【一周安全資訊0113】聯(lián)合國《打擊網(wǎng)絡(luò)犯罪公約》草案基本完成;隱私保護大事件!Google終結(jié)第三方Cookie |
來源:聚銘網(wǎng)絡(luò) 發(fā)布時間:2024-01-13 瀏覽次數(shù): |
要聞速覽 1、聯(lián)合國《打擊網(wǎng)絡(luò)犯罪公約》草案基本完成 2、工信部發(fā)布《云計算綜合標準化體系建設(shè)指南》(征求意見稿) 3、隱私保護大事件!Google終結(jié)第三方Cookie 4、思科又曝一嚴重漏洞,可被黑客利用獲取 root 權(quán)限 5、美國證券交易委員會 X 賬戶被黑,引發(fā)比特幣市場震蕩 6、神漏洞!熱門扳手感染勒索軟件,秘密破壞工廠設(shè)備組裝
一周政策要聞 聯(lián)合國《打擊網(wǎng)絡(luò)犯罪公約》草案基本完成 聯(lián)合國毒品和犯罪問題辦公室(UNODC)認為,網(wǎng)絡(luò)犯罪主要集中在與計算機相關(guān)和內(nèi)容相關(guān)的犯罪行為,以及與侵犯版權(quán)等相關(guān)的犯罪行為。由于各國對網(wǎng)絡(luò)犯罪的定義和界定都不相同,一直以來聯(lián)合國都缺乏相關(guān)領(lǐng)域的公約,也難以達成一致。 事實上,由于網(wǎng)絡(luò)犯罪助長了武器販運、人口販賣等惡性行為,網(wǎng)絡(luò)犯罪也實質(zhì)性阻礙了聯(lián)合國全球可持續(xù)發(fā)展目標的實現(xiàn)。例如 GandCrab 勒索軟件在全球狂攬數(shù)十億美元,各國關(guān)鍵基礎(chǔ)設(shè)施也因?qū)映霾桓F的勒索軟件攻擊而中斷。 歐盟從 2001 年起就推動談判達成了全球網(wǎng)絡(luò)犯罪公約(布達佩斯公約)。但由于該公約的締約國目前僅有近七十個,并未得到世界上其他國家的廣泛參與,許多國家認為應(yīng)該由聯(lián)合國推動全球合作打擊網(wǎng)絡(luò)犯罪公約的建立。此前非盟也制定了適用于非洲范圍的《網(wǎng)絡(luò)安全與個人數(shù)據(jù)保護公約》,全球各國政府都開始重視網(wǎng)絡(luò)犯罪的打擊與治理。俄羅斯在 2017 年向聯(lián)合國大會提議建立《聯(lián)合國打擊網(wǎng)絡(luò)犯罪合作公約》,并且給出了草案案文。
2019 年 11 月,俄羅斯、白俄羅斯、柬埔寨、中國、伊朗、緬甸、尼加拉瓜、敘利亞和委內(nèi)瑞拉九國發(fā)起旨在建立打擊網(wǎng)絡(luò)犯罪的國際公約的提案。2019 年 12 月,聯(lián)合國大會中的各成員國對該提案進行表決,結(jié)果為 79 票贊同、60 票反對、33 票棄權(quán)。 聯(lián)合國大會通過決議后,正式啟動聯(lián)合國打擊網(wǎng)絡(luò)犯罪公約的起草進程。為此聯(lián)大成立了特設(shè)委員會起草該公約,預(yù)計需要至少三年的時間在 2024 年年初基本完成該國際公約的草案。 在 2020 年,聯(lián)合國大會設(shè)置了政府間專家組(GGE)、開放式工作組(OEWG)與特設(shè)開放式政府間專家委員會(OECE)對網(wǎng)絡(luò)安全相關(guān)內(nèi)容進行研究與討論。OECE 專門負責(zé)起草聯(lián)合國打擊網(wǎng)絡(luò)犯罪公約(聯(lián)合國官方名為《關(guān)于打擊使用信息和通信技術(shù)實施犯罪行為的全面國際公約》)。 2024 年 1 月,特設(shè)委員會將在紐約舉行閉幕會議,對公約草案進行最終修訂并將草案提交給聯(lián)合國大會進行表決。
