教育网络安全动态

2021年9月第1期（2021.8.27-9.2）

一、政策要闻

1.国家网信办：算法推荐服务提供者不得利用算法屏蔽信息、过度推荐

8月27日，国家网信办就《互联网信息服务算法推荐管理规定（征求意见稿）》公开征求意见。《意见稿》提出，算法推荐服务提供者不得利用算法虚假注册账号、非法交易账号、操纵用户账号，或者虚假点赞、评论、转发、网页导航等，实施流量造假、流量劫持；不得利用算法屏蔽信息、过度推荐、操纵榜单或者检索结果排序、控制热搜或者精选等干预信息呈现，实施自我优待、不正当竞争、影响网络舆论或者规避监管。参与算法推荐服务安全评估和监督检查的相关机构和人员应当对在履行职责中知悉的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供。

（来源：网信中国）

2.工业和信息化部、北京市人民政府共同召开推动提升北京地区重点场所5G网络信号覆盖工作会议

8月27日，工业和信息化部、北京市人民政府共同召开推动提升北京地区重点场所5G网络信号覆盖工作会议。会上，北京市通信管理局介绍了《关于提升北京市重点场所5G网络信号覆盖的工作方案》。中央网信办、发展改革委、教育部、财政部、住房城乡建设部、卫生健康委、国家能源局、国铁集团等单位有关部门负责同志进行了交流发言。中国电信、中国移动、中国联通、中国铁塔相关负责人表示将认真按照会议部署要求，全面落实各项工作任务，共同推动提升北京地区重点场所5G网络信号覆盖。

（来源：信息通信管理局）

3.工信部网络安全威胁和漏洞信息共享平台正式上线运行

据工信部官网消息，为落实《网络产品安全漏洞管理规定》有关要求，工业和信息化部网络安全管理局组织建设的工业和信息化部网络安全威胁和漏洞信息共享平台(以下简称“平台”)(https://www.nvdb.org.cn)于 2021 年 9 月 1 日正式上线运行。根据《网络产品安全漏洞管理规定》，网络产品提供者应当及时向平台报送相关漏洞信息，鼓励漏洞收集平台和其他发现漏洞的组织或个人向平台报送漏洞信息。平台包括通用网络产品安全漏洞专业库(https://www.cnvdb.org.cn)、工业控制产品安全漏洞专业库(https://www.cics-vd.org.cn)、移动互联网 App 产品安全漏洞专业库(https://cappvd. cstc.org.cn)、车联网产品安全漏洞专业库(https://cavd.org.cn)等，支持开展网络产品安全漏洞技术评估，督促网络产品提供者及时修补和合理发布自身产品安全漏洞。

（来源：工信部官网）

二、技术资讯

4.微软Azure Cosmos DB严重漏洞被披露

ChaosDB是Wiz研究团队今年8月发现的微软Azure云平台数据库Cosmos中的安全漏洞。攻击者利用该漏洞可以在无需认证的情况下获得另一个客户Cosmos数据库实例的完全管理员权限，包括读写和删除权限。该漏洞利用无需对目标环境具有访问权限，影响了包括财富500强公司在内的上千个组织。Wiz将漏洞提交给微软后48小时内，微软就修复了该问题并禁用了有漏洞的特征，但该漏洞可能已经被利用了好几个月，因此微软建议用户生成Cosmos DB Primary Keys。

（来源：51CTO）

5.国家漏洞库CNNVD：关于VMware vRealize Operations多个安全漏洞的预警

近日,VMware官方发布了多个安全漏洞公告,包括VMware vRealizeOperations 信息泄露漏洞（CNNVD-202108-2298、CVE-2021-22022）、VMware vRealizeOperations 代码问题漏洞（CNNVD-202108-2299、CVE-2021-22023）等多个漏洞。VxWorks 7、VxWorks 6.5-6.9及使用Interpeak独立网络堆栈的VxWorks版本均受漏洞影响。成功利用上述漏洞的攻击者无需用户交互及认证即可实现远程代码攻击，最终完全控制相关设备。目前，VMware官方已经发布漏洞修复补丁，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

