教育网络安全动态 2022年4月第4期(2022.4.22-2022.4.28) 一、政策要闻 1.第九届“首都网络安全日”拉开帷幕 4月27日,由北京市人民政府主办,北京市公安局联合北京市互联网信息办公室共同承办的第九届“首都网络安全日”系列活动正式启动。本次活动通过专题直播、产业研讨、线上答题等多种形式,进一步提升社会网络安全意识,增强群众网络安全防护能力,共筑清朗网络空间。 (来源:首都网警) 2.北京知识产权信息服务网点将达80个 4月27日,在2022年全国知识产权宣传周之际,北京市知识产权信息公共服务推进大会在京以线上形式召开。会上,北京市知识产权局副局长、一级巡视员李钟发布了《北京市知识产权信息公共服务体系建设行动方案(2022—2024年)》(以下简称《行动方案》)。《行动方案》从夯实知识产权信息公共服务基础、丰富知识产权信息公共服务产品和供给、提升知识产权信息服务能力和水平、营造优良知识产权信息服务环境等四个方面提出12项重点工作举措和41个具体工作着力点。 北京为未来三年的知识产权信息服务定下多个“小目标”,到2024年,北京市知识产权公共信息服务平台年访问量近200万次,高校知识产权信息服务中心和北京市知识产权信息服务网点达80家。 (来源:北京日报) 3.“北京网络举报”微信公众号和微博账号正式开通 为进一步拓宽北京互联网违法和不良信息举报渠道,加强网络举报相关政策法规宣传,及时发布各类辟谣信息,北京市互联网信息办公室网络舆情和举报中心于4月26日正式开通了“北京网络举报”微信公众号和微博账号。“北京网络举报”微信公众号面向社会公众提供一键举报、政策法规查询、信息发布等服务。社会公众发现北京属地互联网平台上的违法和不良信息,可以直接点击公众号上的“一键举报”菜单进行举报,只需在手机上提供链接、截图、举报说明等,即可进行实名或匿名举报。 (来源:北京网络举报) 4.10项网络安全国家标准获批发布 根据2022年4月15日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2022年第6号),全国信息安全标准化技术委员会归口的10项国家标准正式发布。其中包括《GB/T 41479 信息安全技术 网络数据处理安全要求》等新发标准。 (来源:全国信息安全标准化技术委员会秘书处) 二、技术资讯 5.Apache Struts2重大漏洞通报 Apache Struts2安全漏洞(CNNVD-202204-3223、CVE-2021-31805):成功利用此漏洞的攻击者,可在目标服务器远程执行恶意代码,进而控制目标服务器。Apache Struts2 2.0.0版本至2.5.29版本均受漏洞影响。目前,Apache官方已发布新版本修复了漏洞,请用户及时确认是否受到漏洞影响,尽快采取修补措施。 (来源:CNNVD安全动态) 6.新的Nimbuspwn Linux漏洞赋予黑客root权限 一组新的漏洞被集体追踪为Nimbuspwn,这些漏洞可能让本地攻击者升级Linux系统上的权限,部署从后门到勒索软件的恶意软件。微软的安全研究人员在近期的一份报告中披露了这些问题,指出它们可以链接在一起,从而在易受攻击的系统上获得root权限。Nimbuspwn安全问题被追踪为CVE-2022-29799和CVE-2022-29800,在networkd dispatcher中发现,networkd dispatcher是一个在Linux机器上发送连接状态更改的组件。 (来源:汇能云安全) 7.VMware vCenter爆一信息泄露漏洞 Pentera Labs 的高级安全研究员 Yuval Lazar 发现了一个信息泄露漏洞,该漏洞影响了超过 50万台运行默认 vCenter Server 部署的设备。考虑到其潜在的全球影响,这一发现至关重要。根据VMware的数据,超过 80% 的虚拟工作负载运行在VMware技术上,包括财富500强和财富100强公司。