要聞速覽
1、16項(xiàng)網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)獲批發(fā)布
2、財(cái)政部、國(guó)家網(wǎng)信辦聯(lián)合印發(fā)《會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理暫行辦法》
3、全球首例:英國(guó)立法禁止弱密碼
4、TunnelVision 漏洞曝光,幾乎可監(jiān)聽(tīng)所有VPN
5、Tinyproxy 曝出嚴(yán)重漏洞,全球52000 臺(tái)主機(jī)受影響
6、戴爾泄露4900萬(wàn)用戶(hù)購(gòu)物數(shù)據(jù):疑涉及大量中國(guó)用戶(hù)
一周政策要聞
16項(xiàng)網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)獲批發(fā)布
根據(jù)2024年4月25日國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布的中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)公告(2024年第6號(hào)),全國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口的16項(xiàng)國(guó)家標(biāo)準(zhǔn)正式發(fā)布,并將于2024年11月1日正式實(shí)施。具體清單如下:
信息來(lái)源:全國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)https://mp.weixin.qq.com/s/aBnH5AgYfgR1acPRJi98gA
財(cái)政部、國(guó)家網(wǎng)信辦聯(lián)合印發(fā)《會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理暫行辦法》
為加強(qiáng)會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理,規(guī)范會(huì)計(jì)師事務(wù)所數(shù)據(jù)處理活動(dòng),財(cái)政部、國(guó)家網(wǎng)信辦近日聯(lián)合印發(fā)《會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理暫行辦法》,自2024年10月1日起施行。
該辦法旨在加強(qiáng)會(huì)計(jì)師事務(wù)所在數(shù)據(jù)處理方面的安全管理,規(guī)范其活動(dòng),保障信息安全。主要內(nèi)容包括:數(shù)據(jù)管理、網(wǎng)絡(luò)管理、監(jiān)督檢查等方面,特別強(qiáng)調(diào)審計(jì)工作底稿需存放境內(nèi),并禁止直接向境外機(jī)構(gòu)提供境內(nèi)項(xiàng)目資料。適用于境內(nèi)依法設(shè)立的會(huì)計(jì)師事務(wù)所,特別關(guān)注上市公司和關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的審計(jì)服務(wù)。
信息來(lái)源:中華人民共和國(guó)國(guó)家互聯(lián)網(wǎng)信息辦公室https://www.cac.gov.cn/2024-05/10/c_1717011564369521.htm
業(yè)內(nèi)新聞速覽
全球首例:英國(guó)立法禁止弱密碼
《2022 年產(chǎn)品安全和電信基礎(chǔ)設(shè)施法案》(PSTI 法案)于當(dāng)?shù)貢r(shí)間 4 月 29 日正式在英國(guó)生效,在全球范圍內(nèi)率先明確物聯(lián)網(wǎng)設(shè)備不得使用默認(rèn)弱密碼。
該法案的落地最早可以追溯到 2016 年 10 月 21 日發(fā)生的網(wǎng)絡(luò)攻擊事件,當(dāng)時(shí)很多用戶(hù)連續(xù)三次無(wú)法訪(fǎng)問(wèn) Twitter、CNN 和 Netflix 等熱門(mén)網(wǎng)站。這次攻擊并不復(fù)雜,攻擊者使用利用無(wú)線(xiàn)攝像頭到 WiFi 路由器等聯(lián)網(wǎng)消費(fèi)設(shè)備組成的 Mirai 僵尸網(wǎng)絡(luò),向域名服務(wù)提供商 Dyn 發(fā)起分布式拒絕服務(wù)攻擊。PSTI 法案明確物聯(lián)網(wǎng)設(shè)備默認(rèn)不得使用“admin”或者“12345”等默認(rèn)密碼,而且制造商還需要發(fā)布聯(lián)系方式,以便用戶(hù)可以報(bào)告錯(cuò)誤。不符合規(guī)定的產(chǎn)品可能面臨被召回,相關(guān)公司可能面臨最高 1000 萬(wàn)英鎊或其全球收入 4% 的罰款,以較高者為準(zhǔn)。
消息來(lái)源:IT之家 https://baijiahao.baidu.com/s?id=1797742234536062258&wfr=spider&for=pc
TunnelVision 漏洞曝光,幾乎可監(jiān)聽(tīng)所有VPN
近日,安全企業(yè)Leviathan Security Group披露了一個(gè)名為T(mén)unnelVision的安全漏洞,該漏洞被追蹤為CVE-2024-3661,它幾乎可監(jiān)聽(tīng)所有VPN。
據(jù)悉,該漏洞是一種可繞過(guò)VPN封裝的新型網(wǎng)絡(luò)技術(shù),借由操作系統(tǒng)所內(nèi)置的、用來(lái)自動(dòng)分配IP地址的動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP),就可迫使目標(biāo)用戶(hù)的流量離開(kāi)VPN信道,進(jìn)而讓黑客可窺探其流量。
