【一周安全資訊0113】聯(lián)合國(guó)《打擊網(wǎng)絡(luò)犯罪公約》草案基本完成;隱私保護(hù)大事件!Google終結(jié)第三方Cookie |
來源:聚銘網(wǎng)絡(luò) 發(fā)布時(shí)間:2024-01-13 瀏覽次數(shù): |
要聞速覽 1、聯(lián)合國(guó)《打擊網(wǎng)絡(luò)犯罪公約》草案基本完成 2、工信部發(fā)布《云計(jì)算綜合標(biāo)準(zhǔn)化體系建設(shè)指南》(征求意見稿) 3、隱私保護(hù)大事件!Google終結(jié)第三方Cookie 4、思科又曝一嚴(yán)重漏洞,可被黑客利用獲取 root 權(quán)限 5、美國(guó)證券交易委員會(huì) X 賬戶被黑,引發(fā)比特幣市場(chǎng)震蕩 6、神漏洞!熱門扳手感染勒索軟件,秘密破壞工廠設(shè)備組裝
一周政策要聞 聯(lián)合國(guó)《打擊網(wǎng)絡(luò)犯罪公約》草案基本完成 聯(lián)合國(guó)毒品和犯罪問題辦公室(UNODC)認(rèn)為,網(wǎng)絡(luò)犯罪主要集中在與計(jì)算機(jī)相關(guān)和內(nèi)容相關(guān)的犯罪行為,以及與侵犯版權(quán)等相關(guān)的犯罪行為。由于各國(guó)對(duì)網(wǎng)絡(luò)犯罪的定義和界定都不相同,一直以來聯(lián)合國(guó)都缺乏相關(guān)領(lǐng)域的公約,也難以達(dá)成一致。 事實(shí)上,由于網(wǎng)絡(luò)犯罪助長(zhǎng)了武器販運(yùn)、人口販賣等惡性行為,網(wǎng)絡(luò)犯罪也實(shí)質(zhì)性阻礙了聯(lián)合國(guó)全球可持續(xù)發(fā)展目標(biāo)的實(shí)現(xiàn)。例如 GandCrab 勒索軟件在全球狂攬數(shù)十億美元,各國(guó)關(guān)鍵基礎(chǔ)設(shè)施也因?qū)映霾桓F的勒索軟件攻擊而中斷。 歐盟從 2001 年起就推動(dòng)談判達(dá)成了全球網(wǎng)絡(luò)犯罪公約(布達(dá)佩斯公約)。但由于該公約的締約國(guó)目前僅有近七十個(gè),并未得到世界上其他國(guó)家的廣泛參與,許多國(guó)家認(rèn)為應(yīng)該由聯(lián)合國(guó)推動(dòng)全球合作打擊網(wǎng)絡(luò)犯罪公約的建立。此前非盟也制定了適用于非洲范圍的《網(wǎng)絡(luò)安全與個(gè)人數(shù)據(jù)保護(hù)公約》,全球各國(guó)政府都開始重視網(wǎng)絡(luò)犯罪的打擊與治理。俄羅斯在 2017 年向聯(lián)合國(guó)大會(huì)提議建立《聯(lián)合國(guó)打擊網(wǎng)絡(luò)犯罪合作公約》,并且給出了草案案文。
2019 年 11 月,俄羅斯、白俄羅斯、柬埔寨、中國(guó)、伊朗、緬甸、尼加拉瓜、敘利亞和委內(nèi)瑞拉九國(guó)發(fā)起旨在建立打擊網(wǎng)絡(luò)犯罪的國(guó)際公約的提案。2019 年 12 月,聯(lián)合國(guó)大會(huì)中的各成員國(guó)對(duì)該提案進(jìn)行表決,結(jié)果為 79 票贊同、60 票反對(duì)、33 票棄權(quán)。 聯(lián)合國(guó)大會(huì)通過決議后,正式啟動(dòng)聯(lián)合國(guó)打擊網(wǎng)絡(luò)犯罪公約的起草進(jìn)程。