【一周安全资讯0113】联合国《打击网络犯罪公约》草案基本完成;隐私保护大事件!Google终结第三方Cookie |
来源:聚铭网络 发布时间:2024-01-13 浏览次数: |
要闻速览 1、联合国《打击网络犯罪公约》草案基本完成 2、工信部发布《云计算综合标准化体系建设指南》(征求意见稿) 3、隐私保护大事件!Google终结第三方Cookie 4、思科又曝一严重漏洞,可被黑客利用获取 root 权限 5、美国证券交易委员会 X 账户被黑,引发比特币市场震荡 6、神漏洞!热门扳手感染勒索软件,秘密破坏工厂设备组装
一周政策要闻 联合国《打击网络犯罪公约》草案基本完成 联合国毒品和犯罪问题办公室(UNODC)认为,网络犯罪主要集中在与计算机相关和内容相关的犯罪行为,以及与侵犯版权等相关的犯罪行为。由于各国对网络犯罪的定义和界定都不相同,一直以来联合国都缺乏相关领域的公约,也难以达成一致。 事实上,由于网络犯罪助长了武器贩运、人口贩卖等恶性行为,网络犯罪也实质性阻碍了联合国全球可持续发展目标的实现。例如 GandCrab 勒索软件在全球狂揽数十亿美元,各国关键基础设施也因层出不穷的勒索软件攻击而中断。 欧盟从 2001 年起就推动谈判达成了全球网络犯罪公约(布达佩斯公约)。但由于该公约的缔约国目前仅有近七十个,并未得到世界上其他国家的广泛参与,许多国家认为应该由联合国推动全球合作打击网络犯罪公约的建立。此前非盟也制定了适用于非洲范围的《网络安全与个人数据保护公约》,全球各国政府都开始重视网络犯罪的打击与治理。俄罗斯在 2017 年向联合国大会提议建立《联合国打击网络犯罪合作公约》,并且给出了草案案文。
2019 年 11 月,俄罗斯、白俄罗斯、柬埔寨、中国、伊朗、缅甸、尼加拉瓜、叙利亚和委内瑞拉九国发起旨在建立打击网络犯罪的国际公约的提案。2019 年 12 月,联合国大会中的各成员国对该提案进行表决,结果为 79 票赞同、60 票反对、33 票弃权。 联合国大会通过决议后,正式启动联合国打击网络犯罪公约的起草进程。为此联大成立了特设委员会起草该公约,预计需要至少三年的时间在 2024 年年初基本完成该国际公约的草案。 在 2020 年,联合国大会设置了政府间专家组(GGE)、开放式工作组(OEWG)与特设开放式政府间专家委员会(OECE)对网络安全相关内容进行研究与讨论。OECE 专门负责起草联合国打击网络犯罪公约(联合国官方名为《关于打击使用信息和通信技术实施犯罪行为的全面国际公约》)。 2024 年 1 月,特设委员会将在纽约举行闭幕会议,对公约草案进行最终修订并将草案提交给联合国大会进行表决。
信息来源:安全内参 https://www.secrss.com/articles/62570
工信部发布《云计算综合标准化体系建设指南》(征求意见稿) 近几年,在政策、市场和技术等因素的共同驱动下,我国云计算产业年均增速超过 30%,全国累计上云企业超过 380万家,内云计算骨干企业在大规模并发处理、海量数据存储等关键核心技术,以及容器、微服务等新兴领域不断取得突破,云计算加速向制造、政务、金融、医疗、交通、能源等行业融合渗透,云计算产业生态已逐步成熟。 作为新技术基础设施,云计算已成为我国数字经济发展的重要基石。 云计算的快速发展同样带来许多新的网络安全威胁,云安全到涉及网络安全、数据安全、信息安全、系统安全、服务安全、应用安全等方面,具有攻击面广、隐藏性强、可预防性低、波及范围大等特点,加上目前国内尚未形成一套完善的,标准化的云计算体系建设指南,使得云安全成为近期安全从业者的痛点。 