vCenter 为管理企业环境中的虚拟化主机提供的便利性为网络犯罪分子提供了集中访问权限,并有可能对组织造成大面积攻击。在完整的攻击流程中,攻击者可以完全接管一个组织部署在混合基础设施中的ESXi和由hypervisor托管和管理的虚拟机,从端点访问到vCenter客户端的主机。 (来源:嘶吼专业版) 8.Java加密漏洞PoC代码公开,受影响的版本需尽快升级 近日,安全研究人员Khaled Nassar在Github上公开了Java 中新披露的数字签名绕过漏洞的PoC代码,该漏洞被追踪为CVE-2022-21449(CVSS 分数:7.5)。该漏洞被称为 Psychic Signatures,与Java 对椭圆曲线数字签名算法 ( ECDSA )实现有关,这是一种加密机制,用于对消息和数据进行数字签名,以验证内容的真实性和完整性。但Psychic Signatures导致的加密错误,能够允许呈现一个易受攻击的完全空白的签名,攻击者可以此利用伪造签名并绕过身份验证措施。Nassar 证明,设置恶意 TLS 服务器可以欺骗客户端接受来自服务器的无效签名,从而有效地允许 TLS 握手的其余部分继续进行。 (来源:汇能云安全) 三、国际视野 9.Google Play Store现在强制应用程序披露收集的数据 谷歌正在Android的官方应用程序存储库Play Store上推出一个新的数据安全部分,开发者必须在其中声明他们的软件从应用程序用户那里收集的数据。这就像一个隐私标签,让用户一眼就能看到关键信息,这应该足以帮助他们决定是否继续安装。开发者不仅要声明他们收集的数据,还要声明他们与第三方共享的数据,本质上相当于披露收集背后的目的。 (来源:汇能云安全) 10.上帝视野!美企监视全球数十亿台手机,实时观测俄军/CIA特工动向 俄乌冲突全面爆发的几个月前,两家鲜为人知的美国公司正在商谈监视技术合作事宜。他们希望进行的合作,是通过手机对数十亿人的动向进行追踪,与从Twitter公司直接购买的巨量用户数据融合。这一合作将打造出超强的监视能力。美国政府可以利用它,轻松监控俄罗斯军队、追踪中国核潜艇动向。为了证明这一点,其中一家公司进行了验证,利用手机数据监视美国国家安全局和中央情报局的特工。能够利用数据对手机用户进行追踪的是两名前军事情报官员2018年建立的Anomaly Six公司。媒体报道称,从这家公司的官方网站上基本看不出其从事的业务,但事实上它却有很大可能对不少人的情况了如指掌。之所以能做到这一点,是因为这家公司掌握着先进的用户数据分析技术。 (来源:汇能云安全) 11.根据新的欧盟立法,谷歌、Meta和其他公司将不得不解释他们的算法 欧盟已经就另一项雄心勃勃的立法达成一致,以监管网络世界。近日,经过数小时的谈判,欧盟就《数字服务法》(Digital Services Act,简称DSA)的广泛条款达成一致,这将迫使科技公司对其平台上出现的内容承担更大的责任。新的义务包括更快地删除非法内容和商品,向用户和研究人员解释他们的算法是如何工作的,以及对错误信息的传播采取更严格的行动。公司因违规将面临高达其年营业额6%的罚款。 (来源:安全头条) 12.美国政府为六个大学团队拨款1200万美元开发网络防御工具 由这六家大学牵头的研究、开发和演示 (RD&D) 项目而开发出的网络安全工具将专注于检测、拦截和缓解对美国电力网内关键控制的攻击尝试。这六个团队将同时着力于创新性技术,赋能能源交付系统并在遭受网络攻击后迅速复原。美国能源部指出,“能源部网络安全、能源安全和应急响应 (CESER)办公室将资助六个大学团队执行网络安全RD&D,促进异常检测、人工智能和机器学习以及物理分析的发展,增强下一代能源系统的安全。这些系统包括变电站中用于更快速地检测网络入侵以及自动拦截对控制功能访问权限的组件。” (来源:汇能云安全) 以上内容不代表本部门观点,如有侵权请及时联系我们。
|