教育网络安全动态
2021年10月第3期(2021.10.22-2021.10.28)
一、政策要闻
1.《中华人民共和国反电信网络诈骗法(草案)》公布
10月23日,《反电信网络诈骗法》(草案)等多部法案公布全文,草案为反电信网络诈骗工作提供法治保障,对于保护公民合法权益,维护社会稳定和国家安全具有重大意义,该草案面向社会公众征求意见,截止日期为2021年11月21日。
(来源:中国人大网)
2.网信办《互联网用户账号名称信息管理规定 (征求意见稿)》公开征求意见
为了规范对互联网用户账号名称信息的管理,保障公民、法人和其他组织的合法权益,维护良好网络生态,营造清朗网络空间,根据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《互联网信息服务管理办法》《网络信息内容生态治理规定》等法律法规和国家有关规定,国家互联网信息办公室对2015年3月1日正式施行的《互联网用户账号名称管理规定》进行了修订,现向社会公开征求意见。
(来源:网信中国)
3.第十三届信息安全漏洞分析与风险评估大会召开
2021年10月22日,2021世界物联网博览会信息安全高峰论坛暨第十三届信息安全漏洞分析与风险评估大会在江苏省无锡市顺利召开。本次大会围绕服务国家网络安全发展和数字经济社会建设的现实战略需求,重点聚焦前沿热点、始终坚持专业导向、不断推动开放共享、着力搭建国际平台,通过打造海内外知名技术专家学者深度沟通交流的纽带桥梁,探讨国内外前沿创新性技术发展方向和重大热点安全事件,深挖漏洞分析与风险评估领域重点、难点技术问题,推动科技研究和技术创新成果在业界的共享共用,获得技术专家普遍重视、深得网安业界各方支持,实现了“融合多方智慧、汇集群策优势、凝聚创新成果”的办会成效。
(来源:安全牛)
4.“东华杯”2021年大学生网络安全邀请赛暨第七届上海市大学生网络安全大赛正式启动
为认真学习贯彻习近平总书记在网络安全和信息化工作座谈会上的重要讲话精神,发挥网络安全防护对信息化发展的保障作用,宣传普及网络安全知识,提高大学生网络安全防护意识和技能,增强大学生实践能力和创新精神,探索网络安全人才培育新模式,不断提升网络安全人才培养质量,由上海市教育委员会主办的“东华杯”2021年大学生网络安全邀请赛暨第七届上海市大学生网络安全大赛将于2021年11月在东华大学举办。
(来源:安世加)
5.工信部印发《物联网基础安全标准体系建设指南 (2021版)》
工业和信息化部近日印发《物联网基础安全标准体系建设指南(2021版)》。提出到2022年,初步建立物联网基础安全标准体系,研制重点行业标准10项以上,明确物联网终端、网关、平台等关键基础环节安全要求,满足物联网基础安全保障需要,促进物联网基础安全能力提升。到2025年,推动形成较为完善的物联网基础安全标准体系,研制行业标准30项以上,提升标准在细分行业及领域的覆盖程度,提高跨行业物联网应用安全水平,保障消费者安全使用。
(来源:工信微报)
二、技术资讯
6.Oracle发布2021年10月的安全公告
2021年10月19日,Oracle官方发布了多个安全漏洞的公告,包括Oracle Essbase 安全漏洞(CNNVD-202110-1470、CVE-2021-35652)、Oracle WebLogic Server 输入验证错误漏洞(CNNVD-202110-1400、CVE-2021-35617)等137个漏洞。Oracle多个产品和系统版本受漏洞影响。目前,Oracle官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
(来源:国家漏洞库CNNVD)
7.WinRAR惊现远程代码执行漏洞
据security affairs消息,网络安全专家Igor Sak-Sakovskiy发现了WinRAR的一个远程代码执行漏洞,漏洞编号CVE-2021-35052。该漏洞出现在WinRAR的Windows试用版本,漏洞版本为5.70,黑客可利用该漏洞远程攻击计算机系统。
(来源:FreeBuf )
8.国家漏洞库CNNVD:关于Apache HTTP Server代码问题漏洞的预警
