新闻速览
•四大行业协会同日发布安全提示声明:审慎采购美国芯片
•《网络安全技术 基于互联网电子政务信息安全实施指南 第1部分:总则》等2项国家标准公开征求意见
•欧洲理事会通过新法案加强网络安全
•史上最大规模网络犯罪联合打击行动收网,抓获5500余名网络犯罪嫌疑人
•新型钓鱼攻击手法出现,利用损坏Word文档规避安全检测
•英国国防部600余员工登录凭证现身暗网,引发安全担忧
•IBM安全设备曝硬编码凭据漏洞,已发布紧急补丁修复
•Safari浏览器零日漏洞或已遭利用,多个Apple应用平台被波及
•AWS发布全新智能化事件响应服务,可构建全天候云安全防线
•Crypto.com推出巨额漏洞赏金计划,总额超过200万美元
特别关注
四大行业协会同日发布安全提示声明:审慎采购美国芯片
美国政府日前发布了对华半导体出口管制措施。该措施进一步加严对半导体制造设备、存储芯片等物项的对华出口管制,并将136家中国实体增列至出口管制实体清单,还拓展长臂管辖,对中国与第三国贸易横加干涉,是典型的经济胁迫行为和非市场做法。12月3日,中国互联网协会、中国汽车工业协会、中国半导体行业协会、中国通信企业协会分别发布安全提示声明,呼吁或建议国内企业审慎选择采购美国芯片。
中国半导体行业协会声明称,在全球经济一体化的今天,美国的单边主义行为不仅损害了中美两国企业的利益,也极大增加了全球半导体供应链成本。随着美国出口管制措施不断加码,其反噬效应也在持续扩大,美国对华管制措施的随意性对美国企业也造成了供应链中断、运营成本上升等影响,影响了美国芯片产品的稳定供应,美国芯片产品不再安全、不再可靠,中国相关行业需谨慎采购美国芯片。
中国汽车工业协会声明称,美国政府随意修改管制规则,严重影响了美国芯片产品的稳定供应,中国汽车行业对采购美国企业芯片产品的信任和信心正在被动摇,美国汽车芯片产品不再可靠、不再安全。为保障汽车产业链、供应链安全稳定,协会建议中国汽车企业谨慎采购美国芯片。
中国互联网协会发布声明称,为确保我国互联网产业安全、稳定、可持续发展,我会呼吁国内企业主动采取应对措施,审慎选择采购美国芯片,寻求扩大与其他国家和地区芯片企业的合作,并积极使用内外资企业在华生产制造的芯片。
中国通信企业声明称,美国政府此举既严重破坏了国际贸易规则,又给中国信息通信行业的产业链、供应链安全稳定带来实质性损害。中国信息通信业对于采购美国企业芯片产品的信任和信心已经动摇,认为美国芯片产品不再可靠,不再安全,呼吁政府开展关键信息基础设施供应链安全调查,采取有力措施,保障关键信息基础设施安全稳定运行。
原文链接:
https://mp.weixin.qq.com/s/9Yv_4sM5fXg7TWG3kBO5wA
《网络安全技术 基于互联网电子政务信息安全实施指南 第1部分:总则》等2项国家标准公开征求意见
日前,全国网络安全标准化技术委员会归口的《网络安全技术 基于互联网电子政务信息安全实施指南 第1部分:总则》和《信息技术 安全技术 网络安全 第6部分:无线网络访问安全》2项国家标准现已形成标准征求意见稿。根据《全国网络安全标准化技术委员会标准制修订工作程序》要求,全国网络安全标准化委员会秘书处特将该2项标准征求意见稿面向社会公开征求意见。标准相关材料已发布在网安标委网站,如有意见或建议请于2025年1月31日24:00前反馈秘书处。
原文链接:
https://www.tc260.org.cn/front/bzzqyjList.html?start=0&length=10
热点观察
欧洲理事会通过新法案加强网络安全
12月2日,欧洲理事会通过两项关于网络安全的法案,旨在进一步加强欧盟抵御网络威胁的能力和网络团结合作。这两项法律分别为《网络团结法案》和《网络安全法案》修正案,属于欧盟网络安全立法“一揽子计划”的一部分。
欧洲理事会发表声明说,《网络团结法案》构建了欧盟在应对网络威胁方面的能力,同时加强了合作机制。例如,欧盟将建立一个由国家和跨境网络中心组成的“网络安全警报系统”,以实现信息共享、检测并应对网络威胁。该法案还提出建立网络安全应急机制,以提高欧盟的突发事件响应能力。《网络安全法案》修正案承认托管安全服务在预防、检测、响应和恢复网络安全事件方面的重要性日益增加,该修正案将有助于提高托管安全服务的质量,培养值得信赖的网络安全服务商。
声明介绍,两项新法案经欧洲理事会主席和欧洲议会议长签署后,将于未来几周内在欧盟官方刊物上公布,并于公布20天后生效。
相关链接:
http://www.news.cn/world/20241203/6e57f6719e2b471bb3f82832d345b881/c.html
史上最大规模网络犯罪联合打击行动收网,抓获5500余名网络犯罪嫌疑人
