要聞速覽

1、聯(lián)合國(guó)《打擊網(wǎng)絡(luò)犯罪公約》草案基本完成

2、工信部發(fā)布《云計(jì)算綜合標(biāo)準(zhǔn)化體系建設(shè)指南》（征求意見稿）

3、隱私保護(hù)大事件！Google終結(jié)第三方Cookie

4、思科又曝一嚴(yán)重漏洞，可被黑客利用獲取 root 權(quán)限

5、美國(guó)證券交易委員會(huì) X 賬戶被黑，引發(fā)比特幣市場(chǎng)震蕩

6、神漏洞！熱門扳手感染勒索軟件，秘密破壞工廠設(shè)備組裝

一周政策要聞

聯(lián)合國(guó)《打擊網(wǎng)絡(luò)犯罪公約》草案基本完成

聯(lián)合國(guó)毒品和犯罪問(wèn)題辦公室（UNODC）認(rèn)為，網(wǎng)絡(luò)犯罪主要集中在與計(jì)算機(jī)相關(guān)和內(nèi)容相關(guān)的犯罪行為，以及與侵犯版權(quán)等相關(guān)的犯罪行為。由于各國(guó)對(duì)網(wǎng)絡(luò)犯罪的定義和界定都不相同，一直以來(lái)聯(lián)合國(guó)都缺乏相關(guān)領(lǐng)域的公約，也難以達(dá)成一致。

事實(shí)上，由于網(wǎng)絡(luò)犯罪助長(zhǎng)了武器販運(yùn)、人口販賣等惡性行為，網(wǎng)絡(luò)犯罪也實(shí)質(zhì)性阻礙了聯(lián)合國(guó)全球可持續(xù)發(fā)展目標(biāo)的實(shí)現(xiàn)。例如 GandCrab 勒索軟件在全球狂攬數(shù)十億美元，各國(guó)關(guān)鍵基礎(chǔ)設(shè)施也因?qū)映霾桓F的勒索軟件攻擊而中斷。

歐盟從 2001 年起就推動(dòng)談判達(dá)成了全球網(wǎng)絡(luò)犯罪公約（布達(dá)佩斯公約）。但由于該公約的締約國(guó)目前僅有近七十個(gè)，并未得到世界上其他國(guó)家的廣泛參與，許多國(guó)家認(rèn)為應(yīng)該由聯(lián)合國(guó)推動(dòng)全球合作打擊網(wǎng)絡(luò)犯罪公約的建立。此前非盟也制定了適用于非洲范圍的《網(wǎng)絡(luò)安全與個(gè)人數(shù)據(jù)保護(hù)公約》，全球各國(guó)政府都開始重視網(wǎng)絡(luò)犯罪的打擊與治理。俄羅斯在 2017 年向聯(lián)合國(guó)大會(huì)提議建立《聯(lián)合國(guó)打擊網(wǎng)絡(luò)犯罪合作公約》，并且給出了草案案文。

2019 年 11 月，俄羅斯、白俄羅斯、柬埔寨、中國(guó)、伊朗、緬甸、尼加拉瓜、敘利亞和委內(nèi)瑞拉九國(guó)發(fā)起旨在建立打擊網(wǎng)絡(luò)犯罪的國(guó)際公約的提案。2019 年 12 月，聯(lián)合國(guó)大會(huì)中的各成員國(guó)對(duì)該提案進(jìn)行表決，結(jié)果為 79 票贊同、60 票反對(duì)、33 票棄權(quán)。

聯(lián)合國(guó)大會(huì)通過(guò)決議后，正式啟動(dòng)聯(lián)合國(guó)打擊網(wǎng)絡(luò)犯罪公約的起草進(jìn)程。為此聯(lián)大成立了特設(shè)委員會(huì)起草該公約，預(yù)計(jì)需要至少三年的時(shí)間在 2024 年年初基本完成該國(guó)際公約的草案。

在 2020 年，聯(lián)合國(guó)大會(huì)設(shè)置了政府間專家組（GGE）、開放式工作組（OEWG）與特設(shè)開放式政府間專家委員會(huì)（OECE）對(duì)網(wǎng)絡(luò)安全相關(guān)內(nèi)容進(jìn)行研究與討論。OECE 專門負(fù)責(zé)起草聯(lián)合國(guó)打擊網(wǎng)絡(luò)犯罪公約（聯(lián)合國(guó)官方名為《關(guān)于打擊使用信息和通信技術(shù)實(shí)施犯罪行為的全面國(guó)際公約》）。

