欢迎光临
我们一直在努力

10月24日每日安全热点 – 二维码骗局卷土重来

Ysck阅读(5)

安全工具 Security Tools
Serval:用于渗透测试练习的Netcat风格的后门程序
eggos:在x86上运行的Go unikernel
安全资讯 Security Information
安全报告 Security Report
克什米尔僵尸网络犯罪活动 – 第一部分
seedworm:伊朗相关的APT组织继续将目标对准中东地区
APT28携小众压缩包诱饵对北约、中亚目标的定向攻击分析

美国国家安全局(NSA)发布《中国黑客目前正在利用的25大漏洞列表》

Ysck阅读(9)

 

0x01 新闻背景

10月20日,美国国家安全局发布的网络安全公告,详细列出了中国黑客目前正在利用的25个公开漏洞。美方认为这些恶意的网络活动由中国黑客发起,主要针对国家安全系统、国防工业基地、国防部展开攻击,并敦促受网络威胁的相关者采取漏洞修补等缓解措施。

 

0x02 公告详情

A. 前言

对美国国家安全系统(NSS)、美国国防工业基地(DIB)和美国国防部的信息网络产生最大威胁之一的恶意网络活动是由中国政府支持黑客发起的。这些网络恶意活动采用中国政府支持的网络行为者所使用的一整套战术和技术,入侵拥有知识产权、经济、政治和军事等敏感信息的由于这些技术包括利用公开已知的漏洞,因此网络防御者应当优先采取补丁和其他缓解措施。

黑客通常首先确定一个目标,收集有关目标的信息,确定与目标相关的任何漏洞,开发或重用漏洞利用,然后启动漏洞利用操作。

此公告提供了已知最近被利用或被执行扫描的CVE列表。下面列出的大多数漏洞均可以被利用,并可以通过把访问互联网的产品当做内部网络的网关,获得对内部网络的访问权限。这类产品大多数用于用于远程访问(T1133),或者外部web服务(T1190),应该优先考虑漏洞修补。以下是一些基本缓解措施:
1 . 在补丁发布后,尽快更新系统和产品并打补丁
2 . 数据被盗或被篡改(包括凭证、帐户和软件)不会因为打补丁而减少,因此更改密码和检查帐户是一种良好的做法
3 . 禁用外部管理功能并设置带外管理网络
4 .在网络边缘禁用过时的或未使用的协议
5 .在DMZ区隔离面向互联网的服务,以减少内部网络的暴露
6 .启用面向互联网服务的日志记录,并监视日志以发现异常迹象

B. 详细的漏洞列表和缓解措施

以下是正在被使用的CVE列表,包括漏洞的描述、建议的缓解措施:

CVE-2019-11510:

漏洞描述:存在于Pulse Secure VPN中,未经身份验证的远程攻击者可以发送特殊设计的URI来执行任意文件读取漏洞,这可能会导致密钥或密码暴露

建议指南:CSA – Mitigating Recent VPN Vulnerabilities U/OO/196888-19;CSA – Advisory – APT29 target COVID-19 research organizations U/OO/152680-20

影响:Pulse Connect Secure (PCS) 8.2 8.2R12.1之前, 8.3 8.3R7.1之前, 9.0 9.0R3.4之前版本。

缓解措施:注意,打补丁并不能解决在应用补丁之前可能丢失的凭证。NSA不鼓励使用专有的SSLVPN/TLSVPN协议,因为这些协议不符合CNSS策略。将SSLVPN/TLSVPN部署到符合IETF标准的TLS的单个应用程序上,或者部署到IKE/IPsec VPN上。最好使用经过评估的TLS软件或国家信息担保伙伴关系(NIAP)产品列表(PCL)中列出的IPsec VPN网关/客户端。

CVE-2020-5902

漏洞描述:存在于F5 BIG-IP中,代理/负载均衡器设备,流量管理用户界面(TMUI)——也称为配置实用程序——存在远程代码执行漏洞(RCE)

建议指南:CSI – Harden Network Devices U/OO/171339-16; CSI – Perform Out-of-Band Network Management U/OO/169570-20

影响:F5 BIG-IP 版本15.0.0-15.1.0.3, 14.1.0-14.1.2.5, 13.1.0-13.1.3.3, 12.1.0-12.1.5.1, 11.6.1-11.6.5.1

缓解措施:默认情况下,TMUI可以通过外部和内部管理接口访问,最好是禁用外部接口并配置带外管理网络。NSA在U/OO/171339-16、U/OO/169570-20建议书中发布了相关指导意见。

CVE-2019-19781

漏洞描述:存在于Citrix ADC和网关,允许目录遍历,导致远程代码在没有凭据的情况下执行

建议指南:CSI – Detect and Prevent Web Shell Malware U/OO/134094-20 ;CSA – Advisory – APT29 target COVID-19 research organizations U/OO/152680-20 ;CSA – Mitigate CVE-2019-19781 U/OO/103100-20

影响:Citrix ADC 和 Gateway 13.0.47.24, 12.1.55.18, 12.0.63.13, 11.1.63.15 之前版本以及10.5.70.12; SD-WAN WANOP 4000-WO, 4100-WO, 5000-WO, 5100-WO 10.2.6b 11.0.3b之前版本

CVE-2020-8193、CVE-2020-8195、CVE-2020-8196

漏洞描述:不适当的访问控制和输入验证,存在于Citrix ADC、Citrix Gateway、Citrix SDWAN WAN-OP,允许未经身份验证访问某些URL端点和向低特权用户披露信息

建议指南:CSI – Detect and Prevent Web Shell Malware U/OO/134094-20 ;CSA – Advisory – APT29 target COVID-19 research organizations U/OO/152680-20 ;CSA – Mitigate CVE-2019-19781 U/OO/103100-20

影响:Citrix ADC 和 Gateway 13.0.47.24, 12.1.55.18, 12.0.63.13, 11.1.63.15 , 10.5.70.12 之前版本; SD-WAN WANOP 4000-WO, 4100-WO, 5000-WO, 5100-WO 10.2.6b 11.0.3b之前版本

CVE-2019-0708

漏洞描述:Remote Desktop Services10存在远程代码执行漏洞,未经身份验证的攻击者可以使用RDP连接到目标系统,并发送特制的请求

建议指南:CSA – Patch Remote Desktop Services on Legacy Versions of Windows U/OO/152674-19; ORN – Outdated Software and Protocols Continue to Result in Endpoint and Network Compromise U/OO/802041-16

