六方云知识库

六方云 安全态势周刊丨第198期

2022年05月11日 07:55

01.

业界动态


1、美国NIST发布关于管理供应链风险的网络安全指南

美国国家标准与技术研究院(NIST)发布了关于管理供应链风险的网络安全指南。该指南总共326页,内容从评估外国对软件和产品开发的控制,到使用外部IT服务提供商相关的风险,为识别和应对供应链的威胁提供指导。NIST研究人员称,组织需要保证他们购买和使用的东西是值得信赖的,这一指南可以帮助其了解要注意哪些风险以及采取哪些行动来应对。由于指南的长度和复杂性,NIST计划发布快速入门指南,以帮助刚开始进行供应链风险管理的组织。

https://thehackernews.com/2022/05/nist-releases-updated-guidance-for.html


2、FBI称自2016年以来BEC攻击已造成430亿美元的损失

FBI的数据显示商业电子邮件泄露(BEC)攻击造成的损失金额每年都在增长。在2019年7月至2021年12月期间,已确定的损失金额增加了65%。从2016年6月到2019年7月,IC3收到了241206起国内和国际事件的报告,涉及金额总计为43312749946美元。FBI表示,根据2021年的数据,位于泰国和香港的银行是欺诈资金的主要目的地。

https://therecord.media/fbi-business-email-compromise-attacks-led-to-more-than-43-billion-in-losses-since-2016/


3、法国舰艇装备集团成立网络安全实验室

法国舰艇装备集团4月28日在比利时布鲁塞尔成立了反水雷实验室和网络安全实验室。法国舰艇装备集团官网称,这两个实验室作为该公司在反水雷和网络安全技术方向的研发中心,将进一步加强政府、企业和研究机构之间的研发合作,谋求提供创新型解决方案。其中,反水雷实验室主要由“比利时-荷兰反水雷替代计划”提供资助支持,旨在加强比利时和荷兰在海洋机器人、人工智能等方面的技术应用,推动研制新型反水雷系统,提高反水雷能力;网络安全实验室则专注于为舰艇、无人系统以及岸基基础设施等研发网络安全技术,并为将来比利时网络防御司令部的设立提供支撑。

https://mp.weixin.qq.com/s/ed6J_vLcgdCvOvLL_MDJsw


4、韩国加入北约网络防御中心

据韩联社5月5日报道,韩国国家情报院作为正式会员加入北约卓越合作网络防御中心(CCDCOE),韩国目前已成为首个加入该机构的亚洲国家。

https://news.sina.com.cn/w/2022-05-07/doc-imcwipii8567976.shtml


02.

关键基础设施


1、农业机械巨头爱科遭勒索攻击,美国种植季拖拉机供应受影响

美国知名农业机械生产商爱科(AGCO)宣布遭受勒索软件攻击,部分生产设施受到影响。爱科经销商表示,拖拉机销售在美国最重要的种植季节停滞不前。地区经销商B&G Equipment Inc总裁Tim Brannon表示,从周四(5月5日)起,他一直无法访问爱科网站来订购和查找零件。他表示,“我们正进入一年中最繁忙的时期,这将对我们的业务和客户造成了非常大的伤害。

https://www.secrss.com/articles/42134


03.

安全事件


1、收债服务ENCollect配置错误泄露超过160万条记录

安全公司UpGuard在5月5日称其发现了一个配置错误的ElasticSearch服务器,涉及印度和非洲金融服务机构贷款的财务信息。该ElasticSearch属于债务催收服务平台ENCollect,总共有5.8GB数据,1686363条记录。其中包括包括姓名、贷款金额、出生日期、号等个人信息,以及属于产品管理员、公司客户和收款代理的48043个邮件地址。研究人员于2月16日检测到该数据库,2月28日其已被保护起来。

https://thehackernews.com/2022/05/thousands-of-borrowers-data-exposed.html


2、FFDroider恶意软件可窃取国内用户隐私数据

国外安全团队Zscaler发现了一起针对国外社交软件的信息窃取事件,攻击者将FFDroider家族的恶意软件伪装为国外知名社交软件Telegram,并将恶意软件上传到第三方下载网站引导用户下载,实现大规模传播和感染。

https://www.secrss.com/articles/42152


3、行车记录全暴露!高合汽车陷隐私泄露风波

汽车博主@李老鼠说车 爆料称,高合汽车的行车记录仪可通过车主互联功能接收其他高合汽车的信号,并读取这些汽车行车记录仪内容。次日,高合汽车对此作出回应,称该功能主要用于车队出行、车路协同,开启时需经用户同意,无隐私安全隐患。

https://www.secrss.com/articles/42165


04.