2024 年 1 月，特設(shè)委員會(huì)將在紐約舉行閉幕會(huì)議，對(duì)公約草案進(jìn)行最終修訂并將草案提交給聯(lián)合國(guó)大會(huì)進(jìn)行表決。

信息來(lái)源：安全內(nèi)參  https://www.secrss.com/articles/62570

工信部發(fā)布《云計(jì)算綜合標(biāo)準(zhǔn)化體系建設(shè)指南》（征求意見稿）

近幾年，在政策、市場(chǎng)和技術(shù)等因素的共同驅(qū)動(dòng)下，我國(guó)云計(jì)算產(chǎn)業(yè)年均增速超過(guò) 30%，全國(guó)累計(jì)上云企業(yè)超過(guò) 380萬(wàn)家，內(nèi)云計(jì)算骨干企業(yè)在大規(guī)模并發(fā)處理、海量數(shù)據(jù)存儲(chǔ)等關(guān)鍵核心技術(shù)，以及容器、微服務(wù)等新興領(lǐng)域不斷取得突破，云計(jì)算加速向制造、政務(wù)、金融、醫(yī)療、交通、能源等行業(yè)融合滲透，云計(jì)算產(chǎn)業(yè)生態(tài)已逐步成熟。

作為新技術(shù)基礎(chǔ)設(shè)施，云計(jì)算已成為我國(guó)數(shù)字經(jīng)濟(jì)發(fā)展的重要基石。

云計(jì)算的快速發(fā)展同樣帶來(lái)許多新的網(wǎng)絡(luò)安全威脅，云安全到涉及網(wǎng)絡(luò)安全、數(shù)據(jù)安全、信息安全、系統(tǒng)安全、服務(wù)安全、應(yīng)用安全等方面，具有攻擊面廣、隱藏性強(qiáng)、可預(yù)防性低、波及范圍大等特點(diǎn)，加上目前國(guó)內(nèi)尚未形成一套完善的，標(biāo)準(zhǔn)化的云計(jì)算體系建設(shè)指南，使得云安全成為近期安全從業(yè)者的痛點(diǎn)。

此外，云安全也不是單純的技術(shù)問(wèn)題，只有通過(guò)技術(shù)、服務(wù)和管理的互相配合，形成共同遵循的安全規(guī)范和指南，才能營(yíng)造保障云計(jì)算健康發(fā)展的可信環(huán)境。為充分發(fā)揮標(biāo)準(zhǔn)對(duì)云計(jì)算產(chǎn)業(yè)的引領(lǐng)規(guī)范作用，持續(xù)完善標(biāo)準(zhǔn)體系，工業(yè)和信息化部科技司組織有關(guān)單位編制完成了《云計(jì)算綜合標(biāo)準(zhǔn)化體系建設(shè)指南（征求意見稿）》（以下簡(jiǎn)稱《征求意見稿》）。

需要獲取征求意見稿請(qǐng)?jiān)谠u(píng)論區(qū)留言”征求意見稿“，小銘哥會(huì)第一時(shí)間為您提供相關(guān)資料。

信息來(lái)源：中華人民共和國(guó)工業(yè)和信息化部  https://www.miit.gov.cn/gzcy/yjzj/art/2024/art_0dba24687491428a8939060c79ee358a.html

業(yè)內(nèi)新聞速覽

隱私保護(hù)大事件！Google終結(jié)第三方Cookie

2024年剛剛開始，用戶個(gè)人隱私傳來(lái)一個(gè)重磅大事件。據(jù)國(guó)內(nèi)多家科技媒體報(bào)道，1月4日，全球巨頭谷歌開始計(jì)劃全面禁用第三方Cookie，目前已經(jīng)對(duì)1%的用戶進(jìn)行小范圍測(cè)試，預(yù)計(jì)將在今年年底擴(kuò)展到全部Chrome瀏覽器用戶。這將對(duì)互聯(lián)網(wǎng)廣告行業(yè)帶來(lái)巨大沖擊，也將成為用戶個(gè)人隱私保護(hù)的標(biāo)志性事件。