影响:Microsoft Windows XP – 7, Microsoft Windows Server 2003 – 2008

缓解措施:关闭TCP 3389端口,特别是针对暴露在互联网上的周边防火墙,这个端口由远程桌面协议(RDP)使用,关闭端口将阻止连接建立。如无需要,禁用远程桌面服务,禁用未使用和不需要的服务有助于减少安全漏洞的暴露,即使没有BlueKeep威胁。启用网络级身份验证,启用NLA后,攻击者首先必须对RDS进行身份验证,才能成功利用该漏洞。NLA可用于Windows 7,Windows Server 2008和Windows Server 2008 R2操作系统。

CVE-2020-15505

漏洞描述:MobileIron 移动设备管理(MDM)中的远程代码执行漏洞,允许远程攻击者通过未指定的向量执行任意代码的软件

建议指南:CSI – Update and Upgrade Software Immediately U/OO/181147-19

影响:MobileIron Core and Connector 10.6 及更早版本 Sentry 9.8 及更早版本

CVE-2020-1350

漏洞描述:Windows域名系统服务器不能正确处理请求时,存在远程代码执行漏洞

建议指南:CSA – Patch Critical Vulnerability in Windows Servers® using DNS Server Role U/OO/152726-20

影响:Microsoft Windows Server 2008 – 2019

缓解措施:保持系统和产品的更新和补丁。在无法立即更新的情况下,根据微软的建议,配置Windows DNS服务器,以限制TCP上可接受的DNS消息包的大小为65,280字节防止该漏洞被利用,(0xFF00),应用此解决方案需要重新启动DNS服务。应当尽快应用补丁,并在应用补丁后删除工作区。具体方案:启动PowerShell输入:“Set-ItemProperty -Path HKLM:SYSTEMCurrentControlSetServicesDNSParameters -Name TcpReceivePacketSize -Type DWord -Value 0xFF00”。

CVE-2020-1472

漏洞描述:当攻击者建立到域控制器的易受攻击的Netlogon通道连接时,存在特权提升漏洞,使用远程协议(MS-NRPC),又名“Netlogon特权提升”。

建议指南:CSI – Update and Upgrade Software Immediately U/OO/181147-19

影响:Microsoft Windows Server 2008 – 2019

缓解措施:安装补丁并应用Microsoft KB4557222文章中的附加说明。

CVE-2019-1040

漏洞描述:Microsoft Windows 中的篡改漏洞,中间人攻击者能够成功绕过NTLM MIC(消息完整性)保护

建议指南:CSI – Update and Upgrade Software Immediately U/OO/181147-19 ;ORN – Outdated Software and Protocols Continue to Result in Endpoint and Network Compromise U/OO/802041-16

影响:Microsoft Windows 7 – 10, Microsoft Windows Server 2008 – 2019

缓解措施:尽可能地限制NTLM的使用并停止使用NTLMv1。

CVE-2018-6789

漏洞描述:向Exim邮件传输代理发送特制的消息可能会导致缓冲区溢出,可以用于远程代码执行

建议指南:CSI – Update and Upgrade Software Immediately U/OO/181147-19

影响:Exim 4.90.1之前版本。

CVE-2018-0688

漏洞描述:当Microsoft Exchange不能正确处理内存中的对象时,存在验证密钥远程代码执行漏洞

建议指南:CSI – Detect and Prevent Web Shell Malware U/OO/134094-20

影响:Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 29 以及之前版本, 2013 Cumulative Update 22 以及之前版本, 2016 Cumulative Update 13 以及之前版本, 2019 Cumulative Update 2 以及之前版本。

CVE-2018-4939

漏洞描述:Adobe ColdFusion 14版本存在可利用的反序列化漏洞数据,可能导致任意代码执行漏洞

建议指南:CSI – Update and Upgrade Software Immediately U/OO/181147-19

影响:Adobe ColdFusion (2016 release) Update 5 以及之前版本, ColdFusion 11 Update 13 以及之前版本。

CVE-2015-4852

漏洞描述:Oracle WebLogic 15中的WLS安全组件服务器允许远程攻击者通过精心设计的序列化Java 16对象实现任意命令执行漏洞

建议指南:CSI – Detect and Prevent Web Shell Malware U/OO/134094-20

影响:Oracle WebLogic Server 10.3.6.0, 12.1.2.0, 12.1.3.0, 12.2.1.0

CVE-2020-2555

漏洞描述:Oracle Fusion中间件Oracle Coherence存在的漏洞,允许未经认证的攻击者通过T3进行网络访问,从而危及Oracle一致性。

建议指南:CSI – Detect and Prevent Web Shell Malware U/OO/134094-20

影响:Oracle Coherence 3.7.1.0, 12.1.3.0.0, 12.2.1.3.0,12.2.1.4.0

CVE-2019-3396

漏洞描述:Atlassian Confluence 中的Widget Connector macro服务允许远程攻击者在Confluence服务器上实现路径遍历和远程代码执行,或者通过服务器端模板注入数据中心实例

建议指南:CSA – Patch Critical Vulnerability In Atlassian Confluence ;CSI – Detect and Prevent Web Shell Malware U/OO/134094-20

影响:Atlassian Confluence 6.6.12之前版本, 6.7.0 至 6.12.3, 6.13.0 至 6.13.3, 6.14.0 至 6.14.2。

CVE-2019-11580

漏洞描述:能够向Atlassian Crowd或Crowd数据中心实例发送请求的攻击者,可以利用此漏洞安装任意插件,允许远程代码执行

建议指南:CSI – Detect and Prevent Web Shell Malware U/OO/134094-20

影响:Atlassian Crowd 2.1.0 至 3.0.5, 3.1.0 至 3.1.6, 3.2.0 至 3.2.8, 3.3.0至 3.3.5, 3.4.0 至 3.4.4。

