教育网络安全动态
2021年9月第4期(2021.9.17-9.28)
一、政策要闻
1.《中国互联网发展报告2021》和《世界互联网发展报告2021》蓝皮书发布
9月26日下午,中国网络空间研究院在世界互联网大会乌镇峰会上发布《中国互联网发展报告2021》和《世界互联网发展报告2021》蓝皮书。作为第五次发布的世界互联网大会重要理论成果,蓝皮书在保持框架内容稳定性的同时,注重继承上的创新,更加聚焦把握时代主题和任务主线,更加关注呈现鲜活经验和创新做法。
(来源:网信中国)
2.教育部等6部门:做好现有线上学科类培训机构由备案改为审批工作
近日,教育部等六部门印发《关于做好现有线上学科类培训机构由备案改为审批工作的通知》,通知中强调已备案的、面向中小学生的线上学科类培训机构审核通过基本条件需满足以下网络安全要求:严格落实《中华人民共和国网络安全法》和《中华人民共和国数据安全法》等法律法规要求,达到网络安全保护三级(含)以上防护标准;教育移动应用提供者应当建立覆盖个人信息收集、储存、传输、使用等环节的数据保障机制,储存100万人以上个人信息的线上校外培训APP,应通过个人信息保护影响评估、认证或合规审计。
(来源:微言教育)
3.公安部网安局局长:严厉打击危害数据安全的各类违法犯罪活动
国新办9月17日举行新闻发布会,介绍公安机关护航全面建成小康社会有关情况。公安部网络安全保卫局局长王瑛玮在发布会上表示,数据安全事关国家安全、公共安全和广大群众的切身利益。目前,《数据安全法》已正式实施。公安机关将充分发挥职能作用,采取切实有效措施,全力保障国家数据安全。一是在有关部门的统筹协调下,建立完善数据安全工作机制、政策和基础制度,为贯彻落实《数据安全法》提供各项保障。二是深入推进关键信息基础设施安全保护和网络安全等级保护工作,制定出台数据安全保护技术标准,督促、指导数据处理者采取相应的技术措施和必要的其他措施,保障数据安全。三是加强数据安全监督管理,组织开展数据安全监督检查、检测评估等工作,督促数据处理者依法履行安全保护责任和义务,整改网络安全、数据安全风险、隐患、漏洞和突出问题,提高安全保护能力。四是依托国家网络与信息安全信息通报机制,加强数据安全监测、通报、预警和应急处置工作,防范数据安全事件和威胁风险。五是加强数据安全相关事件的调查处置和案件侦办,严厉打击危害数据安全的各类违法犯罪活动。
(来源:澎湃新闻)
4.全国首个涉数据纠纷专业合议庭在广州挂牌成立
9月26日全国首个涉数据纠纷专业合议庭在广州互联网法院挂牌成立。当日,该院还发布了涉数据及虚拟财产纠纷典型案例。广州互联网法院是继杭州、北京互联网法院成立后,中国成立的第三家互联网法院。记者了解到,涉数据纠纷专业合议庭将审理由该院集中管辖的涉及个人数据、企业数据、公共数据的收集、存储、使用、加工、传输、提供、公开、删除等数据处理及数据安全的第一审案件。
(来源:中国新闻网)
二、技术资讯
5.9.8分严重漏洞可能影响数百万海康威视摄像机
近日,视频监控巨头海康威视在其网站上发布了一份安全公告,警告客户存在可能影响全球部署的数百万台摄像机和NVR的网络漏洞。“命令注入漏洞”可以让威胁行为者完全控制受感染的设备,该漏洞(CVE-2021-36260)是由网络安全研究人员Watchful IP在6月份发现的,并于上周由IPVM首次报道。根据安全公告,该漏洞在通用漏洞评分系统(CVSS)中获得9.8分(满分10分),Watchful IP将其称为“最高级别的关键漏洞”。尽管这家视频监控巨头没有透露有多少产品可能受到影响,只公布了产品名称和固件版本,但IPVM估计可能有超过1亿台设备受到影响。在给合作伙伴的一封信中,海康威视通知集成商在其网站上下载更新版本的固件以修复漏洞。它还说:“我们认识到我们的许多合作伙伴可能已经安装了受此漏洞影响的海康威视设备,我们强烈建议您与您的客户合作,以确保适当的网络卫生并安装更新的固件。”
(来源:汇能云安全)
6.谷歌修复今年第11个Chrome零日漏洞:已遭在野利用
