四大行業(yè)協(xié)會同日發(fā)布安全提示聲明:審慎采購美國芯片;Safari瀏覽器零日漏洞或已遭利用,多個Apple應用平臺被波及 |
來源:聚銘網(wǎng)絡(luò) 發(fā)布時間:2024-12-13 瀏覽次數(shù): |
12月3日,中國互聯(lián)網(wǎng)協(xié)會、中國汽車工業(yè)協(xié)會、中國半導體行業(yè)協(xié)會、中國通信企業(yè)協(xié)會分別發(fā)布安全提示聲明,呼吁或建議國內(nèi)企業(yè)審慎選擇采購美國芯片。
新聞速覽?四大行業(yè)協(xié)會同日發(fā)布安全提示聲明:審慎采購美國芯片 ?《網(wǎng)絡(luò)安全技術(shù) 基于互聯(lián)網(wǎng)電子政務(wù)信息安全實施指南 第1部分:總則》等2項國家標準公開征求意見 ?歐洲理事會通過新法案加強網(wǎng)絡(luò)安全 ?史上最大規(guī)模網(wǎng)絡(luò)犯罪聯(lián)合打擊行動收網(wǎng),抓獲5500余名網(wǎng)絡(luò)犯罪嫌疑人 ?新型釣魚攻擊手法出現(xiàn),利用損壞Word文檔規(guī)避安全檢測 ?英國國防部600余員工登錄憑證現(xiàn)身暗網(wǎng),引發(fā)安全擔憂 ?IBM安全設(shè)備曝硬編碼憑據(jù)漏洞,已發(fā)布緊急補丁修復 ?Safari瀏覽器零日漏洞或已遭利用,多個Apple應用平臺被波及 ?AWS發(fā)布全新智能化事件響應服務(wù),可構(gòu)建全天候云安全防線 ?Crypto.com推出巨額漏洞賞金計劃,總額超過200萬美元 特別關(guān)注四大行業(yè)協(xié)會同日發(fā)布安全提示聲明:審慎采購美國芯片美國政府日前發(fā)布了對華半導體出口管制措施。該措施進一步加嚴對半導體制造設(shè)備、存儲芯片等物項的對華出口管制,并將136家中國實體增列至出口管制實體清單,還拓展長臂管轄,對中國與第三國貿(mào)易橫加干涉,是典型的經(jīng)濟脅迫行為和非市場做法。12月3日,中國互聯(lián)網(wǎng)協(xié)會、中國汽車工業(yè)協(xié)會、中國半導體行業(yè)協(xié)會、中國通信企業(yè)協(xié)會分別發(fā)布安全提示聲明,呼吁或建議國內(nèi)企業(yè)審慎選擇采購美國芯片。 中國半導體行業(yè)協(xié)會聲明稱,在全球經(jīng)濟一體化的今天,美國的單邊主義行為不僅損害了中美兩國企業(yè)的利益,也極大增加了全球半導體供應鏈成本。隨著美國出口管制措施不斷加碼,其反噬效應也在持續(xù)擴大,美國對華管制措施的隨意性對美國企業(yè)也造成了供應鏈中斷、運營成本上升等影響,影響了美國芯片產(chǎn)品的穩(wěn)定供應,美國芯片產(chǎn)品不再安全、不再可靠,中國相關(guān)行業(yè)需謹慎采購美國芯片。 中國汽車工業(yè)協(xié)會聲明稱,美國政府隨意修改管制規(guī)則,嚴重影響了美國芯片產(chǎn)品的穩(wěn)定供應,中國汽車行業(yè)對采購美國企業(yè)芯片產(chǎn)品的信任和信心正在被動搖,美國汽車芯片產(chǎn)品不再可靠、不再安全。為保障汽車產(chǎn)業(yè)鏈、供應鏈安全穩(wěn)定,協(xié)會建議中國汽車企業(yè)謹慎采購美國芯片。 中國互聯(lián)網(wǎng)協(xié)會發(fā)布聲明稱,為確保我國互聯(lián)網(wǎng)產(chǎn)業(yè)安全、穩(wěn)定、可持續(xù)發(fā)展,我會呼吁國內(nèi)企業(yè)主動采取應對措施,審慎選擇采購美國芯片,尋求擴大與其他國家和地區(qū)芯片企業(yè)的合作,并積極使用內(nèi)外資企業(yè)在華生產(chǎn)制造的芯片。 