Cookie，通俗來(lái)說(shuō)就是指用戶訪問(wèn)網(wǎng)站的緩存數(shù)據(jù)，包括用戶名、密碼、注冊(cè)賬戶、手機(jī)號(hào)等公民個(gè)人信息。

當(dāng)我們?yōu)g覽網(wǎng)頁(yè)時(shí)，網(wǎng)絡(luò)服務(wù)器會(huì)創(chuàng)建一個(gè)小型的文本文件，并將其暫時(shí)或永久存儲(chǔ)在用戶的電腦中。當(dāng)我們?cè)俅卧L問(wèn)網(wǎng)頁(yè)時(shí)，即可快速識(shí)別是否已經(jīng)訪問(wèn)過(guò)該網(wǎng)站，并提供已存儲(chǔ)的文本文件。

舉個(gè)例子，我們使用瀏覽器登錄一些賬戶時(shí)，瀏覽器會(huì)彈出一個(gè)提示“你是否要記住密碼”,如果選擇是，下次訪問(wèn)可以不輸入賬號(hào)密碼直接登錄，這是Cookie的功能之一。

由于具有“記住和跟蹤”用戶網(wǎng)頁(yè)瀏覽記錄的神奇功能，Cookie很快就被應(yīng)用至網(wǎng)絡(luò)購(gòu)物平臺(tái)，并很快成為個(gè)性化廣告的利器。當(dāng)你瀏覽或搜索了某類商品后，第三方cookie就會(huì)把你的喜好記錄下來(lái)，并在其他網(wǎng)站投放相應(yīng)的廣告。當(dāng)你再次訪問(wèn)網(wǎng)站時(shí)，Cookie識(shí)別出你，并把你曾經(jīng)瀏覽的商品進(jìn)行推薦。

這也是為什么，越來(lái)越多的網(wǎng)友反饋，購(gòu)物平臺(tái)為什么知道我看過(guò)什么，喜歡什么。其中的原因之一就是Cookie。

Cookie侵犯隱私的爭(zhēng)議由來(lái)已久。在互聯(lián)網(wǎng)發(fā)展的早期，網(wǎng)站并不會(huì)通知用戶Cookie的存在，直到1996年有媒體曝光Cookie的使用，它才開始為大眾所知，潛在的隱私問(wèn)題也引起監(jiān)管機(jī)構(gòu)介入。在歐美，有許多限制Cookie使用的法律規(guī)范。多家機(jī)構(gòu)及公司都曾對(duì)Cookie的使用進(jìn)行整治，例如蘋果就禁止iPhone和iPad用戶使用第三方Cookie。

谷歌本次的Cookie禁令，所針對(duì)的是第三方Cookie，即在線廣告行業(yè)在網(wǎng)站上放置的用于跟蹤用戶、投放相關(guān)廣告的Cookie，不會(huì)影響網(wǎng)站用來(lái)存儲(chǔ)登錄信息等基本內(nèi)容的Cookie，對(duì)于用戶個(gè)人隱私信息保護(hù)來(lái)說(shuō)或許也將是個(gè)好的開始。

消息來(lái)源：騰訊云開發(fā)者社區(qū)  https://cloud.tencent.com/developer/article/2377366

思科又曝一嚴(yán)重漏洞，可被黑客利用獲取 root 權(quán)限

近日，思科修補(bǔ)了一個(gè)關(guān)鍵的 Unity Connection 安全漏洞，該漏洞可讓未經(jīng)認(rèn)證的攻擊者在未打補(bǔ)丁的設(shè)備上遠(yuǎn)程獲得 root 權(quán)限。

Unity Connection 是一個(gè)完全虛擬化的消息和語(yǔ)音郵件解決方案，適用于電子郵件收件箱、Web 瀏覽器、Cisco Jabber、Cisco Unified IP Phone、智能手機(jī)或平板電腦，支持高可用性和冗余。

