6月14日，星期二，您好！中科汇能与您分享信息安全快讯：

• Formidable 项目开发人员驳斥：MITRE 发的这个CVE漏洞纯属“碰瓷”

Formidable 是一款热门解析器，可从GitHub 下载，用于生产和无服务器环境中。其中Node.js模块和软件库是开源的。该漏洞即CVE-2022-29622，在五月份公开，CVSS 评分为9.8，属于“严重”级别。目前已出现相关 exploit 演示视频。CVE-2022-29622 被描述为位于Formidable 3.1.4 版本中的一个危险的任意文件上传缺陷，可被攻击者用于“通过构造的文件名称执行任意代码”。然而，这种分类以及CVE编号存在争议，而这一点已在CVE文档中提到。CVE文档指出，“某些第三方对这个问题有争议，因为该产品的常见用例中上传任意文件是预期行为。另外，所有版本中都存在可更改默认文件处理行为的配置选项。”近日，Formidable 项目维护人员兼Guardara 的联合创始人 Zsolt Imre 发布博客文章指出，他“仍然有信心认为Formidable 库和这些问题不存在任何关联。”Imre 指出允许任意文件上传的特性并不一定是漏洞，这取决于用例以及上传文件后是否会存在代码执行行为。

• 新型威胁：通过网络切片攻击5G

5G 网络的风险很高：下一代5G网络不仅比4G更快，而且将成为一系列任务关键环境（如公共安全、军事服务、关键基础设施和工业物联网）的通信基础设施。同时，它在支持延迟敏感的未来应用如自动汽车和遥控外科手术方面发挥重要作用。对基础设施的网络攻击可能对公共安全和国家安全造成重大影响，并影响个体企业的一系列商业服务。任何5G网络的核心都是灵活的基于IP的核心网络，它可是资源和属性被汇编到单个“切片”中——每个网络切片都为了满足特定应用程序提出的要求。例如，支持智能工厂中传感器工业物联网网络的网络切片可能提供极低的延迟、长久的设备电池声明以及受限制的带宽速度。邻近切片可赋能带宽极其高、接近零延迟的自动化车辆等。

• 通过MTD技术应对勒索软件和其他高级威胁

当类似漏洞事件发生时，很多大型企业组织机构也被发现存在严重的漏洞暴露，这反映出目前的网络安全解决方案并不足以对抗不断演变的高级攻击威胁。在此背景下，行业需要像移动目标防御（MTD）这样的创新技术来改善网络安全。研究机构认为，MTD已被证明可以有效阻止勒索软件和其他高级零日攻击，将会成为提高内存、网络、应用程序和操作系统安全性的关键技术，让主动安全防护理念成为现实。

• 美国司法部查封了乌克兰IT军的网络攻击资源

美国司法部近日查封了一个涉网犯罪域名ipstress[.]in，据悉此前曾为乌克兰IT军服务；目前尚不清楚，ipstress[.]in的网络攻击活动，是否与乌克兰IT军有关，美国查封行动是否对乌克兰政府提前通气；这类攻击活动目前在乌克兰合法，但在全球其他地方应该都非法，该如何定性和定责还属于灰色地带。安全内参近日消息，美国司法部在5月31日宣布，在一次国际网络犯罪执法行动中查封了三个涉案域名。美国哥伦比亚特区检察官Matthew Graves在声明中表示，此次查封的ovh-booter[.]com、weleakinfo[.]to及ipstress[.]in三个域名已经引发了“两起令人痛心的威胁”，涉及贩卖被盗个人信息、攻击并破坏合法互联网服务网站。

• 美军希望从俄乌电子战中吸取经验教训

美国智库及军方人士认为，俄罗斯目前在乌克兰的电子战行动可能是美军未来作战的一次预演。在未来的作战场景中，美军遇到的对手能截获并干扰通信，切断无人机的链路并致盲所有雷达和传感器。研究俄罗斯的美国军事分析专家考夫曼表示，“电子战几乎是战场上最难辨识的对象。俄军在战事初期似乎未能利用好电子战能力，但现在他们能对无人机实施干扰并使其失效。”根据开源情报，乌克兰军队摧毁了俄军包括“克拉苏哈”在内的多型电子战系统，不过俄军仍能对乌军的通信及侦察无人机的GPS实施干扰。俄军对其电子战系统有效作用范围内的所有乌方系统均实施了干扰，极大阻碍了乌军行动。这样的行动也提示美军，不可能像过去那样轻松作战了。

• 针对解释性语言包管理器的供应链攻击研究

包管理器已经成为现代软件开发过程的重要组成部分，它们允许开发人重用第三方代码、共享自己开发的代码、最小化他们的代码库，并简化构建过程。然而，在最近的报告中显示，包管理器已经被攻击者滥用来分发恶意软件，给开发人员和最终用户带来重大的安全风险。安全研究员已经发现了这种攻击，并提出了一些解决方案来解决类似问题。Zimmerman 等人系统的研究了609个已知的安全问题，揭示了Npm生态中存在巨大的安全风险。另一方面， BreakApp 可以隔离不可行的包，来防御对证书的窃取和敏感数据的访问，但是还是不能阻止挖矿程序和后门。此外，还有很多解决方案，假设存在信任关系，并侧重于查找包中的错误，而不是恶意包。更糟糕的是，一些攻击是非常邪恶的，他们会利用社会工程学来伪装自己，首先发布一个“有用的”包，然后等待目标来使用它，然后再进行更新，植入恶意代码。

