四大行業協會同日發布安全提示聲明:審慎采購美國芯片;Safari瀏覽器零日漏洞或已遭利用,多個Apple應用平臺被波及
新聞速覽
?四大行業協會同日發布安全提示聲明:審慎采購美國芯片
?《網絡安全技術 基于互聯網電子政務信息安全實施指南 第1部分:總則》等2項國家標準公開征求意見
?歐洲理事會通過新法案加強網絡安全
?史上最大規模網絡犯罪聯合打擊行動收網,抓獲5500余名網絡犯罪嫌疑人
?新型釣魚攻擊手法出現,利用損壞Word文檔規避安全檢測
?英國國防部600余員工登錄憑證現身暗網,引發安全擔憂
?IBM安全設備曝硬編碼憑據漏洞,已發布緊急補丁修復
?Safari瀏覽器零日漏洞或已遭利用,多個Apple應用平臺被波及
?AWS發布全新智能化事件響應服務,可構建全天候云安全防線
?Crypto.com推出巨額漏洞賞金計劃,總額超過200萬美元
特別關注
四大行業協會同日發布安全提示聲明:審慎采購美國芯片
美國政府日前發布了對華半導體出口管制措施。該措施進一步加嚴對半導體制造設備、存儲芯片等物項的對華出口管制,并將136家中國實體增列至出口管制實體清單,還拓展長臂管轄,對中國與第三國貿易橫加干涉,是典型的經濟脅迫行為和非市場做法。12月3日,中國互聯網協會、中國汽車工業協會、中國半導體行業協會、中國通信企業協會分別發布安全提示聲明,呼吁或建議國內企業審慎選擇采購美國芯片。
中國半導體行業協會聲明稱,在全球經濟一體化的今天,美國的單邊主義行為不僅損害了中美兩國企業的利益,也極大增加了全球半導體供應鏈成本。隨著美國出口管制措施不斷加碼,其反噬效應也在持續擴大,美國對華管制措施的隨意性對美國企業也造成了供應鏈中斷、運營成本上升等影響,影響了美國芯片產品的穩定供應,美國芯片產品不再安全、不再可靠,中國相關行業需謹慎采購美國芯片。
中國汽車工業協會聲明稱,美國政府隨意修改管制規則,嚴重影響了美國芯片產品的穩定供應,中國汽車行業對采購美國企業芯片產品的信任和信心正在被動搖,美國汽車芯片產品不再可靠、不再安全。為保障汽車產業鏈、供應鏈安全穩定,協會建議中國汽車企業謹慎采購美國芯片。
中國互聯網協會發布聲明稱,為確保我國互聯網產業安全、穩定、可持續發展,我會呼吁國內企業主動采取應對措施,審慎選擇采購美國芯片,尋求擴大與其他國家和地區芯片企業的合作,并積極使用內外資企業在華生產制造的芯片。
中國通信企業聲明稱,美國政府此舉既嚴重破壞了國際貿易規則,又給中國信息通信行業的產業鏈、供應鏈安全穩定帶來實質性損害。中國信息通信業對于采購美國企業芯片產品的信任和信心已經動搖,認為美國芯片產品不再可靠,不再安全,呼吁政府開展關鍵信息基礎設施供應鏈安全調查,采取有力措施,保障關鍵信息基礎設施安全穩定運行。
原文鏈接:
https://mp.weixin.qq.com/s/9Yv_4sM5fXg7TWG3kBO5wA
《網絡安全技術 基于互聯網電子政務信息安全實施指南 第1部分:總則》等2項國家標準公開征求意見
日前,全國網絡安全標準化技術委員會歸口的《網絡安全技術 基于互聯網電子政務信息安全實施指南 第1部分:總則》和《信息技術 安全技術 網絡安全 第6部分:無線網絡訪問安全》2項國家標準現已形成標準征求意見稿。根據《全國網絡安全標準化技術委員會標準制修訂工作程序》要求,全國網絡安全標準化委員會秘書處特將該2項標準征求意見稿面向社會公開征求意見。標準相關材料已發布在網安標委網站,如有意見或建議請于2025年1月31日24:00前反饋秘書處。
原文鏈接:
https://www.tc260.org.cn/front/bzzqyjList.html?start=0&length=10
熱點觀察
歐洲理事會通過新法案加強網絡安全
12月2日,歐洲理事會通過兩項關于網絡安全的法案,旨在進一步加強歐盟抵御網絡威脅的能力和網絡團結合作。這兩項法律分別為《網絡團結法案》和《網絡安全法案》修正案,屬于歐盟網絡安全立法“一攬子計劃”的一部分。
歐洲理事會發表聲明說,《網絡團結法案》構建了歐盟在應對網絡威脅方面的能力,同時加強了合作機制。例如,歐盟將建立一個由國家和跨境網絡中心組成的“網絡安全警報系統”,以實現信息共享、檢測并應對網絡威脅。該法案還提出建立網絡安全應急機制,以提高歐盟的突發事件響應能力。《網絡安全法案》修正案承認托管安全服務在預防、檢測、響應和恢復網絡安全事件方面的重要性日益增加,該修正案將有助于提高托管安全服務的質量,培養值得信賴的網絡安全服務商。
聲明介紹,兩項新法案經歐洲理事會主席和歐洲議會議長簽署后,將于未來幾周內在歐盟官方刊物上公布,并于公布20天后生效。
相關鏈接:
http://www.news.cn/world/20241203/6e57f6719e2b471bb3f82832d345b881/c.html