該漏洞（CVE-2024-20272）出現(xiàn)在該軟件基于網(wǎng)絡(luò)的管理界面上，是由于特定 API 缺乏身份驗(yàn)證以及對(duì)用戶提供的數(shù)據(jù)驗(yàn)證不當(dāng)造成的。攻擊者可通過(guò)向目標(biāo)和易受攻擊系統(tǒng)上傳任意文件，在底層操作系統(tǒng)上執(zhí)行命令。成功利用后，攻擊者可以在系統(tǒng)上存儲(chǔ)惡意文件，在操作系統(tǒng)上執(zhí)行任意命令，并將權(quán)限提升至 root。

幸運(yùn)的是，思科的產(chǎn)品安全事故響應(yīng)小組（PSIRT）表示，目前還沒(méi)有證據(jù)表明該漏洞已被利用的情況出現(xiàn)。

利用 PoC 漏洞進(jìn)行命令注入：

1月10日，思科宣布修補(bǔ)了多款產(chǎn)品中的十個(gè)中等嚴(yán)重性安全漏洞，這些漏洞允許攻擊者升級(jí)權(quán)限、發(fā)起跨站腳本（XSS）攻擊、注入命令等。

其中一個(gè)漏洞的概念驗(yàn)證利用代碼已在網(wǎng)上公布，該漏洞是思科 WAP371 無(wú)線接入點(diǎn)基于 Web 的管理界面中的一個(gè)命令注入漏洞，被追蹤為 CVE-2024-20287。

盡管攻擊者可以利用這個(gè)漏洞在未打補(bǔ)丁的設(shè)備上以 root 權(quán)限執(zhí)行任意命令，但要成功利用這個(gè)漏洞還需要管理憑據(jù)。

思科表示，由于思科WAP371設(shè)備已于2019年6月達(dá)到報(bào)廢年限，因此不會(huì)發(fā)布固件更新來(lái)修補(bǔ)CVE-2024-20287安全漏洞。

同時(shí)，該公司建議網(wǎng)絡(luò)上有 WAP371 設(shè)備的客戶盡快遷移到思科 Business 240AC 接入點(diǎn)。

去年10 月，思科還修補(bǔ)了兩個(gè)零日漏洞（CVE-2023-20198 和 CVE-2023-20273），這些漏洞在一周內(nèi)被利用入侵了 50,000 多臺(tái) IOS XE 設(shè)備。

消息來(lái)源：FREEBUF  https://www.freebuf.com/news/389437.html

美國(guó)證券交易委員會(huì) X 賬戶被黑，引發(fā)比特幣市場(chǎng)震蕩

Bleeping Computer 網(wǎng)站消息，威脅攻擊者成功“占領(lǐng)”了美國(guó)證券交易委員會(huì)的 X 賬戶，并發(fā)布一條關(guān)于批準(zhǔn)比特幣 ETF 在證券交易所上市的虛假公告。
有意思的是，冒牌推文下還放了一張美國(guó)證券交易委員會(huì)（SEC）主席加里-根斯勒（Gary Gensler）的照片。

這一消息迅速傳播開來(lái)，許多加密貨幣平臺(tái)和主流新聞網(wǎng)站都報(bào)道了這一事件，比特幣價(jià)格也出現(xiàn)了短暫飆升。然而，很快就有消息傳出美國(guó)證券交易委員會(huì) X 賬戶被黑客攻擊了，并借此發(fā)布這一假消息，比特幣價(jià)格隨之回落。

不久后，美國(guó)證券交易委員會(huì)主席根斯勒發(fā)推表示，@SECGov twitter 賬戶被威脅攻擊者入侵了，這些犯罪分子發(fā)布了一條未經(jīng)授權(quán)的推文，美國(guó)證券交易委員會(huì)目前并未批準(zhǔn)比特幣 ETF 在證券交易所上市。

美國(guó)證券交易委員會(huì)發(fā)言人向媒體進(jìn)一步證實(shí)，比特幣 ETF 的未經(jīng)授權(quán)的推文不是由美國(guó)證券交易委員會(huì)或其工作人員發(fā)布的。隨著事件發(fā)酵，美國(guó)證券交易委員會(huì)方面再次發(fā)布聲明稱，已經(jīng)可以確認(rèn)有不明人士未經(jīng)授權(quán)訪問(wèn)了 @SECGov x.com 賬戶并在該賬戶上進(jìn)行了非法活動(dòng)，目前該未經(jīng)授權(quán)的訪問(wèn)已被終止，美國(guó)證券交易委員會(huì)將與執(zhí)法部門合作調(diào)查賬戶被黑一事。