中國通信企業(yè)聲明稱,美國政府此舉既嚴重破壞了國際貿(mào)易規(guī)則,又給中國信息通信行業(yè)的產(chǎn)業(yè)鏈、供應鏈安全穩(wěn)定帶來實質(zhì)性損害。中國信息通信業(yè)對于采購美國企業(yè)芯片產(chǎn)品的信任和信心已經(jīng)動搖,認為美國芯片產(chǎn)品不再可靠,不再安全,呼吁政府開展關(guān)鍵信息基礎(chǔ)設(shè)施供應鏈安全調(diào)查,采取有力措施,保障關(guān)鍵信息基礎(chǔ)設(shè)施安全穩(wěn)定運行。 原文鏈接: https://mp.weixin.qq.com/s/9Yv_4sM5fXg7TWG3kBO5wA 《網(wǎng)絡(luò)安全技術(shù) 基于互聯(lián)網(wǎng)電子政務(wù)信息安全實施指南 第1部分:總則》等2項國家標準公開征求意見日前,全國網(wǎng)絡(luò)安全標準化技術(shù)委員會歸口的《網(wǎng)絡(luò)安全技術(shù) 基于互聯(lián)網(wǎng)電子政務(wù)信息安全實施指南 第1部分:總則》和《信息技術(shù) 安全技術(shù) 網(wǎng)絡(luò)安全 第6部分:無線網(wǎng)絡(luò)訪問安全》2項國家標準現(xiàn)已形成標準征求意見稿。根據(jù)《全國網(wǎng)絡(luò)安全標準化技術(shù)委員會標準制修訂工作程序》要求,全國網(wǎng)絡(luò)安全標準化委員會秘書處特將該2項標準征求意見稿面向社會公開征求意見。標準相關(guān)材料已發(fā)布在網(wǎng)安標委網(wǎng)站,如有意見或建議請于2025年1月31日24:00前反饋秘書處。 原文鏈接: https://www.tc260.org.cn/front/bzzqyjList.html?start=0&length=10 熱點觀察歐洲理事會通過新法案加強網(wǎng)絡(luò)安全12月2日,歐洲理事會通過兩項關(guān)于網(wǎng)絡(luò)安全的法案,旨在進一步加強歐盟抵御網(wǎng)絡(luò)威脅的能力和網(wǎng)絡(luò)團結(jié)合作。這兩項法律分別為《網(wǎng)絡(luò)團結(jié)法案》和《網(wǎng)絡(luò)安全法案》修正案,屬于歐盟網(wǎng)絡(luò)安全立法“一攬子計劃”的一部分。 歐洲理事會發(fā)表聲明說,《網(wǎng)絡(luò)團結(jié)法案》構(gòu)建了歐盟在應對網(wǎng)絡(luò)威脅方面的能力,同時加強了合作機制。例如,歐盟將建立一個由國家和跨境網(wǎng)絡(luò)中心組成的“網(wǎng)絡(luò)安全警報系統(tǒng)”,以實現(xiàn)信息共享、檢測并應對網(wǎng)絡(luò)威脅。該法案還提出建立網(wǎng)絡(luò)安全應急機制,以提高歐盟的突發(fā)事件響應能力?!毒W(wǎng)絡(luò)安全法案》修正案承認托管安全服務(wù)在預防、檢測、響應和恢復網(wǎng)絡(luò)安全事件方面的重要性日益增加,該修正案將有助于提高托管安全服務(wù)的質(zhì)量,培養(yǎng)值得信賴的網(wǎng)絡(luò)安全服務(wù)商。 聲明介紹,兩項新法案經(jīng)歐洲理事會主席和歐洲議會議長簽署后,將于未來幾周內(nèi)在歐盟官方刊物上公布,并于公布20天后生效。 