CVE-2020-10189

漏洞描述:通过对不可信数据的反序列化,Zoho ManageEngine Desktop Central允许远程代码执行

建议指南:CSI – Detect and Prevent Web Shell Malware U/OO/134094-20

影响:Zoho ManageEngine Desktop Central 10.0.479之前版本。

CVE-2019-18935

漏洞描述:Progress Telerik UI for ASP.NET AJAX 存在.NET反序列化漏洞,利用漏洞可能导致远程代码执行

建议指南:CSI – Detect and Prevent Web Shell Malware U/OO/134094-20

影响:Progress Telerik UI for ASP.NET AJAX 2019.3.1023

缓解措施:NSA同意Tenable’s 文档中的建议:“当加密密钥已知,由于存在CVE-2017-11317或CVE-2017-11357或其他手段,利用可能导致远程代码执行 (在2020.1.114版本中,默认设置可以防止攻击。在2019.3.1023版本中,并非更早的版本,非默认设置可以防止漏洞利用)。

CVE-2020-0601

漏洞描述:欺骗漏洞存在于Windows CryptoAPI (Crypt32.dll) 椭圆曲线加密(ECC)证书。攻击者可以利用该漏洞,使用欺骗的代码签名证书对恶意的可执行文件进行签名,伪造可信的合法来源

建议指南:CSA – Patch Critical Cryptographic Vulnerability in Microsoft Windows® Clients and Servers U/OO/104201-20

影响:Microsoft Windows 10, Server 2016 – 2019

缓解措施:此外,如果遇到可疑证书,可以使用Windows证书实用程序(certutil)和OpenSSL 21实用程序检查明确定义或非标准椭圆曲线参数的证书。

CVE-2019-0803

漏洞描述:当Win32k组件不能正确处理内存中的对象时,Windows会产生特权提升漏洞

建议指南:CSI – Update and Upgrade Software Immediately U/OO/181147-19

影响:Microsoft Windows 10, Server 2016 – 2019。

CVE-2017-6327

漏洞描述: Symantec Messaging Gateway可能会遇到远程代码执行问题

建议指南:CSI – Update and Upgrade Software Immediately U/OO/181147-19

影响:Symantec Messaging Gateway 10.6.3-267之前版本

缓解措施:在可能的情况下,以最低权限运行,以限制潜在利用。

CVE-2020-3118

漏洞描述: Cisco Discovery Protocol implementation for Cisco IOS XR允许未经身份验证的邻近攻击者执行任意代码或导致受影响设备重启

建议指南:CSI – Harden Network Devices U/OO/171339-16

影响: Cisco IOS XR 5.2.5, 6.5.2, 6.5.3, 6.6.25, 7.0.1

缓解措施:在许多设备上,Cisco Discovery Protocol是默认启用的。根据 Harden Network Devices CSI,NSA建议全局禁用该协议。要确定CDP是否启用,使用“show running-config | include cdp”命令。

CVE-2020-8515

漏洞描述: DrayTek Vigor 设备允许通过shell元字符作为根程序(无需认证)实现远程执行代码。

建议指南:CSI – Update and Upgrade Software Immediately U/OO/181147-19

影响: : Vigor2960 1.3.1_Beta, Vigor3900®1.4.4_Beta, Vigor300B1.3.3_Beta, 1.4.2.1_Beta, 1.4.4_Beta

缓解措施:在系统打补丁后,检查以确保没有额外的管理员用户或远程访问配置文件被添加,确认没有对访问控制列表进行更改。

C. 结语

美国国家安全局认为,国家安全系统、国防工业基地和国防部网络不断受到中国黑客的扫描、定位和漏洞利用。NSA建议关键系统所有者优先考虑上述,以减少可能的敏感信息的丢失,从而影响到美国在政策、战略、计划和竞争上的优势。此外,这些部门的各种系统和网络还可能受到不在本公告信息中的漏洞的影响,美国国家安全局建议优先考虑针对上述CVE采取防御措施。

 

0x03 资讯简评

中国国家互联网应急中心日前发布的2020年上半年中国互联网网络安全监测数据分析报告显示,中国遭受来自境外的网络攻击持续增加,美国是针对中国网络攻击的最大来源国,我国仍是全球网络攻击的主要受害者之一。

根据外交部9月29日的外交部例行记者会发布的相关内容,“中国在网络安全领域面临的一些突出挑战。首先,中国仍是网络攻击的主要受害者之一,在疫情期间遭受的网络攻击有增无减。其次,美国是针对中国网络攻击的最大来源国。从境外计算机恶意程序捕获次数、境外恶意程序控制服务器数量、境外拒绝服务攻击(DDoS)次数、向中国境内网站植入后门等多项指标看,美国都高居首位。第三,针对中国关键信息基础设施的网络侦察值得关注。中国工业控制系统的网络资产持续遭受来自境外的扫描嗅探,日均超过2万次,目标涉及境内能源、制造、通信等重点行业的联网工业控制设备和系统。”

在10月21日外交部例行记者会上,发言人赵立坚对美国国家安全局20日发表的这份安全公告声明进行回应:“作为‘棱镜计划’主要实施单位和全球最大的网络窃密机构,美国国家安全局公开指责别国从事网络窃密,这确实是一条具有讽刺意味的新闻。美国国家安全局多年来一直从事全球最大规模网络攻击和窃密行动,甚至连自己的盟友都不放过。众所周知,美在信息技术软硬件方面占据领先地位,也掌握了最多的软硬件漏洞,在利用漏洞从事网络攻击和窃密上拥有天然优势。斯诺登曾公开表示,美国国家安全局应当列入“最坏的犯罪组织之列。今年3月,360公司发布的报告表明,美国攻击组织APT-C-39曾对中国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等关键领域进行了长达11年的网络渗透攻击。美国和中国谁是受害者,显而易见。谎言重复一千遍也变不成真理。美国这个‘黑客帝国’应该立即停止贼喊捉贼的把戏。”

从全球网络安全形势看,网络攻击是各国面临的共同挑战,我国一贯主张各国在相互尊重、平等互利的基础上加强对话合作,共同应对这一挑战。美国,在特朗普政府上台后,积极推行“向前防御”的网络作战思想,简化网络攻击流程,更主动地采用网络战,配合现实空间作战。从长远看,由于政治体制、国家利益和地缘竞争等因素,美国在网络空间针对伊朗、俄罗斯以及我国等国家保持进攻态势将会是一贯的、长期的。因此,我国也需要围绕大国间网络空间斗争博弈的新常态,针对美军网络作战思想和手段,预有准备,提前布局,打主动仗,以争夺网络空间国家对抗的主导权。