此外,云安全也不是单纯的技术问题,只有通过技术、服务和管理的互相配合,形成共同遵循的安全规范和指南,才能营造保障云计算健康发展的可信环境。为充分发挥标准对云计算产业的引领规范作用,持续完善标准体系,工业和信息化部科技司组织有关单位编制完成了《云计算综合标准化体系建设指南(征求意见稿)》(以下简称《征求意见稿》)。 需要获取征求意见稿请在评论区留言”征求意见稿“,小铭哥会第一时间为您提供相关资料。 信息来源:中华人民共和国工业和信息化部 https://www.miit.gov.cn/gzcy/yjzj/art/2024/art_0dba24687491428a8939060c79ee358a.html
业内新闻速览 隐私保护大事件!Google终结第三方Cookie 2024年刚刚开始,用户个人隐私传来一个重磅大事件。据国内多家科技媒体报道,1月4日,全球巨头谷歌开始计划全面禁用第三方Cookie,目前已经对1%的用户进行小范围测试,预计将在今年年底扩展到全部Chrome浏览器用户。这将对互联网广告行业带来巨大冲击,也将成为用户个人隐私保护的标志性事件。
Cookie,通俗来说就是指用户访问网站的缓存数据,包括用户名、密码、注册账户、手机号等公民个人信息。 当我们浏览网页时,网络服务器会创建一个小型的文本文件,并将其暂时或永久存储在用户的电脑中。当我们再次访问网页时,即可快速识别是否已经访问过该网站,并提供已存储的文本文件。 举个例子,我们使用浏览器登录一些账户时,浏览器会弹出一个提示“你是否要记住密码”,如果选择是,下次访问可以不输入账号密码直接登录,这是Cookie的功能之一。 由于具有“记住和跟踪”用户网页浏览记录的神奇功能,Cookie很快就被应用至网络购物平台,并很快成为个性化广告的利器。当你浏览或搜索了某类商品后,第三方cookie就会把你的喜好记录下来,并在其他网站投放相应的广告。当你再次访问网站时,Cookie识别出你,并把你曾经浏览的商品进行推荐。 这也是为什么,越来越多的网友反馈,购物平台为什么知道我看过什么,喜欢什么。其中的原因之一就是Cookie。 Cookie侵犯隐私的争议由来已久。在互联网发展的早期,网站并不会通知用户Cookie的存在,直到1996年有媒体曝光Cookie的使用,它才开始为大众所知,潜在的隐私问题也引起监管机构介入。在欧美,有许多限制Cookie使用的法律规范。多家机构及公司都曾对Cookie的使用进行整治,例如苹果就禁止iPhone和iPad用户使用第三方Cookie。 谷歌本次的Cookie禁令,所针对的是第三方Cookie,即在线广告行业在网站上放置的用于跟踪用户、投放相关广告的Cookie,不会影响网站用来存储登录信息等基本内容的Cookie,对于用户个人隐私信息保护来说或许也将是个好的开始。 消息来源:腾讯云开发者社区 https://cloud.tencent.com/developer/article/2377366
思科又曝一严重漏洞,可被黑客利用获取 root 权限 近日,思科修补了一个关键的 Unity Connection 安全漏洞,该漏洞可让未经认证的攻击者在未打补丁的设备上远程获得 root 权限。