為此聯(lián)大成立了特設(shè)委員會(huì)起草該公約,預(yù)計(jì)需要至少三年的時(shí)間在 2024 年年初基本完成該國(guó)際公約的草案。 在 2020 年,聯(lián)合國(guó)大會(huì)設(shè)置了政府間專家組(GGE)、開放式工作組(OEWG)與特設(shè)開放式政府間專家委員會(huì)(OECE)對(duì)網(wǎng)絡(luò)安全相關(guān)內(nèi)容進(jìn)行研究與討論。OECE 專門負(fù)責(zé)起草聯(lián)合國(guó)打擊網(wǎng)絡(luò)犯罪公約(聯(lián)合國(guó)官方名為《關(guān)于打擊使用信息和通信技術(shù)實(shí)施犯罪行為的全面國(guó)際公約》)。 2024 年 1 月,特設(shè)委員會(huì)將在紐約舉行閉幕會(huì)議,對(duì)公約草案進(jìn)行最終修訂并將草案提交給聯(lián)合國(guó)大會(huì)進(jìn)行表決。
信息來源:安全內(nèi)參 https://www.secrss.com/articles/62570
工信部發(fā)布《云計(jì)算綜合標(biāo)準(zhǔn)化體系建設(shè)指南》(征求意見稿) 近幾年,在政策、市場(chǎng)和技術(shù)等因素的共同驅(qū)動(dòng)下,我國(guó)云計(jì)算產(chǎn)業(yè)年均增速超過 30%,全國(guó)累計(jì)上云企業(yè)超過 380萬家,內(nèi)云計(jì)算骨干企業(yè)在大規(guī)模并發(fā)處理、海量數(shù)據(jù)存儲(chǔ)等關(guān)鍵核心技術(shù),以及容器、微服務(wù)等新興領(lǐng)域不斷取得突破,云計(jì)算加速向制造、政務(wù)、金融、醫(yī)療、交通、能源等行業(yè)融合滲透,云計(jì)算產(chǎn)業(yè)生態(tài)已逐步成熟。 作為新技術(shù)基礎(chǔ)設(shè)施,云計(jì)算已成為我國(guó)數(shù)字經(jīng)濟(jì)發(fā)展的重要基石。 云計(jì)算的快速發(fā)展同樣帶來許多新的網(wǎng)絡(luò)安全威脅,云安全到涉及網(wǎng)絡(luò)安全、數(shù)據(jù)安全、信息安全、系統(tǒng)安全、服務(wù)安全、應(yīng)用安全等方面,具有攻擊面廣、隱藏性強(qiáng)、可預(yù)防性低、波及范圍大等特點(diǎn),加上目前國(guó)內(nèi)尚未形成一套完善的,標(biāo)準(zhǔn)化的云計(jì)算體系建設(shè)指南,使得云安全成為近期安全從業(yè)者的痛點(diǎn)。 此外,云安全也不是單純的技術(shù)問題,只有通過技術(shù)、服務(wù)和管理的互相配合,形成共同遵循的安全規(guī)范和指南,才能營(yíng)造保障云計(jì)算健康發(fā)展的可信環(huán)境。為充分發(fā)揮標(biāo)準(zhǔn)對(duì)云計(jì)算產(chǎn)業(yè)的引領(lǐng)規(guī)范作用,持續(xù)完善標(biāo)準(zhǔn)體系,工業(yè)和信息化部科技司組織有關(guān)單位編制完成了《云計(jì)算綜合標(biāo)準(zhǔn)化體系建設(shè)指南(征求意見稿)》(以下簡(jiǎn)稱《征求意見稿》)。 需要獲取征求意見稿請(qǐng)?jiān)谠u(píng)論區(qū)留言”征求意見稿“,小銘哥會(huì)第一時(shí)間為您提供相關(guān)資料。 信息來源:中華人民共和國(guó)工業(yè)和信息化部 https://www.miit.gov.cn/gzcy/yjzj/art/2024/art_0dba24687491428a8939060c79ee358a.html