X 賬戶屢屢被黑：

過(guò)去一個(gè)月里，X 平臺(tái)或許已經(jīng)被一大波賬戶遭遇襲擊的事件壓得喘不過(guò)氣來(lái)，許多機(jī)構(gòu)組織被黑客攻擊，傳播加密貨幣騙局和錢包放水鏈接。近期，Netgear 和 Hyundai MEA X 賬戶被黑客攻擊，目的是推廣虛假加密貨幣網(wǎng)站，從連接到 Web3 網(wǎng)站的錢包中盜取加密貨幣。

Web3 安全公司 CertiK 近期也遭到黑客攻擊，這些犯罪分子借機(jī)推廣一個(gè)錢包“放水”程序，網(wǎng)絡(luò)安全公司 Mandiant 也遭到劫持，盡管該公司已經(jīng)啟用了雙因素身份驗(yàn)證。除賬戶劫持外，威脅攻擊者還利用 X 的廣告平臺(tái)制作了無(wú)窮無(wú)盡的惡意廣告，推銷加密貨幣騙局。

消息來(lái)源：FREEBUF  https://www.freebuf.com/news/389312.html

神漏洞！熱門扳手感染勒索軟件，秘密破壞工廠設(shè)備組裝

研究人員在熱門扳手套件中發(fā)現(xiàn)了23個(gè)漏洞，其中一些無(wú)需身份驗(yàn)證即可利用，可被用于勒索軟件攻擊或定向攻擊利用鏈。

安全內(nèi)參1月10日消息，研究人員發(fā)現(xiàn)了23個(gè)漏洞，黑客可以利用這些漏洞破壞或禁用一套非常流行的聯(lián)網(wǎng)扳手系列產(chǎn)品。全球各地的工廠都在使用這些產(chǎn)品組裝敏感儀器和設(shè)備。安全公司Nozomi的研究人員在周二報(bào)告了這些漏洞，它們存在于博世力士樂(lè)（Bosch Rexroth）生產(chǎn)的NXA015S-36V-B型手持螺帽扳手。這款無(wú)繩設(shè)備能夠無(wú)線連接到使用者的本地網(wǎng)絡(luò)，幫助工程師將螺栓等機(jī)械緊固件擰緊到安全、可靠的扭矩水平。如果緊固件過(guò)松，會(huì)有過(guò)熱和火災(zāi)風(fēng)險(xiǎn)。如果過(guò)緊，螺紋可能會(huì)斷裂，導(dǎo)致扭矩過(guò)松。該型號(hào)螺帽扳手配有扭矩級(jí)別指示器顯示屏，顯示屏由德國(guó)工程師協(xié)會(huì)認(rèn)證，并于 1999 年被汽車業(yè)界采用。運(yùn)行在設(shè)備上的固件是NEXO-OS，可以通過(guò)基于瀏覽器的管理界面加以控制。

圖注：NEXO-OS的Web管理應(yīng)用程序

Nozomi的研究人員表示，這款設(shè)備存在23個(gè)漏洞。某些情況下，攻擊者可以利用這些漏洞安裝惡意軟件。一旦安裝成功，惡意軟件能夠禁用整個(gè)設(shè)備系列，或在緊固件過(guò)松或過(guò)緊時(shí)讓設(shè)備不顯示關(guān)鍵設(shè)置出現(xiàn)錯(cuò)誤。博世官方通過(guò)電子郵件發(fā)表了聲明。他們首先按慣例強(qiáng)調(diào)安全是首要任務(wù)，隨后表示，Nozomi幾周前聯(lián)系博世，指出了這些漏洞。聲明中說(shuō)：“博世力士樂(lè)立即采納了這些建議，并正在研究解決問(wèn)題的補(bǔ)丁。該補(bǔ)丁將于2024年1月底發(fā)布?！盢ozomi的研究人員發(fā)帖稱，在博世力士樂(lè)NXA015S-36V-B上發(fā)現(xiàn)的漏洞，允許未經(jīng)身份驗(yàn)證的攻擊者向目標(biāo)設(shè)備發(fā)送網(wǎng)絡(luò)數(shù)據(jù)包，以root權(quán)限遠(yuǎn)程執(zhí)行任意代碼，完成對(duì)設(shè)備的徹底入侵。攻擊者一旦能夠未經(jīng)授權(quán)地訪問(wèn)設(shè)備，就有可能實(shí)施多種攻擊方案。Nozomi在實(shí)驗(yàn)室環(huán)境中成功重建了以下兩種情景。