相關(guān)鏈接: http://www.news.cn/world/20241203/6e57f6719e2b471bb3f82832d345b881/c.html 史上最大規(guī)模網(wǎng)絡(luò)犯罪聯(lián)合打擊行動收網(wǎng),抓獲5500余名網(wǎng)絡(luò)犯罪嫌疑人國際刑警組織近日宣布,代號為"HAECHI V"的全球執(zhí)法行動已經(jīng)圓滿結(jié)束并取得重大成果,逮捕超過5500名嫌疑人,查獲資產(chǎn)超4億美元。該行動于2024年7月至11月期間開展,涉及40個國家,主要打擊網(wǎng)絡(luò)詐騙、釣魚攻擊、網(wǎng)戀詐騙、投資詐騙、網(wǎng)絡(luò)賭博、商務(wù)郵件詐騙和電子商務(wù)欺詐等犯罪行為。 在此次行動中,韓國和中國執(zhí)法部門聯(lián)合搗毀了一個造成1900多名受害者損失達11億美元的語音詐騙集團,逮捕27人并對19人提起訴訟。國際刑警組織還發(fā)布了紫色通報,警告各國防范一種新型加密貨幣詐騙活動——"USDT代幣授權(quán)詐騙"。詐騙分子首先通過網(wǎng)戀手段引誘受害者,誘導其在合法平臺購買泰達幣(USDT),隨后通過分享虛假投資平臺的釣魚鏈接,秘密獲取受害者錢包訪問權(quán)限并盜取資金。 此外,國際刑警組織與80多個國家的執(zhí)法部門加強了對I-GRIP資金追蹤工具的應用。新加坡警方利用該工具成功攔截了一筆3930萬美元的非法轉(zhuǎn)賬。這起案件中,一家公司被騙將4230萬美元轉(zhuǎn)入東帝汶的虛假賬戶,當?shù)貓?zhí)法部門及時介入并攔截了大部分資金。警方已逮捕7名嫌疑人并追回260萬美元。目前東帝汶、印度尼西亞和新加坡的相關(guān)調(diào)查仍在進行中。 原文鏈接: https://securityaffairs.com/171593/cyber-crime/operation-haechi-v-5500-arrests.html 網(wǎng)絡(luò)攻擊新型釣魚攻擊手法出現(xiàn),利用損壞Word文檔規(guī)避安全檢測安全研究人員發(fā)現(xiàn)了一種新型釣魚攻擊手法,攻擊者通過發(fā)送故意損壞的Word文檔作為電子郵件附件來規(guī)避安全軟件檢測。惡意軟件分析公司Any.Run近日披露,這些釣魚郵件偽裝成來自人力資源部門的薪資福利通知。 這些損壞的文檔可被Microsoft Word程序修復。當用戶打開附件時,Word會提示發(fā)現(xiàn)"無法讀取的內(nèi)容"并詢問是否要恢復文件。修復后的文檔會顯示一個二維碼,并要求用戶掃描以獲取文檔內(nèi)容。這些文檔通常會加入目標公司的標識,以增加真實性。一旦用戶掃描二維碼,就會被誘導至偽裝成Microsoft登錄界面的釣魚網(wǎng)站,目的是竊取用戶的賬號憑證。 安全研究人員指出,大多數(shù)安全解決方案無法正確對其進行文件類型識別,導致無法檢測到威脅。VirusTotal平臺的檢測結(jié)果顯示,幾乎所有樣本都未被殺毒軟件標記為惡意,部分樣本僅被2個廠商檢出。這可能因為文檔本身不包含惡意代碼,僅與其中的二維碼有關(guān)。 原文鏈接: https://www.bleepingcomputer.com/news/security/novel-phishing-campaign-uses-corrupted-word-documents-to-evade-security/ 英國國防部600余員工登錄憑證現(xiàn)身暗網(wǎng),引發(fā)安全擔憂英國國防部(MOD)近日發(fā)現(xiàn),在過去四年中,近600名員工用于訪問國防門戶網(wǎng)站(Defence Gateway)的登錄憑證在暗網(wǎng)上被泄露流傳。Defence Gateway是國防部員工使用的非機密門戶網(wǎng)站,主要用于人力資源管理、電子郵件協(xié)作以及教育培訓等功能。