業(yè)內(nèi)新聞速覽 隱私保護(hù)大事件!Google終結(jié)第三方Cookie 2024年剛剛開始,用戶個(gè)人隱私傳來一個(gè)重磅大事件。據(jù)國(guó)內(nèi)多家科技媒體報(bào)道,1月4日,全球巨頭谷歌開始計(jì)劃全面禁用第三方Cookie,目前已經(jīng)對(duì)1%的用戶進(jìn)行小范圍測(cè)試,預(yù)計(jì)將在今年年底擴(kuò)展到全部Chrome瀏覽器用戶。這將對(duì)互聯(lián)網(wǎng)廣告行業(yè)帶來巨大沖擊,也將成為用戶個(gè)人隱私保護(hù)的標(biāo)志性事件。
Cookie,通俗來說就是指用戶訪問網(wǎng)站的緩存數(shù)據(jù),包括用戶名、密碼、注冊(cè)賬戶、手機(jī)號(hào)等公民個(gè)人信息。 當(dāng)我們?yōu)g覽網(wǎng)頁時(shí),網(wǎng)絡(luò)服務(wù)器會(huì)創(chuàng)建一個(gè)小型的文本文件,并將其暫時(shí)或永久存儲(chǔ)在用戶的電腦中。當(dāng)我們?cè)俅卧L問網(wǎng)頁時(shí),即可快速識(shí)別是否已經(jīng)訪問過該網(wǎng)站,并提供已存儲(chǔ)的文本文件。 舉個(gè)例子,我們使用瀏覽器登錄一些賬戶時(shí),瀏覽器會(huì)彈出一個(gè)提示“你是否要記住密碼”,如果選擇是,下次訪問可以不輸入賬號(hào)密碼直接登錄,這是Cookie的功能之一。 由于具有“記住和跟蹤”用戶網(wǎng)頁瀏覽記錄的神奇功能,Cookie很快就被應(yīng)用至網(wǎng)絡(luò)購物平臺(tái),并很快成為個(gè)性化廣告的利器。當(dāng)你瀏覽或搜索了某類商品后,第三方cookie就會(huì)把你的喜好記錄下來,并在其他網(wǎng)站投放相應(yīng)的廣告。當(dāng)你再次訪問網(wǎng)站時(shí),Cookie識(shí)別出你,并把你曾經(jīng)瀏覽的商品進(jìn)行推薦。 這也是為什么,越來越多的網(wǎng)友反饋,購物平臺(tái)為什么知道我看過什么,喜歡什么。其中的原因之一就是Cookie。 Cookie侵犯隱私的爭(zhēng)議由來已久。在互聯(lián)網(wǎng)發(fā)展的早期,網(wǎng)站并不會(huì)通知用戶Cookie的存在,直到1996年有媒體曝光Cookie的使用,它才開始為大眾所知,潛在的隱私問題也引起監(jiān)管機(jī)構(gòu)介入。在歐美,有許多限制Cookie使用的法律規(guī)范。多家機(jī)構(gòu)及公司都曾對(duì)Cookie的使用進(jìn)行整治,例如蘋果就禁止iPhone和iPad用戶使用第三方Cookie。 谷歌本次的Cookie禁令,所針對(duì)的是第三方Cookie,即在線廣告行業(yè)在網(wǎng)站上放置的用于跟蹤用戶、投放相關(guān)廣告的Cookie,不會(huì)影響網(wǎng)站用來存儲(chǔ)登錄信息等基本內(nèi)容的Cookie,對(duì)于用戶個(gè)人隱私信息保護(hù)來說或許也將是個(gè)好的開始。 消息來源:騰訊云開發(fā)者社區(qū) https://cloud.tencent.com/developer/article/2377366
思科又曝一嚴(yán)重漏洞,可被黑客利用獲取 root 權(quán)限 近日,思科修補(bǔ)了一個(gè)關(guān)鍵的 Unity Connection 安全漏洞,該漏洞可讓未經(jīng)認(rèn)證的攻擊者在未打補(bǔ)丁的設(shè)備上遠(yuǎn)程獲得 root 權(quán)限。
