网络安全热点新闻摘编(12.27-1 .2)

发布时间 2022-01-07

国外热点

 

1、 Log4j 威胁加剧 美国土安全部宣布拓展 HackDHS 漏洞赏金计划

为鼓励安全研究人员积极向官方提交漏洞报告,美国国土安全部(DHS)发起了#HackDHS 漏洞赏金计划。不过随着 Log4j 威胁的加剧,美国网络安全与基础设施安全局(CISA)的 Jen Easterly,又于 Twitter 上宣布了 #HackDHS 项目的更新。

起初大家只是将“Log4shell”当做《我的世界》这款游戏中的聊天恶作剧,但这个安全漏洞迅速散播到了世界各地。

作为美国国防部(DHS)下属的一个下属机构,CISA 正在对相关漏洞利用保持高度密切关注。微软等科技巨头更是指出,全球许多有深厚背景的黑客,都在积极利用 Log4shell漏洞。

在 Log4shell 漏洞公开披露数日后,DHS 就在上周设立了 #HackDHS 计划,以期更好地应对相关事件。

与许多私营企业的漏洞赏金计划不同,#HackDHS 并不是一个完全向公众敞开的计划,而是希望吸引更多通过审核的网络安全研究人员加盟。

 图片 8.png

原文链接:

https://www.cnbeta.com/articles/tech/1218417.htm

 

2、全球最大图片服务公司 Shutterfly 遭 Conti 勒索软件攻击

资料显示,Shutterfly 总部位于美国加利福尼亚州,主打产品是在线照片书线。Shutterfly 成立于 1999 年,并声称自己的在线图片存储是世界上最大的,拥有 70PB 的数据,约 16 亿张图片。

上周五(2021 年 12 月 24 日),Shutterfly 被曝大约在两周前遭受了 Conti 勒索软件攻击,大约有 4000 多台设备和 120 台 VMware ESXi 服务器被加密,攻击者以此勒索数百万美元的赎金。截止到目前,Shutterfly 依旧在和攻击者进行协商。

一般来说,勒索软件团伙对公司设备进行加密之前,通常会潜伏数天至数周,悄悄窃取公司的数据和文件。然后以这些数据或文件为条件,迫使受害者支付赎金,并威胁不付赎金就将这些数据、文件公开或出售给其他黑客。

 图片 1.png

原文链接:

https://www.freebuf.com/news/317634.html

 

3、恶意的 joker 应用程序在 Google Play 进行传播

joker 恶意软件再次出现在了 Google Play 上,这次是在一个名为 Color Message 的移动应用程序中发现的。该应用程序在被应用商店删除之前已经被下载了 50 多万次。

安全公司的研究人员警告说,用户应该立即从他们的设备上删除 Color Message,以免被诈骗。

joker 是一种自 2017 年以来就一直存在的威胁,它将自己隐藏在很多看似合法的普通应用程序中,比如游戏、信使、照片编辑器、翻译器和壁纸应用中,其中许多是针对儿童的。但是该应用一旦被安装后,joker应用程序就会向受害者订购由攻击者控制的高级付费服务,研究人员将这种类型的软件归类为诈骗软件。通常情况下,受害者在接收到手机账单之前并不知晓该情况。

 

原文链接:

https://mp.weixin.qq.com/s/WKF4xua2Qpkyt693U0vT1w

 

4、警惕伪基站攻击!移动通信切换过程中的新漏洞影响 2G 以来的所有移动网络

美国联邦调查局 (FBI) 在其最新的年度报告中确定,2020 年商业电子邮件泄露 (BEC)和个人电子邮件帐户泄露 (EAC)在美国造成的损失至少为 18.6 亿美元,比 2019 年报告的损失增加了 5%。BEC 和 EAC 占美国 2020 年报告的所有网络攻击损失的 45%,60 岁以上的个人占报告的受害者的 11%。

 

粗略比较,迄今为止已知的最大勒索软件损失为 4000 万美元。2021 年 Unit 42 勒索软件威胁报告发现,2020 年勒索软件的平均赎金为 847344 美元,而受害者支付的平均赎金为 312493 美元。2021 年上半年,平均支付的赎金上涨了 82%,达到 570000 美元。不过这些平均支付赎金的数字是保守的,因为它们只包括支付赎金中的直接金钱损失。