 

参考文献

https://www.nsa.gov/News-Features/News-Stories/Article-View/Article/2387347/nsa-warns-chinese-state-sponsored-malicious-cyber-actors-exploiting-25-cves/

https://media.defense.gov/2020/Oct/20/2002519884/-1/-1/0/CSA_CHINESE_EXPLOIT_VULNERABILITIES_UOO179811.PDF

http://www.cac.gov.cn/2020-09/26/c_1602682854845452.htm

http://www.xinhuanet.com/world/2020-09/29/c_1126560042.htm

https://www.secrss.com/articles/16750

http://www.chinanews.com/gn/2020/10-21/9318689.shtml

CVE-2020-15999:Chrome Freetype字体库堆溢出漏洞通告

Ysck阅读(6)

 

0x01 漏洞简述

2020年10月22日,360CERT监测发现 Google Chrome 发布了最新桌面版Chrome浏览器,版本86.0.4240.111,此次更新修复了5个安全漏洞,其中最为严重的为 CVE-2020-15999 ,漏洞等级: 高危 ,漏洞评分: 8.8 。

对此,360CERT建议广大用户及时将 Chrome 升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

 

0x02 风险等级

360CERT对该漏洞的评定结果如下

评定方式 等级
威胁等级 高危
影响面 广泛
360CERT评分 8.8

 

0x03 漏洞信息

该漏洞由Google P0团队的安全研究员Sergei Glazunov 于10月19日发现,并且发现此前已有在野利用

该危害是由于FreeType 字体库存在堆溢出漏洞,FreeType官方于10月20日发布了2.10.4版本,修复了更新的5个漏洞,包括此漏洞。

漏洞存在于src/sfnt/pngshim.c:251 的 Load_SBit_Png 函数中:

FT_LOCAL_DEF( FT_Error )
  Load_SBit_Png( FT_GlyphSlot     slot,
                 FT_Int           x_offset,
                 FT_Int           y_offset,
                 FT_Int           pix_bits,
                 TT_SBit_Metrics  metrics,
                 FT_Memory        memory,
                 FT_Byte*         data,
                 FT_UInt          png_len,
                 FT_Bool          populate_map_and_metrics,
                 FT_Bool          metrics_only )
  {
[...]
    png_get_IHDR( png, info,
                  &imgWidth, &imgHeight,
                  &bitdepth, &color_type, &interlace,
                  NULL, NULL ); // *** 1 ***
[...]
    if ( populate_map_and_metrics )
    {
      metrics->width  = (FT_UShort)imgWidth; // *** 2 ***
      metrics->height = (FT_UShort)imgHeight;
      map->width      = metrics->width;
      map->rows       = metrics->height;
      map->pixel_mode = FT_PIXEL_MODE_BGRA;
      map->pitch      = (int)( map->width * 4 );
[...]
    if ( populate_map_and_metrics )
    {
      /* this doesn't overflow: 0x7FFF * 0x7FFF * 4 < 2^32 */
      FT_ULong  size = map->rows * (FT_ULong)map->pitch; // *** 3 ***
      error = ft_glyphslot_alloc_bitmap( slot, size ); // *** 4 ***
      if ( error )
        goto DestroyExit;
    }
[...]
    png_read_image( png, rows ); // *** 5 ***

(1)处从header通过png_get_IHDR函数获取图像的width 和 height,都为32-bit整数

(2)处将获得的width 和 height 截断,取低16-bit存放在 TT_SBit_Metrics metrics 结构中

(3)处使用截断的值来计算位图的大小,

(4)处将(3)处计算得到的size来分配空间

(5)png_struct 传入png_read_image,由于png_struct 结构保存的值都是32-bit,因此截断值计算出来的空间无法匹配,造成堆溢出漏洞。

目前该漏洞的Poc文件已经公布。

 

0x04 补丁分析

diff --git a/src/sfnt/pngshim.c b/src/sfnt/pngshim.c
index 2e64e5846..7c98c2282 100644
--- a/src/sfnt/pngshim.c
+++ b/src/sfnt/pngshim.c
@@ -335,6 +335,11 @@
       metrics->width  = (FT_UShort)imgWidth;
       metrics->height = (FT_UShort)imgHeight;
+      /* bail out if the width and/or height were truncated */
+      if ( metrics->width != imgWidth ||
+           metrics->height != imgHeight )
+        goto DestroyExit;
+
       map->width      = metrics->width;
       map->rows       = metrics->height;
       map->pixel_mode = FT_PIXEL_MODE_BGRA;

补丁比较了width 和 height的原始值和截断后的值是否相同,如果不同,说明原始值已经大于0xffff,可能造成溢出,跳转到DestroyExit。

 

0x05 影响版本

< Chrome v86.0.4240.111

< FreeType 2.10.4

 

0x06 修复建议

Chrome 更新到最新版本v86.0.4240.111

FreeType 更新到最新版本2.10.4

 

0x07 时间线

2020-10-19 Sergei Glazunov 发现此漏洞

2020-10-20 FreeType发布最新2.10.4版本

2020-10-20 Chrome发布最新86.0.4240.111版本

2020-10-22 360CERT发布漏洞通告

 

0x08 参考链接

  1. https://thehackernews.com/2020/10/chrome-zeroday-attacks.html
  2. https://savannah.nongnu.org/bugs/?59308
  3. https://chromereleases.googleblog.com/2020/10/stable-channel-update-for-desktop_20.html

10月23日每日安全热点 – 美国选民数据在黑客论坛上交易

Ysck阅读(6)

漏洞 Vulnerability
CVE-2020-27670:Xen 拒绝服务漏洞
CVE-2020-15999:Chrome Freetype字体库堆溢出漏洞通告
安全研究 Security Research
我从GitHub 企业版找到严重的 RCE 漏洞,意外得$2万奖金
Windows 内核提权漏洞分析:CVE-2020-1034
我通过猜测密码破解了特朗普的Twitter
pcfcms安装页面的一处意料之外的变量注入可导致网站瘫痪

个人信息保护法(草案)征求意见

Ysck阅读(8)