如果用戶(hù)連接的對(duì)象是個(gè)HTTP網(wǎng)站,那么傳輸內(nèi)容將會(huì)被一覽無(wú)遺,若是訪(fǎng)問(wèn)加密的HTTPS網(wǎng)站,黑客就只能查看用戶(hù)所連接的對(duì)象。該漏洞對(duì)Windows、Linux、macOS和iOS等多個(gè)操作系統(tǒng)都有影響。
對(duì)此,Leviathan 建議 VPN 用戶(hù)采取以下緩解措施:
-
在 Linux 上使用網(wǎng)絡(luò)命名空間,將網(wǎng)絡(luò)接口和路由表與系統(tǒng)其他部分隔離,防止惡意 DHCP 配置影響 VPN 流量。
-
配置 VPN 客戶(hù)端,拒絕所有不使用 VPN 接口的入站和出站流量。例外情況應(yīng)僅限于必要的 DHCP 和 VPN 服務(wù)器通信。
-
配置系統(tǒng)在連接 VPN 時(shí)忽略 DHCP 選項(xiàng) 121。這可以防止應(yīng)用惡意路由選擇指令,但在某些配置下可能會(huì)中斷網(wǎng)絡(luò)連接。
-
通過(guò)個(gè)人熱點(diǎn)或虛擬機(jī)(VM)內(nèi)進(jìn)行連接。這樣可以將 DHCP 交互與主機(jī)系統(tǒng)的主網(wǎng)絡(luò)接口隔離,降低惡意 DHCP 配置的風(fēng)險(xiǎn)。
-
避免連接到不受信任的網(wǎng)絡(luò),尤其是在處理敏感數(shù)據(jù)時(shí),因?yàn)檫@些網(wǎng)絡(luò)是此類(lèi)攻擊的主要環(huán)境。
消息來(lái)源:FREEBUF https://www.freebuf.com/news/400347.html
Tinyproxy 曝出嚴(yán)重漏洞,全球52000 臺(tái)主機(jī)受影響
近日,Tinyproxy發(fā)現(xiàn)一個(gè)被追蹤為 CVE-2023-49606的安全漏洞,未經(jīng)身份驗(yàn)證的威脅行為者可以發(fā)送特制的 HTTP 連接標(biāo)頭來(lái)觸發(fā)該漏洞,從而引發(fā)內(nèi)存破壞,導(dǎo)致遠(yuǎn)程代碼執(zhí)行。
根據(jù)攻擊面管理公司 Censys 分享的數(shù)據(jù),截至 2024 年 5 月 3 日,在 90,310 臺(tái)向公共互聯(lián)網(wǎng)暴露 Tinyproxy 服務(wù)的主機(jī)中,有 52,000 臺(tái)(約占 57%)運(yùn)行著有漏洞的 Tinyproxy 版本。大部分可公開(kāi)訪(fǎng)問(wèn)的主機(jī)位于美國(guó)(32,846 臺(tái))、韓國(guó)(18,358 臺(tái))、中國(guó)(7,808 臺(tái))、法國(guó)(5,208 臺(tái))和德國(guó)(3,680 臺(tái))。
專(zhuān)家建議用戶(hù)從 git 拉取最新的 master 分支,或者手動(dòng)將上述提交作為版本 1.11.1 的補(bǔ)丁應(yīng)用,直到 Tinyproxy 1.11.2 可用。還建議不要將 Tinyproxy 服務(wù)暴露在公共互聯(lián)網(wǎng)上。
消息來(lái)源:安全客 https://www.anquanke.com/post/id/296259
戴爾泄露4900萬(wàn)用戶(hù)購(gòu)物數(shù)據(jù):疑涉及大量中國(guó)用戶(hù)
安全內(nèi)參報(bào)道,戴爾公司近日遭遇數(shù)據(jù)泄露事件,威脅行為者聲稱(chēng)已竊取約4900萬(wàn)名客戶(hù)的信息。戴爾向客戶(hù)發(fā)出警告,表示黑客入侵了包含客戶(hù)購(gòu)買(mǎi)信息的門(mén)戶(hù)網(wǎng)站。
被竊取的信息包括客戶(hù)的姓名、地址、購(gòu)買(mǎi)的戴爾產(chǎn)品及其訂單詳情,但不包括財(cái)務(wù)、支付信息、電子郵件地址或電話(huà)號(hào)碼。戴爾強(qiáng)調(diào),考慮到信息類(lèi)型,客戶(hù)面臨的風(fēng)險(xiǎn)不大,并表示他們正在與執(zhí)法部門(mén)和第三方取證公司合作調(diào)查此事件。
據(jù)外媒報(bào)道,一位名為Menelik的威脅行為者曾試圖在Breach Forums黑客論壇上出售所竊取的戴爾客戶(hù)數(shù)據(jù)。雖然目前尚無(wú)法確認(rèn)這些數(shù)據(jù)是否就是戴爾公司所披露的,但兩者之間存在著高度的相似性。值得警惕的是,Breach Forum上的數(shù)據(jù)售賣(mài)帖子已經(jīng)被刪除,這可能意味著已經(jīng)有人購(gòu)買(mǎi)了這份數(shù)據(jù)庫(kù)。
戴爾公司強(qiáng)烈建議客戶(hù)保持警惕,如果收到任何聲稱(chēng)來(lái)自戴爾的實(shí)體郵件或電子郵件,要求安裝軟件、更改密碼或執(zhí)行其他可能存在風(fēng)險(xiǎn)的操作,請(qǐng)務(wù)必進(jìn)行核實(shí)和確認(rèn)。
消息來(lái)源:安全內(nèi)參 https://www.secrss.com/articles/65996
來(lái)源:本安全周報(bào)所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來(lái),僅用于分享,并不意味著贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性,部分內(nèi)容推送時(shí)未能與原作者取得聯(lián)系,若涉及版權(quán)問(wèn)題,煩請(qǐng)?jiān)髡呗?lián)系我們,我們會(huì)盡快刪除處理,謝謝!