公司新聞

【一周安全資訊0511】16項網(wǎng)絡安全國家標準獲批發(fā)布;TunnelVision 漏洞曝光,幾乎可監(jiān)聽所有VPN

來源:聚銘網(wǎng)絡    發(fā)布時間:2024-05-11    瀏覽次數(shù):
 

要聞速覽

1、16項網(wǎng)絡安全國家標準獲批發(fā)布

2、財政部、國家網(wǎng)信辦聯(lián)合印發(fā)《會計師事務所數(shù)據(jù)安全管理暫行辦法》

3、全球首例:英國立法禁止弱密碼

4、TunnelVision 漏洞曝光,幾乎可監(jiān)聽所有VPN

5、Tinyproxy 曝出嚴重漏洞,全球52000 臺主機受影響

6、戴爾泄露4900萬用戶購物數(shù)據(jù):疑涉及大量中國用


一周政策要聞

16項網(wǎng)絡安全國家標準獲批發(fā)布

根據(jù)2024年4月25日國家市場監(jiān)督管理總局、國家標準化管理委員會發(fā)布的中華人民共和國國家標準公告(2024年第6號),全國網(wǎng)絡安全標準化技術委員會歸口的16項國家標準正式發(fā)布,并將于2024年11月1日正式實施。具體清單如下:

信息來源:全國網(wǎng)絡安全標準化技術委員會https://mp.weixin.qq.com/s/aBnH5AgYfgR1acPRJi98gA


財政部、國家網(wǎng)信辦聯(lián)合印發(fā)《會計師事務所數(shù)據(jù)安全管理暫行辦法》

為加強會計師事務所數(shù)據(jù)安全管理,規(guī)范會計師事務所數(shù)據(jù)處理活動,財政部、國家網(wǎng)信辦近日聯(lián)合印發(fā)《會計師事務所數(shù)據(jù)安全管理暫行辦法》,自2024年10月1日起施行。

該辦法旨在加強會計師事務所在數(shù)據(jù)處理方面的安全管理,規(guī)范其活動,保障信息安全。主要內(nèi)容包括:數(shù)據(jù)管理、網(wǎng)絡管理、監(jiān)督檢查等方面,特別強調(diào)審計工作底稿需存放境內(nèi),并禁止直接向境外機構提供境內(nèi)項目資料。適用于境內(nèi)依法設立的會計師事務所,特別關注上市公司和關鍵信息基礎設施運營者的審計服務。

信息來源:中華人民共和國國家互聯(lián)網(wǎng)信息辦公室https://www.cac.gov.cn/2024-05/10/c_1717011564369521.htm


業(yè)內(nèi)新聞速覽

全球首例:英國立法禁止弱密碼

《2022 年產(chǎn)品安全和電信基礎設施法案》(PSTI 法案)于當?shù)貢r間 4 月 29 日正式在英國生效,在全球范圍內(nèi)率先明確物聯(lián)網(wǎng)設備不得使用默認弱密碼。

該法案的落地最早可以追溯到 2016 年 10 月 21 日發(fā)生的網(wǎng)絡攻擊事件,當時很多用戶連續(xù)三次無法訪問 Twitter、CNN 和 Netflix 等熱門網(wǎng)站。這次攻擊并不復雜,攻擊者使用利用無線攝像頭到 WiFi 路由器等聯(lián)網(wǎng)消費設備組成的 Mirai 僵尸網(wǎng)絡,向域名服務提供商 Dyn 發(fā)起分布式拒絕服務攻擊。PSTI 法案明確物聯(lián)網(wǎng)設備默認不得使用“admin”或者“12345”等默認密碼,而且制造商還需要發(fā)布聯(lián)系方式,以便用戶可以報告錯誤。不符合規(guī)定的產(chǎn)品可能面臨被召回,相關公司可能面臨最高 1000 萬英鎊或其全球收入 4% 的罰款,以較高者為準。

消息來源:IT之家  https://baijiahao.baidu.com/s?id=1797742234536062258&wfr=spider&for=pc


TunnelVision 漏洞曝光,幾乎可監(jiān)聽所有VPN

近日,安全企業(yè)Leviathan Security Group披露了一個名為TunnelVision的安全漏洞,該漏洞被追蹤為CVE-2024-3661,它幾乎可監(jiān)聽所有VPN。

據(jù)悉,該漏洞是一種可繞過VPN封裝的新型網(wǎng)絡技術,借由操作系統(tǒng)所內(nèi)置的、用來自動分配IP地址的動態(tài)主機配置協(xié)議(DHCP),就可迫使目標用戶的流量離開VPN信道,進而讓黑客可窺探其流量。

