点击蓝字·关注我们 / aqniu
新闻速览
•工信部发布新版工业机器人行业规范条件和管理实施办法
•央行就《修改〈中国人民银行关于进一步加强征信信息安全管理的通知〉有关公告》公开征求意见
•上海市网信办对21款App收集使用个人信息情况开展专项检查
•微软Azure服务突发全球性故障
•新型间谍软件变种通过Google Play感染3.2万设备
•攻击者组合利用OAuth标准和XSS漏洞挟持数百万用户账号
•Outlook或可被用于远程代码执行
•Docker Engine关键漏洞可让攻击者执行任何Docker命令
•谷歌推出Android应用程序安全知识库以减少漏洞数量
•博智安全与深信服达成全面战略合作
特别关注
工信部发布新版工业机器人行业规范条件和管理实施办法
为进一步加强工业机器人行业规范管理,推动产业高质量发展,根据行业发展变化和有关工作部署,工业和信息化部对《工业机器人行业规范条件》和《工业机器人行业规范管理实施办法》进行了修订,形成了《工业机器人行业规范条件(2024版)》和《工业机器人行业规范条件管理实施办法(2024版)》。新版两文件自2024年8月1日起实施,《工业机器人行业规范条件》(工业和信息化部2016年第65号公告)和《工业机器人行业规范管理实施办法》(工信部装〔2017〕161号)同时废止。
《工业机器人行业规范条件(2024版)》要求,我国境内的工业机器人关键零部件(指减速器、伺服驱动系统、控制器等工业机器人关键零部件)、本体制造及集成应用企业应遵守《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规,加强网络和数据安全管理,保障网络和数据安全。
原文链接:
https://mp.weixin.qq.com/s/FF\_tF9WvJCKVsc2WnSO0Nw
央行就《修改〈中国人民银行关于进一步加强征信信息安全管理的通知〉有关公告》公开征求意见
为贯彻落实《中华人民共和国行政处罚法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》有关要求,中国人民银行拟对《中国人民银行关于进一步加强征信信息安全管理的通知》(银发〔2018〕102号)部分条款进行修改,起草了《修改<中国人民银行关于进一步加强征信信息安全管理的通知>有关公告(征求意见稿)》,现向社会公开征求意见。公众可通过以下途径和方式提出反馈意见:
1.通过电子邮件方式将意见发送至:zxjzqyj@pbc.gov.cn。
2.通过信函方式将意见邮寄至:北京市西城区金融大街30号中国人民银行征信管理局(邮编:100033),并在信封上注明“102号文修改意见”字样。
3.通过传真方式将意见传真至:010-66016489。
原文链接:
https://mp.weixin.qq.com/s/84mGDVB8Qzw6wB2S63nfww
上海市网信办对21款App收集使用个人信息情况开展专项检查
为规范App个人信息处理活动,保护公民个人信息合法权益,根据《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等法律法规,2024年4月至7月,上海市网信办对属地21款App开展了收集使用个人信息专项检查,共发现80余项问题。经过通报和跟进指导,截至目前,各App运营单位均已完成问题整改。
同时,上海市网信办提醒广大App运营者,收集使用个人信息需按照《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》及相关法律法规要求,严格遵循合法、正当、必要和诚信的原则,提供完整清晰透明、易于理解的隐私政策;收集个人信息遵循最小必要原则,不过度、频繁收集个人信息,不得因用户不同意收集非必要个人信息,而拒绝用户使用其基本服务功能;收集敏感个人信息时同步告知目的和必要性;采取必要措施保障所处理的个人信息安全。上海市网信办将对属地App收集使用个人信息情况持续开展监督检查。
原文链接:
https://mp.weixin.qq.com/s/ZARGRX6QFij0nEvQgOqTRw
热点观察
微软Azure服务突发全球性故障
7月30日下午,微软Azure和Microsoft 365 报告了影响其部分服务的全球中断。该问题导致全球范围内的部分Azure服务连接超时和困难。微软的多个工程团队迅速介入,诊断并解决了该问题。微软已经确认了该问题,并在Azure状态页面上提供了更新。“我们有多个工程团队正在诊断和解决该问题。我们将尽快提供更多详细信息。”
最初,该问题在欧洲被报告,但很快就发现此次中断具有全球影响,影响到了世界各地的客户。看来 Microsoft Azure 在大量地区都遇到了大范围的问题。由于国内Microsoft Azure和国际Microsoft Azure是独立分开了,国内不受影响。
原文链接:
网络攻击
新型间谍软件变种通过Google Play感染3.2万设备
日前,卡巴斯基发布公告,揭示了高级Android网络间谍软件工具Mandrake的最新变种。卡巴斯基研究人员于2024年4月发现了可疑样本,并确认其为Mandrake的新变种。这个最新变种在2022年至2024年期间隐藏在Google Play上的五个应用程序中,已被下载超过3.2万次。
Mandrake新变种采用了增强的混淆和逃避策略,包括将恶意功能移至经过混淆处理的本地库中,使用证书固定与命令与控制(C2)服务器进行安全通信,并实施各种测试以避免在rooted或模拟设备上被检测到。
Mandrake新变种采用多阶段感染链进行操作。初始的恶意活动隐藏在本地库中,使得分析变得更加困难。一旦执行,第一阶段库对第二阶段进行解密和加载,然后与C2服务器建立通信。如果被认为是相关的,C2服务器会命令设备下载并执行核心恶意软件,该软件旨在窃取用户凭据并部署其他恶意应用程序。Mandrake背后的威胁行为者还采用了一种新颖的数据加密和解密方法,将自定义算法和标准AES加密混合起来。