信息來源:安全內(nèi)參 https://www.secrss.com/articles/62570
工信部發(fā)布《云計算綜合標準化體系建設(shè)指南》(征求意見稿) 近幾年,在政策、市場和技術(shù)等因素的共同驅(qū)動下,我國云計算產(chǎn)業(yè)年均增速超過 30%,全國累計上云企業(yè)超過 380萬家,內(nèi)云計算骨干企業(yè)在大規(guī)模并發(fā)處理、海量數(shù)據(jù)存儲等關(guān)鍵核心技術(shù),以及容器、微服務(wù)等新興領(lǐng)域不斷取得突破,云計算加速向制造、政務(wù)、金融、醫(yī)療、交通、能源等行業(yè)融合滲透,云計算產(chǎn)業(yè)生態(tài)已逐步成熟。 作為新技術(shù)基礎(chǔ)設(shè)施,云計算已成為我國數(shù)字經(jīng)濟發(fā)展的重要基石。 云計算的快速發(fā)展同樣帶來許多新的網(wǎng)絡(luò)安全威脅,云安全到涉及網(wǎng)絡(luò)安全、數(shù)據(jù)安全、信息安全、系統(tǒng)安全、服務(wù)安全、應(yīng)用安全等方面,具有攻擊面廣、隱藏性強、可預(yù)防性低、波及范圍大等特點,加上目前國內(nèi)尚未形成一套完善的,標準化的云計算體系建設(shè)指南,使得云安全成為近期安全從業(yè)者的痛點。 此外,云安全也不是單純的技術(shù)問題,只有通過技術(shù)、服務(wù)和管理的互相配合,形成共同遵循的安全規(guī)范和指南,才能營造保障云計算健康發(fā)展的可信環(huán)境。為充分發(fā)揮標準對云計算產(chǎn)業(yè)的引領(lǐng)規(guī)范作用,持續(xù)完善標準體系,工業(yè)和信息化部科技司組織有關(guān)單位編制完成了《云計算綜合標準化體系建設(shè)指南(征求意見稿)》(以下簡稱《征求意見稿》)。 需要獲取征求意見稿請在評論區(qū)留言”征求意見稿“,小銘哥會第一時間為您提供相關(guān)資料。 信息來源:中華人民共和國工業(yè)和信息化部 https://www.miit.gov.cn/gzcy/yjzj/art/2024/art_0dba24687491428a8939060c79ee358a.html
業(yè)內(nèi)新聞速覽 隱私保護大事件!Google終結(jié)第三方Cookie 2024年剛剛開始,用戶個人隱私傳來一個重磅大事件。據(jù)國內(nèi)多家科技媒體報道,1月4日,全球巨頭谷歌開始計劃全面禁用第三方Cookie,目前已經(jīng)對1%的用戶進行小范圍測試,預(yù)計將在今年年底擴展到全部Chrome瀏覽器用戶。這將對互聯(lián)網(wǎng)廣告行業(yè)帶來巨大沖擊,也將成為用戶個人隱私保護的標志性事件。
Cookie,通俗來說就是指用戶訪問網(wǎng)站的緩存數(shù)據(jù),包括用戶名、密碼、注冊賬戶、手機號等公民個人信息。 當(dāng)我們?yōu)g覽網(wǎng)頁時,網(wǎng)絡(luò)服務(wù)器會創(chuàng)建一個小型的文本文件,并將其暫時或永久存儲在用戶的電腦中。當(dāng)我們再次訪問網(wǎng)頁時,即可快速識別是否已經(jīng)訪問過該網(wǎng)站,并提供已存儲的文本文件。 舉個例子,我們使用瀏覽器登錄一些賬戶時,瀏覽器會彈出一個提示“你是否要記住密碼”,如果選擇是,下次訪問可以不輸入賬號密碼直接登錄,這是Cookie的功能之一。 由于具有“記住和跟蹤”用戶網(wǎng)頁瀏覽記錄的神奇功能,Cookie很快就被應(yīng)用至網(wǎng)絡(luò)購物平臺,并很快成為個性化廣告的利器。