| 安全资讯导视 |
|---|
• 工信部印发《工业和信息化领域数据安全事件应急预案(试行)》 |
• 通过外网非法获取公民个人信息1亿余条,一安全公司员工获刑 |
• 墨西哥大型机场集团疑遭勒索攻击,旗下13个机场紧急切换备用系统 |
1.Spring Security静态资源权限绕过漏洞安全风险通告
10月31日,奇安信CERT监测到官方修复Spring Security静态资源权限绕过漏洞(CVE-2024-38821),Spring WebFlux应用程序在静态资源上使用Spring Security授权规则时,由于解析差异可能导致权限绕过,未经授权的攻击者可以通过此漏洞绕过原本的身份认证机制,从而未授权访问这些资源,造成敏感数据泄露等后果。目前该漏洞技术细节已在互联网上公开,奇安信CERT已成功复现,建议客户尽快做好自查及防护。
2.CyberPanel远程命令执行漏洞安全风险通告
10月28日,奇安信CERT监测到官方修复CyberPanel upgrademysqlstatus远程命令执行漏洞(QVD-2024-44346),该漏洞源于upgrademysqlstatus接口未做身份验证和参数过滤,未授权的攻击者可以通过此接口执行任意命令获取服务器权限,从而造成数据泄露、服务器被接管等严重的后果。奇安信鹰图资产测绘平台数据显示,该漏洞关联的国内风险资产总数为12289个,关联IP总数为4316个。目前该漏洞技术细节与EXP已在互联网上公开,奇安信威胁情报中心安全研究员已成功复现,鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
1.通过外网非法获取公民个人信息1亿余条,一安全公司员工获刑
10月28日澎湃新闻消息,上海市杨浦区人民检察院召开新闻发布会,通报2020年以来侵犯公民个人信息隐私案件办理情况,并发布相关案例。其中一起通报案例显示,被告人吴某是某安全科技有限公司员工,2024年2月,被告人吴某通过翻墙软件违规访问境外Telegram平台,并在该软件“ling某”群的“资源共享”内下载含有公民个人信息的文件,储存在其持有的移动硬盘中,同时将上述下载渠道提供给他人。经鉴定,被告人吴某非法获取的公民个人信息共计1亿余条。经杨浦区检察院提起公诉,法院以侵犯公民个人信息罪判处吴某有期徒刑一年六个月,缓刑一年六个月,并处罚金人民币二千元。
原文链接:
https://www.thepaper.cn/newsDetail_forward_29169381
2.墨西哥大型机场集团疑遭勒索攻击,旗下13个机场紧急切换备用系统
10月26日The Record消息,墨西哥中北部机场集团(OMA)25日披露,一起网络事件迫使其IT团队切换至备份系统,以维持墨西哥中部和北部13个机场的正常运营。24日,RansomHub勒索软件组织宣称对此次攻击负责,并威胁如果不支付赎金,他们将公开3TB的被盗数据。具体的赎金金额尚不清楚。此次网络攻击影响超10天,OMA 15日在社交平台上首次承认了此次事件,表示旗下各机场的大屏已经关闭,目前仍只能通过备用系统和人工服务维持运营。
原文链接:
https://therecord.media/ransomhub-gang-behind-attack-mexican-airport-operator
3.近年最大规模!超1亿美国人医疗隐私数据被盗
10月24日BleepingComputer消息,美国联合健康集团首次确认,由于旗下子公司Change Healthcare遭遇勒索软件攻击,超过1亿人的个人信息和医疗数据被盗。此次事件已成为近年来最大规模的医疗数据泄露事件。美国卫生与公共服务部民权办公室24日在其数据泄露门户网站上更新了受影响人数的统计,总人数为1亿人。这是联合健康集团首次为此次数据泄露事件提供官方数字。在民权办公室网站更新的常见问题解答中写道:“2024年10月22日,Change Healthcare向民权办公室报告,已向约1亿人发出了个人通知,告知他们此次数据泄露事件。”据悉,被窃取的数据包括健康保险信息、医疗诊断信息、账单索赔与支付信息、其他个人信息等。
原文链接:
https://www.bleepingcomputer.com/news/security/unitedhealth-says-data-of-100-million-stolen-in-change-healthcare-breach/
1.住房城乡建设部印发《城市数字公共基础设施标准体系》
11月1日,住房城乡建设部组织编制了《城市数字公共基础设施标准体系》,为城市实现数字化转型发展提供统一数字底座,并对接底座一体化推进城市数字应用体系建设。该文件提出,城市数字公共基础设施标准体系框架分为九类,其中安全与保障类主要规范信息技术应用创新、安全与保障等方面的要求,包括网络安全、数据安全、密码应用安全和其他4个子类标准。
原文链接:
https://www.mohurd.gov.cn/file/2024/20241101/69ad068b-79a8-43bf-b72e-fb803f8164a8.pdf
2.反洗钱法修订草案作多项规定,更好保护数据安全和公民个人信息
11月1日,反洗钱修订草案三次审议稿即将提请十四届全国人大常委会第十二次会议审议。全国人大常委会法工委发言人黄海华在记者会上说,为了更好地保护数据安全和公民个人信息,修订草案作了多方面规定。一是在保留现行反洗钱法关于严格规范反洗钱信息使用规定的同时,增加规定对个人隐私的保护。二是明确要求提供反洗钱服务的机构及其工作人员对于因提供服务获得的数据、信息,应当依法妥善处理,确保数据、信息安全。三是增加规定金融机构在公司内部、集团成员之间共享反洗钱信息,也应当符合有关信息保护的法律规定。四是增加规定有关国家机关工作人员泄露反洗钱信息的法律责任。