• 勒索軟件：我們能夠阻止本地操作員通過(guò)設(shè)備上的顯示屏控制鉆孔并禁用觸發(fā)按鈕，導(dǎo)致設(shè)備完全無(wú)法使用。此外，我們可以更改圖形用戶界面，在屏幕上顯示任意消息，要求支付贖金。鑒于勒索軟件攻擊可以輕松地自動(dòng)應(yīng)用于眾多設(shè)備，攻擊者可能會(huì)迅速使生產(chǎn)線上的所有工具無(wú)法訪問(wèn)，導(dǎo)致最終資產(chǎn)所有者遭受重大損失。

圖注：測(cè)試扳手上運(yùn)行的概念驗(yàn)證（PoC）勒索軟件

• 控制和視圖操縱：我們秘密地更改了緊固程序的配置，比如增加或減少目標(biāo)扭矩值。同時(shí)，通過(guò)在內(nèi)存中修補(bǔ)設(shè)備顯示屏的顯示界面，我們可以向操作員顯示正常數(shù)值，悄然篡改系統(tǒng)設(shè)置。

圖注：操縱視圖攻擊，緊固時(shí)施加的扭矩為0.15 Nm

Nozomi一共披露了23個(gè)漏洞，其嚴(yán)重程度評(píng)級(jí)從5.3分到8.8分不等（滿分為10分）。對(duì)于大多數(shù)漏洞來(lái)說(shuō)，攻擊者首先必須獲得設(shè)備的Web管理界面訪問(wèn)權(quán)限。Nozomi 表示，即使只是具有最低權(quán)限，攻擊者也可以創(chuàng)建攻擊鏈，利用稱為遍歷漏洞的缺陷向敏感目錄上傳惡意代碼，然后執(zhí)行該代碼。未經(jīng)身份驗(yàn)證的攻擊者仍然可能將遍歷漏洞與其他漏洞（如硬編碼賬號(hào)）結(jié)合起來(lái)黑掉設(shè)備。攻擊鏈的示意圖如下：

圖注：未經(jīng)身份驗(yàn)證的攻擊鏈導(dǎo)致生產(chǎn)線停工的流程

如果設(shè)備的通信協(xié)議（如OpenProtocol）已集成到網(wǎng)絡(luò)流中，攻擊者可以利用多個(gè)緩沖區(qū)溢出漏洞之一來(lái)遠(yuǎn)程執(zhí)行惡意代碼。

圖注：通過(guò)未經(jīng)身份驗(yàn)證的攻擊完成控制和視圖操縱

這些漏洞很可能不會(huì)被大規(guī)模利用。成功入侵網(wǎng)絡(luò)之后，勒索軟件攻擊者或許有更有效的方法提升權(quán)限、造成中斷或破壞。但是，在沒(méi)有其他漏洞的情況下，攻擊者只要大規(guī)模禁用扳手就足以達(dá)成目的。不僅如此，國(guó)家支持的黑客以及受到激進(jìn)思想或特殊目的鼓動(dòng)的黑客活動(dòng)分子可能會(huì)利用這些漏洞干擾或破壞對(duì)手的設(shè)備運(yùn)行。不管是哪種情況，停工風(fēng)險(xiǎn)都切實(shí)存在，關(guān)鍵設(shè)置有可能被篡改，建議所有用戶在補(bǔ)丁發(fā)布后選擇盡快安裝。

消息來(lái)源：安全內(nèi)參  https://www.secrss.com/articles/62680

來(lái)源:本安全周報(bào)所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來(lái)，僅用于分享，并不意味著贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性，部分內(nèi)容推送時(shí)未能與原作者取得聯(lián)系，若涉及版權(quán)問(wèn)題，煩請(qǐng)?jiān)髡呗?lián)系我們，我們會(huì)盡快刪除處理，謝謝！