第十三届全国人大常委会第二十二次会议对《中华人民共和国个人信息保护法(草案)》进行了审议。现将《中华人民共和国个人信息保护法(草案)》在中国人大网公布,社会公众可以直接登录中国人大网(www.npc.gov.cn)提出意见,也可以将意见寄送全国人大常委会法制工作委员会(北京市西城区前门西大街1号,邮编:100805。信封上请注明个人信息保护法草案征求意见)。征求意见截止日期:2020年11月19日。

第一章总则

第一条为了保护个人信息权益,规范个人信息处理活动,

保障个人信息依法有序自由流动,促进个人信息合理利用,制定本法。

第二条自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。

第三条组织、个人在中华人民共和国境内处理自然人个人信息的活动,适用本法。

在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:

(一)以向境内自然人提供产品或者服务为目的;

(二)为分析、评估境内自然人的行为;

(三)法律、行政法规规定的其他情形。

第四条个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。

第五条处理个人信息应当采用合法、正当的方式,遵循诚信原则,不得通过欺诈、误导等方式处理个人信息。

第六条处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的的最小范围,不得进行与处理目的无关的个人信息处理。

第七条处理个人信息应当遵循公开、透明的原则,明示个人信息处理规则。

第八条为实现处理目的,所处理的个人信息应当准确,并及时更新。

第九条个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。

第十条任何组织、个人不得违反法律、行政法规的规定处理个人信息,不得从事危害国家安全、公共利益的个人信息处理活动。

第十一条国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关行业组织、社会公众共同参与个人信息保护的良好环境。

第十二条国家积极参与个人信息保护国际规则的制定,促进个人信息保护方面的国际交流与合作,推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等的互认。

第二章个人信息处理规则

第一节一般规定

第十三条符合下列情形之一的,个人信息处理者方可处理

个人信息:

(一)取得个人的同意;

(二)为订立或者履行个人作为一方当事人的合同所必需;

(三)为履行法定职责或者法定义务所必需;

(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;

(五)为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息;

(六)法律、行政法规规定的其他情形。

第十四条处理个人信息的同意,应当由个人在充分知情的前提下,自愿、明确作出意思表示。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。

个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。

第十五条个人信息处理者知道或者应当知道其处理的个人信息为不满十四周岁未成年人个人信息的,应当取得其监护人的同意。

第十六条基于个人同意而进行的个人信息处理活动,个人有权撤回其同意。

第十七条个人信息处理者不得以个人不同意处理其个人信息或者撤回其对个人信息处理的同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。

第十八条个人信息处理者在处理个人信息前,应当以显著

方式、清晰易懂的语言向个人告知下列事项:

(一)个人信息处理者的身份和联系方式;

(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;

(三)个人行使本法规定权利的方式和程序;

(四)法律、行政法规规定应当告知的其他事项。

前款规定事项发生变更的,应当将变更部分告知个人。

个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。

第十九条个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条规定的事项。

紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后予以告知。

第二十条个人信息的保存期限应当为实现处理目的所必要的最短时间。法律、行政法规对个人信息的保存期限另有规定的,从其规定。

第二十一条两个或者两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。

个人信息处理者共同处理个人信息,侵害个人信息权益的,依法承担连带责任。

第二十二条个人信息处理者委托处理个人信息的,应当与受托方约定委托处理的目的、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托方的个人信息处理活动进行监督。

受托方应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息,并应当在合同履行完毕或者委托关系解除后,将个人信息返还个人信息处理者或者予以删除。

未经个人信息处理者同意,受托方不得转委托他人处理个人信息。

第二十三条个人信息处理者因合并、分立等原因需要转移个人信息的,应当向个人告知接收方的身份、联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新向个人告知并取得其同意。

第二十四条个人信息处理者向第三方提供其处理的个人信息的,应当向个人告知第三方的身份、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收个人信息的第三方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。第三方变更原先的处理目的、处理方式的,应当依照本法规定重新向个人告知并取得其同意。

个人信息处理者向第三方提供匿名化信息的,第三方不得利用技术等手段重新识别个人身份。

第二十五条利用个人信息进行自动化决策,应当保证决策的透明度和处理结果的公平合理。个人认为自动化决策对其权益造成重大影响的,有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项。

第二十六条个人信息处理者不得公开其处理的个人信息;取得个人单独同意或者法律、行政法规另有规定的除外。

第二十七条在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供;取得个人单独同意或者法律、行政法规另有规定的除外。

第二十八条个人信息处理者处理已公开的个人信息,应当符合该个人信息被公开时的用途;超出与该用途相关的合理范围的,应当依照本法规定向个人告知并取得其同意。

个人信息被公开时的用途不明确的,个人信息处理者应当合理、谨慎地处理已公开的个人信息;利用已公开的个人信息从事对个人有重大影响的活动,应当依照本法规定向个人告知并取得其同意。

第二节敏感个人信息的处理规则

第二十九条个人信息处理者具有特定的目的和充分的必要性,方可处理敏感个人信息。

敏感个人信息是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。

第三十条基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。

第三十一条个人信息处理者处理敏感个人信息的,除本法第十八条规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人的影响。

第三十二条法律、行政法规规定处理敏感个人信息应当取得相关行政许可或者作出更严格限制的,从其规定。

第三节国家机关处理个人信息的特别规定

第三十三条国家机关处理个人信息的活动适用本法;本节有特别规定的,适用本节规定。

第三十四条国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定

职责所必需的范围和限度。

第三十五条国家机关为履行法定职责处理个人信息,应当依照本法规定向个人告知并取得其同意;法律、行政法规规定应当保密,或者告知、取得同意将妨碍国家机关履行法定职责的除外。

第三十六条国家机关不得公开或者向他人提供其处理的个人信息,法律、行政法规另有规定或者取得个人同意的除外。

第三十七条国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行风险评估。风险评估可以要求有关部门提供支持与协助。

第三章个人信息跨境提供的规则

第三十八条个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当至少具备下列一项条件:

(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;

(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;

(三)与境外接收方订立合同,约定双方的权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准;

(四)法律、行政法规或者国家网信部门规定的其他条件。

第三十九条个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的身份、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式等事项,并取得个人的单独同意。

