要聞速覽

1、16項網(wǎng)絡安全國家標準獲批發(fā)布

2、財政部、國家網(wǎng)信辦聯(lián)合印發(fā)《會計師事務所數(shù)據(jù)安全管理暫行辦法》

3、全球首例：英國立法禁止弱密碼

4、TunnelVision 漏洞曝光，幾乎可監(jiān)聽所有VPN

5、Tinyproxy 曝出嚴重漏洞，全球52000 臺主機受影響

6、戴爾泄露4900萬用戶購物數(shù)據(jù)：疑涉及大量中國用戶

一周政策要聞

16項網(wǎng)絡安全國家標準獲批發(fā)布

根據(jù)2024年4月25日國家市場監(jiān)督管理總局、國家標準化管理委員會發(fā)布的中華人民共和國國家標準公告（2024年第6號），全國網(wǎng)絡安全標準化技術委員會歸口的16項國家標準正式發(fā)布，并將于2024年11月1日正式實施。具體清單如下：

信息來源：全國網(wǎng)絡安全標準化技術委員會https://mp.weixin.qq.com/s/aBnH5AgYfgR1acPRJi98gA

財政部、國家網(wǎng)信辦聯(lián)合印發(fā)《會計師事務所數(shù)據(jù)安全管理暫行辦法》

為加強會計師事務所數(shù)據(jù)安全管理，規(guī)范會計師事務所數(shù)據(jù)處理活動，財政部、國家網(wǎng)信辦近日聯(lián)合印發(fā)《會計師事務所數(shù)據(jù)安全管理暫行辦法》，自2024年10月1日起施行。

該辦法旨在加強會計師事務所在數(shù)據(jù)處理方面的安全管理，規(guī)范其活動，保障信息安全。主要內(nèi)容包括：數(shù)據(jù)管理、網(wǎng)絡管理、監(jiān)督檢查等方面，特別強調(diào)審計工作底稿需存放境內(nèi)，并禁止直接向境外機構提供境內(nèi)項目資料。適用于境內(nèi)依法設立的會計師事務所，特別關注上市公司和關鍵信息基礎設施運營者的審計服務。

信息來源：中華人民共和國國家互聯(lián)網(wǎng)信息辦公室https://www.cac.gov.cn/2024-05/10/c_1717011564369521.htm

業(yè)內(nèi)新聞速覽

全球首例：英國立法禁止弱密碼

《2022 年產(chǎn)品安全和電信基礎設施法案》（PSTI 法案）于當?shù)貢r間 4 月 29 日正式在英國生效，在全球范圍內(nèi)率先明確物聯(lián)網(wǎng)設備不得使用默認弱密碼。

該法案的落地最早可以追溯到 2016 年 10 月 21 日發(fā)生的網(wǎng)絡攻擊事件，當時很多用戶連續(xù)三次無法訪問 Twitter、CNN 和 Netflix 等熱門網(wǎng)站。這次攻擊并不復雜，攻擊者使用利用無線攝像頭到 WiFi 路由器等聯(lián)網(wǎng)消費設備組成的 Mirai 僵尸網(wǎng)絡，向域名服務提供商 Dyn 發(fā)起分布式拒絕服務攻擊。PSTI 法案明確物聯(lián)網(wǎng)設備默認不得使用“admin”或者“12345”等默認密碼，而且制造商還需要發(fā)布聯(lián)系方式，以便用戶可以報告錯誤。不符合規(guī)定的產(chǎn)品可能面臨被召回，相關公司可能面臨最高 1000 萬英鎊或其全球收入 4% 的罰款，以較高者為準。

消息來源：IT之家  https://baijiahao.baidu.com/s?id=1797742234536062258&wfr=spider&for=pc

TunnelVision 漏洞曝光，幾乎可監(jiān)聽所有VPN

近日，安全企業(yè)Leviathan Security Group披露了一個名為TunnelVision的安全漏洞，該漏洞被追蹤為CVE-2024-3661，它幾乎可監(jiān)聽所有VPN。

據(jù)悉，該漏洞是一種可繞過VPN封裝的新型網(wǎng)絡技術，借由操作系統(tǒng)所內(nèi)置的、用來自動分配IP地址的動態(tài)主機配置協(xié)議（DHCP），就可迫使目標用戶的流量離開VPN信道，進而讓黑客可窺探其流量。

如果用戶連接的對象是個HTTP網(wǎng)站，那么傳輸內(nèi)容將會被一覽無遺，若是訪問加密的HTTPS網(wǎng)站，黑客就只能查看用戶所連接的對象。該漏洞對Windows、Linux、macOS和iOS等多個操作系統(tǒng)都有影響。

