东亚银行领千万级罚单、“十四五”数字经济发展规划发布、数百万路由器受漏洞影响|网络安全周报

发布者:腾讯安全
发布于:2022-01-17 14:47

图片


2022年1月8日至1月14日共收录全球网络安全热点10项,涉及Microsof东亚银行等。

 

01 国务院印发“十四五”数字经济发展规划,网络安全地位得到提升


1月12日,国务院印发“十四五”数字经济发展规划,《规划》文件以独立章节概述网络安全要求,彰显了网络安全的重要地位,文件作为国家顶层规划具备强大的示范意义。


《规划》提出,到2025年,数字经济核心产业增加值占国内生产总值比重达到10%,数据要素市场体系初步建立,产业数字化转型迈上新台阶,数字产业化水平显著提升,数字化公共服务更加普惠均等,数字经济治理体系更加完善。


02 IDC发布2022年中国云计算市场十大预测


1月12日,IDC发布《2022年中国云计算市场十大预测》,预计到2025年,全球整体云计算市场将超过1.3万亿美元,中国也将超过万亿元人民币,40%的组织将会采用部署在企业本地或服务商处的专属云服务。


为了保证分布式数据的一致性,2024年将会有50%的组织采用多云数据治理工具,使用统一的数据获取、迁移,安全和保护策略。到2025年,30%的组织将使用云托管服务商提供的应用实现任何地点部署以及运行的一致性。到2026年,50%的CIO将需要云服务商和电信运营商合作提供安全的云边协同解决方案保证数据采集的性能和一致性。


03 微软补丁日修复了97个安全漏洞

 

1月12日,微软发布2022年1月例行安全更新,修复Windows产品和组件97个安全漏洞(不包括29个Microsoft Edge漏洞),其中9个被归类为严重,88个被归类为重要。

 

须重点关注的漏洞包括CVE-2021-22947:Open Source Curl远程代码执行漏洞、CVE-2022-21882:Win32k特权提升漏洞、CVE-2022-21907:HTTP协议堆栈远程执行代码漏洞、CVE-2022-21919:Windows User Profile Service的特权提升漏洞。


04 数百万路由器受NetUSB内核漏洞影响


近日,端点安全公司SentinelOne警告称,NetUSB内核模块中的一个漏洞可能允许远程攻击者在数百万路由器设备上执行代码。该代码被众多供应商的设备使用,包括Netgear、TP-Link、Tenda、EDiMAX、D-Link和Western Digital。被跟踪为CVE-2021-45608的代码中存在安全错误,该代码采用命令编号,然后将应用到相应的SoftwareBus功能。


该问题已于9月报告给NetUSB内核模块开发人员,并于10月向所有使用易受攻击代码的供应商发送了一个补丁。解决设备漏洞的固件更新于12月开始推出。“由于此漏洞存在于授权给各个路由器供应商的第三方组件中,因此修复此问题的唯一方法是更新路由器的固件。请务必检查您的路由器是否不是报废型号,因为它不太可能收到此漏洞的更新,”SentinelLabs指出。


05 开发者破坏“colors”和“faker”数据库影响数千应用程序


1月9日,开源NPM库“colors”和“faker”背后的开发人员故意在其中引入了恶作剧的提交,这些提交影响了依赖这些库的数千个应用程序。


一位名叫Marak Squires的开发人员在版本v1.4.44-liberty-2的colors.js库中添加了一个“new American flag module”,将其推送到了GitHub和npm。代码中引入的无限循环将无限期地继续运行;对于任何使用“colors”的应用程序,在控制台上无休止地打印乱码的非 ASCII 字符序列。同样,faker的破坏版本“6.6.6”发布到GitHub和npm。


开发人员的这种恶作剧背后的原因似乎是报复——针对大型公司和开源项目的商业消费者,他们广泛依赖免费和社区支持的软件,但据开发人员称,他们不回馈社区。


06 FBI、NSA 和 CISA 发出警告:黑客将攻击关键基础设施

 

1月11日,美国网络安全和情报机构、网络安全和基础设施安全局 (CISA)、联邦调查局 (FBI) 和国家安全局 (NSA) 公开了采用的策略、技术和程序 (TTP),包括矛-网络钓鱼、暴力破解和利用已知漏洞来获得对目标网络的初始访问权限。

 

