要聞速覽
1、16項網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)獲批發(fā)布
2、財政部、國家網(wǎng)信辦聯(lián)合印發(fā)《會計師事務(wù)所數(shù)據(jù)安全管理暫行辦法》
3、全球首例:英國立法禁止弱密碼
4、TunnelVision 漏洞曝光,幾乎可監(jiān)聽所有VPN
5、Tinyproxy 曝出嚴重漏洞,全球52000 臺主機受影響
6、戴爾泄露4900萬用戶購物數(shù)據(jù):疑涉及大量中國用戶
一周政策要聞
16項網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)獲批發(fā)布
根據(jù)2024年4月25日國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化管理委員會發(fā)布的中華人民共和國國家標(biāo)準(zhǔn)公告(2024年第6號),全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會歸口的16項國家標(biāo)準(zhǔn)正式發(fā)布,并將于2024年11月1日正式實施。具體清單如下:
信息來源:全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會https://mp.weixin.qq.com/s/aBnH5AgYfgR1acPRJi98gA
財政部、國家網(wǎng)信辦聯(lián)合印發(fā)《會計師事務(wù)所數(shù)據(jù)安全管理暫行辦法》
為加強會計師事務(wù)所數(shù)據(jù)安全管理,規(guī)范會計師事務(wù)所數(shù)據(jù)處理活動,財政部、國家網(wǎng)信辦近日聯(lián)合印發(fā)《會計師事務(wù)所數(shù)據(jù)安全管理暫行辦法》,自2024年10月1日起施行。
該辦法旨在加強會計師事務(wù)所在數(shù)據(jù)處理方面的安全管理,規(guī)范其活動,保障信息安全。主要內(nèi)容包括:數(shù)據(jù)管理、網(wǎng)絡(luò)管理、監(jiān)督檢查等方面,特別強調(diào)審計工作底稿需存放境內(nèi),并禁止直接向境外機構(gòu)提供境內(nèi)項目資料。適用于境內(nèi)依法設(shè)立的會計師事務(wù)所,特別關(guān)注上市公司和關(guān)鍵信息基礎(chǔ)設(shè)施運營者的審計服務(wù)。
信息來源:中華人民共和國國家互聯(lián)網(wǎng)信息辦公室https://www.cac.gov.cn/2024-05/10/c_1717011564369521.htm
業(yè)內(nèi)新聞速覽
全球首例:英國立法禁止弱密碼
《2022 年產(chǎn)品安全和電信基礎(chǔ)設(shè)施法案》(PSTI 法案)于當(dāng)?shù)貢r間 4 月 29 日正式在英國生效,在全球范圍內(nèi)率先明確物聯(lián)網(wǎng)設(shè)備不得使用默認弱密碼。
該法案的落地最早可以追溯到 2016 年 10 月 21 日發(fā)生的網(wǎng)絡(luò)攻擊事件,當(dāng)時很多用戶連續(xù)三次無法訪問 Twitter、CNN 和 Netflix 等熱門網(wǎng)站。這次攻擊并不復(fù)雜,攻擊者使用利用無線攝像頭到 WiFi 路由器等聯(lián)網(wǎng)消費設(shè)備組成的 Mirai 僵尸網(wǎng)絡(luò),向域名服務(wù)提供商 Dyn 發(fā)起分布式拒絕服務(wù)攻擊。PSTI 法案明確物聯(lián)網(wǎng)設(shè)備默認不得使用“admin”或者“12345”等默認密碼,而且制造商還需要發(fā)布聯(lián)系方式,以便用戶可以報告錯誤。不符合規(guī)定的產(chǎn)品可能面臨被召回,相關(guān)公司可能面臨最高 1000 萬英鎊或其全球收入 4% 的罰款,以較高者為準(zhǔn)。
消息來源:IT之家 https://baijiahao.baidu.com/s?id=1797742234536062258&wfr=spider&for=pc
TunnelVision 漏洞曝光,幾乎可監(jiān)聽所有VPN
近日,安全企業(yè)Leviathan Security Group披露了一個名為TunnelVision的安全漏洞,該漏洞被追蹤為CVE-2024-3661,它幾乎可監(jiān)聽所有VPN。
據(jù)悉,該漏洞是一種可繞過VPN封裝的新型網(wǎng)絡(luò)技術(shù),借由操作系統(tǒng)所內(nèi)置的、用來自動分配IP地址的動態(tài)主機配置協(xié)議(DHCP),就可迫使目標(biāo)用戶的流量離開VPN信道,進而讓黑客可窺探其流量。