對此，Leviathan 建議 VPN 用戶采取以下緩解措施：

• 在 Linux 上使用網(wǎng)絡命名空間，將網(wǎng)絡接口和路由表與系統(tǒng)其他部分隔離，防止惡意 DHCP 配置影響 VPN 流量。

• 配置 VPN 客戶端，拒絕所有不使用 VPN 接口的入站和出站流量。例外情況應僅限于必要的 DHCP 和 VPN 服務器通信。

• 配置系統(tǒng)在連接 VPN 時忽略 DHCP 選項 121。這可以防止應用惡意路由選擇指令，但在某些配置下可能會中斷網(wǎng)絡連接。

• 通過個人熱點或虛擬機（VM）內(nèi)進行連接。這樣可以將 DHCP 交互與主機系統(tǒng)的主網(wǎng)絡接口隔離，降低惡意 DHCP 配置的風險。

• 避免連接到不受信任的網(wǎng)絡，尤其是在處理敏感數(shù)據(jù)時，因為這些網(wǎng)絡是此類攻擊的主要環(huán)境。

消息來源：FREEBUF  https://www.freebuf.com/news/400347.html

Tinyproxy 曝出嚴重漏洞，全球52000 臺主機受影響

近日，Tinyproxy發(fā)現(xiàn)一個被追蹤為 CVE-2023-49606的安全漏洞，未經(jīng)身份驗證的威脅行為者可以發(fā)送特制的 HTTP 連接標頭來觸發(fā)該漏洞，從而引發(fā)內(nèi)存破壞，導致遠程代碼執(zhí)行。

根據(jù)攻擊面管理公司 Censys 分享的數(shù)據(jù)，截至 2024 年 5 月 3 日，在 90,310 臺向公共互聯(lián)網(wǎng)暴露 Tinyproxy 服務的主機中，有 52,000 臺（約占 57%）運行著有漏洞的 Tinyproxy 版本。大部分可公開訪問的主機位于美國（32,846 臺）、韓國（18,358 臺）、中國（7,808 臺）、法國（5,208 臺）和德國（3,680 臺）。

專家建議用戶從 git 拉取最新的 master 分支，或者手動將上述提交作為版本 1.11.1 的補丁應用，直到 Tinyproxy 1.11.2 可用。還建議不要將 Tinyproxy 服務暴露在公共互聯(lián)網(wǎng)上。

消息來源：安全客  https://www.anquanke.com/post/id/296259

戴爾泄露4900萬用戶購物數(shù)據(jù)：疑涉及大量中國用戶

安全內(nèi)參報道，戴爾公司近日遭遇數(shù)據(jù)泄露事件，威脅行為者聲稱已竊取約4900萬名客戶的信息。戴爾向客戶發(fā)出警告，表示黑客入侵了包含客戶購買信息的門戶網(wǎng)站。

被竊取的信息包括客戶的姓名、地址、購買的戴爾產(chǎn)品及其訂單詳情，但不包括財務、支付信息、電子郵件地址或電話號碼。戴爾強調(diào)，考慮到信息類型，客戶面臨的風險不大，并表示他們正在與執(zhí)法部門和第三方取證公司合作調(diào)查此事件。

據(jù)外媒報道，一位名為Menelik的威脅行為者曾試圖在Breach Forums黑客論壇上出售所竊取的戴爾客戶數(shù)據(jù)。雖然目前尚無法確認這些數(shù)據(jù)是否就是戴爾公司所披露的，但兩者之間存在著高度的相似性。值得警惕的是，Breach Forum上的數(shù)據(jù)售賣帖子已經(jīng)被刪除，這可能意味著已經(jīng)有人購買了這份數(shù)據(jù)庫。

戴爾公司強烈建議客戶保持警惕，如果收到任何聲稱來自戴爾的實體郵件或電子郵件，要求安裝軟件、更改密碼或執(zhí)行其他可能存在風險的操作，請務必進行核實和確認。

消息來源：安全內(nèi)參  https://www.secrss.com/articles/65996

來源:本安全周報所推送內(nèi)容由網(wǎng)絡收集整理而來，僅用于分享，并不意味著贊同其觀點或證實其內(nèi)容的真實性，部分內(nèi)容推送時未能與原作者取得聯(lián)系，若涉及版權問題，煩請原作者聯(lián)系我們，我們會盡快刪除處理，謝謝！