Unity Connection 是一個(gè)完全虛擬化的消息和語音郵件解決方案,適用于電子郵件收件箱、Web 瀏覽器、Cisco Jabber、Cisco Unified IP Phone、智能手機(jī)或平板電腦,支持高可用性和冗余。 該漏洞(CVE-2024-20272)出現(xiàn)在該軟件基于網(wǎng)絡(luò)的管理界面上,是由于特定 API 缺乏身份驗(yàn)證以及對(duì)用戶提供的數(shù)據(jù)驗(yàn)證不當(dāng)造成的。攻擊者可通過向目標(biāo)和易受攻擊系統(tǒng)上傳任意文件,在底層操作系統(tǒng)上執(zhí)行命令。成功利用后,攻擊者可以在系統(tǒng)上存儲(chǔ)惡意文件,在操作系統(tǒng)上執(zhí)行任意命令,并將權(quán)限提升至 root。 幸運(yùn)的是,思科的產(chǎn)品安全事故響應(yīng)小組(PSIRT)表示,目前還沒有證據(jù)表明該漏洞已被利用的情況出現(xiàn)。 利用 PoC 漏洞進(jìn)行命令注入: 1月10日,思科宣布修補(bǔ)了多款產(chǎn)品中的十個(gè)中等嚴(yán)重性安全漏洞,這些漏洞允許攻擊者升級(jí)權(quán)限、發(fā)起跨站腳本(XSS)攻擊、注入命令等。 其中一個(gè)漏洞的概念驗(yàn)證利用代碼已在網(wǎng)上公布,該漏洞是思科 WAP371 無線接入點(diǎn)基于 Web 的管理界面中的一個(gè)命令注入漏洞,被追蹤為 CVE-2024-20287。 盡管攻擊者可以利用這個(gè)漏洞在未打補(bǔ)丁的設(shè)備上以 root 權(quán)限執(zhí)行任意命令,但要成功利用這個(gè)漏洞還需要管理憑據(jù)。 思科表示,由于思科WAP371設(shè)備已于2019年6月達(dá)到報(bào)廢年限,因此不會(huì)發(fā)布固件更新來修補(bǔ)CVE-2024-20287安全漏洞。 同時(shí),該公司建議網(wǎng)絡(luò)上有 WAP371 設(shè)備的客戶盡快遷移到思科 Business 240AC 接入點(diǎn)。 去年10 月,思科還修補(bǔ)了兩個(gè)零日漏洞(CVE-2023-20198 和 CVE-2023-20273),這些漏洞在一周內(nèi)被利用入侵了 50,000 多臺(tái) IOS XE 設(shè)備。 消息來源:FREEBUF https://www.freebuf.com/news/389437.html
美國(guó)證券交易委員會(huì) X 賬戶被黑,引發(fā)比特幣市場(chǎng)震蕩 Bleeping Computer 網(wǎng)站消息,威脅攻擊者成功“占領(lǐng)”了美國(guó)證券交易委員會(huì)的 X 賬戶,并發(fā)布一條關(guān)于批準(zhǔn)比特幣 ETF 在證券交易所上市的虛假公告。有意思的是,冒牌推文下還放了一張美國(guó)證券交易委員會(huì)(SEC)主席加里-根斯勒(Gary Gensler)的照片。
圖注:美國(guó)證券交易委員會(huì)(SEC)賬戶被黑客偽造的 ETF 批準(zhǔn)書
