Hechos rápidos
1. Los siguientes estándares nacionales de seguridad de la información se implementarán el 1 de octubre.
2. GitLab lanza parches de seguridad de emergencia para corregir vulnerabilidades de alto riesgo
. 3. ¡Todas las tarjetas gráficas convencionales se ven afectadas! El ataque de canal lateral GPU.zip puede filtrar datos confidenciales
4. La vulnerabilidad MOVEit provocó una filtración a gran escala de información de estudiantes de 900 colegios y universidades en los Estados Unidos
5. El proveedor francés de espacio y defensa Exail fue pirateado y filtró una gran cantidad de información confidencial
6. El sitio web de la familia real británica fue atacado por DDoS y quedó paralizado por el ataque.
Noticias políticas de la semana
Los siguientes estándares nacionales de seguridad de la información se implementarán el 1 de octubre.
"Directrices para la seguridad de los datos en el campo de las telecomunicaciones de la tecnología de seguridad de la información"
Fecha de implementación: 2023-10-01
Número de estándar: GB/T 42447-2023
Descripción general/Requisitos: Este documento proporciona los principios de seguridad y las medidas de seguridad generales para llevar a cabo actividades de procesamiento de datos en el campo de las telecomunicaciones y la implementación de la recopilación y el almacenamiento de datos. , uso y procesamiento Se deben tomar las medidas de seguridad correspondientes durante el proceso de transmisión, suministro, divulgación, destrucción, etc. Es adecuado para guiar a los procesadores de datos de telecomunicaciones para que realicen trabajos de protección de seguridad de datos, y también es adecuado para guiar a organizaciones de terceros para que realicen trabajos de evaluación de seguridad de datos de telecomunicaciones.
"Requisitos técnicos generales para el conocimiento de la situación de seguridad de la red de la tecnología de seguridad de la información"
Fecha de implementación: 2023-10-01
Número de estándar: GB/T 42453-2023
Descripción general/requisitos: este documento brinda el marco técnico de conocimiento de la situación de seguridad de la red y especifica los requisitos técnicos generales para los componentes principales del marco. Este documento es aplicable a seguridad de redes Planificación, diseño, desarrollo, construcción y evaluación de productos, sistemas o plataformas de conciencia situacional.
"Requisitos básicos para las competencias de los profesionales de seguridad de redes de tecnología de seguridad de la información"
Fecha de implementación: 2023-10-01
Número de estándar: GB/T 42446-2023
Descripción general/requisitos: este documento establece la clasificación de los profesionales de seguridad de redes y estipula los requisitos de conocimientos y habilidades para varios tipos de profesionales. Es adecuado para el uso, capacitación, evaluación y gestión de profesionales de seguridad de redes por parte de diversas organizaciones.
"Guía de evaluación del efecto de desidentificación de la información personal de la tecnología de seguridad de la información"
"Requisitos de seguridad del sistema del servicio de nombres de dominio público de la
tecnología de seguridad de la información" "Guía de medición de costos del servicio de seguridad de la red de tecnología de seguridad de la información"
"Identificación de la entidad de tecnología de seguridad de la tecnología de la información Parte 3: Uso de la tecnología de firma digital" Mecanismo"
"Tecnología de la información Tecnología de seguridad Firma digital con Apéndice Parte 1: Descripción general"
"Tecnología de seguridad de la información Marco de evaluación de garantía de seguridad del sistema de información Parte 1: Introducción y modelo general"
"Tecnología de seguridad de la información Infraestructura de clave pública Requisitos de tecnología de seguridad del sistema PKI"
"Seguridad de la información Tecnología Infraestructura de clave pública Método de evaluación de seguridad del sistema PKI"
"Guía de implementación y requisitos básicos de acceso de seguridad VPN IPSec de tecnología de seguridad de la información"
Fuente de información: Yue Mi Yue An https://mp.weixin.qq.com/s/6CsEvv9YHqXhJHEjbmtNpA
Un vistazo rápido a las noticias de la industria
GitLab lanza un parche de seguridad de emergencia para corregir vulnerabilidades de alto riesgo
GitLab lanzó un parche de seguridad de emergencia el jueves para corregir una vulnerabilidad grave que permite a los atacantes ejecutar canalizaciones como otros usuarios.
La vulnerabilidad, numerada CVE-2023-5009 (puntuación CVSS: 9,6), afecta a todas las versiones de GitLab Enterprise Edition (EE) desde la 13.12 a la 16.2.7 y desde la 16.3 a la 16.3.4. La vulnerabilidad fue descubierta y reportada por el investigador de seguridad Johan Carlsson (alias joaxcar).
"Es posible que un atacante ejecute una tubería como un usuario arbitrario a través de una política de escaneo de seguridad programada", dijo GitLab en un aviso. "La vulnerabilidad es CVE-2023-3932 (que GitLab solucionó a principios de agosto de 2023). y demostró un impacto adicional".
Al explotar CVE-2023-5009, un atacante podría acceder a información confidencial o explotar los privilegios de un usuario suplantado para modificar el código fuente o ejecutar código arbitrario en el sistema, causando graves consecuencias.