（来源：国家漏洞库CNNVD ）

6.Apache Dubbo 多个预认证 RCE 漏洞（CVE-2021-36162等）

9月1日，阿里云应急响应中心监测到国外安全研究人员披露Apache Dubbo多个高危漏洞详情。Apache Dubbo是一款应用广泛的Java RPC分布式服务框架。8月31日，国外安全研究人员披露Apache Dubbo多个高危漏洞详情：CVE-2021-36162 中，Apache Dubbo多处使用了yaml.load，攻击者在控制如ZooKeeper注册中心后可上传恶意配置文件从而造成了Yaml反序列化漏洞。CVE-2021-36163 中，Apache Dubbo中使用了不安全的Hessian 协议，攻击者可以利用此漏洞触发反序列化，造成远程代码执行漏洞。

阿里云应急响应中心提醒 Apache Dubbo 用户尽快采取安全措施阻止漏洞攻击。

（来源：阿里云应急响应中心）

三、国际视野

7.Puma1GB被盗数据在暗网上进行公开拍卖

8月29日，Security affairs披露，Marketo (售卖“被盗数据”的经营商)声称从Puma公司窃取了大约1GB的数据，这些数据将会在平台上进行拍卖。从Puma窃取的一些文件已在Marketo上进行了发布，其中包含可能链接到公司产品管理门户内部管理应用程序的源代码。分析代码的专家发现，有证据表明泄露的文件可能因第三方软件提供商发生数据泄露而被盗，攻击者可以使用这些数据来策划对公司进行更复杂的攻击。

（来源：FreeBuf）

8.美国第三大公共图书馆—波士顿图书馆遭网络攻击，全系统技术中断

波士顿公共图书馆 (BPL) 8月28日透露，其网络在三天前(25日)遭到黑客攻击，导致整个系统技术中断。BPL每年通过其中央图书馆和25个社区分馆为近400万游客提供服务，此外还有数百万在线用户。按馆藏藏品总数计算，它是美国第三大公共图书馆，仅次于联邦国会图书馆和纽约公共图书馆。

（来源：FreeBuf ）

9.移民系统漏洞，导致加拿大超额接受7300份移民申请

8月31日，BLEEPINGCOMPUTER 披露，加拿大移民系统出现了漏洞，导致政府接受了额外的7300份移民申请，其中包括希望将临时签证身份更改为永久居留权的国际研究生申请。事件发生后，加拿大移民、难民和公民局(IRCC)称，2021年，接受国际研究生申请上限为 40000 份，但是漏洞导致系统将某些同时提交的两个或多个申请，视为一个申请，因此导致系统额外接受了7300份申请。

（来源：FreeBuf ）

10.阿联酋网络安全委员会将进行“防护盾网络演习”

8月31日消息，阿联酋网络安全委员会与国家危机和应急管理局（NCEMA）及其战略伙伴合作，计划从2021年9月开始进行“防护盾网络演习”。演习将针对几个重要部门，涵盖各种网络攻击情况，包括在受监控的环境中模拟一系列网络攻击，以培训各部门并评估其快速应对电子事件的能力。

（来源：FreeBuf ）

11.《愤怒的小鸟》开发商因涉嫌出售儿童隐私数据被起诉

据外媒AppleInsider报道，《愤怒的小鸟》开发商Rovio Entertainment公司近日遭新墨西哥州总检察长起诉，指控该公司收集和出售13岁以下儿童的个人数据。总检察长赫克托·巴尔德拉斯（Hector Balderas）在上周三提交的联邦诉讼中指控Rovio违反了《儿童在线隐私保护法》（COPPA）。首席检察官表示，儿童用户在玩《愤怒的小鸟》时，Rovio“偷偷窃取儿童的个人信息”，“然后利用这些个人信息进行商业开发”，从而从儿童身上获利。

（来源：新浪科技）

12.美国网络安全与基础设施安全局发布“不良安全实践”目录

CISA隶属美国国土安全部，正在编撰不良安全实践目录，列出可能增加企业风险的不良安全实践，尤其是那些支持指定关键基础设施或所谓国家关键职能（NCF）的企业。CISA创建了一个页面，用于列出添加到此目录中的不良安全实践。CISA指出，尽管这些实践对关键基础设施和国家关键职能而言充满风险，但仍建议所有企业和机构采取必要的步骤和对话来解决和消除不良实践。

（来源：数世咨询）

以上内容不代表本部门观点，如有侵权请及时联系我们。