如果用戶連接的對象是個HTTP網(wǎng)站,那么傳輸內(nèi)容將會被一覽無遺,若是訪問加密的HTTPS網(wǎng)站,黑客就只能查看用戶所連接的對象。該漏洞對Windows、Linux、macOS和iOS等多個操作系統(tǒng)都有影響。
對此,Leviathan 建議 VPN 用戶采取以下緩解措施:
-
在 Linux 上使用網(wǎng)絡(luò)命名空間,將網(wǎng)絡(luò)接口和路由表與系統(tǒng)其他部分隔離,防止惡意 DHCP 配置影響 VPN 流量。
-
配置 VPN 客戶端,拒絕所有不使用 VPN 接口的入站和出站流量。例外情況應(yīng)僅限于必要的 DHCP 和 VPN 服務(wù)器通信。
-
配置系統(tǒng)在連接 VPN 時忽略 DHCP 選項 121。這可以防止應(yīng)用惡意路由選擇指令,但在某些配置下可能會中斷網(wǎng)絡(luò)連接。
-
通過個人熱點或虛擬機(VM)內(nèi)進行連接。這樣可以將 DHCP 交互與主機系統(tǒng)的主網(wǎng)絡(luò)接口隔離,降低惡意 DHCP 配置的風(fēng)險。
-
避免連接到不受信任的網(wǎng)絡(luò),尤其是在處理敏感數(shù)據(jù)時,因為這些網(wǎng)絡(luò)是此類攻擊的主要環(huán)境。
消息來源:FREEBUF https://www.freebuf.com/news/400347.html
Tinyproxy 曝出嚴重漏洞,全球52000 臺主機受影響
近日,Tinyproxy發(fā)現(xiàn)一個被追蹤為 CVE-2023-49606的安全漏洞,未經(jīng)身份驗證的威脅行為者可以發(fā)送特制的 HTTP 連接標(biāo)頭來觸發(fā)該漏洞,從而引發(fā)內(nèi)存破壞,導(dǎo)致遠程代碼執(zhí)行。
根據(jù)攻擊面管理公司 Censys 分享的數(shù)據(jù),截至 2024 年 5 月 3 日,在 90,310 臺向公共互聯(lián)網(wǎng)暴露 Tinyproxy 服務(wù)的主機中,有 52,000 臺(約占 57%)運行著有漏洞的 Tinyproxy 版本。大部分可公開訪問的主機位于美國(32,846 臺)、韓國(18,358 臺)、中國(7,808 臺)、法國(5,208 臺)和德國(3,680 臺)。
專家建議用戶從 git 拉取最新的 master 分支,或者手動將上述提交作為版本 1.11.1 的補丁應(yīng)用,直到 Tinyproxy 1.11.2 可用。還建議不要將 Tinyproxy 服務(wù)暴露在公共互聯(lián)網(wǎng)上。
消息來源:安全客 https://www.anquanke.com/post/id/296259
戴爾泄露4900萬用戶購物數(shù)據(jù):疑涉及大量中國用戶
安全內(nèi)參報道,戴爾公司近日遭遇數(shù)據(jù)泄露事件,威脅行為者聲稱已竊取約4900萬名客戶的信息。戴爾向客戶發(fā)出警告,表示黑客入侵了包含客戶購買信息的門戶網(wǎng)站。
被竊取的信息包括客戶的姓名、地址、購買的戴爾產(chǎn)品及其訂單詳情,但不包括財務(wù)、支付信息、電子郵件地址或電話號碼。戴爾強調(diào),考慮到信息類型,客戶面臨的風(fēng)險不大,并表示他們正在與執(zhí)法部門和第三方取證公司合作調(diào)查此事件。
據(jù)外媒報道,一位名為Menelik的威脅行為者曾試圖在Breach Forums黑客論壇上出售所竊取的戴爾客戶數(shù)據(jù)。雖然目前尚無法確認這些數(shù)據(jù)是否就是戴爾公司所披露的,但兩者之間存在著高度的相似性。值得警惕的是,Breach Forum上的數(shù)據(jù)售賣帖子已經(jīng)被刪除,這可能意味著已經(jīng)有人購買了這份數(shù)據(jù)庫。
戴爾公司強烈建議客戶保持警惕,如果收到任何聲稱來自戴爾的實體郵件或電子郵件,要求安裝軟件、更改密碼或執(zhí)行其他可能存在風(fēng)險的操作,請務(wù)必進行核實和確認。
消息來源:安全內(nèi)參 https://www.secrss.com/articles/65996
來源:本安全周報所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來,僅用于分享,并不意味著贊同其觀點或證實其內(nèi)容的真實性,部分內(nèi)容推送時未能與原作者取得聯(lián)系,若涉及版權(quán)問題,煩請原作者聯(lián)系我們,我們會盡快刪除處理,謝謝!