 

还不包括与公司在攻击期间被运营相关的损失,也不包括调查违规行为所花费的资源。

原文链接:

https://mp.weixin.qq.com/s/FRQaKGdMhNAMKSGUT1A_SA

 

国内热点

1、工信部调研检查北京 2022 年冬奥会网络安全保障工作

12 月 17 日和 21 日,为进一步做好北京 2022 年冬奥会和冬残奥会(以下简称北京冬奥会)网络安全保障工作,工业和信息化部网络安全管理局赴中国信通院和中国联通调研检查北京冬奥会网络安全保障工作情况。

调研组实地考察了网络安全监测处置等技术平台,分别听取了中国信通院、中国联通有关负责同志工作情况介绍,就目前北京冬奥会网络安全保障工作存在的困难和问题进行了会商研究。调研组指出,当前北京冬奥会筹办工作已进入压线冲刺阶段,网络安全保障工作任务艰巨。必须将思想和认识统一到习近平总书记关于冬奥会筹办工作的重要指示精神上来,按照部党组部署和“简约、安全、精彩”的办赛要求,以及北京冬奥会网络安全保障机制统一安排,全力以赴做好北京冬奥会网络安全保障工作。

 

原文链接:

https://www.secrss.com/articles/37725

 

2、微信小程序新规则:调用个人敏感信息将需授权

今日,微信官方团队表示,为进一步规范开发者调用用户信息相关接口或功能,提升用户体验,平台将对部分用户信息相关功能及接口进行调整。

官方称,2022 年 2 月 21 日起,小程序访问蓝牙、通讯录,以及添加日历事件,必须经过用户授权。

据悉,开发者可在平台调整前提前增加使用 wx.getSetting 获取用户当前的授权状态的逻辑,若授权状态为 false 可调用 wx.openSetting 打开设置界面,引导用户开启授权。

值得一提的是,今年初,“微信之父”张小龙表示,微信即将有自己的输入法,但目的不是抢夺这个市场,而是保护用户隐私,很快就会进行灰度测试。

 图片 9.png

原文链接:

https://www.cnbeta.com/articles/tech/1220535.htm

 

3、 广西贺州市一业务员 利用职务之便贩卖客户信息!获利万元……获刑 6 个月!

被告人王某某在富川某营业厅上班,日常负责给客户办理各类通讯业务。2020 年 10月,被告人王某某经他人介绍加入“淘宝特价注册 7 元秒结”、“淘宝首购 20 下载注册10 元补贴秒结群”等微信群,并添加了“丁毅声(美团)”、“京东白条”等微信号。

被告人王某某利用其系某移动通讯代理商及员工身份,在给客户办理业务时未经过客户同意,使用客户手机和号码下载并注册特定渠道的抖音、淘宝、拼多多等手机软件,同时开通客户手机软件地理位置访问权限。注册成功后,被告人王某某将手机型号、手机编号等信息发送至特定微信群或某微信账号,以此方式将公民信息贩卖他人,期间共获利10423.5 元。

 图片 10.png

原文链接:

https://mp.weixin.qq.com/s/mfQg927uSv1P6SHUC9u8hw

 

漏洞数据统计

1、本周漏洞态势研判情况

本周信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞库(以下简称CNNVD)本周共接报漏洞43137个,其中信息技术产品漏洞(通用型漏洞)68个,网络信息系统漏洞(事件型漏洞)765个,漏洞平台推送漏洞42304个。

来源:CNNVD

 

2、安全漏洞分布情况

从厂商分布来看,NETGEAR公司新增漏洞最多,有197个。各厂商漏洞数量分布如下表所示:

 图片 11.png

本周国内厂商漏洞19个,联发科技公司漏洞数量最多,有10个。国内厂商漏洞整体修复率为100.00%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。

 

从漏洞类型来看, 跨站脚本类的安全漏洞占比最大,达到5.56%。漏洞类型统计如下表所示:

 图片1.png

来源:CNNVD