力学哥工业互联网安全资讯周报20180730期-工业互联网安全应急响应中心

力学哥工业互联网安全资讯周报20180730期-工业互联网安全应急响应中心

力学哥目录目录
漏洞通报
关于Cisco Webex Network Recording Player应用软件远程代码执行漏洞的情况通报
安全威胁分析
重大数据泄漏事件：汽车制造产业上下游 100 多家公司数据暴露在互联网上
新加坡150万病人资料被黑客窃取，包括李显龙开药记录
攻防最前线：近五亿物联网设备易受DNS重新绑定攻击
国产扫地机器人缔奇360被曝安全漏洞，可秒变监视器
特朗普-普京会晤之前芬兰遭遇大规模网络攻击
HNS僵尸网络新动态：瞄准智能家居设备
有你的设备吗？约五亿物联网设备仍受DNS重绑定攻击影响
内鬼作祟：PLC源代码泄漏，三一重工近十亿泵车“失踪”
一个新的蓝牙高危漏洞被发现，或影响数百万台设备
行业发展动态
公安部：我国首次开展大数据安全整治
陈肇雄：加快推动工业互联网创新发展
网安法进行时
荐读 | 2018年中国工业信息安全发展现状分析
安全技术方案
吴沈括：欧盟GDPR与数据跨境问题分析
智能汽车的网络安全与弹性优秀实践及指引介绍
漏洞通报
1.关于Cisco Webex Network Recording Player应用软件远程代码执行漏洞的情况通报
近日，思科（Cisco）公司披露了其开发的Webex Network Recording Player应用软件中存在远程代码执行漏洞的情况。CNCERT下属的工业互联网安全应急响应中心（针对漏洞情况进行了分析，并对国内相关联网资产进行了在线监测，具体情况通报如下：

安全威胁分析
2.重大数据泄漏事件：汽车制造产业上下游 100 多家公司数据暴露在互联网上
UpGuard Cyber Risk 的安全队伍现在透露，100多家汽车产业链上下游公司的敏感文件已泄露，这些文件放在属于Level One Robotics的一台服务器上，“这是一家主攻自动化流程和装配的工程服务提供商，面向OEM（原始设备制造商）、一级汽车供应商以及我们的最终用户。”此事件中泄露数据的公司包括大众、克莱斯勒、福特、丰田、通用汽车、特斯拉和蒂森克虏伯等。

3.新加坡150万病人资料被黑客窃取，包括李显龙开药记录
据联合早报网20日报道，新加坡保健服务集团的数据资料库遭大规模网络攻击，黑客的目标被认为是李显龙的医疗记录，他的个人资料及开药记录已遭盗窃。

4.攻防最前线：近五亿物联网设备易受DNS重新绑定攻击
曾在蓝牙协议中发现 BlueBorne 漏洞的网络安全公司 Armis 警告称，当前近5亿“智能”设备易受已存在10年之久的 DNS 重新绑定攻击。最近多份报告指出，Blizzard 应用、uTorrent、Google Home、Roku TV 和 Sonos 设备中存在 DNS 重新绑定缺陷。受此启发，Armis 分析了这种攻击类型对物联网类型设备所产生的影响。

5.国产扫地机器人缔奇360被曝安全漏洞，可秒变监视器
近日，Positive Technologies公司的两位安全研究员Leonid Krolle和Georgy Zaytsev公布了影响到缔奇（Diqee）360扫地机器人的两个漏洞的相关信息。

6.特朗普-普京会晤之前芬兰遭遇大规模网络攻击
7月16日，特朗普总统在芬兰赫尔辛基会见了弗拉基米尔·普京。正如预期的那样，针对芬兰的攻击在会晤前几天飙升。有趣的是，这次俄罗斯不是最大的攻击者，也许是因为特朗普正在与普京会面？在本次会晤中，中国是最大的攻击者。

7.HNS僵尸网络新动态：瞄准智能家居设备
Hide'N Seek（HNS）僵尸网络最初是在今年1月份被发现的，最初的目标是家用路由器和IP摄像头，并采用了分散的点对点架构。截至到5月份，这个僵尸网络已经感染了超过9万台物联网设备，并开始针对更多的设备类型和架构。

