要聞速覽

1、16項(xiàng)網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)獲批發(fā)布

2、財(cái)政部、國(guó)家網(wǎng)信辦聯(lián)合印發(fā)《會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理暫行辦法》

3、全球首例：英國(guó)立法禁止弱密碼

4、TunnelVision 漏洞曝光，幾乎可監(jiān)聽(tīng)所有VPN

5、Tinyproxy 曝出嚴(yán)重漏洞，全球52000 臺(tái)主機(jī)受影響

6、戴爾泄露4900萬(wàn)用戶購(gòu)物數(shù)據(jù)：疑涉及大量中國(guó)用戶

一周政策要聞

16項(xiàng)網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)獲批發(fā)布

根據(jù)2024年4月25日國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布的中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)公告（2024年第6號(hào)），全國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口的16項(xiàng)國(guó)家標(biāo)準(zhǔn)正式發(fā)布，并將于2024年11月1日正式實(shí)施。具體清單如下：

信息來(lái)源：全國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)https://mp.weixin.qq.com/s/aBnH5AgYfgR1acPRJi98gA

財(cái)政部、國(guó)家網(wǎng)信辦聯(lián)合印發(fā)《會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理暫行辦法》

為加強(qiáng)會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理，規(guī)范會(huì)計(jì)師事務(wù)所數(shù)據(jù)處理活動(dòng)，財(cái)政部、國(guó)家網(wǎng)信辦近日聯(lián)合印發(fā)《會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理暫行辦法》，自2024年10月1日起施行。

該辦法旨在加強(qiáng)會(huì)計(jì)師事務(wù)所在數(shù)據(jù)處理方面的安全管理，規(guī)范其活動(dòng)，保障信息安全。主要內(nèi)容包括：數(shù)據(jù)管理、網(wǎng)絡(luò)管理、監(jiān)督檢查等方面，特別強(qiáng)調(diào)審計(jì)工作底稿需存放境內(nèi)，并禁止直接向境外機(jī)構(gòu)提供境內(nèi)項(xiàng)目資料。適用于境內(nèi)依法設(shè)立的會(huì)計(jì)師事務(wù)所，特別關(guān)注上市公司和關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的審計(jì)服務(wù)。

信息來(lái)源：中華人民共和國(guó)國(guó)家互聯(lián)網(wǎng)信息辦公室https://www.cac.gov.cn/2024-05/10/c_1717011564369521.htm

業(yè)內(nèi)新聞速覽

全球首例：英國(guó)立法禁止弱密碼

《2022 年產(chǎn)品安全和電信基礎(chǔ)設(shè)施法案》（PSTI 法案）于當(dāng)?shù)貢r(shí)間 4 月 29 日正式在英國(guó)生效，在全球范圍內(nèi)率先明確物聯(lián)網(wǎng)設(shè)備不得使用默認(rèn)弱密碼。

該法案的落地最早可以追溯到 2016 年 10 月 21 日發(fā)生的網(wǎng)絡(luò)攻擊事件，當(dāng)時(shí)很多用戶連續(xù)三次無(wú)法訪問(wèn) Twitter、CNN 和 Netflix 等熱門網(wǎng)站。這次攻擊并不復(fù)雜，攻擊者使用利用無(wú)線攝像頭到 WiFi 路由器等聯(lián)網(wǎng)消費(fèi)設(shè)備組成的 Mirai 僵尸網(wǎng)絡(luò)，向域名服務(wù)提供商 Dyn 發(fā)起分布式拒絕服務(wù)攻擊。PSTI 法案明確物聯(lián)網(wǎng)設(shè)備默認(rèn)不得使用“admin”或者“12345”等默認(rèn)密碼，而且制造商還需要發(fā)布聯(lián)系方式，以便用戶可以報(bào)告錯(cuò)誤。不符合規(guī)定的產(chǎn)品可能面臨被召回，相關(guān)公司可能面臨最高 1000 萬(wàn)英鎊或其全球收入 4% 的罰款，以較高者為準(zhǔn)。

消息來(lái)源：IT之家  https://baijiahao.baidu.com/s?id=1797742234536062258&wfr=spider&for=pc

TunnelVision 漏洞曝光，幾乎可監(jiān)聽(tīng)所有VPN

近日，安全企業(yè)Leviathan Security Group披露了一個(gè)名為TunnelVision的安全漏洞，該漏洞被追蹤為CVE-2024-3661，它幾乎可監(jiān)聽(tīng)所有VPN。

據(jù)悉，該漏洞是一種可繞過(guò)VPN封裝的新型網(wǎng)絡(luò)技術(shù)，借由操作系統(tǒng)所內(nèi)置的、用來(lái)自動(dòng)分配IP地址的動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP），就可迫使目標(biāo)用戶的流量離開(kāi)VPN信道，進(jìn)而讓黑客可窺探其流量。

如果用戶連接的對(duì)象是個(gè)HTTP網(wǎng)站，那么傳輸內(nèi)容將會(huì)被一覽無(wú)遺，若是訪問(wèn)加密的HTTPS網(wǎng)站，黑客就只能查看用戶所連接的對(duì)象。該漏洞對(duì)Windows、Linux、macOS和iOS等多個(gè)操作系統(tǒng)都有影響。