国际刑警组织近日宣布,代号为"HAECHI V"的全球执法行动已经圆满结束并取得重大成果,逮捕超过5500名嫌疑人,查获资产超4亿美元。该行动于2024年7月至11月期间开展,涉及40个国家,主要打击网络诈骗、钓鱼攻击、网恋诈骗、投资诈骗、网络赌博、商务邮件诈骗和电子商务欺诈等犯罪行为。
在此次行动中,韩国和中国执法部门联合捣毁了一个造成1900多名受害者损失达11亿美元的语音诈骗集团,逮捕27人并对19人提起诉讼。国际刑警组织还发布了紫色通报,警告各国防范一种新型加密货币诈骗活动——"USDT代币授权诈骗"。诈骗分子首先通过网恋手段引诱受害者,诱导其在合法平台购买泰达币(USDT),随后通过分享虚假投资平台的钓鱼链接,秘密获取受害者钱包访问权限并盗取资金。
此外,国际刑警组织与80多个国家的执法部门加强了对I-GRIP资金追踪工具的应用。新加坡警方利用该工具成功拦截了一笔3930万美元的非法转账。这起案件中,一家公司被骗将4230万美元转入东帝汶的虚假账户,当地执法部门及时介入并拦截了大部分资金。警方已逮捕7名嫌疑人并追回260万美元。目前东帝汶、印度尼西亚和新加坡的相关调查仍在进行中。
原文链接:
https://securityaffairs.com/171593/cyber-crime/operation-haechi-v-5500-arrests.html
网络攻击
新型钓鱼攻击手法出现,利用损坏Word文档规避安全检测
安全研究人员发现了一种新型钓鱼攻击手法,攻击者通过发送故意损坏的Word文档作为电子邮件附件来规避安全软件检测。恶意软件分析公司Any.Run近日披露,这些钓鱼邮件伪装成来自人力资源部门的薪资福利通知。
这些损坏的文档可被Microsoft Word程序修复。当用户打开附件时,Word会提示发现"无法读取的内容"并询问是否要恢复文件。修复后的文档会显示一个二维码,并要求用户扫描以获取文档内容。这些文档通常会加入目标公司的标识,以增加真实性。一旦用户扫描二维码,就会被诱导至伪装成Microsoft登录界面的钓鱼网站,目的是窃取用户的账号凭证。
安全研究人员指出,大多数安全解决方案无法正确对其进行文件类型识别,导致无法检测到威胁。VirusTotal平台的检测结果显示,几乎所有样本都未被杀毒软件标记为恶意,部分样本仅被2个厂商检出。这可能因为文档本身不包含恶意代码,仅与其中的二维码有关。
原文链接:
https://www.bleepingcomputer.com/news/security/novel-phishing-campaign-uses-corrupted-word-documents-to-evade-security/
英国国防部600余员工登录凭证现身暗网,引发安全担忧
英国国防部(MOD)近日发现,在过去四年中,近600名员工用于访问国防门户网站(Defence Gateway)的登录凭证在暗网上被泄露流传。Defence Gateway是国防部员工使用的非机密门户网站,主要用于人力资源管理、电子邮件协作以及教育培训等功能。虽然该网站采用了多因素认证(MFA)防护措施,但目前尚不清楚这些被盗凭证是否被成功利用。如果攻击者成功突破防线,可能会获取个人数据,但具体是否造成更深层次的入侵仍需进一步调查。
关于凭证泄露的原因,分析显示多数员工是使用个人设备而非军方配发的设备访问网站,增加了安全风险。最可能的攻击途径是通过钓鱼攻击或信息窃取恶意软件。
网络安全专家Graham Cluley指出,被泄露的凭证可能导致员工在其他使用相同密码的网站面临风险,攻击者还可能利用这些信息构建用户画像,为进一步的网络间谍活动或信息窃取行为做准备。
原文链接:
https://www.csoonline.com/article/3615760/hundreds-of-uk-ministry-of-defence-passwords-found-circulating-on-the-dark-web.html
漏洞预警
IBM安全设备曝硬编码凭据漏洞,已发布紧急补丁修复
IBM Security Verify访问设备曝出多个严重漏洞,其中包括一个可导致远程命令执行的高危缺陷。IBM近日披露了其Security Verify Access Appliance产品中存在的多个严重安全漏洞,影响版本范围涵盖10.0.0至10.0.8 IF1。
漏洞CVE-2024-49803的CVSS基准评分高达9.8分。该漏洞源于系统在处理操作系统命令时未能正确过滤特殊字符,可能导致操作系统命令注入攻击。远程认证攻击者可以通过发送特制请求在系统上执行任意命令。
另外还有两个严重漏洞CVE-2024-49805和CVE-2024-49806的CVSS评分为9.4分,这些漏洞与硬编码凭据的使用有关。这些预设的凭据可能是密码或加密密钥,用于入站身份验证、与外部组件的出站通信或内部数据加密,严重增加了未经授权访问和数据泄露的风险。
