要聞速覽

1.以下信息安全國家標準10月1日起實施

2.GitLab發(fā)布緊急安全補丁修復高危漏洞

3.主流顯卡全中招！GPU.zip側信道攻擊可泄漏敏感數(shù)據(jù)

4.MOVEit漏洞導致美國900所院校學生信息發(fā)生大規(guī)模泄露

5.法國太空和國防供應商Exail遭黑客攻擊，泄露大量敏感信息

6.英國王室網(wǎng)站因DDoS攻擊而癱瘓

一周政策要聞

以下信息安全國家標準10月1日起實施

《信息安全技術 電信領域數(shù)據(jù) 安全指南》

• 實施日期：2023-10-01
• 標準編號：GB/T 42447-2023
• 概述/要求：本文件給出了開展電信領域數(shù)據(jù)處理活動的安全原則、通用安全措施，及在實施數(shù)據(jù)收集、存儲、使用加工、傳輸、提供、公開、銷毀等過程中宜采取的相應安全措施。適用于指導電信數(shù)據(jù)處理者開展數(shù)據(jù)安全保護工作，也適用于指導第三方機構開展電信數(shù)據(jù)安全評估工作。

《信息安全技術 網(wǎng)絡安全態(tài)勢感知通用技術要求》

• 實施日期：2023-10-01
• 標準編號：GB/T 42453-2023
• 概述/要求：本文件給出了網(wǎng)絡安全態(tài)勢感知技術框架，規(guī)定了該框架中核心組件的通用技術要求本文件適用于網(wǎng)絡安全態(tài)勢感知產(chǎn)品、系統(tǒng)或平臺等的規(guī)劃、設計、開發(fā)、建設和測評。

《信息安全技術 網(wǎng)絡安全從業(yè)人員能力基本要求》

• 實施日期：2023-10-01
• 標準編號：GB/T 42446-2023
• 概述/要求：本文件確立了網(wǎng)絡安全從業(yè)人員分類,規(guī)定了各類從業(yè)人員具備的知識和技能要求。適用于各類組織對網(wǎng)絡安全從業(yè)人員的使用、培養(yǎng)、評價、管理等。

《信息安全技術 個人信息去標識化效果評估指南》

《信息安全技術 公共域名服務系統(tǒng)安全要求》

《信息安全技術 網(wǎng)絡安全服務成本度量指南》

《信息技術 安全技術 實體鑒別 第3部分：采用數(shù)字簽名技術的機制》

《信息技術 安全技術 帶附錄的數(shù)字簽名 第1部分：概述》

《信息安全技術 信息系統(tǒng)安全保障評估框架 第1部分：簡介和一般模型》

《信息安全技術 公鑰基礎設施 PKI系統(tǒng)安全技術要求》

《信息安全技術 公鑰基礎設施 PKI系統(tǒng)安全測評方法》

《信息安全技術 IPSec VPN安全接入基本要求與實施指南》

信息來源：粵密粵安 https://mp.weixin.qq.com/s/6CsEvv9YHqXhJHEjbmtNpA

業(yè)內(nèi)新聞速覽

GitLab發(fā)布緊急安全補丁修復高危漏洞

GitLab本周四緊急發(fā)布安全補丁，修復一個可讓攻擊者以其他用戶身份運行管道的嚴重漏洞。

該漏洞編號為CVE-2023-5009（CVSS評分：9.6），影響從13.12到16.2.7以及從16.3到16.3.4之前的所有版本的GitLab Enterprise Edition(EE)。安全研究員JohanCarlsson（又名joaxcar）發(fā)現(xiàn)并報告了該漏洞。

GitLab在一份公告中表示：“攻擊者有可能通過預定的安全掃描策略以任意用戶身份運行管道?！薄霸撀┒词荂VE-2023-3932（GitLab于2023年8月上旬修復了該漏洞）的繞過，并顯示出額外的影響?！?

通過利用CVE-2023-5009，攻擊者可以訪問敏感信息或利用冒充用戶的權限來修改源代碼或在系統(tǒng)上運行任意代碼，從而導致嚴重后果。

GitLab強烈建議用戶盡快將已安裝的GitLab更新到最新版本，以防范潛在風險。

消息來源： Go UpSec https://mp.weixin.qq.com/s/TqEpqeELVwldRHro-TpVow

主流顯卡全中招！GPU.zip側信道攻擊可泄漏敏感數(shù)據(jù)

近日，來自四所美國大學的研究人員針對主流顯卡中的一個漏洞開發(fā)了一種新的GPU側信道攻擊，當用戶訪問惡意網(wǎng)頁時，該攻擊可利用GPU數(shù)據(jù)壓縮技術從現(xiàn)代顯卡中竊取敏感的視覺數(shù)據(jù)。

研究人員已經(jīng)通過在Chrome瀏覽器上執(zhí)行跨源SVG濾鏡像素竊取攻擊，展示了這種"GPU.zip"攻擊的有效性，并2023年3月向受影響的顯卡制造商披露了這一漏洞。

然而，截至2023年9月，受影響的GPU供應商（AMD、蘋果、ARM、英偉達、高通）或Google（Chrome）均尚未推出漏洞補丁。

德克薩斯大學奧斯汀分校、卡內(nèi)基梅隆大學、華盛頓大學和伊利諾伊大學厄巴納-香檳分校的研究人員在論文中對該漏洞進行了詳細描述，并將在第45屆IEEE安全與隱私研討會上發(fā)表。