原文链接:
https://www.infosecurity-magazine.com/news/mandrake-spyware-infects-32000/
漏洞预警
攻击者组合利用OAuth标准和XSS漏洞挟持数百万用户账号
近日,研究人员发现,在热门的Web用户活动跟踪和记录服务Hotjar中,攻击者正在通过使用现代身份验证标准OAuth与两个站点之间的跨站点脚本漏洞(XSS)相结合,劫持数百万用户账号,窃取敏感数据。其中,Hotjar作为一种用于分析用户行为的工具,所收集的数据包含大量的个人敏感数据。
API安全公司Salt Security的研究部门Salt Labs的研究人员分析说,OAuth是一种相对较新的标准,越来越多地被用于无缝跨网站认证,允许通过用户数据的跨站共享,实现诸如“使用Google登录”功能这样的功能。但在实施过程中,OAuth可能会被错误配置。而XSS是一种常被利用的旧Web漏洞之一,可能被攻击者用来将恶意代码注入合法的Web页面或应用程序中,以在网站访问者的浏览器中执行脚本,进行数据窃取等操作。如果成功将这两种方式的组合进行攻击,攻击者可能获得与受害者相同的权限和功能,从而导致账号被接管,暴露Hotjar所收集的所有个人数据。
目前,Hotjar和Business Insider上发现的漏洞已经得到修复,但研究人员认为,类似这种组合可能在互联网上广泛存在,使得数百万用户面临潜在的账号劫持风险。
原文链接:
https://www.darkreading.com/endpoint-security/oauth-xss-attack-millions-web-users-account-takeover
Outlook或可被用于远程代码执行
日前,网络安全公司TrustedSec发布了一个名为“Specula”的红队后渗透测试框架,结果显示流行的邮件管理工具Outlook可能被转变为C2信标,并用于远程执行代码。
该框架的工作原理是利用Outlook安全功能绕过漏洞CVE-2017-11774,通过使用WebView创建自定义的Outlook主页。在文件共享攻击场景中,攻击者可以提供一个特制的文档文件,旨在利用这个漏洞,诱导用户打开这个文档文件并与之交互。
TrustedSec分析,Specula完全在Outlook的上下文中运行,它通过设置自定义的Outlook主页,调用交互式Python Web服务器的注册表键来实现。为此,攻击者可以将Outlook的WebView注册表条目下的HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\WebView\的URL目标设置为他们控制的外部网站。攻击者通过控制Outlook主页并提供恶意的VBscript文件,用来在受损的Windows系统上执行任意命令。
原文链接:
Docker Engine关键漏洞可让攻击者执行任何Docker命令
最近,开源容器化平台Docker紧急发布安全公告,敦促用户尽快修复关键漏洞,该漏洞影响特定版本的Docker Engine。这个漏洞允许攻击者利用特制的API请求来绕过授权插件(AuthZ)并提升特权。
这个漏洞被标记为CVE-2024-41110,早在2018年就已被发现,被赋予了最高的CVSS评分——10分。虽然Docker很快发布了修复程序,但根据Docker发布的安全公告,一些后续版本并没有包含这个修补程序。
在Docker中,默认的授权机制是“全有或全无”的方式,这就意味着只要拥有Docker守护进程的访问权限,用户就可以执行任何Docker命令。但是有趣的是,AuthZ插件可以实施细粒度的访问控制,根据身份验证和命令上下文进行限制。然而,存在一个问题,攻击者可以利用将Content-Length设置为0的API请求来绕过认证,使Docker守护进程将该请求转发给AuthZ插件,而AuthZ插件可能会误批准该请求。
尽管Docker表示利用这个漏洞的可能性较低,但它仍然敦促用户尽快应用现有的修补程序,升级到最新版本。如果无法立即进行更新,建议避免使用AuthZ插件,并将对Docker API的访问限制在受信任的方。
原文链接:
产业动态
谷歌推出Android应用程序安全知识库以减少漏洞数量
谷歌近日推出了Android应用程序安全知识库(AAKB),以减少Android应用程序中的漏洞数量。AAKB包括一个常见代码问题的数据库,其中包含如何修复这些问题的示例,以及如何在编程中应用特定代码模式的说明和指导。
据悉,此前谷歌已经在扫描Android应用程序的漏洞,并通知开发者,以便他们可以修复问题,否则将删除该应用程序。
谷歌称,为了确保AAKB内容的公正性,并代表最先进的标准,AAKB与OWASP移动应用程序安全验证标准(MASVS)保持一致。同时,它还经过来自包括微软在内的不同组织的技术专家的审核。
原文链接:
博智安全与深信服达成全面战略合作
日前,博智安全科技股份有限公司(以下简称“博智安全”)与深信服科技股份有限公司(以下简称“深信服”)宣布签署战略合作协议,双方约定将建立全面的战略合作关系,共同推进双方业务的深度融合,携手打造集”产-学-赛-研-训-证-验”于一体的联合解决方案,并在市场、渠道、品牌营销等层面展开全方位合作,共筑靶场安全“最后一公里”。
根据协议,本次合作将融合双方在工控安全靶场领域的技术优势,满足央国企、能源、教育等行业的网络人才培养需求。基于虚拟化与数字孪生技术,高度仿真网络攻防场景,构建实战靶标与演训环境,为客户提供一站式的工控安全靶场平台解决方案。同时,双方还将通过在市场宣传层面展开全方位合作,实现品牌势能叠加。
原文链接:
https://mp.weixin.qq.com/s/eTATEQns5b1viU2FFNL0kA
合作电话:18311333376
合作微信:aqniu001
投稿邮箱:editor@aqniu.com