IBM已发布修复补丁版本10.0.8-ISS-ISVA-FP0002。目前除了应用此补丁外,这些漏洞没有其他已知的规避或缓解方案。IBM强烈建议受影响版本的用户尽快安装补丁以降低安全风险,并保持持续警惕以防止漏洞被利用。
原文链接:
https://cybersecuritynews.com/ibm-security-verify-vulnerabilities/
Safari浏览器零日漏洞或已遭利用,多个Apple应用平台被波及
Google威胁分析小组(TAG)的研究人员发现,Apple Safari浏览器中存在一个严重的远程代码执行漏洞(CVE-2024-44308),该漏洞已被在野利用。这个高危漏洞位于WebKit的JavaScriptCore组件中,攻击者可通过处理特制的网页内容执行任意代码。
Apple已确认该漏洞在基于Intel的Mac系统上遭到了主动利用。技术分析显示,该漏洞源于WebKit的DFG JIT编译器中的寄存器损坏问题,具体与scratch2GPR寄存器的不当分配时序有关。该漏洞影响多个Apple平台,包括iOS、iPadOS、macOS和visionOS。受影响的版本包括iOS和iPadOS 17.7.2和18.1.1之前的版本、macOS Sequoia 15.1.1之前的版本、visionOS 2.1.1之前的版本以及Safari 18.1.1之前的版本。
为应对这一威胁,Apple已通过改进检查机制修复了该漏洞,并在最新版本中发布了补丁。美国网络安全和基础设施安全局(CISA)已将CVE-2024-44308添加到其已知利用漏洞目录中,并敦促用户和组织在2024年12月12日之前应用必要的补丁。
原文链接:
https://cybersecuritynews.com/apple-safari-remote-code-execution-vulnerability/
产业动态
AWS发布全新智能化事件响应服务,可构建全天候云安全防线
AWS近日推出了一项安全事件响应服务,旨在自动化处理网络攻击。该服务已在全球12个区域部署,可帮助组织实时应对账户接管和勒索软件攻击等威胁。
这项名为AWS Security Incident Response的服务与AWS现有的GuardDuty威胁检测服务和通过AWS Security Hub接入的第三方安全工具进行整合。该平台引入了基于客户特定数据的自动分类功能,可根据预期行为模式过滤警报,从而解决安全团队面临的海量日常警报问题,避免重要安全通知被忽视的风险。
该服务与AWS Organizations整合,为当前和未来的账户提供安全覆盖。组织需要在其AWS基础设施中选择一个中央账户,用于创建和管理所有活动及历史安全事件。该服务通过部署特定的身份和访问管理(IAM)角色来执行安全管控操作,确保对AWS服务和资源的安全访问。用户还可以获得AWS客户事件响应团队(CIRT)提供的全天候支持。平台的仪表板包含平均解决时间(MTTR)等性能指标,并可跟踪特定时间段内的活动和已关闭案例数量。
原文链接:
https://cybermagazine.com/articles/aws-targets-cloud-security-with-incident-response-platform
Crypto.com推出巨额漏洞赏金计划,总额超过200万美元
全球知名加密货币交易所Crypto.com近日与HackerOne合作推出了一项重磅漏洞赏金计划,悬赏金额高达200万美元,创下HackerOne平台所有漏洞赏金项目的最高记录。该计划旨在鼓励白帽黑客社区报告安全漏洞,进一步提升平台安全性。
作为一家拥有超过1亿用户的全球性加密货币交易平台,Crypto.com一直将安全性作为重中之重。该公司首席信息安全官Jason Lau表示:"我们一直将道德黑客社区视为安全团队的延伸,与其保持密切合作。此次创纪录的赏金计划不仅深化了我们与HackerOne的合作关系,也彰显了我们加强用户保护的决心。"
近年来,加密货币行业因其巨大的经济利益,已成为网络犯罪分子的重点攻击目标。根据区块链情报公司TRM的数据显示,仅2023年,黑客就窃取了至少6亿美元的加密货币。在此背景下,Crypto.com的这一举措显得尤为重要。作为一家总部位于新加坡的公司,Crypto.com通过加强安全性、合规性和监管许可来推进其"加密货币进入每一个钱包"的使命。
原文链接:
https://www.infosecurity-magazine.com/news/cryptocom-launches-2m-bug-bounty/