Unity Connection 是一个完全虚拟化的消息和语音邮件解决方案,适用于电子邮件收件箱、Web 浏览器、Cisco Jabber、Cisco Unified IP Phone、智能手机或平板电脑,支持高可用性和冗余。 该漏洞(CVE-2024-20272)出现在该软件基于网络的管理界面上,是由于特定 API 缺乏身份验证以及对用户提供的数据验证不当造成的。攻击者可通过向目标和易受攻击系统上传任意文件,在底层操作系统上执行命令。成功利用后,攻击者可以在系统上存储恶意文件,在操作系统上执行任意命令,并将权限提升至 root。 幸运的是,思科的产品安全事故响应小组(PSIRT)表示,目前还没有证据表明该漏洞已被利用的情况出现。 利用 PoC 漏洞进行命令注入: 1月10日,思科宣布修补了多款产品中的十个中等严重性安全漏洞,这些漏洞允许攻击者升级权限、发起跨站脚本(XSS)攻击、注入命令等。 其中一个漏洞的概念验证利用代码已在网上公布,该漏洞是思科 WAP371 无线接入点基于 Web 的管理界面中的一个命令注入漏洞,被追踪为 CVE-2024-20287。 尽管攻击者可以利用这个漏洞在未打补丁的设备上以 root 权限执行任意命令,但要成功利用这个漏洞还需要管理凭据。 思科表示,由于思科WAP371设备已于2019年6月达到报废年限,因此不会发布固件更新来修补CVE-2024-20287安全漏洞。 同时,该公司建议网络上有 WAP371 设备的客户尽快迁移到思科 Business 240AC 接入点。 去年10 月,思科还修补了两个零日漏洞(CVE-2023-20198 和 CVE-2023-20273),这些漏洞在一周内被利用入侵了 50,000 多台 IOS XE 设备。 消息来源:FREEBUF https://www.freebuf.com/news/389437.html
美国证券交易委员会 X 账户被黑,引发比特币市场震荡 Bleeping Computer 网站消息,威胁攻击者成功“占领”了美国证券交易委员会的 X 账户,并发布一条关于批准比特币 ETF 在证券交易所上市的虚假公告。有意思的是,冒牌推文下还放了一张美国证券交易委员会(SEC)主席加里-根斯勒(Gary Gensler)的照片。
图注:美国证券交易委员会(SEC)账户被黑客伪造的 ETF 批准书
这一消息迅速传播开来,许多加密货币平台和主流新闻网站都报道了这一事件,比特币价格也出现了短暂飙升。然而,很快就有消息传出美国证券交易委员会 X 账户被黑客攻击了,并借此发布这一假消息,比特币价格随之回落。 不久后,美国证券交易委员会主席根斯勒发推表示,@SECGov twitter 账户被威胁攻击者入侵了,这些犯罪分子发布了一条未经授权的推文,美国证券交易委员会目前并未批准比特币 ETF 在证券交易所上市。 美国证券交易委员会发言人向媒体进一步证实,比特币 ETF 的未经授权的推文不是由美国证券交易委员会或其工作人员发布的。随着事件发酵,美国证券交易委员会方面再次发布声明称,已经可以确认有不明人士未经授权访问了 @SECGov x.com 账户并在该账户上进行了非法活动,目前该未经授权的访问已被终止,美国证券交易委员会将与执法部门合作调查账户被黑一事。 X 账户屡屡被黑: 过去一个月里,X 平台或许已经被一大波账户遭遇袭击的事件压得喘不过气来,许多机构组织被黑客攻击,传播加密货币骗局和钱包放水链接。近期,Netgear 和 Hyundai MEA X 账户被黑客攻击,目的是推广虚假加密货币网站,从连接到 Web3 网站的钱包中盗取加密货币。 Web3 安全公司 CertiK 近期也遭到黑客攻击,这些犯罪分子借机推广一个钱包“放水”程序,网络安全公司 Mandiant 也遭到劫持,尽管该公司已经启用了双因素身份验证。除账户劫持外,威胁攻击者还利用 X 的广告平台制作了无穷无尽的恶意广告,推销加密货币骗局。 消息来源:FREEBUF https://www.freebuf.com/news/389312.html