史上最大規模網絡犯罪聯合打擊行動收網,抓獲5500余名網絡犯罪嫌疑人
國際刑警組織近日宣布,代號為"HAECHI V"的全球執法行動已經圓滿結束并取得重大成果,逮捕超過5500名嫌疑人,查獲資產超4億美元。該行動于2024年7月至11月期間開展,涉及40個國家,主要打擊網絡詐騙、釣魚攻擊、網戀詐騙、投資詐騙、網絡賭博、商務郵件詐騙和電子商務欺詐等犯罪行為。
在此次行動中,韓國和中國執法部門聯合搗毀了一個造成1900多名受害者損失達11億美元的語音詐騙集團,逮捕27人并對19人提起訴訟。國際刑警組織還發布了紫色通報,警告各國防范一種新型加密貨幣詐騙活動——"USDT代幣授權詐騙"。詐騙分子首先通過網戀手段引誘受害者,誘導其在合法平臺購買泰達幣(USDT),隨后通過分享虛假投資平臺的釣魚鏈接,秘密獲取受害者錢包訪問權限并盜取資金。
此外,國際刑警組織與80多個國家的執法部門加強了對I-GRIP資金追蹤工具的應用。新加坡警方利用該工具成功攔截了一筆3930萬美元的非法轉賬。這起案件中,一家公司被騙將4230萬美元轉入東帝汶的虛假賬戶,當地執法部門及時介入并攔截了大部分資金。警方已逮捕7名嫌疑人并追回260萬美元。目前東帝汶、印度尼西亞和新加坡的相關調查仍在進行中。
原文鏈接:
https://securityaffairs.com/171593/cyber-crime/operation-haechi-v-5500-arrests.html
網絡攻擊
新型釣魚攻擊手法出現,利用損壞Word文檔規避安全檢測
安全研究人員發現了一種新型釣魚攻擊手法,攻擊者通過發送故意損壞的Word文檔作為電子郵件附件來規避安全軟件檢測。惡意軟件分析公司Any.Run近日披露,這些釣魚郵件偽裝成來自人力資源部門的薪資福利通知。
這些損壞的文檔可被Microsoft Word程序修復。當用戶打開附件時,Word會提示發現"無法讀取的內容"并詢問是否要恢復文件。修復后的文檔會顯示一個二維碼,并要求用戶掃描以獲取文檔內容。這些文檔通常會加入目標公司的標識,以增加真實性。一旦用戶掃描二維碼,就會被誘導至偽裝成Microsoft登錄界面的釣魚網站,目的是竊取用戶的賬號憑證。
安全研究人員指出,大多數安全解決方案無法正確對其進行文件類型識別,導致無法檢測到威脅。VirusTotal平臺的檢測結果顯示,幾乎所有樣本都未被殺毒軟件標記為惡意,部分樣本僅被2個廠商檢出。這可能因為文檔本身不包含惡意代碼,僅與其中的二維碼有關。
原文鏈接:
https://www.bleepingcomputer.com/news/security/novel-phishing-campaign-uses-corrupted-word-documents-to-evade-security/
英國國防部600余員工登錄憑證現身暗網,引發安全擔憂
英國國防部(MOD)近日發現,在過去四年中,近600名員工用于訪問國防門戶網站(Defence Gateway)的登錄憑證在暗網上被泄露流傳。Defence Gateway是國防部員工使用的非機密門戶網站,主要用于人力資源管理、電子郵件協作以及教育培訓等功能。雖然該網站采用了多因素認證(MFA)防護措施,但目前尚不清楚這些被盜憑證是否被成功利用。如果攻擊者成功突破防線,可能會獲取個人數據,但具體是否造成更深層次的入侵仍需進一步調查。
關于憑證泄露的原因,分析顯示多數員工是使用個人設備而非軍方配發的設備訪問網站,增加了安全風險。最可能的攻擊途徑是通過釣魚攻擊或信息竊取惡意軟件。
網絡安全專家Graham Cluley指出,被泄露的憑證可能導致員工在其他使用相同密碼的網站面臨風險,攻擊者還可能利用這些信息構建用戶畫像,為進一步的網絡間諜活動或信息竊取行為做準備。
原文鏈接:
https://www.csoonline.com/article/3615760/hundreds-of-uk-ministry-of-defence-passwords-found-circulating-on-the-dark-web.html
漏洞預警
IBM安全設備曝硬編碼憑據漏洞,已發布緊急補丁修復
IBM Security Verify訪問設備曝出多個嚴重漏洞,其中包括一個可導致遠程命令執行的高危缺陷。IBM近日披露了其Security Verify Access Appliance產品中存在的多個嚴重安全漏洞,影響版本范圍涵蓋10.0.0至10.0.8 IF1。
漏洞CVE-2024-49803的CVSS基準評分高達9.8分。該漏洞源于系統在處理操作系統命令時未能正確過濾特殊字符,可能導致操作系統命令注入攻擊。遠程認證攻擊者可以通過發送特制請求在系統上執行任意命令。