8.有你的设备吗？约五亿物联网设备仍受DNS重绑定攻击影响
网络安全公司Aemis在去年发现蓝牙协议漏洞“BlueBorne”之后，于近日再次发出警告，称大约五亿的智能设备如今仍受DNS重绑定这种老式攻击的影响。

9.内鬼作祟：PLC源代码泄漏，三一重工近十亿泵车“失踪”
近日，备受关注的三一重工近十亿泵车失踪案终宣判：首犯被判四年半，内鬼获刑两年半。

10.一个新的蓝牙高危漏洞被发现，或影响数百万台设备
一个高危的加密漏洞已经被发现影响了一些蓝牙实现设备，该漏洞允许未经身份验证的远程攻击者在物理上接近目标设备，从而拦截、监视或操纵交换的流量。蓝牙漏洞CVE-2018-5383，影响来自一些主要供应商的固件或操作系统驱动程序，包括Apple、Broadcom、Intel和Qualcomm，而该漏洞对Google、Android和Linux的影响目前尚未确定。

行业发展动态
11.公安部：我国首次开展大数据安全整治
《经济参考报》记者获悉，我国正在开展的全国网络安全执法大检查行动中，首次开展针对大数据安全的整治工作，具体包括大数据的采集、存储、应用、传输、销毁等全生命周期的监管、安全以及保护。

12.陈肇雄：加快推动工业互联网创新发展
7月21日，“工业互联网创新发展”百千万人才工程创新大讲堂在北京举行。工业和信息化部副部长陈肇雄出席并做题为《加快推动工业互联网创新发展》的主旨报告，人力资源和社会保障部副部长汤涛出席并致辞。

13.网安法进行时
两年前的11月7日，全国人大常委会第二十四次会议审议通过了《网络安全法》。该法自2017年6月1日起正式施行，迄今已满一年时间。与审议阶段公开征求意见时，建言献策、争论甚至批评的热闹场景不同，在网安法实施周年纪念的时刻，舆论表现得相对比较平静，但这并不表明这部法律的长远意义有所减弱。以网络安全法颁布实施为标志，我国网络安全的顶层设计趋于完善。在综合立法方面由后进到前移，其对国际网络治理体系的影响可以通过一些国家相继出台网安法的举措中得到印证。

14.荐读 | 2018年中国工业信息安全发展现状分析
工业信息安全是指工业运行过程中的信息安全，涉及工业领域各个环节，直接关系到经济发展与社会稳定，包括工业控制系统安全、工业互联网安全、工业大数据安全、工业云安全、工业电子商务安全、关键信息基础设施安全等领域。

安全技术方案
15.吴沈括：欧盟GDPR与数据跨境问题分析
欧盟的《通用数据保护条例》（GDPR）对数据主体提出了更为充分的权利保障，对数据控制者提出了更为严格的限制。在数据转移问题上，GDPR提出了数据跨境的一般原则，任何正在处理或打算在转移给第三国或国际组织后处理的个人数据的转移，包括从第三国或国际组织向另一个第三国或另一国际组织转发个人数据，管理者和处理者都应遵守一定的条件，以保证自然人不受损害。据此，GDPR提出了充分性认定机制，对于欧盟向第三国转移数据的问题做出了原则性规定。对于数据流转国而言，充分性认定机制的提出，将对欧盟成员国以及第三国的数据保护问题提出新的挑战。各国都在探讨数据保护体系、数据保护系统执行机制，就该层面而言，数据问题则得到了前所未有的重视，而我国也应以此为契机，积极寻求数据保护机制的效用最大化。

16.智能汽车的网络安全与弹性优秀实践及指引介绍
欧洲网络与信息安全局（ENISA）在2016年12月发布了智能汽车的网络安全与弹性的优秀实践和指引报告，首先定义了智能汽车的典型架构及相关技术，分析智能汽车面临的风险和威胁，列举了四类攻击场景，指出如今存在三项差异，推荐了三类优秀实践，最后提出七条建议。

[本文资讯内容来源于互联网，版权归作者所有。由“工业互联网安全应急响应中心”整理发布]