網(wǎng)絡(luò)安全熱點(diǎn)新聞?wù)帲?2.27-1 .2)

發(fā)布時(shí)間 2022-01-07

國外熱點(diǎn)

 

1、 Log4j 威脅加劇 美國土安全部宣布拓展 HackDHS 漏洞賞金計(jì)劃

為鼓勵(lì)安全研究人員積極向官方提交漏洞報(bào)告,美國國土安全部(DHS)發(fā)起了#HackDHS 漏洞賞金計(jì)劃。不過隨著 Log4j 威脅的加劇,美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)的 Jen Easterly,又于 Twitter 上宣布了 #HackDHS 項(xiàng)目的更新。

起初大家只是將“Log4shell”當(dāng)做《我的世界》這款游戲中的聊天惡作劇,但這個(gè)安全漏洞迅速散播到了世界各地。

作為美國國防部(DHS)下屬的一個(gè)下屬機(jī)構(gòu),CISA 正在對相關(guān)漏洞利用保持高度密切關(guān)注。微軟等科技巨頭更是指出,全球許多有深厚背景的黑客,都在積極利用 Log4shell漏洞。

在 Log4shell 漏洞公開披露數(shù)日后,DHS 就在上周設(shè)立了 #HackDHS 計(jì)劃,以期更好地應(yīng)對相關(guān)事件。

與許多私營企業(yè)的漏洞賞金計(jì)劃不同,#HackDHS 并不是一個(gè)完全向公眾敞開的計(jì)劃,而是希望吸引更多通過審核的網(wǎng)絡(luò)安全研究人員加盟。

 圖片 8.png

原文鏈接:

https://www.cnbeta.com/articles/tech/1218417.htm

 

2、全球最大圖片服務(wù)公司 Shutterfly 遭 Conti 勒索軟件攻擊

資料顯示,Shutterfly 總部位于美國加利福尼亞州,主打產(chǎn)品是在線照片書線。Shutterfly 成立于 1999 年,并聲稱自己的在線圖片存儲(chǔ)是世界上最大的,擁有 70PB 的數(shù)據(jù),約 16 億張圖片。

上周五(2021 年 12 月 24 日),Shutterfly 被曝大約在兩周前遭受了 Conti 勒索軟件攻擊,大約有 4000 多臺(tái)設(shè)備和 120 臺(tái) VMware ESXi 服務(wù)器被加密,攻擊者以此勒索數(shù)百萬美元的贖金。截止到目前,Shutterfly 依舊在和攻擊者進(jìn)行協(xié)商。

一般來說,勒索軟件團(tuán)伙對公司設(shè)備進(jìn)行加密之前,通常會(huì)潛伏數(shù)天至數(shù)周,悄悄竊取公司的數(shù)據(jù)和文件。然后以這些數(shù)據(jù)或文件為條件,迫使受害者支付贖金,并威脅不付贖金就將這些數(shù)據(jù)、文件公開或出售給其他黑客。

 圖片 1.png

原文鏈接:

https://www.freebuf.com/news/317634.html

 

3、惡意的 joker 應(yīng)用程序在 Google Play 進(jìn)行傳播

joker 惡意軟件再次出現(xiàn)在了 Google Play 上,這次是在一個(gè)名為 Color Message 的移動(dòng)應(yīng)用程序中發(fā)現(xiàn)的。該應(yīng)用程序在被應(yīng)用商店刪除之前已經(jīng)被下載了 50 多萬次。

安全公司的研究人員警告說,用戶應(yīng)該立即從他們的設(shè)備上刪除 Color Message,以免被詐騙。

joker 是一種自 2017 年以來就一直存在的威脅,它將自己隱藏在很多看似合法的普通應(yīng)用程序中,比如游戲、信使、照片編輯器、翻譯器和壁紙應(yīng)用中,其中許多是針對兒童的。但是該應(yīng)用一旦被安裝后,joker應(yīng)用程序就會(huì)向受害者訂購由攻擊者控制的高級(jí)付費(fèi)服務(wù),研究人員將這種類型的軟件歸類為詐騙軟件。通常情況下,受害者在接收到手機(jī)賬單之前并不知曉該情況。

 

原文鏈接:

https://mp.weixin.qq.com/s/WKF4xua2Qpkyt693U0vT1w

 

4、警惕偽基站攻擊!移動(dòng)通信切換過程中的新漏洞影響 2G 以來的所有移動(dòng)網(wǎng)絡(luò)

美國聯(lián)邦調(diào)查局 (FBI) 在其最新的年度報(bào)告中確定,2020 年商業(yè)電子郵件泄露 (BEC)和個(gè)人電子郵件帳戶泄露 (EAC)在美國造成的損失至少為 18.6 億美元,比 2019 年報(bào)告的損失增加了 5%。BEC 和 EAC 占美國 2020 年報(bào)告的所有網(wǎng)絡(luò)攻擊損失的 45%,60 歲以上的個(gè)人占報(bào)告的受害者的 11%。

 

粗略比較,迄今為止已知的最大勒索軟件損失為 4000 萬美元。2021 年 Unit 42 勒索軟件威脅報(bào)告發(fā)現(xiàn),2020 年勒索軟件的平均贖金為 847344 美元,而受害者支付的平均贖金為 312493 美元。2021 年上半年,平均支付的贖金上漲了 82%,達(dá)到 570000 美元。不過這些平均支付贖金的數(shù)字是保守的,因?yàn)樗鼈冎话ㄖЦ囤H金中的直接金錢損失。

 

還不包括與公司在攻擊期間被運(yùn)營相關(guān)的損失,也不包括調(diào)查違規(guī)行為所花費(fèi)的資源。

原文鏈接:

https://mp.weixin.qq.com/s/FRQaKGdMhNAMKSGUT1A_SA

 

