要聞速覽

1、《網(wǎng)絡(luò)安全技術(shù) 統(tǒng)一威脅管理產(chǎn)品 (UTM) 技術(shù)規(guī)范》等15項(xiàng)國(guó)家標(biāo)準(zhǔn)公開(kāi)征求意見(jiàn)

2、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》發(fā)布，2025年1月1日正式施行

3、Linux曝出9.9分高危漏洞，影響幾乎所有發(fā)行版

4、以明文形式存儲(chǔ)數(shù)億個(gè)密碼，Meta被罰1億美元

5、英偉達(dá)容器工具包嚴(yán)重安全漏洞威脅主機(jī)系統(tǒng)安全

6、科威特衛(wèi)生部被黑，致使國(guó)內(nèi)多個(gè)醫(yī)療服務(wù)中斷

一周政策要聞

《網(wǎng)絡(luò)安全技術(shù) 統(tǒng)一威脅管理產(chǎn)品 (UTM) 技術(shù)規(guī)范》等15項(xiàng)國(guó)家標(biāo)準(zhǔn)公開(kāi)征求意見(jiàn)

近日，全國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口的《網(wǎng)絡(luò)安全技術(shù)抗拒絕服務(wù)攻擊產(chǎn)品技術(shù)規(guī)范》等15項(xiàng)國(guó)家標(biāo)準(zhǔn)已形成標(biāo)準(zhǔn)征求意見(jiàn)稿。

根據(jù)《全國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)標(biāo)準(zhǔn)制修訂工作程序》要求，現(xiàn)將該15項(xiàng)標(biāo)準(zhǔn)征求意見(jiàn)稿面向社會(huì)公開(kāi)征求意見(jiàn)。標(biāo)準(zhǔn)相關(guān)材料已發(fā)布在網(wǎng)安標(biāo)委網(wǎng)站(網(wǎng)址https://www.tc260.org.cn/front/bzzqyjList.html?start=0&length=10)，如有意見(jiàn)或建議請(qǐng)于2024年11月29日24:00前反饋秘書(shū)處。

信息來(lái)源：全國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)https://www.tc260.org.cn/front/bzzqyjList.html?start=0&length=10

《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》發(fā)布，2025年1月1日正式施行

國(guó)務(wù)院總理李強(qiáng)日前簽署國(guó)務(wù)院令，公布《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》（以下簡(jiǎn)稱(chēng)《條例》），自2025年1月1日起施行。

《條例》旨在規(guī)范網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)，保障網(wǎng)絡(luò)數(shù)據(jù)安全，促進(jìn)網(wǎng)絡(luò)數(shù)據(jù)依法合理有效利用，保護(hù)個(gè)人、組織的合法權(quán)益，維護(hù)國(guó)家安全和公共利益，《條例》共9章64條。

業(yè)內(nèi)新聞速覽

Linux曝出9.9分高危漏洞，影響幾乎所有發(fā)行版

近日，一個(gè)存在十多年的高危遠(yuǎn)程代碼執(zhí)行漏洞（評(píng)分9.9）在Linux發(fā)行版的CUPS打印系統(tǒng)中被披露，涉及CVE編號(hào)CVE-2024-47176、CVE-2024-47076、CVE-2024-47175和CVE-2024-47177。

根據(jù)安全研究人員Simone Margaritelli的報(bào)告，CUPS系統(tǒng)中存在幾個(gè)關(guān)鍵問(wèn)題，包括cups-browsed服務(wù)綁定到UDP端口631并信任來(lái)自任何來(lái)源的數(shù)據(jù)包，libcupsfilters庫(kù)不驗(yàn)證或清理從IPP服務(wù)器返回的屬性，libppd庫(kù)在寫(xiě)入臨時(shí)PPD文件時(shí)不驗(yàn)證或清理屬性，以及cups-filters包允許通過(guò)FoomaticRIPCommandLine PPD參數(shù)執(zhí)行任意命令。攻擊者可以通過(guò)廣域網(wǎng)/公共互聯(lián)網(wǎng)向端口631發(fā)送UDP數(shù)據(jù)包，或通過(guò)局域網(wǎng)偽造zeroconf/mDNS/DNS-SD廣告來(lái)利用這些漏洞。

數(shù)據(jù)顯示，約7.3萬(wàn)臺(tái)CUPS服務(wù)器暴露在互聯(lián)網(wǎng)上，接受來(lái)自任何不受信任來(lái)源的自定義數(shù)據(jù)包。這些漏洞影響大多數(shù)GNU/Linux發(fā)行版、一些BSD系統(tǒng)、Google Chromium/ChromeOS、Oracle Solaris，以及可能更多打包了CUPS和cups-browsed的系統(tǒng)。安全專(zhuān)家建議用戶(hù)采取以下措施：禁用并卸載cups-browsed服務(wù)；更新CUPS包以獲取安全更新；如無(wú)法更新，阻止UDP端口631；考慮阻止DNS-SD流量。

以明文形式存儲(chǔ)數(shù)億個(gè)密碼，Meta被罰1億美元

近日，愛(ài)爾蘭數(shù)據(jù)保護(hù)委員會(huì)（DPC）對(duì)Meta處以7.13億元（9100萬(wàn)歐元）巨額罰款，原因是該公司違反數(shù)據(jù)保護(hù)法規(guī)，以明文形式存儲(chǔ)了數(shù)億用戶(hù)的密碼。