當(dāng)你瀏覽或搜索了某類商品后,第三方cookie就會把你的喜好記錄下來,并在其他網(wǎng)站投放相應(yīng)的廣告。當(dāng)你再次訪問網(wǎng)站時,Cookie識別出你,并把你曾經(jīng)瀏覽的商品進行推薦。 這也是為什么,越來越多的網(wǎng)友反饋,購物平臺為什么知道我看過什么,喜歡什么。其中的原因之一就是Cookie。 Cookie侵犯隱私的爭議由來已久。在互聯(lián)網(wǎng)發(fā)展的早期,網(wǎng)站并不會通知用戶Cookie的存在,直到1996年有媒體曝光Cookie的使用,它才開始為大眾所知,潛在的隱私問題也引起監(jiān)管機構(gòu)介入。在歐美,有許多限制Cookie使用的法律規(guī)范。多家機構(gòu)及公司都曾對Cookie的使用進行整治,例如蘋果就禁止iPhone和iPad用戶使用第三方Cookie。 谷歌本次的Cookie禁令,所針對的是第三方Cookie,即在線廣告行業(yè)在網(wǎng)站上放置的用于跟蹤用戶、投放相關(guān)廣告的Cookie,不會影響網(wǎng)站用來存儲登錄信息等基本內(nèi)容的Cookie,對于用戶個人隱私信息保護來說或許也將是個好的開始。 消息來源:騰訊云開發(fā)者社區(qū) https://cloud.tencent.com/developer/article/2377366
思科又曝一嚴重漏洞,可被黑客利用獲取 root 權(quán)限 近日,思科修補了一個關(guān)鍵的 Unity Connection 安全漏洞,該漏洞可讓未經(jīng)認證的攻擊者在未打補丁的設(shè)備上遠程獲得 root 權(quán)限。
Unity Connection 是一個完全虛擬化的消息和語音郵件解決方案,適用于電子郵件收件箱、Web 瀏覽器、Cisco Jabber、Cisco Unified IP Phone、智能手機或平板電腦,支持高可用性和冗余。 該漏洞(CVE-2024-20272)出現(xiàn)在該軟件基于網(wǎng)絡(luò)的管理界面上,是由于特定 API 缺乏身份驗證以及對用戶提供的數(shù)據(jù)驗證不當(dāng)造成的。攻擊者可通過向目標和易受攻擊系統(tǒng)上傳任意文件,在底層操作系統(tǒng)上執(zhí)行命令。成功利用后,攻擊者可以在系統(tǒng)上存儲惡意文件,在操作系統(tǒng)上執(zhí)行任意命令,并將權(quán)限提升至 root。 幸運的是,思科的產(chǎn)品安全事故響應(yīng)小組(PSIRT)表示,目前還沒有證據(jù)表明該漏洞已被利用的情況出現(xiàn)。 利用 PoC 漏洞進行命令注入: 1月10日,思科宣布修補了多款產(chǎn)品中的十個中等嚴重性安全漏洞,這些漏洞允許攻擊者升級權(quán)限、發(fā)起跨站腳本(XSS)攻擊、注入命令等。 其中一個漏洞的概念驗證利用代碼已在網(wǎng)上公布,該漏洞是思科 WAP371 無線接入點基于 Web 的管理界面中的一個命令注入漏洞,被追蹤為 CVE-2024-20287。 盡管攻擊者可以利用這個漏洞在未打補丁的設(shè)備上以 root 權(quán)限執(zhí)行任意命令,但要成功利用這個漏洞還需要管理憑據(jù)。 思科表示,由于思科WAP371設(shè)備已于2019年6月達到報廢年限,因此不會發(fā)布固件更新來修補CVE-2024-20287安全漏洞。 同時,該公司建議網(wǎng)絡(luò)上有 WAP371 設(shè)備的客戶盡快遷移到思科 Business 240AC 接入點。 去年10 月,思科還修補了兩個零日漏洞(CVE-2023-20198 和 CVE-2023-20273),這些漏洞在一周內(nèi)被利用入侵了 50,000 多臺 IOS XE 設(shè)備。 消息來源:FREEBUF https://www.freebuf.com/news/389437.html
