
两个新的严重安全缺陷需要立即引起注意:其中一个是DrayTek路由器Web UI组件中最严重的RCE缺陷;另一个是操作系统命令执行/虚拟机逃逸缺陷。其中9个缺陷是严重性中等的威胁,3个是严重性比较低的缺陷。这些安全缺陷存在于24款DrayTek路由器型号中。
DrayTek已通过不同的固件更新补丁修复了所有这些安全缺陷,然而企业不应该仅满足于打补丁。为了降低将来DrayTek路由器出现类似的安全缺陷风险,安全团队还应该主动实施长期缓解措施,包括禁用不需要的远程访问、验证没有添加未经授权的远程访问配置文件、启用系统日志功能以及仅使用HTTPS等安全协议。
原文链接:
https://www.darkreading.com/endpoint-security/thousands-draytek-routers-at-risk-14-new-vulnerabilities