原文链接:
https://www.chinanews.com/gn/2024/11-01/10311776.shtml
3.工信部印发《工业和信息化领域数据安全事件应急预案(试行)》
10月31日,工业和信息化部印发《工业和信息化领域数据安全事件应急预案(试行)》,以建立健全工业和信息化领域数据安全事件应急组织体系和工作机制,提高数据安全事件综合应对能力。该文件共八部分,包括总则、组织体系、监测与预警、事件响应、事后总结、预防措施、保障措施、附则。该文件将数据安全事件分为特别重大、重大、较大和一般四个级别。地方行业监管部门认为可能发生重大及以上数据安全事件的,应当立即上报工信部数据安全机制;工业和信息化领域数据处理者、数据安全应急支撑机构认为可能发生较大及以上数据安全事件的,应当立即向地方行业监管部门报告。
原文链接:
https://wap.miit.gov.cn/cms_files/filemanager/1226211233/attach/202410/862cbb3d1471442b9769489942454e42.pdf
4.三部门印发《新材料大数据中心总体建设方案》
10月30日,工业和信息化部、财政部、国家数据局联合印发《新材料大数据中心总体建设方案》,以充分发挥大数据、人工智能对新材料产业的技术支撑作用,培育材料研发与应用的全新发展模式。该文件提出,计划到2027年,搭建形成“1+N”(1个中心主平台、N个数据资源节点)的新材料大数据中心架构体系。该文件要求,完善数据安全管理技术标准规范,强化对新技术新应用的数据安全风险研究和评估,建立数据安全保障体系,研发安全可靠的关键技术和软件,并实施应用示范。
原文链接:
https://www.miit.gov.cn/cms_files/filemanager/1226211233/attach/202410/5c6fc4cc290f48d3926aa11d6ba4ba7c.pdf
5.美国网络安全与基础设施安全局发布首部国际战略规划
10月29日,美国网络安全与基础设施安全局(CISA)发布了《2025-2026财年CISA国际战略规划》,旨在将加强国际伙伴关系作为全球竞争的“力量倍增器”,使美国能够在当前和未来竞争并战胜全球范围内的威胁和挑战,实现该机构为美国民众提供安全和有弹性的基础设施的愿景。该文件列出了CISA必须实现的三项目标,以应对美国及其国际伙伴面临的不断变化和动态的挑战。一是增强美国所依赖的外国基础设施的弹性;二是加强国际伙伴关系,促进美国关键基础设施的优先发展和海外利益;三是制定操作和技术全球标准、法规、政策、指南和最佳实践,以提高安全性。
原文链接:
https://www.cisa.gov/sites/default/files/2024-10/FY25-26-CISA-International-Strategic-Plan.pdf
6.美国财政部发布对外投资审查最终规则
10月28日,美国财政部发布了一项最终规则,以实施拜登于2023年8月发布的第14105号行政命令(Reverse CFIUS行政令)。根据该行政令的规定,最终规则禁止美国公民参与涉及特定技术和产品的某些交易,还要求美国公民通报涉及特定技术和产品的某些其他交易。涵盖的特定技术和产品分为三类:半导体和微电子、量子计算和人工智能。拜登政府认为这些技术是下一代军事、网络安全、监视和情报应用的核心。美国发布对外投资审查的新计划是对现有出口管制和投资审查工具的补充,试图阻止美国资本推动受关注国家敏感技术和产品的开发。最终规则将中华人民共和国、中国香港特别行政区及中国澳门特别行政区均列为受关注国家和地区。该规则将于2025年1月2日生效。
原文链接:
https://home.treasury.gov/policy-issues/international/outbound-investment-program
7.中国互联网金融协会发布《金融数据安全治理实施指南》等3项数据安全标准
10月25日,中国互联网金融协会在京召开金融数据安全治理工作研讨会暨金融数据安全系列标准发布会,正式发布了《金融数据安全治理实施指南》《金融数据安全技术防护规范》《金融数据安全应急响应和处置指引》等3项标准,旨在从金融数据治理、金融数据安全技术防护、金融数据安全应急管理等不同角度为做好新时代的金融数据安全治理工作提供相应指引和规范。
原文链接:
https://mp.weixin.qq.com/s/o1dBWW2P4L3RK--bazca0g
8.美澳网络安全监管机构发布软件安全部署指南
10月24日,美国网络安全与基础设施安全局、联邦调查局及澳大利亚信号局旗下网络安全中心联合发布《安全软件部署:软件制造商如何确保对客户的可靠性》,以支持软件制造商实施具备健壮测试和测量组件的软件安全部署流程。该文件概述了软件安全部署的六个关键阶段,包括规划、开发和测试、内部推广、部署和小规模测试、受控推广、将反馈意见纳入规划。该文件强调创建和维护剧本(Playbook),为每个部署阶段提供明确的指导方针、最佳实践和应急计划。
原文链接:
https://www.cisa.gov/sites/default/files/2024-10/safe-software-deployment-how-software-manufacturers-can-ensure-reliability-for-customers-508c.pdf
【已复现】Apache Solr 身份认证绕过漏洞(CVE-2024-45216)安全风险通告第二次更新
本期周报内容由安全内参&虎符智库&奇安信CERT联合出品!
如有侵权请联系:admin#unsafe.sh