事件源于2019年1月，Meta在例行安全審查中發(fā)現(xiàn)部分用戶(hù)密碼以明文形式存儲(chǔ)在內(nèi)部數(shù)據(jù)存儲(chǔ)系統(tǒng)中。這一發(fā)現(xiàn)引起了公司的高度重視，因?yàn)檎Ｇ闆r下，登錄系統(tǒng)應(yīng)使用特殊技術(shù)使密碼不可讀。Meta隨即采取措施修復(fù)問(wèn)題，并承諾通知所有受影響用戶(hù)。據(jù)Meta估計(jì)，此事件影響數(shù)億Facebook Lite用戶(hù)、數(shù)千萬(wàn)其他Facebook用戶(hù)，以及數(shù)萬(wàn)Instagram用戶(hù)。

盡管Meta聲稱(chēng)這些密碼僅對(duì)內(nèi)部人員可見(jiàn)，且未發(fā)現(xiàn)濫用或不當(dāng)訪問(wèn)的證據(jù)，但此事仍引發(fā)了嚴(yán)重的數(shù)據(jù)安全擔(dān)憂(yōu)。2019年4月，Meta向DPC報(bào)告了這一事件，隨后DPC展開(kāi)了全面調(diào)查。DPC于2024年9月26日做出處罰決定，并表示將在后續(xù)發(fā)布完整決定和更多細(xì)節(jié)。

消息來(lái)源：FREEBUF  https://www.freebuf.com/articles/412005.html

英偉達(dá)容器工具包嚴(yán)重安全漏洞威脅主機(jī)系統(tǒng)安全

近日，研究人員在英偉達(dá)容器工具包中發(fā)現(xiàn)一個(gè)嚴(yán)重安全漏洞，可能允許攻擊者突破容器限制，獲得對(duì)底層主機(jī)的完全訪問(wèn)權(quán)限。該漏洞被追蹤為CVE-2024-0132，CVSS評(píng)分高達(dá)9.0。云安全公司W(wǎng)iz的研究人員介紹，攻擊者可能通過(guò)創(chuàng)建惡意容器鏡像來(lái)利用這一缺陷。當(dāng)該鏡像在目標(biāo)平臺(tái)上運(yùn)行時(shí)，攻擊者將獲得對(duì)文件系統(tǒng)的完全訪問(wèn)權(quán)限。這種攻擊可能以供應(yīng)鏈攻擊的形式實(shí)現(xiàn)，受害者被欺騙運(yùn)行惡意鏡像，或通過(guò)允許共享GPU資源的服務(wù)實(shí)現(xiàn)。一旦獲得訪問(wèn)權(quán)限，攻擊者可以訪問(wèn)容器運(yùn)行時(shí)的Unix套接字，進(jìn)而以root權(quán)限在主機(jī)系統(tǒng)上執(zhí)行任意命令，有效控制整個(gè)機(jī)器。該漏洞對(duì)編排的多租戶(hù)環(huán)境構(gòu)成嚴(yán)重風(fēng)險(xiǎn)，可能導(dǎo)致攻擊者逃逸容器并獲取同一節(jié)點(diǎn)或同一集群中其他應(yīng)用程序的敏感數(shù)據(jù)。根據(jù)Wiz Research的數(shù)據(jù)，超過(guò)35%的云環(huán)境有可能面臨被該漏洞利用的風(fēng)險(xiǎn)。

該漏洞影響英偉達(dá)容器工具包v1.16.1及之前版本，以及英偉達(dá)GPU操作員24.6.1及之前版本。英偉達(dá)已在容器工具包v1.16.2和GPU操作員24.6.2版本中修復(fù)了該問(wèn)題，并強(qiáng)烈建議用戶(hù)及時(shí)應(yīng)用補(bǔ)丁。

消息來(lái)源：GoUpSec  https://mp.weixin.qq.com/s/lVeB2gmgIJReur__ghz2yg

科威特衛(wèi)生部被黑，致使國(guó)內(nèi)多個(gè)醫(yī)療服務(wù)中斷

中東國(guó)家科威特的衛(wèi)生部日前遭遇網(wǎng)絡(luò)攻擊，導(dǎo)致該國(guó)多家醫(yī)院的系統(tǒng)癱瘓，國(guó)家醫(yī)療應(yīng)用Sahel也因此下線(xiàn)。該國(guó)衛(wèi)生部正在積極從攻擊中恢復(fù)。

有關(guān)官員表示，調(diào)查揭示了黑客入侵系統(tǒng)的手段，但他們也強(qiáng)調(diào)：“我們已采取所有必要措施，確保初級(jí)醫(yī)療中心和公立醫(yī)院的基本和重要醫(yī)療服務(wù)正常運(yùn)行，并保障數(shù)據(jù)安全。”

聲明中進(jìn)一步指出：“衛(wèi)生部正與相關(guān)政府安全部門(mén)緊密合作，控制問(wèn)題并防止其擴(kuò)散至其他系統(tǒng)，同時(shí)加固和升級(jí)安全系統(tǒng)，以更高效地應(yīng)對(duì)潛在漏洞?！?

聲明還提到，黑客未能攻入“核心數(shù)據(jù)庫(kù)”，但為進(jìn)行必要的安全更新，衛(wèi)生部不得不暫時(shí)關(guān)閉部分系統(tǒng)。

目前尚無(wú)任何勒索軟件組織對(duì)這次攻擊事件宣稱(chēng)負(fù)責(zé)。

https://mp.weixin.qq.com/s/meOfBp8C7o6DVsczYgRz9w

https://www.freebuf.com/news/411878.html

來(lái)源:本安全周報(bào)所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來(lái)，僅用于分享，并不意味著贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性，部分內(nèi)容推送時(shí)未能與原作者取得聯(lián)系，若涉及版權(quán)問(wèn)題，煩請(qǐng)?jiān)髡呗?lián)系我們，我們會(huì)盡快刪除處理，謝謝！