黑客组织利用这些漏洞获得初步立足点的漏洞列表,这些机构称这些漏洞“常见但有效”如下:CVE-2018-13379(FortiGate VPN)、CVE-2019-1653(思科路由器)、CVE-2019-2725(Oracle WebLogic 服务器)、CVE-2019-7609 (Kibana)、CVE-2019-9670(Zimbra 软件)、CVE-2019-10149(Exim 简单邮件传输协议)、CVE-2019-11510(脉冲安全)、CVE-2019-19781(思杰)、CVE-2020-0688(微软交换)、CVE-2020-4006 (VMWare)、CVE-2020-5902(F5 大 IP)、CVE-2020-14882 (Oracle WebLogic)、CVE-2021-26855(Microsoft Exchange,与CVE-2021-26857、CVE-2021-26858和CVE-2021-27065一起经常被利用)。

 

APT参与者还通过破坏第三方基础设施、破坏第三方软件或开发和部署定制恶意软件,展示了复杂的贸易和网络能力。为了提高针对这种威胁的网络弹性,这些机构建议对所有用户强制执行多因素身份验证,寻找暗示横向移动的异常活动迹象,实施网络分段,并保持操作系统、应用程序和固件为最新。


07 供应商遭勒索攻击,美国全境4500所学校网站受到影响


1月8日,据美国中文网报道,软件提供商Finalsite的发言人7日证实,该公司遭到勒索软件的攻击,影响了大约5000所学校的网站,其中约有4500所美国的学校受影响。

 

“我们大多数学校的网站都重新上线了,在看到问题后决定关闭我们的网络,并在干净的环境中重建了一切。目前,没有任何证据表明数据已被泄露。”该公司发言人摩根·德拉克表示。

 

政府问责办公室GAO呼吁美国教育部采取更多措施保护学校免受黑客攻击。该办公室2021年11月发布的一份报告指出,教育部“缺乏基于当前对教育领域面临的网络安全风险评估的最新计划”。

 

08 2022年首张千万级罚单:东亚银行违反信息采集等规定


1月10日,中国人民银行上海分行公布一张巨额罚单,显示东亚银行违反信用信息采集、提供、查询及相关管理规定。对于上述违法违规行为,中国人民银行上海分行对东亚银行处以罚款人民币1674万元,责令限期改正。东亚银行(中国)方面回应,东亚银行(中国)一贯重视合规经营,对于上海人行在相关检查中所指出的问题高度重视,积极跟进,已根据监管要求悉数进行整改。

 

事实上,这并非东亚银行近年首次领千万级罚单。而违反信用信息采集、提供、查询及相关管理规定的违法违规行为,正成为监管重点,多家银行因此受罚。

 

09 工信部、网信办、央行等12部门开展网络安全技术应用试点示范工作

 

1月10日,工信部、网信办、央行、银保监会、证监会等十二部门发布《关于开展网络安全技术应用试点示范工作的通知》(以下简称《通知》)。

 

《通知》指出,试点示范内容以新型基础设施安全、数字化应用场景安全、安全基础能力提升为主线,面向公共通信和信息服务、能源、交通、水利、应急管理、金融、医疗、广播电视等重要行业领域网络安全保障需求,从云安全、人工智能安全、大数据安全、车联网安全、物联网安全、智慧城市安全、网络安全共性技术、网络安全创新服务、网络安全“高精尖”技术创新平台9个重点方向,遴选一批技术先进、应用成效显著的试点示范项目。


10 欧盟通过网络攻击“抗压测试” 以防范敌对势力

 

1月13日,据美媒报道,欧盟国家即将在近日展开一场大规模网络安全演习,目的是为了防范敌对势力对该区域的供应链体系进行网络攻击。此次演习是为了检验欧盟国家对该类攻势的承受能力,增强各成员国间的合作、应对效率及备战水平。另一方面,西方国家长期炒作俄罗斯将乌克兰作为网络攻击目标,此次演习也是出于对俄方的防范。

 

因此,这场演习将基于以往的黑客案例,尽可能真实地还原网络攻击的实际危害。演习开始后,“进攻方”将对多个成员国展开模拟网络攻击,主要打击目标是贯穿全欧洲的庞大供应链体系。参与演习的各成员国则需要共同商讨策略,协调公共及外交层面的应对措施,同时观察该类袭击对成员国造成的社会经济影响。




声明:该文观点仅代表作者本人,转载请注明来自看雪