如果用戶連接的對象是個HTTP網(wǎng)站,那么傳輸內(nèi)容將會被一覽無遺,若是訪問加密的HTTPS網(wǎng)站,黑客就只能查看用戶所連接的對象。該漏洞對Windows、Linux、macOS和iOS等多個操作系統(tǒng)都有影響。

對此,Leviathan 建議 VPN 用戶采取以下緩解措施:
  • 在 Linux 上使用網(wǎng)絡命名空間,將網(wǎng)絡接口和路由表與系統(tǒng)其他部分隔離,防止惡意 DHCP 配置影響 VPN 流量。

  • 配置 VPN 客戶端,拒絕所有不使用 VPN 接口的入站和出站流量。例外情況應僅限于必要的 DHCP 和 VPN 服務器通信。

  • 配置系統(tǒng)在連接 VPN 時忽略 DHCP 選項 121。這可以防止應用惡意路由選擇指令,但在某些配置下可能會中斷網(wǎng)絡連接。

  • 通過個人熱點或虛擬機(VM)內(nèi)進行連接。這樣可以將 DHCP 交互與主機系統(tǒng)的主網(wǎng)絡接口隔離,降低惡意 DHCP 配置的風險。

  • 避免連接到不受信任的網(wǎng)絡,尤其是在處理敏感數(shù)據(jù)時,因為這些網(wǎng)絡是此類攻擊的主要環(huán)境。

消息來源:FREEBUF  https://www.freebuf.com/news/400347.html


Tinyproxy 曝出嚴重漏洞,全球52000 臺主機受影響

近日,Tinyproxy發(fā)現(xiàn)一個被追蹤為 CVE-2023-49606的安全漏洞,未經(jīng)身份驗證的威脅行為者可以發(fā)送特制的 HTTP 連接標頭來觸發(fā)該漏洞,從而引發(fā)內(nèi)存破壞,導致遠程代碼執(zhí)行。

根據(jù)攻擊面管理公司 Censys 分享的數(shù)據(jù),截至 2024 年 5 月 3 日,在 90,310 臺向公共互聯(lián)網(wǎng)暴露 Tinyproxy 服務的主機中,有 52,000 臺(約占 57%)運行著有漏洞的 Tinyproxy 版本。大部分可公開訪問的主機位于美國(32,846 臺)、韓國(18,358 臺)、中國(7,808 臺)、法國(5,208 臺)和德國(3,680 臺)。

專家建議用戶從 git 拉取最新的 master 分支,或者手動將上述提交作為版本 1.11.1 的補丁應用,直到 Tinyproxy 1.11.2 可用。還建議不要將 Tinyproxy 服務暴露在公共互聯(lián)網(wǎng)上。

消息來源:安全客  https://www.anquanke.com/post/id/296259


戴爾泄露4900萬用戶購物數(shù)據(jù):疑涉及大量中國用戶

安全內(nèi)參報道,戴爾公司近日遭遇數(shù)據(jù)泄露事件,威脅行為者聲稱已竊取約4900萬名客戶的信息。戴爾向客戶發(fā)出警告,表示黑客入侵了包含客戶購買信息的門戶網(wǎng)站。

被竊取的信息包括客戶的姓名、地址、購買的戴爾產(chǎn)品及其訂單詳情,但不包括財務、支付信息、電子郵件地址或電話號碼。戴爾強調(diào),考慮到信息類型,客戶面臨的風險不大,并表示他們正在與執(zhí)法部門和第三方取證公司合作調(diào)查此事件。

據(jù)外媒報道,一位名為Menelik的威脅行為者曾試圖在Breach Forums黑客論壇上出售所竊取的戴爾客戶數(shù)據(jù)。雖然目前尚無法確認這些數(shù)據(jù)是否就是戴爾公司所披露的,但兩者之間存在著高度的相似性。值得警惕的是,Breach Forum上的數(shù)據(jù)售賣帖子已經(jīng)被刪除,這可能意味著已經(jīng)有人購買了這份數(shù)據(jù)庫。

戴爾公司強烈建議客戶保持警惕,如果收到任何聲稱來自戴爾的實體郵件或電子郵件,要求安裝軟件、更改密碼或執(zhí)行其他可能存在風險的操作,請務必進行核實和確認。

消息來源:安全內(nèi)參  https://www.secrss.com/articles/65996


來源:本安全周報所推送內(nèi)容由網(wǎng)絡收集整理而來,僅用于分享,并不意味著贊同其觀點或證實其內(nèi)容的真實性,部分內(nèi)容推送時未能與原作者取得聯(lián)系,若涉及版權問題,煩請原作者聯(lián)系我們,我們會盡快刪除處理,謝謝!

 
 

上一篇:2024年5月10日聚銘安全速遞

下一篇:安全運營專題案例一 | 河北省人民醫(yī)院內(nèi)網(wǎng)安全運營新實踐