一、业界动态
工信部印发《工业互联网创新发展行动计划 (2021-2023年)》
文件提出到2023年,我国工业互联网新型基础设施建设量质并进,安全保障等能力进一步增强,明确将开展安全保障强化等11项行动。
https://mp.weixin.qq.com/s/t8ECau7GGYNeCbSHuRqSWA
广东省网络安全应急响应中心(网络安全110)正式启动
该中心由广东省公安厅联合广州市公安局、黄埔区委区政府共同建设,将参照110警务模式,采取“情报+指挥+处置”三位一体的网络安全应急处置模式,全天24小时受理处置我省关键信息基础设施、重要信息系统单位和高科技企业的网络安全求助,监测处置全省网络安全风险隐患,发布网络安全预警信息。
https://weibo.com/ttarticle/p/show?id=2309404592840897593476#_loginLayer_1610586978549
NSA发布2020年网络安全的年度回顾报告
美国国家安全局(NSA)发布了2020年网络安全的年度回顾报告。报告指出,NSA 2020年帮助国防部向远程工作过渡,为大约100000名用户提供了远程安全工作的解决方案,还参与了旨在加速开发COVID-19疫苗的OWS行动。2020年发布的重要情报包括有关Windows 10的漏洞和Drovorub恶意软件的详细信息、与俄罗斯有关的沙虫团伙针对Exim邮件服务器的IOC和滥用在web服务器上安装web shell的恶意软件等。
https://www.securityweek.com/nsa-publishes-cybersecurity-year-review-report
2020年恶意软件命令和控制服务器统计分析
2021年1月7日,威胁情报厂商Recorded Future发布了关于2020年度全网范围内远控木马回连服务器的总结分析报告。其基于2020年,收集的80多个恶意软件家族的10,000多个独特的命令和控制服务器作为数据支撑。
https://mp.weixin.qq.com/s/wZYJkuilg6uq6sWOqpjD5w
二、关键基础设施
飞机制造商DFJ数据泄露,或由勒索软件攻击所致
飞机制造商Dassault Falcon Jet(DFJ)于2020年12月6日发现其遭到了攻击。该公司主要设计和制造军用飞机、公务机和太空系统。据悉,攻击者在6月6日至12月7日之间一直可以访问该公司的系统,可能泄露了其员工的姓名、个人和公司邮件地址、邮寄地址、ID号、驾驶执照号、护照信息、金融账号、社会保险号、出生日期、工作地点、薪酬和福利等信息。LeMagIT称此事件是Ragnar Locker所为,但DFJ尚未确定。目前,该公司正在恢复和重建受影响的系统。
https://www.bleepingcomputer.com/news/security/dassault-falcon-jet-reports-data-breach-after-ransomware-attack/
三、安全事件
美国医疗服务商遭勒索攻击,系统停顿损失数百万美元
据外媒报道,美国佛蒙特州一家医疗服务提供商遭到网络攻击,导致电子健康记录(EHR)系统延迟推出,并造成数百万美元的收入损失。
https://mp.weixin.qq.com/s/BI5R2FsJ6LU1jnsIFIf41w
新西兰央行大量敏感数据泄露
新西兰中央银行近日表示,某身份不明的攻击者已经成功入侵其内部一个数据系统,并且可能已经访问了商业及个人敏感信息,遭到非法访问的是新西兰储备银行用于共享及存储敏感信息的第三方文件共享服务。
https://mp.weixin.qq.com/s/zpFQs2P7HL0dDjyggZt5GA
Incaseformat蠕虫导致大批用户被格盘
近日,一种叫做incaseformat蠕虫病毒攻击了众多的主机,涉及政府、医疗、教育、智能制造等多个行业。被感染主机均表现为所有非系统分区文件均被删除,被删除文件分区根目录下存在名为incaseformat.log的空文件,由此网络上将此病毒命名为incaseformat。
https://www.6cloudtech.com/portal/article/index/id/371.html
四、漏洞事件
开源堡垒机JumpServer远程命令执行漏洞风险提示
JumpServer 是全球首款完全开源的堡垒机,使用GNU GPL v2.0 开源协议,是符合4A 的专业运维审计系统。JumpServer 使用Python / Django 进行开发。2021年1月15日,阿里云应急响应中心监控到开源堡垒机JumpServer发布更新,修复了一处远程命令执行漏洞。由于 JumpServer 某些接口未做授权限制,攻击者可构造恶意请求获取到日志文件获取敏感信息,或者执行相关API操作控制其中所有机器,执行任意命令。
https://www.secrss.com/articles/28723
Windows Defender远程代码执行漏洞 (CVE-2021-1647)
2021年01月13日,微软在每月例行补丁日当天修复了一个非常严重的Windows Defender远程代码执行漏洞。而Windows Defender是微软内置在Windows Vista,Windows 7,Windows 8,Windows 8.1和Windows10等操作系统中的默认杀软软件。攻击者可通过向目标受害者发送邮件或恶意链接等方式诱导受害者下载攻击者构造的恶意文件,从而使 Windows Defender 在自动扫描恶意文件时触发利用该漏洞,最终控制受害者计算机。而通过微软官方描述,CVE-2021-1647 目前已发现在野利用。
https://www.secrss.com/articles/28669
关于致远OA系统存在文件上传漏洞的安全公告
2021年1月8日,国家信息安全漏洞共享平台(CNVD)收录了致远OA系统文件上传漏洞(CNVD-2021-01627)。攻击者利用该漏洞,可在未授权的情况下上传恶意文件,获取目标服务器权限。目前,漏洞细节已公开,厂商已发布版本补丁修复。
https://mp.weixin.qq.com/s/5EQd2yw4Zpd0rUTiSZDnOQ