國內(nèi)熱點(diǎn)

1、工信部調(diào)研檢查北京 2022 年冬奧會(huì)網(wǎng)絡(luò)安全保障工作

12 月 17 日和 21 日,為進(jìn)一步做好北京 2022 年冬奧會(huì)和冬殘奧會(huì)(以下簡稱北京冬奧會(huì))網(wǎng)絡(luò)安全保障工作,工業(yè)和信息化部網(wǎng)絡(luò)安全管理局赴中國信通院和中國聯(lián)通調(diào)研檢查北京冬奧會(huì)網(wǎng)絡(luò)安全保障工作情況。

調(diào)研組實(shí)地考察了網(wǎng)絡(luò)安全監(jiān)測處置等技術(shù)平臺(tái),分別聽取了中國信通院、中國聯(lián)通有關(guān)負(fù)責(zé)同志工作情況介紹,就目前北京冬奧會(huì)網(wǎng)絡(luò)安全保障工作存在的困難和問題進(jìn)行了會(huì)商研究。調(diào)研組指出,當(dāng)前北京冬奧會(huì)籌辦工作已進(jìn)入壓線沖刺階段,網(wǎng)絡(luò)安全保障工作任務(wù)艱巨。必須將思想和認(rèn)識(shí)統(tǒng)一到習(xí)近平總書記關(guān)于冬奧會(huì)籌辦工作的重要指示精神上來,按照部黨組部署和“簡約、安全、精彩”的辦賽要求,以及北京冬奧會(huì)網(wǎng)絡(luò)安全保障機(jī)制統(tǒng)一安排,全力以赴做好北京冬奧會(huì)網(wǎng)絡(luò)安全保障工作。

 

原文鏈接:

https://www.secrss.com/articles/37725

 

2、微信小程序新規(guī)則:調(diào)用個(gè)人敏感信息將需授權(quán)

今日,微信官方團(tuán)隊(duì)表示,為進(jìn)一步規(guī)范開發(fā)者調(diào)用用戶信息相關(guān)接口或功能,提升用戶體驗(yàn),平臺(tái)將對部分用戶信息相關(guān)功能及接口進(jìn)行調(diào)整。

官方稱,2022 年 2 月 21 日起,小程序訪問藍(lán)牙、通訊錄,以及添加日歷事件,必須經(jīng)過用戶授權(quán)。

據(jù)悉,開發(fā)者可在平臺(tái)調(diào)整前提前增加使用 wx.getSetting 獲取用戶當(dāng)前的授權(quán)狀態(tài)的邏輯,若授權(quán)狀態(tài)為 false 可調(diào)用 wx.openSetting 打開設(shè)置界面,引導(dǎo)用戶開啟授權(quán)。

值得一提的是,今年初,“微信之父”張小龍表示,微信即將有自己的輸入法,但目的不是搶奪這個(gè)市場,而是保護(hù)用戶隱私,很快就會(huì)進(jìn)行灰度測試。

 圖片 9.png

原文鏈接:

https://www.cnbeta.com/articles/tech/1220535.htm

 

3、 廣西賀州市一業(yè)務(wù)員 利用職務(wù)之便販賣客戶信息!獲利萬元……獲刑 6 個(gè)月!

被告人王某某在富川某營業(yè)廳上班,日常負(fù)責(zé)給客戶辦理各類通訊業(yè)務(wù)。2020 年 10月,被告人王某某經(jīng)他人介紹加入“淘寶特價(jià)注冊 7 元秒結(jié)”、“淘寶首購 20 下載注冊10 元補(bǔ)貼秒結(jié)群”等微信群,并添加了“丁毅聲(美團(tuán))”、“京東白條”等微信號(hào)。

被告人王某某利用其系某移動(dòng)通訊代理商及員工身份,在給客戶辦理業(yè)務(wù)時(shí)未經(jīng)過客戶同意,使用客戶手機(jī)和號(hào)碼下載并注冊特定渠道的抖音、淘寶、拼多多等手機(jī)軟件,同時(shí)開通客戶手機(jī)軟件地理位置訪問權(quán)限。注冊成功后,被告人王某某將手機(jī)型號(hào)、手機(jī)編號(hào)等信息發(fā)送至特定微信群或某微信賬號(hào),以此方式將公民信息販賣他人,期間共獲利10423.5 元。

 圖片 10.png

原文鏈接:

https://mp.weixin.qq.com/s/mfQg927uSv1P6SHUC9u8hw

 

漏洞數(shù)據(jù)統(tǒng)計(jì)

1、本周漏洞態(tài)勢研判情況

本周信息安全漏洞威脅整體評價(jià)級(jí)別為中。

國家信息安全漏洞庫(以下簡稱CNNVD)本周共接報(bào)漏洞43137個(gè),其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)68個(gè),網(wǎng)絡(luò)信息系統(tǒng)漏洞(事件型漏洞)765個(gè),漏洞平臺(tái)推送漏洞42304個(gè)。

來源:CNNVD

 

2、安全漏洞分布情況

從廠商分布來看,NETGEAR公司新增漏洞最多,有197個(gè)。各廠商漏洞數(shù)量分布如下表所示:

 圖片 11.png

本周國內(nèi)廠商漏洞19個(gè),聯(lián)發(fā)科技公司漏洞數(shù)量最多,有10個(gè)。國內(nèi)廠商漏洞整體修復(fù)率為100.00%。請受影響用戶關(guān)注廠商修復(fù)情況,及時(shí)下載補(bǔ)丁修復(fù)漏洞。

 

從漏洞類型來看, 跨站腳本類的安全漏洞占比最大,達(dá)到5.56%。漏洞類型統(tǒng)計(jì)如下表所示:

 圖片1.png

來源:CNNVD