国内外简报industry briefing

2021年第20周国内外信息安全简报

恒安嘉新

本周共收集整理国内外安全信息11例,具体如下:

1. 全球上万个VoIP设备可被公开访问,包括思科、松下等制造商产品

在世界上任何地方都可以访问成千上万个面向公众的设备。研究表明,大型制造商和小型制造商的设备都可被识别,而Aastra-Mitel则位居榜首。(详情链接

2. 研究人员披露FragAttacks漏洞,影响全球所有WiFi设备

纽约大学阿布扎比分校计算机安全博士后Mathy Vanhoef发文表示,其发现了12个WiFi漏洞,统称为FragAttacks,其中3个为Wifi设计漏洞,9个为Wifi实施漏洞。攻击者可利用这些漏洞窃取传输数据,并绕过防火墙攻击网络上的设备。这些漏洞影响了自1997年无线网络技术推出以来的所有Wi-Fi安全协议,从WEP到WPA3。(详情链接

3. 西门子修复多款产品中的数十个严重漏洞

西门子公司(Siemens)于5月11日发布了十四份安全公告,修复了约60个因使用第三方组件而引起的漏洞,以及西门子产品中存在的漏洞,受影响的产品包括RUGGEDCOM、SCALANCE、SIMATIC、SINEMA、SINAMICS等。西门子已建议使用其产品的组织安装更新并应用缓解措施,以降低被利用的风险。(详情链接

4. 华盛顿警方跟俄罗斯黑客组织谈判破裂,华盛顿警方数据被泄露

近期,一个俄罗斯勒索软件团伙窃取了华盛顿特区警方的数据,并表示有关赎金支付的谈判已经破裂,警方拒绝支付10万美元的数据款项。如果警方不提供更多的资金,他们将发布可能会危及美国公民人身安全的敏感信息。(详情链接

5. 23个安卓应用程序暴露了超过数百万用户的个人数据

Check Point研究人员在5月20日发表的一份分析报告中表示:"由于在配置和整合第三方云服务到应用程序时没有遵循最佳做法,数百万用户的私人数据被暴露。"(详情链接

6. 所有Wi-Fi设备皆存在FragAttacks漏洞 个人信息可能因此遭窃

知名网络安全研究人员Mathy Vanhoef发表一系列Wi-Fi设备安全漏洞,这些漏洞被统称为FragAttacks,是碎片(Fragmentation)以及聚合攻击(Aggregation Attacks)的组合字,全球Wi-Fi设备无一幸免,连最新的WPA3规范都存在设计缺陷。位在受害者无线电范围内的攻击者,可以利用FragAttacks漏洞窃取用户信息并且攻击设备。(详情链接

7. 2021年第一季度微软和谷歌的云被劫持发出了5200万条恶意信息

攻击者在2021年第一季度利用Office 365、Azure、OneDrive、SharePoint、G-Suite和Firebase存储等发出了5200万条恶意信息。(详情链接

8. 欧盟延长了网络攻击制裁框架

欧洲理事会本周宣布,决定将针对威胁欧盟及其成员国的网络攻击的制裁框架延长一年。(详情链接

9. 医疗服务遭受攻击后,患者数据可能被“滥用”

爱尔兰政府警告称,在勒索软件严重攻击爱尔兰卫生服务之后,有可能泄露敏感的医疗信息和其他患者数据。(详情链接

10. 上海启动电信和互联网行业网络安全攻防演练 提升全行业综合防护能力

上海启动电信和互联网行业网络安全攻防演练,旨在全面检验上海各基础电信企业、大型互联网企业、重点车联网企业相关网络信息系统的安全防护和应急处置能力,提高各单位的网络安全事件应急处置及实战水平,促进全行业网络安全综合防护能力的整体提升,并推动网络安全人才培养。(详情链接

11. 全球2/3首席信息安全官预计未来12月将遭遇破坏性的网络攻击

Proofpoint 对全球 1400 名首席信息安全官(CISO)开展了调查,在接受调查的 CISO 中,有 64% 的受访者预计未来 12 个月内可能遭受破坏性的网络攻击。(详情链接