美國證券交易委員會 X 賬戶被黑,引發(fā)比特幣市場震蕩 Bleeping Computer 網(wǎng)站消息,威脅攻擊者成功“占領(lǐng)”了美國證券交易委員會的 X 賬戶,并發(fā)布一條關(guān)于批準比特幣 ETF 在證券交易所上市的虛假公告。有意思的是,冒牌推文下還放了一張美國證券交易委員會(SEC)主席加里-根斯勒(Gary Gensler)的照片。
圖注:美國證券交易委員會(SEC)賬戶被黑客偽造的 ETF 批準書
這一消息迅速傳播開來,許多加密貨幣平臺和主流新聞網(wǎng)站都報道了這一事件,比特幣價格也出現(xiàn)了短暫飆升。然而,很快就有消息傳出美國證券交易委員會 X 賬戶被黑客攻擊了,并借此發(fā)布這一假消息,比特幣價格隨之回落。 不久后,美國證券交易委員會主席根斯勒發(fā)推表示,@SECGov twitter 賬戶被威脅攻擊者入侵了,這些犯罪分子發(fā)布了一條未經(jīng)授權(quán)的推文,美國證券交易委員會目前并未批準比特幣 ETF 在證券交易所上市。 美國證券交易委員會發(fā)言人向媒體進一步證實,比特幣 ETF 的未經(jīng)授權(quán)的推文不是由美國證券交易委員會或其工作人員發(fā)布的。隨著事件發(fā)酵,美國證券交易委員會方面再次發(fā)布聲明稱,已經(jīng)可以確認有不明人士未經(jīng)授權(quán)訪問了 @SECGov x.com 賬戶并在該賬戶上進行了非法活動,目前該未經(jīng)授權(quán)的訪問已被終止,美國證券交易委員會將與執(zhí)法部門合作調(diào)查賬戶被黑一事。 X 賬戶屢屢被黑: 過去一個月里,X 平臺或許已經(jīng)被一大波賬戶遭遇襲擊的事件壓得喘不過氣來,許多機構(gòu)組織被黑客攻擊,傳播加密貨幣騙局和錢包放水鏈接。近期,Netgear 和 Hyundai MEA X 賬戶被黑客攻擊,目的是推廣虛假加密貨幣網(wǎng)站,從連接到 Web3 網(wǎng)站的錢包中盜取加密貨幣。 Web3 安全公司 CertiK 近期也遭到黑客攻擊,這些犯罪分子借機推廣一個錢包“放水”程序,網(wǎng)絡(luò)安全公司 Mandiant 也遭到劫持,盡管該公司已經(jīng)啟用了雙因素身份驗證。除賬戶劫持外,威脅攻擊者還利用 X 的廣告平臺制作了無窮無盡的惡意廣告,推銷加密貨幣騙局。 消息來源:FREEBUF https://www.freebuf.com/news/389312.html
神漏洞!熱門扳手感染勒索軟件,秘密破壞工廠設(shè)備組裝 研究人員在熱門扳手套件中發(fā)現(xiàn)了23個漏洞,其中一些無需身份驗證即可利用,可被用于勒索軟件攻擊或定向攻擊利用鏈。 安全內(nèi)參1月10日消息,研究人員發(fā)現(xiàn)了23個漏洞,黑客可以利用這些漏洞破壞或禁用一套非常流行的聯(lián)網(wǎng)扳手系列產(chǎn)品。全球各地的工廠都在使用這些產(chǎn)品組裝敏感儀器和設(shè)備。安全公司Nozomi的研究人員在周二報告了這些漏洞,它們存在于博世力士樂(Bosch Rexroth)生產(chǎn)的NXA015S-36V-B型手持螺帽扳手。這款無繩設(shè)備能夠無線連接到使用者的本地網(wǎng)絡(luò),幫助工程師將螺栓等機械緊固件擰緊到安全、可靠的扭矩水平。如果緊固件過松,會有過熱和火災(zāi)風(fēng)險。如果過緊,螺紋可能會斷裂,導(dǎo)致扭矩過松。該型號螺帽扳手配有扭矩級別指示器顯示屏,顯示屏由德國工程師協(xié)會認證,并于 1999 年被汽車業(yè)界采用。運行在設(shè)備上的固件是NEXO-OS,可以通過基于瀏覽器的管理界面加以控制。
