教育网络安全动态 2022年5月第1期(2022.4.29-2022.5.6) 一、政策要闻 1.中国证监会就《证券期货业网络安全管理办法(征求意见稿)》公开征求意见 为建立健全证券期货业网络安全监管制度体系,防范化解行业网络安全风险隐患,维护资本市场安全平稳高效运行,证监会起草了《证券期货业网络安全管理办法(征求意见稿)》,现向社会公开征求意见。 (来源:证监会官网) 2.《网络安全标准实践指南—个人信息跨境处理活动认证技术规范(征求意见稿)》公开征求意见 为指导个人信息处理者规范开展个人信息跨境处理活动,信安标委秘书处组织编制了《网络安全标准实践指南—个人信息跨境处理活动认证技术规范(征求意见稿)》。根据《全国信息安全标准化技术委员会<网络安全标准实践指南>管理办法(暂行)》要求,秘书处现组织对《网络安全标准实践指南—个人信息跨境处理活动认证技术规范(征求意见稿)》面向社会公开征求意见。 (来源:全国信息安全标准化技术委员会秘书处) 3.新浪微博升级显示IP归属地新功能 近日,新浪微博社区管理官方微博发布《IP属地功能升级公告》称,站方于今年3月上线展示用户“IP属地”功能,将在此前基础上进行产品升级和新功能上线,全量开放评论展示发评IP属地小尾巴功能;上线“个人主页一级页面展示IP属地”功能。该功能的上线引发大量网友热议,争议主要有两种声音:一是担心过多暴露个人隐私,二是持支持态度,认为能减少谣言、保护网络安全。网络并非不法之地,作为守法公民,不论是否有显示IP归属地功能,我们都应当做到文明上网,遵纪守法。 (来源:新浪微博) 二、技术资讯 4.DNS曝高危漏洞,影响数百万物联网设备 近日,Nozomi Networks发出警告,uClibc库的域名系统 (DNS) 组件中存在一个高危漏洞,编号为CVE-2022-05-02,该漏洞将影响所有版本uClibc-ng库的域名系统(DNS),因此,数百万台使用uClibc库的物联网设备都也将受到影响。资料显示,uClibc库专门为OpenWRT设计的一个分支,OpenWRT 是用于各种关键基础设施部门的路由器的通用操作系统。通过该漏洞,攻击者可以进行DNS中毒或DNS欺骗攻击,并将受害者重定向到恶意网站而不是合法网站。Nozomi Networks在报告中写到,该漏洞是由库生成的DNS请求中包含的事务ID的可预测性引起,可能允许攻击者对目标设备执行DNS中毒攻击。安全专家尚未透露该漏洞的细节,因为供应商暂时没有解决该问题。 (来源:汇能云安全) 5.黑客利用关键的VMware RCE漏洞安装后门 调查发现,高级黑客正在积极利用影响VMware Workspace ONE Access(以前称为 VMware Identity Manager)的关键远程代码执行(RCE)漏洞CVE-2022-22954。庆幸的是,该问题已在20天前的安全更新中得到解决,不过另外两个编号为RCE - CVE-2022-22957和CVE-2022-22958的漏洞也会影响VMware Identity Manager (vIDM)、VMware vRealize Automation (vRA)、VMware Cloud Foundation 和vRealize Suite生命周期管理控制台。 (来源:FreeBuf) 三、国际视野 6.医疗软件公司因泄露49万名患者的数据而被罚款150万欧元 法国数据保护局 (CNIL) 根据 GDPR(通用数据保护条例)的三条条款,对医疗软件供应商 Dedalus Biology 处以 150 万欧元的罚款。Dedalus Biology为全国数千家医学实验室提供服务,罚款是因为暴露28家实验室491939名患者的敏感细节。这些信息在互联网上被广泛分享,因此Dedalus Biology的客户面临着被社会工程、网络钓鱼、诈骗甚至勒索的风险。数据库泄漏的最初迹象出现在2020年3月,ANSSI于2020年11月向其中一个暴露的实验室发布了相关警报。 (来源:安全客) 7.GitHub:2023年底前所有用户账户需启用双因素身份验证 近日,代码托管平台GitHub 宣布了一项新的账户保护机制,所有上传代码的开发者及用户账户必须在2023年底前启用一种或多种形式的双因素身份验证 (2FA)。GitHub给定的2FA提供了多种选项,包括物理安全密钥、内置于手机和笔记本电脑等设备中的虚拟安全密钥、或基于时间的一次性密码 (TOTP) 身份验证器应用程序。尽管基于短信验证的2FA在一些国家和地区已经得到广泛应用,但GitHub仍希望用户启用安全密钥或 TOTP,在既往的攻击事件中,黑客已能够绕过或窃取短信验证信息。根据GitHub此前的内部统计显示,只有约16.5%的活跃用户在账户上启用了增强的安全措施,鉴于该平台的用户群应该意识到仅有密码保护的风险,这个数字低得令人惊讶。但根据新的规定,如果用户账户没有在规定的最后期限内启用2FA,账户将会被GitHub注销。 (来源:汇能云安全) 8.PSA:Onyx勒索软件破坏大文件而不是加密它们 新的Onyx勒索软件操作正在销毁大文件而不是加密它们,即使支付了赎金,也可以防止这些文件被解密。近期,安全研究人员Malwarehuntertem发现,一个名为Onyx的新勒索软件操作已经启动。像当今大多数勒索软件操作一样,Onyx威胁参与者在加密设备之前从网络中窃取数据。然后,这些数据被用于双重勒索计划,如果不支付赎金,他们会威胁公开发布这些数据。 (来源:汇能云安全) 以上内容不代表本部门观点,如有侵权请及时联系我们。
|