第四十条关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。

第四十一条因国际司法协助或者行政执法协助,需要向中华人民共和国境外提供个人信息的,应当依法申请有关主管部门批准。

中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息有规定的,从其规定。

第四十二条境外的组织、个人从事损害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施。

第四十三条任何国家和地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者该地区采取相应措施。

第四章个人在个人信息处理活动中的权利

第四十四条个人对其个人信息的处理享有知情权、决定

权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。

第四十五条个人有权向个人信息处理者查阅、复制其个人信息;有本法第十九条第一款规定情形的除外。

个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。

第四十六条个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。

个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。

第四十七条有下列情形之一的,个人信息处理者应当主动或者根据个人的请求,删除个人信息:

(一)约定的保存期限已届满或者处理目的已实现;

(二)个人信息处理者停止提供产品或者服务;

(三)个人撤回同意;

(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;

(五)法律、行政法规规定的其他情形。

法律、行政法规规定的保存期限未届满,或者删除个人信息

从技术上难以实现的,个人信息处理者应当停止处理个人信息。

第四十八条个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。

第四十九条个人信息处理者应当建立个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。

第五章个人信息处理者的义务

第五十条个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人的影响、可能存在的安全风险等,采取必要措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除:

(一)制定内部管理制度和操作规程;

(二)对个人信息实行分级分类管理;

(三)采取相应的加密、去标识化等安全技术措施;

(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;

(五)制定并组织实施个人信息安全事件应急预案;

(六)法律、行政法规规定的其他措施。

第五十一条处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。

个人信息处理者应当公开个人信息保护负责人的姓名、联系方式等,并报送履行个人信息保护职责的部门。

第五十二条本法第三条第二款规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。

第五十三条个人信息处理者应当定期对其个人信息处理活动、采取的保护措施等是否符合法律、行政法规的规定进行审计。履行个人信息保护职责的部门有权要求个人信息处理者委托专业机构进行审计。

第五十四条个人信息处理者应当对下列个人信息处理活动在事前进行风险评估,并对处理情况进行记录:

(一)处理敏感个人信息;

(二)利用个人信息进行自动化决策;

(三)委托处理个人信息、向第三方提供个人信息、公开个人信息;

(四)向境外提供个人信息;

(五)其他对个人有重大影响的个人信息处理活动。

风险评估的内容应当包括:

(一)个人信息的处理目的、处理方式等是否合法、正当、必要;

(二)对个人的影响及风险程度;

(三)所采取的安全保护措施是否合法、有效并与风险程度相适应。风险评估报告和处理情况记录应当至少保存三年。

第五十五条个人信息处理者发现个人信息泄露的,应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。

通知应当包括下列事项:

(一)个人信息泄露的原因;

(二)泄露的个人信息种类和可能造成的危害;

(三)已采取的补救措施;

(四)个人可以采取的减轻危害的措施;

(五)个人信息处理者的联系方式。

个人信息处理者采取措施能够有效避免信息泄露造成损害的,个人信息处理者可以不通知个人;但是,履行个人信息保护职责的部门认为个人信息泄露可能对个人造成损害的,有权要求个人信息处理者通知个人。

第六章履行个人信息保护职责的部门

第五十六条国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。

县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。

前两款规定的部门统称为履行个人信息保护职责的部门。

第五十七条履行个人信息保护职责的部门履行下列个人信息保护职责:

(一)开展个人信息保护宣传教育,指导、监督个人信息处理者开展个人信息保护工作;

(二)接受、处理与个人信息保护有关的投诉、举报;

(三)调查、处理违法个人信息处理活动;

(四)法律、行政法规规定的其他职责。

第五十八条国家网信部门和国务院有关部门按照职责权限组织制定个人信息保护相关规则、标准,推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务。

第五十九条履行个人信息保护职责的部门履行个人信息保护职责,可以采取下列措施:

(一)询问有关当事人,调查与个人信息处理活动有关的情况;

(二)查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料;

(三)实施现场检查,对涉嫌违法个人信息处理活动进行调查;

(四)检查与个人信息处理活动有关的设备、物品;对有证据证明是违法个人信息处理活动的设备、物品,可以查封或者扣押。

履行个人信息保护职责的部门依法履行职责,当事人应当予以协助、配合,不得拒绝、阻挠。

第六十条履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈。个人信息处理者应当按照要求采取措施,进行整改,消除隐患。

第六十一条任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人。

履行个人信息保护职责的部门应当公布接受投诉、举报的联系方式。

第七章法律责任

第六十二条违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的,由履行个人信息保护职责的部门责令改正,没收违法所得,给予警告;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款规定的违法行为,情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。

第六十三条有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。

第六十四条国家机关不履行本法规定的个人信息保护义务的,由其上级机关或者履行个人信息保护职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。

第六十五条因个人信息处理活动侵害个人信息权益的,按照个人因此受到的损失或者个人信息处理者因此获得的利益承担赔偿责任;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,由人民法院根据实际情况确定赔偿数额。个人信息处理者能够证明自己没有过错的,可以减轻或者免除责任。

第六十六条个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织可以依法向人民法院提起诉讼。

第六十七条违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。

第八章附则

第六十八条自然人因个人或者家庭事务而处理个人信息的,不适用本法。

法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的,适用其规定。

第六十九条本法下列用语的含义:

(一)个人信息处理者,是指自主决定处理目的、处理方式等个人信息处理事项的组织、个人。

(二)自动化决策,是指利用个人信息对个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,通过计算机程序自动分析、评估并进行决策的活动。

(三)去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。

(四)匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。

漏洞赏金猎人盗用他人exp获利

Ysck阅读(7)

 

在如今,漏洞奖励计划在网络安全研究社区吸引到越来越多安全研究人员的注意,这些奖励计划对促进漏洞披露和修复起到了重要的作用。但这些奖励计划也存在一些需要我们想办法解决的问题。

这些蓬勃发展的漏洞奖励平台解决了网络空间安全行业中的一些痛点。他们帮助各个公司以安全,正规的方式从渗透测试人员和安全研究人员手中获取到关于他们产品的漏洞报告,同时为提交漏洞报告的安全研究人员创造金钱奖励。

至此,挖漏洞不再是一个有利于社区的公益事业,而是一个产值高达数百万,上千万美元的产业。

去年,HackerOne支付了超过6200万美元的漏洞赏金,根据该平台的最新报告,今年这个数字将会超过1亿美元。

 