漏洞事件


1、在Google Docs中输入特定的单词后会导致其崩溃

据媒体5月6日报道,Google Docs中存在一个问题,在其中输入特定的单词后会导致崩溃。当用户在文档中输入“And.And.And.And.And.And.”时,收到错误消息“Unable to load file”,并且无法再查看或编辑文档。经过测试,小写的“and.and.and.and.and.and.”不会触发该问题,但相同格式的字符串存在同样的问题,诸如"But.But.But.But.But."等。研究人员推测与“显示语法建议”选项有关,目前Google团队正在解决该问题。

https://www.bleepingcomputer.com/news/technology/google-docs-crashes-on-seeing-and-and-and-and-and/


2、F5发布BIG-IP中的RCE漏洞CVE-2022-1388的安全通告

F5发布安全公告披露了BIG-IP中的远程代码执行漏洞(CVE-2022-1388)的细节。该漏洞CVSS评分为9.8,存在于iControl REST组件中,可通过发送未公开的请求来绕过BIG-IP中的iControl REST身份验证。目前,该漏洞已在F5发布的5月份安全更新中修复,此次更新还修复了CVE-2022-25946、CVE-2022-27806和CVE-2022-28707等多个严重的漏洞。

https://www.bleepingcomputer.com/news/security/f5-warns-of-critical-big-ip-rce-bug-allowing-device-takeover/


05.

政策监管


1、【2022-05-02】工信部公布第五批网络关键设备安全名单

5月2日,工信部发布将由具备资格的机构按照《网络关键设备安全通用要求》(GB40050-2021)强制性国家标准,经安全检测符合要求的网络关键设备(第5批)予以公布。其中华为(2 款)、思科(8 款)、诺基亚贝尔(1 款)、锐捷(4 款)、新华三(1 款)、西门子(5 款)等厂商 21 款设备上榜。

https://www.miit.gov.cn/


2、【2022年5月3日报道】美国网络司令部去年完成九次网络防御任务

美国网络司令部总司令Paul Nakasone透露,他领导的机构去年前往不同国家进行了9 次网络行动,旨在通过应对网络威胁,协助盟国追踪和揭露网络空间的恶意活动。这些任务一方面为我国提供了在网络空间中的安全,另一方面与向我们寻求帮助的国家建立了伙伴关系,这样的任务对双方政府来说都是双赢的。外国受益于美国的网络安全工具和威胁情报,美国网络司令部可以在这些国家的网络上安装传感器,这使军方能够更好地了解美国境外的威胁。

https://www.nextgov.com//


3、【2022年5月4日报道】NIST寻求对5G安全指南草案的反馈

美国国家标准与技术研究院(National Institute of Standards and Technology)正在寻求有关其强调5G技术安全性的新指南的反馈。该指南的目标是帮助组织了解5G及其支持基础设施的可用网络安全功能。NIST还计划发布有关复制安全网络的说明以及特定于下一代网络的安全用例。根据该文件,5G将使更好的网络定制化成为可能,以满足特定组织的需求。参与建设5G网络的多家公司已经在《联邦公报》的通知中提交了他们的能力和需求这些公司包括AT&T,诺基亚,戴尔和思科。

https://potomacofficersclub.com/


06.

国家/行业标准


1、【2022-04-29】证监会就《证券期货业网络安全管理办法(征求意见稿)》公开征求意见

为建立健全证券期货业网络安全监管制度体系,防范化解行业网络安全风险隐患,维护资本市场安全平稳高效运行,证监会起草了《证券期货业网络安全管理办法(征求意见稿)》(以下简称《办法》),向社会公开征求意见,征集截止于2022年5月29日。《办法》共八章六十六条,主要包括证券期货业网络安全监督管理体系、网络安全运行、数据安全统筹管理、网络安全应急处置、关键信息基础设施网络安全、网络安全促进与发展、监督管理与法律责任等方面内容。

http://www.csrc.gov.cn/csrc/c100028/c2381498/content.shtml


2、【2022-04-29】信安标委就《网络安全标准实践指南—个人信息跨境处理活动认证技术规范(征求意见稿)》公开征求意见

为指导个人信息处理者规范开展个人信息跨境处理活动,根据《全国信息安全标准化技术委员会<网络安全标准实践指南>管理办法(暂行)》要求,信安标委秘书处组织对《网络安全标准实践指南—个人信息跨境处理活动认证技术规范(征求意见稿)》面向社会公开征求意见,征集截止于2022年5月13日。

https://mp.weixin.qq.com/s/nWrisLm4Cp53b9kOFAdq6Q


more

手机扫码打开

logo