這一消息迅速傳播開來,許多加密貨幣平臺(tái)和主流新聞網(wǎng)站都報(bào)道了這一事件,比特幣價(jià)格也出現(xiàn)了短暫飆升。然而,很快就有消息傳出美國(guó)證券交易委員會(huì) X 賬戶被黑客攻擊了,并借此發(fā)布這一假消息,比特幣價(jià)格隨之回落。 不久后,美國(guó)證券交易委員會(huì)主席根斯勒發(fā)推表示,@SECGov twitter 賬戶被威脅攻擊者入侵了,這些犯罪分子發(fā)布了一條未經(jīng)授權(quán)的推文,美國(guó)證券交易委員會(huì)目前并未批準(zhǔn)比特幣 ETF 在證券交易所上市。 美國(guó)證券交易委員會(huì)發(fā)言人向媒體進(jìn)一步證實(shí),比特幣 ETF 的未經(jīng)授權(quán)的推文不是由美國(guó)證券交易委員會(huì)或其工作人員發(fā)布的。隨著事件發(fā)酵,美國(guó)證券交易委員會(huì)方面再次發(fā)布聲明稱,已經(jīng)可以確認(rèn)有不明人士未經(jīng)授權(quán)訪問了 @SECGov x.com 賬戶并在該賬戶上進(jìn)行了非法活動(dòng),目前該未經(jīng)授權(quán)的訪問已被終止,美國(guó)證券交易委員會(huì)將與執(zhí)法部門合作調(diào)查賬戶被黑一事。 X 賬戶屢屢被黑: 過去一個(gè)月里,X 平臺(tái)或許已經(jīng)被一大波賬戶遭遇襲擊的事件壓得喘不過氣來,許多機(jī)構(gòu)組織被黑客攻擊,傳播加密貨幣騙局和錢包放水鏈接。近期,Netgear 和 Hyundai MEA X 賬戶被黑客攻擊,目的是推廣虛假加密貨幣網(wǎng)站,從連接到 Web3 網(wǎng)站的錢包中盜取加密貨幣。 Web3 安全公司 CertiK 近期也遭到黑客攻擊,這些犯罪分子借機(jī)推廣一個(gè)錢包“放水”程序,網(wǎng)絡(luò)安全公司 Mandiant 也遭到劫持,盡管該公司已經(jīng)啟用了雙因素身份驗(yàn)證。除賬戶劫持外,威脅攻擊者還利用 X 的廣告平臺(tái)制作了無窮無盡的惡意廣告,推銷加密貨幣騙局。 消息來源:FREEBUF https://www.freebuf.com/news/389312.html
神漏洞!熱門扳手感染勒索軟件,秘密破壞工廠設(shè)備組裝 研究人員在熱門扳手套件中發(fā)現(xiàn)了23個(gè)漏洞,其中一些無需身份驗(yàn)證即可利用,可被用于勒索軟件攻擊或定向攻擊利用鏈。 安全內(nèi)參1月10日消息,研究人員發(fā)現(xiàn)了23個(gè)漏洞,黑客可以利用這些漏洞破壞或禁用一套非常流行的聯(lián)網(wǎng)扳手系列產(chǎn)品。全球各地的工廠都在使用這些產(chǎn)品組裝敏感儀器和設(shè)備。安全公司Nozomi的研究人員在周二報(bào)告了這些漏洞,它們存在于博世力士樂(Bosch Rexroth)生產(chǎn)的NXA015S-36V-B型手持螺帽扳手。這款無繩設(shè)備能夠無線連接到使用者的本地網(wǎng)絡(luò),幫助工程師將螺栓等機(jī)械緊固件擰緊到安全、可靠的扭矩水平。如果緊固件過松,會(huì)有過熱和火災(zāi)風(fēng)險(xiǎn)。如果過緊,螺紋可能會(huì)斷裂,導(dǎo)致扭矩過松。該型號(hào)螺帽扳手配有扭矩級(jí)別指示器顯示屏,顯示屏由德國(guó)工程師協(xié)會(huì)認(rèn)證,并于 1999 年被汽車業(yè)界采用。運(yùn)行在設(shè)備上的固件是NEXO-OS,可以通過基于瀏覽器的管理界面加以控制。