谷歌发布适用于 Windows、Mac 和 Linux 系统的Chrome 94.0.4606.61 版本,紧急修复已遭在野利用的高危0day。谷歌在安全公告中指出,“谷歌在野发现 CVE-2021-37973的利用。”该更新版本将在未来几天和几周的时间向全球用户发送桌面稳定版,并在下一次发布时检查新的更新并自动推送。CVE-2021-27973 是在谷歌 Chrome 94稳定版发布当天由谷歌威胁分析团队的研究员 Clément Lecigne 在谷歌 Project Zero 团队研究员 Sergei Glazunov 和 Mark Brand 的协助下发布的。该漏洞是位于谷歌网页导航系统 Portals 中的一个释放后使用漏洞。该漏洞如遭利用可导致攻击者在运行未修复 Chrome 版本的计算机上运行任意代码。即使谷歌表示发现在野攻击但并未共享更多详情,而是等待多数用户更新后发布。Chrome 用户应该会有足够的时间安装安全更新, 由于这些漏洞均已遭在野利用,因此强烈建议用户尽快安装所有的谷歌 Chorme 更新。
(来源:汇能云安全)
7.CNNVD 关于VMware vCenter Server多个安全漏洞的预警
近日,VMware 官方发布了多个安全漏洞公告,包括VMware vCenterServer 授权问题漏洞(CNNVD-202109-1479、CVE-2021-22017)、VMware vCenterServer 权限许可和访问控制问题漏洞(CNNVD-202109-1482、CVE-2021-21991)等9个漏洞。VMware vCenterServer 6.5、VMware vCenterServer 6.7、VMware vCenterServer 7.0版本均受漏洞影响。成功利用上述漏洞的攻击者无需用户交互及认证即可实现远程代码攻击,最终完全控制相关设备。目前,VMware官方已经发布漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。官方链接如下:
https://www.vmware.com/security/advisories/VMSA-2021-0020.html
三、国际视野
8.惊人骗局,黑客入侵比特币基金会网站,一天内盗取1.7万美元
本周,黑客攻击了比特币基金会网站 Bitcoin.org,更改了其部分内容,并利用其宣传比特币骗局。不幸的是,一大批用户陷入了这种骗局。在持续不到一天的时间里,黑客盗取了1.7万多美元。“将比特币发送到这个地址,我们将发送双倍的回报!”此外,为了增加索赔的吸引力,诈骗者写道,该优惠仅限于前一万名用户。在黑客攻击后不久,Bitcoin.org 使用 Cøbra 名称的网站运营商也针对该事件发布了公开警告,提示用户黑客的入侵。据了解,Bitcoin.org这个网站最早是中本聪和另外一个开发者Matti Malmi注册的,用来发布一些最新的开发进度,也提供白皮书和软件代码之类材料的下载。在 Cøbra 宣布之后,Bitcoin.org 的域名注册商 Namecheap 也迅速禁用了该域名,直到问题得到解决。
(来源:E安全)
9.iCloud私人中继服务被曝泄露用户IP地址
近日, iOS15测试版正式发布,其中iCloud Private Relay功能是通过采用双跳架构的方式,有效地屏蔽用户的IP地址、位置和来自网站、网络服务提供商的DNS请求,从而提高网络上的隐蔽性。它将用户在Safari浏览器上的互联网流量通过两个路由进行代理,以掩盖浏览和数据的来源,这可以被视为简化版的Tor(浏览器)。FingerprintJS(浏览器指纹库)研究员Mostsevenko称,如果从服务器收到的HTTP请求中读取 IP 地址,能够获得出口代理的IP地址,也可以直接通过 WebRTC 获取真实的客户端IP。FingerprintJS发现的漏洞与“服务器反射候选”的特定candidates有关,当来自端点的数据需要通过 NAT(网络地址转换器)传输时,STUN 服务器会生成candidates。STUN(即 NAT 会话遍历实用程序)是一种用于检索位于 NAT 后面IP 地址和端口号的工具。
(来源:Freebuf)
10.欧洲呼叫中心巨头分部遭勒索软件,多个关基组织客服中断
Covisian是欧洲规模最大的客户服务与呼叫中心供应商之一,GSS则是Covisian的西班牙与南美洲分部。日前,GSS突然遭遇勒索软件攻击,导致大部分IT系统瘫痪,面向西班牙语区客户群体的呼叫中心应声沦陷。本周,西班牙与南美洲的企业与政府部门突然发现,由服务商提供的呼叫中心及自动客户支持电话服务意外宕机。一位了解内情的消息人士表示,受到影响的呼叫中心用户包括移动运营商西班牙沃达丰、电信运营商MasMovil、马德里市供水公司、多家电视台及私营企业。在发给受影响客户的通告函中,GSS官员表示他们已经下线了此次受到影响的所有内部系统,目前正使用基于谷歌的系统作为替代方案。
(来源:汇能云安全)
以上内容不代表本部门观点,如有侵权请及时联系我们。