消息來源：GoUpSec https://mp.weixin.qq.com/s/5NfniSDI9QZJ9jj55uaVNA

MOVEit漏洞導致美國900所院校學生信息發(fā)生大規(guī)模泄露

美國非營利教育組織NSC（國家學生信息交換所）近日披露，其MOVEit服務器遭到入侵并導致近900所高等院校的學生個人信息被盜。

NSC為大約3600所北美學院和大學以及2.2萬所高中提供教育報告、數(shù)據(jù)交換、驗證和研究服務。

美國國家安全委員會已代表受影響的學校向加州總檢察長辦公室提交了一份數(shù)據(jù)泄露通知信，披露攻擊者于5月30日獲得了對NSC的MOVEit托管文件傳輸(MFT)服務器的訪問權限，并竊取了包含大量個人信息的文件。

根據(jù)通知信內(nèi)容，被盜文件中包含的學生個人身份信息(PII)包括姓名、出生日期、聯(lián)系信息、社會安全號碼、學生ID號碼以及一些與學校相關的記錄（例如入學記錄、學位記錄和課程級別數(shù)據(jù)）。

美國國家安全委員會還公布了受此數(shù)據(jù)泄露事件影響的教育組織名單。

消息來源：GoUpSec https://mp.weixin.qq.com/s/HiN2aY6ZqgbFvpelV-BYYA

法國太空和國防供應商Exail遭黑客攻擊，泄露大量敏感信息

Cybernews 研究團隊發(fā)現(xiàn)，法國高科技工業(yè)集團 Exail 暴露了一個帶有數(shù)據(jù)庫憑證的可公開訪問的環(huán)境 (.env) 文件。

Exail于 2022 年由 ECA Group 和 iXblue 合并后成立，專注于機器人、海事、導航、航空航天和光子技術，其客戶包括美國海岸警衛(wèi)隊。由于這些特性，Exail成為攻擊者特別感興趣的目標。

研究團隊發(fā)現(xiàn)，托管在 exail.com 網(wǎng)站上可公開訪問的 .env 文件已暴露在互聯(lián)網(wǎng)上，導致任何人都可以對其進行訪問。環(huán)境文件充當計算機程序的一組指令，因此，文件的完全開放可能會暴露關鍵數(shù)據(jù)，一旦攻擊者訪問，便可以查看、修改或刪除敏感數(shù)據(jù)并執(zhí)行未經(jīng)授權的操作，并為攻擊者者提供一系列攻擊選項。

研究團隊還發(fā)現(xiàn)，Exail 的網(wǎng)絡服務器版本和特定操作系統(tǒng)也受到了威脅。如果攻擊者知道網(wǎng)絡服務器上運行的操作系統(tǒng)及其版本，就可以針對性地利用與操作系統(tǒng)相關的特定漏洞。

而具有已知特定操作系統(tǒng)暴露的 Web 服務器可能成為自動掃描工具、惡意軟件和僵尸網(wǎng)絡的目標。一旦攻擊者了解了操作系統(tǒng)的特性，就可以集中精力尋找和利用與該操作系統(tǒng)相關的漏洞。他們可以采用掃描、證明或使用已知漏洞等技術來訪問服務器或損害其安全性。

此外，攻擊者還可以利用操作系統(tǒng)特定的弱點對暴露的 Web 服務器發(fā)起拒絕服務 (DoS) 攻擊，從而中斷服務器的運行。

Cybernews研究團隊向Exail進行反饋后，對方已經(jīng)修復了該問題，但并未透露有關問題更加詳細的信息。

消息來源：FreeBuf https://mp.weixin.qq.com/s/WyrHQr7Ni8x-LbQysmpX-g

英國王室網(wǎng)站因DDoS攻擊而癱瘓

據(jù)報道，英國王室官方網(wǎng)站周日（10月1日）因分布式拒絕服務（DDoS）攻擊而離線。據(jù)《獨立報》報道，從當?shù)貢r間上午10點開始，Royal.uk網(wǎng)站大約有90分鐘無法訪問。盡管在撰寫本文時 Cloudflare檢查已經(jīng)到位，以確保尋求訪問該網(wǎng)站的IP地址不是自動機器人，但很快它就再次完全正常運行。據(jù)報道，臭名昭著的俄羅斯黑客組織Killnet在其Telegram頻道上吹噓自己對此次攻擊負責，盡管這一消息尚未得到證實。安全供應商RiverSafe的首席技術官Oseloka Obiora認為，所有組織都應確保其安全狀況符合目的。DDoS攻擊已成為俄羅斯黑客活動分子最喜歡的工具，因為他們希望懲罰烏克蘭的盟友并獲得地緣政治分數(shù)。去年10月，Killnet聲稱對美國十多個機場的網(wǎng)站發(fā)起了嚴重的DDoS攻擊。

消息來源：網(wǎng)空閑話plus https://mp.weixin.qq.com/s/3WUpLbvz5qjZqD9Q3aqq-g

來源:本安全周報所推送內(nèi)容由網(wǎng)絡收集整理而來，僅用于分享，并不意味著贊同其觀點或證實其內(nèi)容的真實性，部分內(nèi)容推送時未能與原作者取得聯(lián)系，若涉及版權問題，煩請原作者聯(lián)系我們，我們會盡快刪除處理，謝謝！