教育网络安全动态 2022年4月第1期(2022.3.25-2022.4.7) 一、政策要闻 1.通过“暗网”非法倒卖个人信息!北京一男子获刑3年 3月30日从北京市顺义区人民法院获悉,该院日前依法审理一起侵犯公民个人信息案件,被告人李某非法购买公民个人信息并出售牟利,经法院鉴定李某提取公民个人信息经排重后共计900余万条,法院近日一审判决李某犯侵犯公民个人信息罪,判处有期徒刑3年,罚金人民币11万元,继续追缴违法所得人民币10万余元。同时,李某须承担民事责任,删除其非法持有的公民个人信息数据,在国家级新闻媒体就侵犯公民个人信息行为向社会公开赔礼道歉。 (来源:新华网) 2.央行科技工作会议:加强金融业网络安全体系建设 3月30日,人民银行召开2022年科技工作电视会议。会议要求,要坚持稳字当头,加强金融业网络安全体系建设,做好金融数据安全管理,守牢安全生产底线。坚持系统思维,深化人民银行科技体制机制改革,统筹推进技术管控与系统建设,健全信息基础设施,全面提升新技术应用能力。坚持科技向善,落实发展规划,深入实施金融科技赋能乡村振兴示范工程、金融数据综合应用试点,运用创新监管工具规范数字技术应用,持续推动金融数字化转型。坚持强基固本,健全新型金融标准体系,建立金融领域强制性标准实施监督机制,开展金融标准创新建设试点,更好发挥金融标准化支撑引领作用。 (来源:经济日报) 3.信安标委征求国家标准《信息安全技术 电子政务移动办公系统安全技术规范》(征求意见稿)意见 全国信息安全标准化技术委员会归口的国家标准《信息安全技术 电子政务移动办公系统安全技术规范》现已形成标准征求意见稿,并公开征求意见。该规范提出了电子政务移动办公系统安全技术框架,规定了移动终端安全、移动通讯安全、移动接入安全、服务终端安全和安全管理中心等各部分技术要求,以及测试评价方法。 (来源:信安标委网站) 二、技术资讯 4.严重性 GitLab 漏洞,允许攻击者接管帐户 GitLab解决了一个严重漏洞,该漏洞可能允许远程攻击者使用硬编码密码接管用户帐户。该漏洞(在内部发现并跟踪为CVE-2022-1162)同时影响GitLab社区版(CE)和企业版(EE)。此漏洞源于在GitLab CE/EE中基于OmniAuth的注册过程中意外设置的静态密码。 GitLab敦促用户立即将所有GitLab安装升级到最新版本(14.9.2、14.8.5或14.7.7),以阻止潜在的攻击。他们说:“我们强烈建议所有运行受以下问题影响的版本的安装尽快升级到最新版本”。提交两天的代码提交显示GitLab删除了lib/GitLab/密码。rb'文件,用于将弱硬编码密码分配给'TEST_DEFAULT'常量。 (来源:安全客) 5.Spring Cloud Function安全漏洞通报 国家信息安全漏洞库(CNNVD)收到关于Spring Cloud Function安全漏洞(CNNVD-202203-2641、CVE-2022-22963)情况的报送。成功利用此漏洞的攻击者,可在目标服务器远程执行恶意代码,进而控制目标服务器。Spring Cloud Function 3.0.0.M3-3.2.2版本均受漏洞影响。目前,Spring官方已发布新版本修复了漏洞,请用户及时确认是否受到漏洞影响,尽快采取修补措施。 (来源:CNNVD) 三、国际视野 6.美国和欧盟委员会发布了关于跨大西洋数据隐私框架的联合声明 美国和欧盟委员会宣布,他们原则上同意了一个新的跨大西洋数据隐私框架,该框架将促进跨大西洋数据流,并解决欧盟法院在2020年7月Schrems II裁决中提出的关切。 新框架标志着美国方面前所未有的承诺,实施改革以强化适用于美国信号情报活动的隐私和公民自由保护。根据跨大西洋数据隐私框架,美国将制定新的保障措施,以确保信号监控活动在实现既定的国家安全目标时是必要和相称的;建立一个两级独立救济机制,具有指导救济措施的约束力;并加强对信号情报活动的严格和分层监督,以确保遵守对监控活动的限制。 (来源:网络法前哨) 7.英媒:澳大利亚将出台最严格网络安全法 据英国《金融时报》网站3月30日报道,澳大利亚将出台世界上最严格的网络安全法之一,以加强对外国势力针对其关键基础设施发动袭击的防御体系。报道称,堪培拉方面正在准备出台更严格的法律,以保护国家基础设施资产免受网络攻击,范围涉及电信网络、电网、供水和排污企业等11个领域。金融服务、国防、研究、医疗和教育等领域的企业也将遵守该法。 (来源:参考消息) 8.警惕数据中心管理黑洞!黑客正在获取各种联网UPS设备的访问权限 美国网络安全和基础设施安全局 (CISA) 和能源部 (DOE) 日前发出警告称,网络犯罪分子正在通过未更改的默认用户名和口令访问各种联网的UPS设备。该公告要求组织通过立即从互联网上删除管理接口来减轻对不间断电源(UPS) 设备的此类攻击。同时及时清查各类UPS的管理情况,检查是否仍然使用默认管理口令,核查口令复杂度等。 (来源:网空闲话) 9.苹果紧急修复用于攻击iphone和Mac的零日漏洞 苹果公司近日发布了安全更新,以解决攻击者攻击iPhone、iPad和Mac电脑的两个零日漏洞。零日安全漏洞是软件供应商不知道且尚未修补的缺陷。在某些情况下,它们也有公开的概念利用证据,或者可能在野外被积极利用。在安全咨询中,苹果表示,他们知道有报道称这些问题“可能被积极利用”。这两个缺陷是英特尔图形驱动程序中允许应用程序读取内核内存的越界写入问题(CVE-2022-22674)和AppleAVD媒体解码器中允许应用程序以内核权限执行任意代码的越界读取问题(CVE-2022-22675)。这些漏洞由匿名研究人员报告,苹果分别在iOS 15.4.1、iPadOS 15.4.1和macOS Monterey 12.3.1中修复,并改进了输入验证和边界检查。 (来源:汇能云安全) 10.Mars Stealer恶意软件通过谷歌上的OpenOffice广告推出 新推出的一款名为Mars Stealer的窃取信息恶意软件正日益流行,威胁分析人士现在发现了第一批使用该软件的著名大型活动。Mars Stealer是对Oski恶意软件的重新设计,该软件于2020年停止开发,具有针对广泛应用程序的广泛信息窃取功能。Mars Stealer在黑客论坛上以140美元到160美元的价格进行推广,其增长缓慢,直到最近,Raccoon Stealer的突然关闭迫使网络犯罪分子寻找替代品。Mars Stealer被大量新用户淹没,因为该服务的运行方式与浣熊过去的运行方式类似,它即将成为众多新活动的跳板。Morphisec发现的一个新的火星盗贼活动正在使用谷歌广告将克隆的OpenOffice网站在加拿大搜索结果中排名靠前。OpenOffice是现在流行于Apache基金会的一个曾经流行的开源办公套件,它已经被LyRealOffice超越,在2010开始作为它的分支。然而,OpenOffice仍然可以从寻求免费文档和电子表格编辑器的用户那里获得可观的每日下载量。 (来源:汇能云安全) 以上内容不代表本部门观点,如有侵权请及时联系我们。
|