另外還有兩個嚴重漏洞CVE-2024-49805和CVE-2024-49806的CVSS評分為9.4分,這些漏洞與硬編碼憑據的使用有關。這些預設的憑據可能是密碼或加密密鑰,用于入站身份驗證、與外部組件的出站通信或內部數據加密,嚴重增加了未經授權訪問和數據泄露的風險。
IBM已發布修復補丁版本10.0.8-ISS-ISVA-FP0002。目前除了應用此補丁外,這些漏洞沒有其他已知的規避或緩解方案。IBM強烈建議受影響版本的用戶盡快安裝補丁以降低安全風險,并保持持續警惕以防止漏洞被利用。
原文鏈接:
https://cybersecuritynews.com/ibm-security-verify-vulnerabilities/
Safari瀏覽器零日漏洞或已遭利用,多個Apple應用平臺被波及
Google威脅分析小組(TAG)的研究人員發現,Apple Safari瀏覽器中存在一個嚴重的遠程代碼執行漏洞(CVE-2024-44308),該漏洞已被在野利用。這個高危漏洞位于WebKit的JavaScriptCore組件中,攻擊者可通過處理特制的網頁內容執行任意代碼。
Apple已確認該漏洞在基于Intel的Mac系統上遭到了主動利用。技術分析顯示,該漏洞源于WebKit的DFG JIT編譯器中的寄存器損壞問題,具體與scratch2GPR寄存器的不當分配時序有關。該漏洞影響多個Apple平臺,包括iOS、iPadOS、macOS和visionOS。受影響的版本包括iOS和iPadOS 17.7.2和18.1.1之前的版本、macOS Sequoia 15.1.1之前的版本、visionOS 2.1.1之前的版本以及Safari 18.1.1之前的版本。
為應對這一威脅,Apple已通過改進檢查機制修復了該漏洞,并在最新版本中發布了補丁。美國網絡安全和基礎設施安全局(CISA)已將CVE-2024-44308添加到其已知利用漏洞目錄中,并敦促用戶和組織在2024年12月12日之前應用必要的補丁。
原文鏈接:
https://cybersecuritynews.com/apple-safari-remote-code-execution-vulnerability/
產業動態
AWS發布全新智能化事件響應服務,可構建全天候云安全防線
AWS近日推出了一項安全事件響應服務,旨在自動化處理網絡攻擊。該服務已在全球12個區域部署,可幫助組織實時應對賬戶接管和勒索軟件攻擊等威脅。
這項名為AWS Security Incident Response的服務與AWS現有的GuardDuty威脅檢測服務和通過AWS Security Hub接入的第三方安全工具進行整合。該平臺引入了基于客戶特定數據的自動分類功能,可根據預期行為模式過濾警報,從而解決安全團隊面臨的海量日常警報問題,避免重要安全通知被忽視的風險。
該服務與AWS Organizations整合,為當前和未來的賬戶提供安全覆蓋。組織需要在其AWS基礎設施中選擇一個中央賬戶,用于創建和管理所有活動及歷史安全事件。該服務通過部署特定的身份和訪問管理(IAM)角色來執行安全管控操作,確保對AWS服務和資源的安全訪問。用戶還可以獲得AWS客戶事件響應團隊(CIRT)提供的全天候支持。平臺的儀表板包含平均解決時間(MTTR)等性能指標,并可跟蹤特定時間段內的活動和已關閉案例數量。
原文鏈接:
https://cybermagazine.com/articles/aws-targets-cloud-security-with-incident-response-platform
Crypto.com推出巨額漏洞賞金計劃,總額超過200萬美元
全球知名加密貨幣交易所Crypto.com近日與HackerOne合作推出了一項重磅漏洞賞金計劃,懸賞金額高達200萬美元,創下HackerOne平臺所有漏洞賞金項目的最高記錄。該計劃旨在鼓勵白帽黑客社區報告安全漏洞,進一步提升平臺安全性。
作為一家擁有超過1億用戶的全球性加密貨幣交易平臺,Crypto.com一直將安全性作為重中之重。該公司首席信息安全官Jason Lau表示:"我們一直將道德黑客社區視為安全團隊的延伸,與其保持密切合作。此次創紀錄的賞金計劃不僅深化了我們與HackerOne的合作關系,也彰顯了我們加強用戶保護的決心。"
近年來,加密貨幣行業因其巨大的經濟利益,已成為網絡犯罪分子的重點攻擊目標。根據區塊鏈情報公司TRM的數據顯示,僅2023年,黑客就竊取了至少6億美元的加密貨幣。在此背景下,Crypto.com的這一舉措顯得尤為重要。作為一家總部位于新加坡的公司,Crypto.com通過加強安全性、合規性和監管許可來推進其"加密貨幣進入每一個錢包"的使命。
原文鏈接:
https://www.infosecurity-magazine.com/news/cryptocom-launches-2m-bug-bounty/