雖然該網(wǎng)站采用了多因素認證(MFA)防護措施,但目前尚不清楚這些被盜憑證是否被成功利用。如果攻擊者成功突破防線,可能會獲取個人數(shù)據(jù),但具體是否造成更深層次的入侵仍需進一步調(diào)查。 關(guān)于憑證泄露的原因,分析顯示多數(shù)員工是使用個人設(shè)備而非軍方配發(fā)的設(shè)備訪問網(wǎng)站,增加了安全風險。最可能的攻擊途徑是通過釣魚攻擊或信息竊取惡意軟件。 網(wǎng)絡(luò)安全專家Graham Cluley指出,被泄露的憑證可能導致員工在其他使用相同密碼的網(wǎng)站面臨風險,攻擊者還可能利用這些信息構(gòu)建用戶畫像,為進一步的網(wǎng)絡(luò)間諜活動或信息竊取行為做準備。 原文鏈接: https://www.csoonline.com/article/3615760/hundreds-of-uk-ministry-of-defence-passwords-found-circulating-on-the-dark-web.html 漏洞預警IBM安全設(shè)備曝硬編碼憑據(jù)漏洞,已發(fā)布緊急補丁修復IBM Security Verify訪問設(shè)備曝出多個嚴重漏洞,其中包括一個可導致遠程命令執(zhí)行的高危缺陷。IBM近日披露了其Security Verify Access Appliance產(chǎn)品中存在的多個嚴重安全漏洞,影響版本范圍涵蓋10.0.0至10.0.8 IF1。 漏洞CVE-2024-49803的CVSS基準評分高達9.8分。該漏洞源于系統(tǒng)在處理操作系統(tǒng)命令時未能正確過濾特殊字符,可能導致操作系統(tǒng)命令注入攻擊。遠程認證攻擊者可以通過發(fā)送特制請求在系統(tǒng)上執(zhí)行任意命令。 另外還有兩個嚴重漏洞CVE-2024-49805和CVE-2024-49806的CVSS評分為9.4分,這些漏洞與硬編碼憑據(jù)的使用有關(guān)。這些預設(shè)的憑據(jù)可能是密碼或加密密鑰,用于入站身份驗證、與外部組件的出站通信或內(nèi)部數(shù)據(jù)加密,嚴重增加了未經(jīng)授權(quán)訪問和數(shù)據(jù)泄露的風險。 IBM已發(fā)布修復補丁版本10.0.8-ISS-ISVA-FP0002。目前除了應用此補丁外,這些漏洞沒有其他已知的規(guī)避或緩解方案。IBM強烈建議受影響版本的用戶盡快安裝補丁以降低安全風險,并保持持續(xù)警惕以防止漏洞被利用。 原文鏈接: https://cybersecuritynews.com/ibm-security-verify-vulnerabilities/ Safari瀏覽器零日漏洞或已遭利用,多個Apple應用平臺被波及Google威脅分析小組(TAG)的研究人員發(fā)現(xiàn),Apple Safari瀏覽器中存在一個嚴重的遠程代碼執(zhí)行漏洞(CVE-2024-44308),該漏洞已被在野利用。這個高危漏洞位于WebKit的JavaScriptCore組件中,攻擊者可通過處理特制的網(wǎng)頁內(nèi)容執(zhí)行任意代碼。 Apple已確認該漏洞在基于Intel的Mac系統(tǒng)上遭到了主動利用。技術(shù)分析顯示,該漏洞源于WebKit的DFG JIT編譯器中的寄存器損壞問題,具體與scratch2GPR寄存器的不當分配時序有關(guān)。該漏洞影響多個Apple平臺,包括iOS、iPadOS、macOS和visionOS。受影響的版本包括iOS和iPadOS 17.7.2和18.1.1之前的版本、macOS Sequoia 15.1.1之前的版本、visionOS 2.1.1之前的版本以及Safari 18.1.1之前的版本。 