有些漏洞赏金猎人剽窃他人的exp来赚钱

HackerOne和Bugcrowd这样的平台对于促进行业健康发展起到重要的作用,许多安全研究人员都乐于在上面提交他们的漏洞挖掘报告并获得一定的收入。

不幸的是,有些人可能会为了自己的经济利益而滥用这些平台。

上周末,安全专家Guido Vranken声称,HackerOne运营的Monero漏洞奖励程序中所报告的一个漏洞,是他之前发现的漏洞的一模一样的副本。

Vranken所指的漏洞是一个严重的缓冲区溢出漏洞(CVE-2019-6250),是他在libzmq 4.1系列中发现的,并已于2019年1月向开发人员报告。

“呵呵,有人复制粘贴了我的libzmq开发和分析,提交到HackerOne上,并获得了赏金,”Vranken在推特上说。

虽然HackerOne的报告审核人员会对报告进行抄袭审核,但仍然会出现疏忽大意的情况,毕竟每天提交的报告是非常多的。

截至本文撰写前,Monero的员工在同一份HackerOne报告中表示,即使该漏洞是抄袭的,他们也无法收回已经支付的那笔钱,他们这么说道

“注:这个报告是抄袭Guido Vranken的。我们忽略了这份报告抄袭的可能性,因为我们关注的重点是复现漏洞和修复它。请其他研究人员不要这样做。我们已经联系了Guido Vranken,并向他支付了赏金;遗憾的是,我们不能修改Everton Melo的赏金。”

这份报告由HackerOne于2019年7月披露,报告中的很多措辞都与Vranken 2019年1月的报告一致。

后来,经过仔细观察,Monero团队发现libzmq 4.1 series似乎没有受到CVE-2019-6250的影响(原报告),但肯定受到了CVE-2019-13132的影响,”因此决定奖励给Melo(疑似抄袭者)是正当的。

因此后来HackerOne将标题中的CVE-2019-6250改为CVE-2019-13132。

这里要注意的关键一点是,尽管剽窃是不道德的,但一旦一个漏洞被公开披露,就没有办法阻止别人复制,改写并借此获得赏金。为了减少你的报告被抄袭的机会,你最好私下提交你的报告。除非验证漏洞的平台对于抄袭审核比较严格,否则仍然会有被抄袭的可能。

勒索组织将勒索大公司的部分钱捐赠给慈善组织

Ysck阅读(7)

第43期

你好呀~欢迎来到“资讯充电站”!小安就是本站站长。今天第43期如约和大家见面了!如果您是第一次光顾,可以先阅读站内公告了解我们哦。

【站内公告】
本站主要发布时下最火热最新鲜的网安资讯,不同于正儿八经的权威消息。本站的资讯内容可能会更富趣味性、讨论性,工作劳累之余给大家来点趣闻,唠唠嗑,也可以一起充电涨姿势~目前每周营业周二、周四两天。

欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!

 

勒索组织将勒索大公司的部分钱捐赠给慈善组织

10月13日黑客团队Darkside在网站发布了一则帖子:“我们决定,将把大公司们支付的部分赎金用于慈善事业。”

Darkside还将捐款截图以及收到的收据一并公布。其中包含国际儿童基金会价值1万美元的0.88个比特币,以及给水项目(Water Project)的1万美元、做比特币转账的机构的公益组织收到了两笔汇款,甚至还在推特上公开表示感谢。

到这里你可千万别觉得他们很“Nice”。

Darkside小组从今年8月开始活跃,是一个典型的大型勒索团伙,他们专门研究大型公司的网络数据,并展开勒索行动,索要百万美元的巨额赎金。如果被害者拒绝付款,他们将会把获取的数据公布在暗网。

在短短2个月的时间,他们入侵了多家巨头公司的网络,其中包括外汇交易公司通济隆(市值13亿美元),房地产公司布鲁克菲尔德(市值56亿美元),胜率极高,非常凶残。

然而,由于接收和使用因犯罪而收到的资金是违法的, 这几个非营利组织都不能保留这些“捐赠”,因此捐赠很可能会被扣押或退还。

“无论您认为我们的工作有多么糟,我们都很高兴自己能帮忙改变一些人的生活。今天,我们发送了第一笔捐款。”该组织发表这一声明,还承诺不会对医院,学校,非营利组织和政府部门的文件进行加密。

所以你觉得他们是伪善还是emmmm良心发现?

 

俄外交部:美英指责俄发动黑客攻击没有根据

昨天,安全客发布一则资讯——美国指控俄罗斯黑客组织参与多项网络攻击行动,美国司法部指控6名俄罗斯情报人员对平昌冬奥会、2017年法国大选进行黑客攻击,以及臭名昭著的NotPetya勒索软件攻击也包含在内。

负责美国国家安全的助理司法部长约翰·C·德默斯(John C. Demers)说,“没有哪个国家像俄罗斯那样,恶意或不负责任地将其网络能力武器化,肆意在全球制造前所未有的破坏,以追求较小的战术优势,并满足一时的恶意心理”

而今天,俄罗斯的回应来啦!

据新华社,俄罗斯外交部20日驳斥了美国和英国关于俄方针对一些国家和国际组织发动黑客攻击的说法,认为美英两国的指责没有根据且毫无意义。俄外交部指出,俄已经厌烦对此类惯性指责进行评论。

美英两国进行这种指责是为了在美国大选背景下营造一种反俄气氛。

 

 

美国陆军基地推特发布淫秽信息 急忙澄清”被黑了”

今年以来,美媒接连曝光多次推特遭黑客入侵的事件。根据纽约监管机构上周发布的调查报告,黑客在7月份入侵了几位知名人士的推特账户,其中包括民主党总统候选人拜登、特斯拉CEO埃隆·马斯克等人。

当地时间21日,美国布拉格堡军事基地(Fort Bragg)官方推特发布了多条含有“淫秽信息”的推文。引起社交平台热议。同日,该陆军基地澄清,称账号“被黑客攻击”。然而,网友对此并不买账,有人讽刺称“可能是基地工作人员忘记切换账号了”

很多网友将这些推文截图并发布在社交媒体上,还有网友发现,该基地账号当天还与一位色情博主进行了互动。

据美国有线电视新闻网(CNN)报道,该基地官方账号回应时指出,“今天(21日)下午,推特账户被黑客入侵,且发布了一系列不适当的推文。”内容还称,得知消息后,团队将推文删除,并暂时将账号下线,此事正在调查中。