圖注:NEXO-OS的Web管理應(yīng)用程序 Nozomi的研究人員表示,這款設(shè)備存在23個(gè)漏洞。某些情況下,攻擊者可以利用這些漏洞安裝惡意軟件。一旦安裝成功,惡意軟件能夠禁用整個(gè)設(shè)備系列,或在緊固件過松或過緊時(shí)讓設(shè)備不顯示關(guān)鍵設(shè)置出現(xiàn)錯(cuò)誤。博世官方通過電子郵件發(fā)表了聲明。他們首先按慣例強(qiáng)調(diào)安全是首要任務(wù),隨后表示,Nozomi幾周前聯(lián)系博世,指出了這些漏洞。聲明中說:“博世力士樂立即采納了這些建議,并正在研究解決問題的補(bǔ)丁。該補(bǔ)丁將于2024年1月底發(fā)布。”Nozomi的研究人員發(fā)帖稱,在博世力士樂NXA015S-36V-B上發(fā)現(xiàn)的漏洞,允許未經(jīng)身份驗(yàn)證的攻擊者向目標(biāo)設(shè)備發(fā)送網(wǎng)絡(luò)數(shù)據(jù)包,以root權(quán)限遠(yuǎn)程執(zhí)行任意代碼,完成對(duì)設(shè)備的徹底入侵。攻擊者一旦能夠未經(jīng)授權(quán)地訪問設(shè)備,就有可能實(shí)施多種攻擊方案。Nozomi在實(shí)驗(yàn)室環(huán)境中成功重建了以下兩種情景。
圖注:測(cè)試扳手上運(yùn)行的概念驗(yàn)證(PoC)勒索軟件
圖注:操縱視圖攻擊,緊固時(shí)施加的扭矩為0.15 Nm Nozomi一共披露了23個(gè)漏洞,其嚴(yán)重程度評(píng)級(jí)從5.3分到8.8分不等(滿分為10分)。對(duì)于大多數(shù)漏洞來說,攻擊者首先必須獲得設(shè)備的Web管理界面訪問權(quán)限。Nozomi 表示,即使只是具有最低權(quán)限,攻擊者也可以創(chuàng)建攻擊鏈,利用稱為遍歷漏洞的缺陷向敏感目錄上傳惡意代碼,然后執(zhí)行該代碼。未經(jīng)身份驗(yàn)證的攻擊者仍然可能將遍歷漏洞與其他漏洞(如硬編碼賬號(hào))結(jié)合起來黑掉設(shè)備。攻擊鏈的示意圖如下:
圖注:未經(jīng)身份驗(yàn)證的攻擊鏈導(dǎo)致生產(chǎn)線停工的流程 如果設(shè)備的通信協(xié)議(如OpenProtocol)已集成到網(wǎng)絡(luò)流中,攻擊者可以利用多個(gè)緩沖區(qū)溢出漏洞之一來遠(yuǎn)程執(zhí)行惡意代碼。
圖注:通過未經(jīng)身份驗(yàn)證的攻擊完成控制和視圖操縱 這些漏洞很可能不會(huì)被大規(guī)模利用。成功入侵網(wǎng)絡(luò)之后,勒索軟件攻擊者或許有更有效的方法提升權(quán)限、造成中斷或破壞。但是,在沒有其他漏洞的情況下,攻擊者只要大規(guī)模禁用扳手就足以達(dá)成目的。不僅如此,國(guó)家支持的黑客以及受到激進(jìn)思想或特殊目的鼓動(dòng)的黑客活動(dòng)分子可能會(huì)利用這些漏洞干擾或破壞對(duì)手的設(shè)備運(yùn)行。不管是哪種情況,停工風(fēng)險(xiǎn)都切實(shí)存在,關(guān)鍵設(shè)置有可能被篡改,建議所有用戶在補(bǔ)丁發(fā)布后選擇盡快安裝。消息來源:安全內(nèi)參 https://www.secrss.com/articles/62680
來源:本安全周報(bào)所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來,僅用于分享,并不意味著贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性,部分內(nèi)容推送時(shí)未能與原作者取得聯(lián)系,若涉及版權(quán)問題,煩請(qǐng)?jiān)髡呗?lián)系我們,我們會(huì)盡快刪除處理,謝謝! |
上一篇:2024年1月12日聚銘安全速遞 |