為應對這一威脅,Apple已通過改進檢查機制修復了該漏洞,并在最新版本中發(fā)布了補丁。美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)已將CVE-2024-44308添加到其已知利用漏洞目錄中,并敦促用戶和組織在2024年12月12日之前應用必要的補丁。 原文鏈接: https://cybersecuritynews.com/apple-safari-remote-code-execution-vulnerability/ 產(chǎn)業(yè)動態(tài)AWS發(fā)布全新智能化事件響應服務(wù),可構(gòu)建全天候云安全防線AWS近日推出了一項安全事件響應服務(wù),旨在自動化處理網(wǎng)絡(luò)攻擊。該服務(wù)已在全球12個區(qū)域部署,可幫助組織實時應對賬戶接管和勒索軟件攻擊等威脅。 這項名為AWS Security Incident Response的服務(wù)與AWS現(xiàn)有的GuardDuty威脅檢測服務(wù)和通過AWS Security Hub接入的第三方安全工具進行整合。該平臺引入了基于客戶特定數(shù)據(jù)的自動分類功能,可根據(jù)預期行為模式過濾警報,從而解決安全團隊面臨的海量日常警報問題,避免重要安全通知被忽視的風險。 該服務(wù)與AWS Organizations整合,為當前和未來的賬戶提供安全覆蓋。組織需要在其AWS基礎(chǔ)設(shè)施中選擇一個中央賬戶,用于創(chuàng)建和管理所有活動及歷史安全事件。該服務(wù)通過部署特定的身份和訪問管理(IAM)角色來執(zhí)行安全管控操作,確保對AWS服務(wù)和資源的安全訪問。用戶還可以獲得AWS客戶事件響應團隊(CIRT)提供的全天候支持。平臺的儀表板包含平均解決時間(MTTR)等性能指標,并可跟蹤特定時間段內(nèi)的活動和已關(guān)閉案例數(shù)量。 原文鏈接: https://cybermagazine.com/articles/aws-targets-cloud-security-with-incident-response-platform Crypto.com推出巨額漏洞賞金計劃,總額超過200萬美元全球知名加密貨幣交易所Crypto.com近日與HackerOne合作推出了一項重磅漏洞賞金計劃,懸賞金額高達200萬美元,創(chuàng)下HackerOne平臺所有漏洞賞金項目的最高記錄。該計劃旨在鼓勵白帽黑客社區(qū)報告安全漏洞,進一步提升平臺安全性。 作為一家擁有超過1億用戶的全球性加密貨幣交易平臺,Crypto.com一直將安全性作為重中之重。該公司首席信息安全官Jason Lau表示:"我們一直將道德黑客社區(qū)視為安全團隊的延伸,與其保持密切合作。此次創(chuàng)紀錄的賞金計劃不僅深化了我們與HackerOne的合作關(guān)系,也彰顯了我們加強用戶保護的決心。" 近年來,加密貨幣行業(yè)因其巨大的經(jīng)濟利益,已成為網(wǎng)絡(luò)犯罪分子的重點攻擊目標。根據(jù)區(qū)塊鏈情報公司TRM的數(shù)據(jù)顯示,僅2023年,黑客就竊取了至少6億美元的加密貨幣。在此背景下,Crypto.com的這一舉措顯得尤為重要。作為一家總部位于新加坡的公司,Crypto.com通過加強安全性、合規(guī)性和監(jiān)管許可來推進其"加密貨幣進入每一個錢包"的使命。 原文鏈接: https://www.infosecurity-magazine.com/news/cryptocom-launches-2m-bug-bounty/ |