据美媒介绍,该陆军基地位于北卡罗来纳州布拉格堡,是美国陆军最大的基地之一,可容纳5万多名军事人员。

10月22日每日安全热点 – GWTMap:逆向Google Web Toolkit

Ysck阅读(8)

漏洞 Vulnerability
2020-10 补丁日:Oracle多个产品高危漏洞安全风险通告
安全工具 Security Tools
安全资讯 Security Information
安全研究 Security Research
Zimbra 漏洞分析之路
堆中index溢出类漏洞利用思路总结
Windows内核对象管理全景解析前奏
恶意软件 Malware

2020-10 补丁日:Oracle多个产品高危漏洞安全风险通告

Ysck阅读(8)

 

0x01 事件简述

2020年10月21日,360CERT监测发现 Oracle官方 发布了 10月份 的安全更新。

此次安全更新发布了 421 个漏洞补丁,其中 Oracle Fusion Middleware 有 46 个漏洞补丁更新,主要涵盖了 Oracle Weblogic 、 Oracle Endeca Information Discovery Integrator 、 Oracle WebCenter Portal 、 Oracle BI Publisher 、 Oracle Business Intelligence Enterprise Edition 等产品。在本次更新的 46 个漏洞补丁中有 36 个漏洞无需身份验证即可远程利用。

对此,360CERT建议广大用户及时安装最新补丁,做好资产自查以及预防工作,以免遭受黑客攻击。

 

0x02 风险等级

360CERT对该事件的评定结果如下

评定方式 等级
威胁等级 严重
影响面 广泛
360CERT评分 10

 

0x03 漏洞详情

Oracle WebLogic Server多个反序列化漏洞

Weblogic本次更新了多个反序列化漏洞,这些漏洞允许未经身份验证的攻击者通过HTTP、IIOP、T3协议发送构造好的恶意请求,从而在Oracle WebLogic Server执行代码。严重漏洞编号如下:

  • CVE-2020-14882
  • CVE-2020-14841
  • CVE-2020-14825
  • CVE-2020-14859
  • CVE-2020-14820

其中成功利用 CVE-2020-14882 漏洞的远程攻击者可以构造特殊的HTTP请求,在未经身份验证的情况下接管 WebLogic Server ,并在 WebLogic Server 执行任意代码。

Oracle Communications(Oracle通信应用软件)多个严重漏洞

此重要补丁更新包含针对 Oracle Communications 的52个新的安全补丁。其中的41个漏洞无需身份验证即可远程利用,即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下:

  • CVE-2020-10683
  • CVE-2020-11973
  • CVE-2020-2555
  • CVE-2020-11984

Oracle E-Business Suite(Oracle电子商务套件)多个严重漏洞

此重要补丁更新包含针对 Oracle E-Business Suite 的27个新的安全补丁。其中的25个漏洞无需身份验证即可被远程利用,即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下:

  • CVE-2020-14855
  • CVE-2020-14805
  • CVE-2020-14875
  • CVE-2020-14876

Oracle Enterprise Manager(Oracle企业管理软件)多个严重漏洞

此重要补丁更新包含针对 Oracle Enterprise Manager 的11个新安全补丁。其中的10个漏洞无需身份验证即可远程利用,即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下:

  • CVE-2019-13990
  • CVE-2018-11058
  • CVE-2019-17638
  • CVE-2020-5398
  • CVE-2020-1967

Oracle Financial Services Applications(Oracle金融服务应用软件)多个严重漏洞

此重要补丁更新包含针对 Oracle Financial Services 应用程序的53个新的安全补丁。其中的49个漏洞无需身份验证即可远程利用,即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下:

  • CVE-2019-17495
  • CVE-2019-10173
  • CVE-2020-10683
  • CVE-2020-9546
  • CVE-2020-11973
  • CVE-2020-14824

Oracle MySQL

此重要补丁更新包含54个针对 Oracle MySQL 的新安全补丁。其中的4个漏洞无需身份验证即可远程利用,即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下:

  • CVE-2020-8174

Oracle Database Server

此重要补丁更新包含针对 Oracle数据库服务器 的30个新安全补丁。这些漏洞中的4个无需身份验证即可远程利用,即可以在不需要用户凭据的情况下通过网络利用这些漏洞。严重漏洞编号如下:

  • CVE-2020-14735
  • CVE-2020-14734

 

0x04 修复建议

通用修补建议

及时更新补丁,参考oracle官网发布的补丁:Oracle Critical Patch Update Advisory – October 2020

Weblogic 临时修补建议

  1. 如果不依赖 T3 协议进行 JVM 通信,禁用 T3 协议:

    • 进入 WebLogic 控制台,在 base_domain 配置页面中,进入安全选项卡页面,点击筛选器,配置筛选器。
    • 在连接筛选器中输入: weblogic.security.net.ConnectionFilterImpl ,在连接筛选器规则框中输入 7001 deny t3 t3s 保存生效。
    • 重启Weblogic项目,使配置生效。
  2. 如果不依赖 IIOP 协议进行 JVM 通信,禁用 IIOP 协议:

    • 进入 WebLogic 控制台,在 base_domain 配置页面中,进入安全选项卡页面。
    • 选择 “服务”->”AdminServer”->”协议” ,取消 “启用IIOP”的勾选。
    • 重启Weblogic项目,使配置生效。

 

0x05 产品侧解决方案

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。 

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

 

0x06 时间线

2020-10-20 Oracle发布安全更新通告

2020-10-21 360CERT发布通告

 

0x07 参考链接

  1. Oracle Critical Patch Update Advisory – October 2020

 

0x08 特制报告下载链接

一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。

2020-10 补丁日:Oracle多个产品高危漏洞安全风险通告

若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。

10月21日每日安全热点 – 使用勒索软件的组织将部分赎金捐赠给慈善组织

Ysck阅读(34)

漏洞 Vulnerability
2020-10 补丁日:Oracle多个产品高危漏洞安全风险通告
安全研究 Security Research
Calendar Alerts:macOS上的一种持久化技术
Interplanetary Storm Golang 僵尸网络
安全资讯 Security Information
美国指控NotPetya爆发,乌克兰断电,冬奥会攻击背后的俄罗斯黑客
微软在美国大选前打击勒索软件,拆除了Trickbot的部分C2
恶意软件 Malware
Donot team组织(apt-35)针对“微信群体”攻击活动分析