近日,国家信息安全漏洞库(CNNVD)收到关于Apache HTTP Server代码问题漏洞(CNNVD-202109-1094、CVE-2021-40438)情况的报送。成功利用漏洞的攻击者,可以构造恶意数据对目标服务器进行SSRF攻击。Apache HTTP Server 2.4.48及其以下版本均受此漏洞影响。目前,Apache官方已经发布了版本更新修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。
(来源:国家漏洞库CNNVD)
9.意大利电信公司发现爱立信运营系统(OSS-RC)的两个漏洞
意大利电信公司TIM的漏洞研究部门Red Team Research (RTR) 发现了2个影响爱立信OSS-RC的新漏洞,分别为:CVE-2021-32571、CVE-2021-32569。据悉,这2个漏洞均存在18B及更早版本的OSS-RC系统中,升级后的系统使用新的爱立信库浏览工具ELEX可以规避掉类似漏洞。
(来源:FreeBuf)
三、国际视野
10.印度政府发布电力行业网络安全指南
10日上旬,印度电力部和中央电力管理局(CEA)发布了电力行业网络安全指导方针,概述了提高电力部门网络安全准备水平所需采取的行动,旨在创建一个安全的网络生态系统。该指南是在与利益攸关方商议并征求网络安全专家机构意见后制定的。这些组织包括印度计算机应急响应小组(CERT-In)、国家关键信息基础设施保护中心(NCIIPC)、国家大学学者协会(NSCS)和坎普尔信息技术研究所(IIT-坎普尔)。
(来源:数世咨询)
11.黑客以800美元的价格出售5000万条莫斯科司机数据记录
据bleeping computer网站报道,黑客正在某地下论坛出售一个包含5000万条莫斯科司机数据记录的数据库,售价800美元。据了解,这不是黑客第一次甚至第二次在网络上泄露数百万莫斯科车主的个人数据。2020年8月,一个约包含100万条记录的数据包以1500美元的价格被放到黑客论坛出售,同年5月,又有人以2800美元的价格售卖俄罗斯其它地方的车主数据,且支持以14000美元的价格独家买断。
为何这次数量更多的数据价格却较低,该网站分析认为这些数据部分已经过时,不再具有实用性,但其它仍具有实效性的数据依然会被用于网络钓鱼等犯罪活动,对车主的信息财产安全仍存在实质性威胁。
(来源:FreeBuf)
12.伊朗加油站因遭到网络攻击而停止服务
10月26日,伊朗的加油站系统遭受了一次网络攻击,导致全国多地加油系统停止服务。此外,多处户外电子广告牌上信息也被篡改。此次受影响的是伊朗国家石油产品分销公司(NIOPDC),在全国有3500多处加油站点,攻击的主要目标是旗下享受政府补贴价格的加油管理系统,顾客在此可获得每升5美分或每加仑20美分的补贴,伊朗大多数车主都通过此系统加油。事件发生后,加油站的屏幕被打上“cyebrattack 64411”字样,这是最高领袖阿亚图拉·阿里·哈梅内伊办公室的电话号码。而多个城市的电子广告牌上也出现了“哈梅内伊!我们的燃料呢?”的字样,以及宣称当地加油站有免费汽油的虚假信息,导致大量车主挤满了加油站。
(来源:FreeBuf)
13.英国最大零售商乐购公司的网站和App遭到攻击
当地时间23日,英国最大零售商乐购公司的网站和App遭到攻击,客户无法浏览商品和下单,查询订单也出现故障。据英国媒体报道,乐购公司的网站和App在周末两天都受到干扰。乐购公司一名发言人称,有人试图干扰网络系统,导致网站搜索功能出现问题。公司在其社交媒体账号上承认公司的网站出现了技术问题,并表示团队正在努力修复,客户数据目前处于安全状态。
(来源:央视财经)
14.韩国突然出现大面积断网:因“设置错误”
当地时间25日下午,据韩国媒体援引韩国KT通信公司声明报道,当天上午出现的KT公司有线及无线网络服务突然中断的事故,原因经查明为“设置错误”,网络中断时间近40分钟。故障排除后,中断的网络服务已经恢复。
(来源:环球网)
15.宏碁服务器再次被窃,超60GB用户数据或被出售
宏碁服务器数据再次被窃,该公司数百万客户和客户的数据目前被扣押。超过60GB的委托人、客户和零售商的信息现在掌握在黑客手中,他们正在寻找买家出售这些数据。此次泄密主要影响印度的客户,这是宏碁在过去七个月里遭遇的第二次黑客攻击。前一次是在3月份,据REvil黑客组织声称,那次攻击涉及创纪录的5,000万美元赎金。
(来源:FreeBuf)
以上内容不代表本部门观点,如有侵权请及时联系我们。