對(duì)此，Leviathan 建議 VPN 用戶采取以下緩解措施：

• 在 Linux 上使用網(wǎng)絡(luò)命名空間，將網(wǎng)絡(luò)接口和路由表與系統(tǒng)其他部分隔離，防止惡意 DHCP 配置影響 VPN 流量。

• 配置 VPN 客戶端，拒絕所有不使用 VPN 接口的入站和出站流量。例外情況應(yīng)僅限于必要的 DHCP 和 VPN 服務(wù)器通信。

• 配置系統(tǒng)在連接 VPN 時(shí)忽略 DHCP 選項(xiàng) 121。這可以防止應(yīng)用惡意路由選擇指令，但在某些配置下可能會(huì)中斷網(wǎng)絡(luò)連接。

• 通過(guò)個(gè)人熱點(diǎn)或虛擬機(jī)（VM）內(nèi)進(jìn)行連接。這樣可以將 DHCP 交互與主機(jī)系統(tǒng)的主網(wǎng)絡(luò)接口隔離，降低惡意 DHCP 配置的風(fēng)險(xiǎn)。

• 避免連接到不受信任的網(wǎng)絡(luò)，尤其是在處理敏感數(shù)據(jù)時(shí)，因?yàn)檫@些網(wǎng)絡(luò)是此類攻擊的主要環(huán)境。

消息來(lái)源：FREEBUF  https://www.freebuf.com/news/400347.html

Tinyproxy 曝出嚴(yán)重漏洞，全球52000 臺(tái)主機(jī)受影響

近日，Tinyproxy發(fā)現(xiàn)一個(gè)被追蹤為 CVE-2023-49606的安全漏洞，未經(jīng)身份驗(yàn)證的威脅行為者可以發(fā)送特制的 HTTP 連接標(biāo)頭來(lái)觸發(fā)該漏洞，從而引發(fā)內(nèi)存破壞，導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

根據(jù)攻擊面管理公司 Censys 分享的數(shù)據(jù)，截至 2024 年 5 月 3 日，在 90,310 臺(tái)向公共互聯(lián)網(wǎng)暴露 Tinyproxy 服務(wù)的主機(jī)中，有 52,000 臺(tái)（約占 57%）運(yùn)行著有漏洞的 Tinyproxy 版本。大部分可公開(kāi)訪問(wèn)的主機(jī)位于美國(guó)（32,846 臺(tái)）、韓國(guó)（18,358 臺(tái)）、中國(guó)（7,808 臺(tái)）、法國(guó)（5,208 臺(tái)）和德國(guó)（3,680 臺(tái)）。

專家建議用戶從 git 拉取最新的 master 分支，或者手動(dòng)將上述提交作為版本 1.11.1 的補(bǔ)丁應(yīng)用，直到 Tinyproxy 1.11.2 可用。還建議不要將 Tinyproxy 服務(wù)暴露在公共互聯(lián)網(wǎng)上。

消息來(lái)源：安全客  https://www.anquanke.com/post/id/296259

戴爾泄露4900萬(wàn)用戶購(gòu)物數(shù)據(jù)：疑涉及大量中國(guó)用戶

安全內(nèi)參報(bào)道，戴爾公司近日遭遇數(shù)據(jù)泄露事件，威脅行為者聲稱已竊取約4900萬(wàn)名客戶的信息。戴爾向客戶發(fā)出警告，表示黑客入侵了包含客戶購(gòu)買信息的門戶網(wǎng)站。

被竊取的信息包括客戶的姓名、地址、購(gòu)買的戴爾產(chǎn)品及其訂單詳情，但不包括財(cái)務(wù)、支付信息、電子郵件地址或電話號(hào)碼。戴爾強(qiáng)調(diào)，考慮到信息類型，客戶面臨的風(fēng)險(xiǎn)不大，并表示他們正在與執(zhí)法部門和第三方取證公司合作調(diào)查此事件。

據(jù)外媒報(bào)道，一位名為Menelik的威脅行為者曾試圖在Breach Forums黑客論壇上出售所竊取的戴爾客戶數(shù)據(jù)。雖然目前尚無(wú)法確認(rèn)這些數(shù)據(jù)是否就是戴爾公司所披露的，但兩者之間存在著高度的相似性。值得警惕的是，Breach Forum上的數(shù)據(jù)售賣帖子已經(jīng)被刪除，這可能意味著已經(jīng)有人購(gòu)買了這份數(shù)據(jù)庫(kù)。

戴爾公司強(qiáng)烈建議客戶保持警惕，如果收到任何聲稱來(lái)自戴爾的實(shí)體郵件或電子郵件，要求安裝軟件、更改密碼或執(zhí)行其他可能存在風(fēng)險(xiǎn)的操作，請(qǐng)務(wù)必進(jìn)行核實(shí)和確認(rèn)。

消息來(lái)源：安全內(nèi)參  https://www.secrss.com/articles/65996

來(lái)源:本安全周報(bào)所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來(lái)，僅用于分享，并不意味著贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性，部分內(nèi)容推送時(shí)未能與原作者取得聯(lián)系，若涉及版權(quán)問(wèn)題，煩請(qǐng)?jiān)髡呗?lián)系我們，我們會(huì)盡快刪除處理，謝謝！