安全周报(11.29-12.05)
1、9个WiFi路由器存在226个漏洞,TP-Link漏洞数量最多
12月3日,全国金融标准化技术委员会(以下简称“金标委”)发布公告,就《金融数据安全 数据安全评估规范》金融标准征求意见,明确了数据安全管理、数据安全保护、数据安全运维三个主要评估域及其安全评估主要内容和方法。
该标准适用于金融业机构开展金融数据安全评估使用,并为第三方安全评估机构等单位开展金融数据安全检查与评估工作提供参考。
金融数据复杂多样,新技术背景下的金融数据应用形态多样、生态各异,并逐步实现与金融产品和服务的深度融合,而当前各金融业机构数据安全管理能力尚处于参差不齐的状态,金融业整体数据安全保护仍有待进一步统筹协调,逐步实现规范化和标准化。
金标委表示,开展金融数据安全评估,一方面能够推动金融业机构落实金融业数据安全管理要求,提升金融业数据安全保护工作的规范化和标准化程度;另一方面有助于金融业机构及时全面掌握本机构数据安全管理水平,预测并确认所面临的数据安全威胁和风险,为金融业机构制定防范措施及应对安全事件提供科学依据和指导,可有效防控数据安全事件风险和危害,为金融数据的应用和流动提供有力保障。
标准主要内容包括:
1.范围及规范性引用文件。描述了标准制定的参考依据、行业需求和标准制定的目的,明确了标准的适用机构。
2.金融数据安全评估概述。明确了金融数据安全评估的触发条件、评估原则、评估参与方、评估内容、评估流程与评估方法。
3.金融数据安全管理评估。明确了金融业机构数据安全管理相关组织架构及制度体系建设相关安全评估的具体内容、评估方法和结果判定依据。
4.金融数据安全保护评估。明确了金融业机构数据资产分级管理、数据生命周期安全保护相关安全评估的具体内容、评估方法和结果判定依据。
5.金融数据安全运维评估。明确了金融业机构边界管控、访问控制、安全监测、安全审计、安全检查、应急响应与事件处置等数据安全运维相关安全评估的具体内容、评估方法和结果判定依据。
6.金融数据安全评估结果。对数据安全评估结果确定过程中的数据安全问题等级、评估判定原则及评估结果判定等问题进行了详细说明。
据The Hacker News网站报道,安全研究人员周二揭露了影响惠普公司150款多功能打印机(MFP)的两个安全漏洞,攻击者可利用这些漏洞窃取敏感信息,并渗透进企业网络以发起其它攻击。
这两个漏洞统称为Print Shellz,由F-Secure 实验室的研究人员 Timo Hirvonen 和 Alexander Bolshev于今年4月29日首次发现:
CVE-2021-39237(CVSS 评分:7.1)- 影响某些 HP LaserJet、HP LaserJet Managed、HP PageWide 和 HP PageWide Managed 打印机的信息泄露漏洞。
CVE-2021-39238(CVSS 评分:9.3)- 影响某些 HP Enterprise LaserJet、HP LaserJet Managed、HP Enterprise PageWide 和 HP PageWide Managed 产品的缓冲区溢出漏洞。
Hirvonen 和 Bolshev 解释说:“漏洞在于设备中的通讯板和解析器,攻击者可以利用它们来获得代码执行权,前者需要物理访问,后者可通过远程完成。当攻击成功实施后,攻击者以此实现他们的各种目的,包括窃取信息或将受感染的设备作为滩头阵地对企业组织系统进行攻击。”
CVE-2021-39238高达9.3的CVSS评分也源于这是一个“可蠕虫级”的高危漏洞,能够被利用来自我传播到受感染网络上的其它多功能打印机设备。
研究人员设想了可能的攻击场景:攻击者可在包含社会工程的钓鱼恶意PDF文档中利用字体解析器漏洞,让目标打印文件。另一种方式是把目标引诱访问至恶意网站,网站会自动在受漏洞影响的的多功能打印机上远程打印含有恶意字体的文档,为攻击者提供设备上的代码执行权,这种攻击手段被称为跨站打印攻击。
目前惠普公司已在11月初发布了修复补丁,强烈建议受影响的设备立刻安装补丁。除此以外,在日常使用中也建议在默认状态下强制网络分段,并禁用从USB驱动器进行打印。
援引《华盛顿邮报》报道,发生于今年 10 月的勒索软件攻击中,黑客获取了包含数十万名洛杉矶计划生育协会患者个人信息的文件。在致受影响患者的致歉信中,计划生育协会表示该文件包含患者的姓名、地址、保险信息、出生日期和临床信息,如诊断、手术和/或处方信息。
计划生育协会表示,该机构网络是在 10 月 9-17 日之间感染勒索软件的。17日,该组织注意到了这一入侵,将其系统下线,并联系了执法部门和网络安全调查人员。据 CNN 报道,到 11 月初,该组织已经确定了黑客访问的内容,但对攻击的实施者仍然一无所知。
洛杉矶计划生育协会的一位发言人告诉《华盛顿邮报》,这些信息似乎没有被“用于欺诈目的”,并告诉 CNN,这似乎不是一次有针对性的攻击。但是,如果黑客选择出售这些数据,鉴于其极其敏感的性质,这些数据可能很有价值--计划生育协会不仅提供堕胎服务,还提供生育控制、性病检测和对变性患者的激素治疗,以及其他一系列医疗服务。据 CNN 报道,这些数据只限于洛杉矶的计划生育协会。