一、行业发展动态

1、国家互联网信息办公室等十三部门修订发布《网络安全审查办法》

近日，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局等十三部门联合修订发布《网络安全审查办法》（以下简称《办法》），自2022年2月15日起施行。

《办法》将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查，并明确掌握超过100万用户个人信息的网络平台运营者赴国外上市必须向网络安全审查办公室申报网络安全审查。根据审查实际需要，增加证监会作为网络安全审查工作机制成员单位，同时完善了国家安全风险评估因素等内容。

（来源：中国网信网）

2、预计到2030年,勒索软件保护市场价值837亿美元(CAGR)复合年增长率：19%

全球勒索软件保护市场预计将在 2021 年达到 173.6 亿美元，到 2030 年达到 837 亿美元，在 2022-2030 年的预测期内以复合年增长率(CAGR)计算。估计增长19%。

全球对数据备份和恢复解决方案的需求不断增长、企业共享威胁情报，以及多层次安全策略的要求。有良好的市场增长机会。

（来源：Panorama Data Insights）

3、勒索软件团伙加大力度招募内部人员进行攻击

最近一项针对北美100家大型IT公司的调查显示，勒索软件的参与者正在更努力地招募目标公司的内部人员来协助攻击。

（来源：FreeBuf）

4、Cynerio报告：医院中一半的联网设备容易受到黑客攻击

根据Cynerio的一份新报告，该报告分析了全球300多家医院和医疗机构的1000多万台设备的数据表明，医院中使用的互联网连接设备有一半以上存在漏洞，可能会危及病人安全、机密数据或设备的可用性。

（来源：cnBeta）

5、2021年软件供应链攻击增加了两倍

研究人员发现2021年软件供应链攻击的数量增加了两倍。主要攻击包括SolarWinds、Kaseya、Codecov、ua-parser-js和Log4j。攻击者专注于开源漏洞和中毒、代码完整性问题，并利用软件供应链流程和供应商信任来分发恶意软件或后门。

（来源：BleepingComputer）

6、Linux 恶意软件在 2021年增长35%

新型勒索软件Sabbath（又名 UNC2190）自 2021 年 6 月以来一直针对美国和加拿大的关键基础设施进行攻击，研究人员称其前身是Arcane和Eruption。

（来源：FreeBuf）

7、欧盟模拟网络攻击电力公司测试防御能力

欧盟模拟了对一家虚构的芬兰电力公司的网络攻击，以测试其网络防御能力。这次模拟演习，旨在测试成员国之间的合作及其共同反应。模拟网络攻击演习的场景是针对一家大型能源公司使用的软件。欧盟的响应涉及来自成员国的计算机应急响应小组，演习测试了他们监控事件和查找其来源的能力，以及采取可能的行动缓解网络攻击的能力。

（来源：SecurityAffairs）

8、研究人员使用电磁信号对感染物联网设备的恶意软件进行分类

来自计算机科学与随机系统研究所 (IRISA) 的一组学者设计了一种分析物联网 (IoT) 电磁场辐射的新方法，来检测恶意软件设备。

（来源：SecurityAffairs）

二、安全事件

1、黑客组织加密了白俄罗斯铁路公司服务器以示抗议

一群黑客（称为白俄罗斯网络游击队）声称他们入侵并加密了白俄罗斯铁路公司的服务器。他们的攻击是由于俄罗斯利用白俄罗斯铁路的铁路运输网络将军事部队和设备运入该国引发的。

该黑客团伙在Twitter上表示“我们加密了白俄罗斯铁路公司的部分服务器、数据库和工作站，意在中断其正常运营。为了避免引发紧急情况，自动化与安全系统并未受到影响。”

白俄罗斯网络游击队黑客活动分子表示，他们掌握着受感染白俄罗斯铁路服务器的加密密钥，只要自己的要求得到满足，他们就会将系统恢复至正常状态。该团伙提出的要求包括释放50名需要医疗求助的政治犯，并希望俄罗斯军队撤出白俄罗斯领土。

（来源：BleepingComputer）

2、“异常”间谍软件窃取工业公司凭据

研究人员发现了几个针对工业企业的间谍软件活动，旨在窃取电子邮件账户凭据并进行金融欺诈或将其转售给其他攻击者。攻击者使用现成的间谍软件工具，在非常有限的时间内部署每个变体以逃避检测。攻击中使用的恶意软件包括AgentTesla/OriginLogger，HawkEye，Noon/Formbook，Masslogger，SnakeKeylogger，Azorult和Lokibot。

（来源：BleepingComputer）

3、网络钓鱼冒充航运巨头马士基传播STRRAT恶意软件

网络钓鱼冒充航运巨头马士基传播STRRAT恶意软件Fortinet发现一场新的网络钓鱼活动冒充全球航运业巨头马士基航运公司（Maersk Shipping），使用看似合法的电子邮件地址，如果收件人打开附加的文档，运行的宏代码会将STRRAT恶意软件提取到他们的机器上，这是一种强大的远程访问木马，可以窃取信息甚至伪造勒索软件攻击。

（来源：BleepingComputer）

4、国防承包商Hensoldt遭Lorenz勒索软件攻击

近日，总部位于德国的跨国国防承包商Hensoldt已证实，其英国子公司的部分系统感染了Lorenz勒索软件。Lorenz 勒索软件组织声称在攻击期间从Hensholdt的网络中窃取了若干文件，并已将95%的被盗文件上传到其泄漏站点。Lorenz勒索软件团伙于2021年4月开始运营，一直以全球企业组织为目标，并在加密数据之前窃取数据，迫使受害者支付赎金。