神漏洞!热门扳手感染勒索软件,秘密破坏工厂设备组装 研究人员在热门扳手套件中发现了23个漏洞,其中一些无需身份验证即可利用,可被用于勒索软件攻击或定向攻击利用链。 安全内参1月10日消息,研究人员发现了23个漏洞,黑客可以利用这些漏洞破坏或禁用一套非常流行的联网扳手系列产品。全球各地的工厂都在使用这些产品组装敏感仪器和设备。安全公司Nozomi的研究人员在周二报告了这些漏洞,它们存在于博世力士乐(Bosch Rexroth)生产的NXA015S-36V-B型手持螺帽扳手。这款无绳设备能够无线连接到使用者的本地网络,帮助工程师将螺栓等机械紧固件拧紧到安全、可靠的扭矩水平。如果紧固件过松,会有过热和火灾风险。如果过紧,螺纹可能会断裂,导致扭矩过松。该型号螺帽扳手配有扭矩级别指示器显示屏,显示屏由德国工程师协会认证,并于 1999 年被汽车业界采用。运行在设备上的固件是NEXO-OS,可以通过基于浏览器的管理界面加以控制。
图注:NEXO-OS的Web管理应用程序 Nozomi的研究人员表示,这款设备存在23个漏洞。某些情况下,攻击者可以利用这些漏洞安装恶意软件。一旦安装成功,恶意软件能够禁用整个设备系列,或在紧固件过松或过紧时让设备不显示关键设置出现错误。博世官方通过电子邮件发表了声明。他们首先按惯例强调安全是首要任务,随后表示,Nozomi几周前联系博世,指出了这些漏洞。声明中说:“博世力士乐立即采纳了这些建议,并正在研究解决问题的补丁。该补丁将于2024年1月底发布。”Nozomi的研究人员发帖称,在博世力士乐NXA015S-36V-B上发现的漏洞,允许未经身份验证的攻击者向目标设备发送网络数据包,以root权限远程执行任意代码,完成对设备的彻底入侵。攻击者一旦能够未经授权地访问设备,就有可能实施多种攻击方案。Nozomi在实验室环境中成功重建了以下两种情景。
图注:测试扳手上运行的概念验证(PoC)勒索软件
图注:操纵视图攻击,紧固时施加的扭矩为0.15 Nm Nozomi一共披露了23个漏洞,其严重程度评级从5.3分到8.8分不等(满分为10分)。对于大多数漏洞来说,攻击者首先必须获得设备的Web管理界面访问权限。Nozomi 表示,即使只是具有最低权限,攻击者也可以创建攻击链,利用称为遍历漏洞的缺陷向敏感目录上传恶意代码,然后执行该代码。未经身份验证的攻击者仍然可能将遍历漏洞与其他漏洞(如硬编码账号)结合起来黑掉设备。攻击链的示意图如下:
图注:未经身份验证的攻击链导致生产线停工的流程 如果设备的通信协议(如OpenProtocol)已集成到网络流中,攻击者可以利用多个缓冲区溢出漏洞之一来远程执行恶意代码。
图注:通过未经身份验证的攻击完成控制和视图操纵 这些漏洞很可能不会被大规模利用。成功入侵网络之后,勒索软件攻击者或许有更有效的方法提升权限、造成中断或破坏。但是,在没有其他漏洞的情况下,攻击者只要大规模禁用扳手就足以达成目的。不仅如此,国家支持的黑客以及受到激进思想或特殊目的鼓动的黑客活动分子可能会利用这些漏洞干扰或破坏对手的设备运行。不管是哪种情况,停工风险都切实存在,关键设置有可能被篡改,建议所有用户在补丁发布后选择尽快安装。消息来源:安全内参 https://www.secrss.com/articles/62680
来源:本安全周报所推送内容由网络收集整理而来,仅用于分享,并不意味着赞同其观点或证实其内容的真实性,部分内容推送时未能与原作者取得联系,若涉及版权问题,烦请原作者联系我们,我们会尽快删除处理,谢谢! |
上一篇:2024年1月12日聚铭安全速递 |