• 被指相册分类功能非法收集使用人脸数据，谷歌付一亿美元和解

近日，美国伊利诺伊州库克县巡回法院（CIRCUIT COURT OF COOK COUNTY, ILLINOIS，下称“法院”）宣布，谷歌就此前非法收集和存储伊利诺伊州居民的个人生物特征数据与多位集体诉讼原告达成和解协议，决定向受到影响的居民支付共计一亿美元的和解金，预计最多赔付每人400美元。该州居民需在9月24日前填写表格提出索赔申请。2015年5月，谷歌上线“相册分类”功能，该功能可通过识别照片内人物的面部特征，利用算法分析和模型创建判断不同人脸的相似度，将拥有相似人脸的照片归为一组，用户还能为各个人脸分组添加姓名备注，以便“轻松找到自己或亲人的旧照片与回忆”。不过，谷歌并未就其中的信息收集行为向用户进行告知。这一功能引起了用户对生物特征数据安全的担忧。和解协议显示，2016年3月起，伊利诺伊州用户针对相册分类功能对谷歌提起集体诉讼，指控谷歌在未获取用户书面同意的情况下非法收集、存储、使用用户生物特征数据，并认为此举违反了伊利诺伊州于2008年颁布的《生物特征信息隐私法》。

• 工信部召开2022年信息通信行业防范治理电信网络诈骗电视电话会议

近日，工业和信息化部召开信息通信行业防范治理电信网络诈骗电视电话会议，传达贯彻落实中共中央办公厅、国务院办公厅《关于加强打击治理电信网络诈骗违法犯罪工作的意见》和国务院打击治理电信网络新型违法犯罪工作部际联席会议部署要求，总结2021年信息通信行业反诈工作情况，部署2022年工作。工业和信息化部党组成员、副部长张云明出席会议并讲话。会议指出，2021年以来，信息通信行业坚决贯彻落实习近平总书记重要指示批示精神和党中央、国务院决策部署，组织开展了“断卡行动2.0”“打猫（池）行动”等系列工作，创新推出了12381涉诈预警劝阻短信和全国移动电话卡“一证通查”等便民服务，拦截涉诈电话20亿次、短信21亿条，发送预警信息1.7亿条，排查涉诈高风险电话卡9700多万张，处置涉案域名网址104万个，反诈工作取得了历史性成效，切实维护了人民群众财产安全和合法权益。

• RSAC 2022现场：ISACA发布全球软件供应链安全报告

本周，ISACA（国际信息系统审计协会）发布《供应链安全差距：2022年全球研究报告》。报告收录了1300多名IT专业人员对于供应链的看法。25%的受访者证实所在组织机构在过去一年中遭到供应链攻击，超过一半（53%）的受访人员认为供应链问题将在未来六个月还将继续或者更加糟糕。30%的受访者认为所在组织机构领导人员并未充分了解供应链风险。另外，不到一半 (44%)的受访者表示对组织机构的供应链安全很有信心，同样比例的受访者对于供应链的访问控制很有信心。受访人员担心的五大供应链风险包括：勒索攻击（73%）、供应商的不良信息安全实践（66%）、软件安全漏洞（65%）、第三方数据存储（61%），以及对信息系统、软件代码或IP具有物理或虚拟访问权限的第三方服务提供商或厂商（55%）。为了更加深入了解该报告，本文原作者对前 ISACA 理事长、NACD 董事会领导层成员以及White Clous 安全公司的董事会成员 Rob Clyde 在其参加RSA 2022大会期间进行了采访。

• 平均任期只有26个月，CISO该如何缓解工作压力？

近年来，首席信息安全官（CISO）的工作变得越来越忙碌而繁杂：既要应对越来越多的新型安全威胁，还要和信息化部门保持沟通，帮助他们保持敏捷、加快开发速度、转向远程工作。此外，CISO要更加充分利用迅速减少的安全预算，兼顾远程访问和企业安全合规。当工作压力越来越大时，CISO们的倦怠感也随之而来，通常会出现以下表现：常常感觉疲惫，觉得孤立无援，消极悲观，自我怀疑，工作拖延，需要更长的时间完成工作，觉得不堪重负。CISO的心理健康很重要，调查数据显示，在巨大的工作压力下，全球大中型企业CISO的平均任职时间只有26个月。然而，CISO的压力并非不可避免，关键是找到更加合适的资源和方法，夯实工作流程和职责目标，设定合理的期望，并确保有合适的技术来应对挑战。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台  火绒安全 亚信安全 奇安信威胁情报中心 卡巴斯基 MACFEE  Symantec 白帽汇安全研究院   安全帮

本文版权归原作者所有，如有侵权请联系我们及时删除