Hensoldt国防承包商为国防、航空航天和安全应用开发传感器解决方案，在法兰克福证券交易所上市，2020 年的营业额为 12 亿欧元。其产品包括美国陆军、美国海军陆战队和美国国民警卫队在 M1 艾布拉姆斯坦克、各种直升机平台和 LCS（濒海战斗舰）上使用的雷达阵列、航空电子设备和激光测距仪。

（来源：BleepingComputer）

5、医疗保健公司披露受到Netgain勒索软件攻击影响

2020年11月底，为会计、医疗和法律等行业的组织提供托管IT服务的Netgain遭到勒索软件攻击，导致客户数据泄露。本月，医疗保健提供商Caring Communities和Entira Family Clinics警告患者，他们的个人信息可能在一年前的Netgain攻击事件中已被泄露。两家公司在通知信中都表示，除了病历外，可能被泄露的数据还包括姓名、地址和社会安全号码。Entira告诉缅因州总检察长办公室，大约20万人的数据在事件中被泄露。

（来源：SecurityWeek）

三、重要安全漏洞

1、11种生物识别设备ID存在漏洞

研究人员在IDEMIA制造的11种生物识别设备发现了一个严重漏洞 VU-2021-004（CVSS v3评分：9.1）,攻击者可以利用该漏洞解锁门和打开旋转栅门，从而绕过生物识别ID检查，实际进入受控空间。通过远程操作，攻击者可以利用该漏洞在无需身份验证的情况下运行命令来解锁门或旋转栅门，或触发终端重启以导致拒绝服务。

受影响版本：

MorphoWave Compact MD

MorphoWave Compact MDPI

MorphoWave Compact MDPI-M

VisionPass MD

VisionPass MDPI

VisionPass MDPI-M

SIGMA Lite（所有版本）

SIGMA Lite+（所有版本）

SIGMA Wide（所有版本）

SIGMA Extreme

MA VP MD

修复建议

激活、正确配置 TLS 协议以及在设备上安装 TLS 证书可修复漏洞。请根据 IDEMIA 安全安装指南的第 7 节启用并正确配置 TLS 协议。在未来的固件版本中，IDEMIA 将默认强制激活 TLS。

（来源：Infosecurity Magazine）

2、KCodes NetUSB 漏洞影响数百万来自不同供应商的路由器

KCodes NetUSB 是一个 Linux 内核模块，可使局域网上的设备通过 IP 提供基于 USB 的服务。使用该驱动可通过网络访问插入Linux 嵌入式设备（如路由器）的打印机、外部硬盘驱动和闪盘。NetUSB内核模块被Netgear（网件）、TP-Link、Tenda（腾达）、EDiMAX、DLink和Western Digital（西部数据）等流行的路由器供应商使用。KCodes NetUSB 内核模块中存在一个缓冲区溢出漏洞CVE-2021-45608（CVSS 评分：9.8），成功利用该漏洞可导致攻击者在内核中远程执行代码并执行任意恶意活动。2022 年 1 月 11 日 该漏洞的详细细节被公开披露，可被利用，影响广泛。

受影响版本

D7800 ：1.0.1.68 之前版本

R6400v2：1.0.4.122 之前版本

R6700v3：1.0.4.122 之前版本

修复建议

KCodes已于2021年11 月 19 日向所有供应商发布了补丁。除Netgear外，其它供应商目前尚未发布补丁，建议相关用户关注供应商发布的安全更新并防范针对此漏洞的攻击。

Netgear已发布固件更新：

D7800 已在固件版本 1.0.1.68 中修复

R6400v2 已在固件版本 1.0.4.122 中修复

R6700v3 已在固件版本 1.0.4.122 中修复

补丁获取链接：

https://kb.netgear.com/000064437/Security-Advisory-for-Pre-Authentication-Buffer-Overflow-on-Multiple-Products-PSV-2021-0278

（来源：TheHackerNews）

3、西门子和施耐德1月修复了40个安全漏洞

西门子

西门子发布了 5 份公告，修复了14个漏洞，其中最严重的是影响SICAM A8000设备的两个漏洞，CVE-2021-45033（CVSS评分：9.9）与未记录的调试端口有关,该端口使用硬编码的默认凭据，使攻击者能够访问设备上的管理调试shell。

第二个漏洞 CVE-2021-45034（CVSS评分：5.3）允许未经身份验证的攻击者访问日志文件和诊断数据。其余公告涉及SIPROTEC 5设备中的信息泄露漏洞、基于 Nucleus RTOS 的 Siemens Energy PLUSCONTROL 设备中存在的多个漏洞、影响COMOS工厂工程软件的两个高危漏洞和两个中危漏洞。

施耐德电气

施耐德发布了 7 份公告，涉及26个漏洞。包括Easergy P5中压保护继电器中的两个高危漏洞，可能允许攻击者破坏或完全控制设备，这可能导致电网失去保护。

EcoStruxure Power Monitoring Expert产品中的两个高危漏洞和两个中危漏洞，可利用这些漏洞获取信息或破坏系统。

ConneXium Tofino防火墙产品的六个高危及中危漏洞，利用这些漏洞可能导致服务中断或配置更改，从而允许恶意网络流量。Codesys的第三方组件中存在的10个漏洞、Modicon M340控制器中的DoS和CSRF漏洞，以及Easergy T300 RTU中可能导致代码执行或DoS条件的漏洞。

目前，两家工业控制巨头企业均已发布了补丁和/或缓解措施来应对这些漏洞所造成的安全风险。

（来源：SecurityWeek）