圖注:NEXO-OS的Web管理應(yīng)用程序 Nozomi的研究人員表示,這款設(shè)備存在23個漏洞。某些情況下,攻擊者可以利用這些漏洞安裝惡意軟件。一旦安裝成功,惡意軟件能夠禁用整個設(shè)備系列,或在緊固件過松或過緊時讓設(shè)備不顯示關(guān)鍵設(shè)置出現(xiàn)錯誤。博世官方通過電子郵件發(fā)表了聲明。他們首先按慣例強調(diào)安全是首要任務(wù),隨后表示,Nozomi幾周前聯(lián)系博世,指出了這些漏洞。聲明中說:“博世力士樂立即采納了這些建議,并正在研究解決問題的補丁。該補丁將于2024年1月底發(fā)布?!盢ozomi的研究人員發(fā)帖稱,在博世力士樂NXA015S-36V-B上發(fā)現(xiàn)的漏洞,允許未經(jīng)身份驗證的攻擊者向目標設(shè)備發(fā)送網(wǎng)絡(luò)數(shù)據(jù)包,以root權(quán)限遠程執(zhí)行任意代碼,完成對設(shè)備的徹底入侵。攻擊者一旦能夠未經(jīng)授權(quán)地訪問設(shè)備,就有可能實施多種攻擊方案。Nozomi在實驗室環(huán)境中成功重建了以下兩種情景。
圖注:測試扳手上運行的概念驗證(PoC)勒索軟件
圖注:操縱視圖攻擊,緊固時施加的扭矩為0.15 Nm Nozomi一共披露了23個漏洞,其嚴重程度評級從5.3分到8.8分不等(滿分為10分)。對于大多數(shù)漏洞來說,攻擊者首先必須獲得設(shè)備的Web管理界面訪問權(quán)限。Nozomi 表示,即使只是具有最低權(quán)限,攻擊者也可以創(chuàng)建攻擊鏈,利用稱為遍歷漏洞的缺陷向敏感目錄上傳惡意代碼,然后執(zhí)行該代碼。未經(jīng)身份驗證的攻擊者仍然可能將遍歷漏洞與其他漏洞(如硬編碼賬號)結(jié)合起來黑掉設(shè)備。攻擊鏈的示意圖如下:
圖注:未經(jīng)身份驗證的攻擊鏈導(dǎo)致生產(chǎn)線停工的流程 如果設(shè)備的通信協(xié)議(如OpenProtocol)已集成到網(wǎng)絡(luò)流中,攻擊者可以利用多個緩沖區(qū)溢出漏洞之一來遠程執(zhí)行惡意代碼。
圖注:通過未經(jīng)身份驗證的攻擊完成控制和視圖操縱 這些漏洞很可能不會被大規(guī)模利用。成功入侵網(wǎng)絡(luò)之后,勒索軟件攻擊者或許有更有效的方法提升權(quán)限、造成中斷或破壞。但是,在沒有其他漏洞的情況下,攻擊者只要大規(guī)模禁用扳手就足以達成目的。不僅如此,國家支持的黑客以及受到激進思想或特殊目的鼓動的黑客活動分子可能會利用這些漏洞干擾或破壞對手的設(shè)備運行。不管是哪種情況,停工風(fēng)險都切實存在,關(guān)鍵設(shè)置有可能被篡改,建議所有用戶在補丁發(fā)布后選擇盡快安裝。消息來源:安全內(nèi)參 https://www.secrss.com/articles/62680
來源:本安全周報所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來,僅用于分享,并不意味著贊同其觀點或證實其內(nèi)容的真實性,部分內(nèi)容推送時未能與原作者取得聯(lián)系,若涉及版權(quán)問題,煩請原作者聯(lián)系我們,我們會盡快刪除處理,謝謝! |
上一篇:2024年1月12日聚銘安全速遞 |