GitLab recomienda encarecidamente a los usuarios que actualicen su GitLab instalado a la última versión lo antes posible para evitar riesgos potenciales.
Fuente: Ir UpSec https://mp.weixin.qq.com/s/TqEpqeELVwldRHro-TpVow
¡Todas las tarjetas gráficas convencionales se ven afectadas! El ataque de canal lateral GPU.zip puede filtrar datos confidenciales
Recientemente, investigadores de cuatro universidades estadounidenses desarrollaron un nuevo ataque de canal lateral de GPU dirigido a una vulnerabilidad en las tarjetas gráficas convencionales. Cuando los usuarios visitan páginas web maliciosas, el ataque puede utilizar la tecnología de compresión de datos de GPU para robar datos confidenciales de las tarjetas gráficas modernas: datos visuales.
Los investigadores han demostrado la eficacia de este ataque "GPU.zip" realizando un ataque de robo de píxeles de filtro SVG de origen cruzado en el navegador Chrome y revelaron la vulnerabilidad a los fabricantes de tarjetas gráficas afectados en marzo de 2023.
Sin embargo, en septiembre de 2023, ninguno de los proveedores de GPU afectados (AMD, Apple, ARM, Nvidia, Qualcomm) o Google (Chrome) ha lanzado un parche de vulnerabilidad.
Investigadores de la Universidad de Texas en Austin, la Universidad Carnegie Mellon, la Universidad de Washington y la Universidad de Illinois en Urbana-Champaign detallaron la vulnerabilidad en un artículo que se presentará en el 45º seminario IEEE Security & Privacy Presentado en.
Fuente: GoUpSec https://mp.weixin.qq.com/s/5NfniSDI9QZJ9jj55uaVNA
La vulnerabilidad de MOVEit provocó una filtración a gran escala de información de estudiantes de 900 colegios y universidades en los Estados Unidos
El NSC (National Student Clearinghouse), una organización educativa sin fines de lucro en los Estados Unidos, reveló recientemente que su servidor MOVEit fue comprometido y la información personal de estudiantes de casi 900 colegios y universidades fue robada.
NSC proporciona informes educativos, intercambio de datos, servicios de verificación e investigación a aproximadamente 3.600 colegios y universidades y 22.000 escuelas secundarias de América del Norte.
El Consejo de Seguridad Nacional presentó una carta de notificación de violación de datos a la Oficina del Fiscal General de California en nombre de las escuelas afectadas, revelando que los atacantes obtuvieron acceso al servidor MOVEit Managed File Transfer (MFT) del NSC el 30 de mayo y robaron archivos que contenían una gran cantidad. de información personal.
Según la carta de notificación, la información de identificación personal (PII) de los estudiantes contenida en los documentos robados incluía nombres, fechas de nacimiento, información de contacto, números de Seguro Social, números de identificación de estudiantes y algunos registros relacionados con la escuela, como registros de inscripción, registros de títulos. y cursos datos de nivel).
El Consejo de Seguridad Nacional también publicó una lista de organizaciones educativas afectadas por la violación de datos.
Fuente: GoUpSec https://mp.weixin.qq.com/s/HiN2aY6ZqgbFvpelV-BYYA
El proveedor francés de espacio y defensa Exail fue pirateado y filtró una gran cantidad de información confidencial
El equipo de investigación de Cybernews descubrió que el grupo industrial francés de alta tecnología Exail expuso un archivo de entorno de acceso público (.env) con credenciales de base de datos.
Fundada en 2022 tras la fusión de ECA Group e iXblue, Exail se especializa en tecnologías robótica, marítima, de navegación, aeroespacial y fotónica, y entre sus clientes se incluye la Guardia Costera de EE. UU. Debido a estas características, Exail es un objetivo particularmente interesante para los atacantes.
El equipo de investigación descubrió que un archivo .env de acceso público alojado en el sitio web exail.com había quedado expuesto en Internet, permitiendo que cualquiera pudiera acceder a él. Los archivos de entorno actúan como un conjunto de instrucciones para un programa informático. Por lo tanto, la apertura completa del archivo puede exponer datos críticos. Una vez accedidos, un atacante puede ver, modificar o eliminar datos confidenciales y realizar operaciones no autorizadas, y proporcionar al atacante Una gama de opciones de ataque.
El equipo de investigación también descubrió que las versiones del servidor web de Exail y sistemas operativos específicos también estaban comprometidos. Si un atacante conoce el sistema operativo y su versión que se ejecuta en un servidor de red, puede explotar vulnerabilidades específicas relacionadas con el sistema operativo.
Y los servidores web con exposiciones conocidas específicas del sistema operativo pueden convertirse en objetivos de herramientas de escaneo automatizado, malware y botnets. Una vez que un atacante comprende las características de un sistema operativo, puede concentrarse en encontrar y explotar vulnerabilidades relacionadas con ese sistema operativo. Pueden utilizar técnicas como escaneo, atestación o vulnerabilidades conocidas para obtener acceso a un servidor o comprometer su seguridad.
Además, un atacante podría aprovechar las debilidades específicas del sistema operativo para lanzar un ataque de denegación de servicio (DoS) en un servidor web expuesto, interrumpiendo el funcionamiento del servidor.
Después de que el equipo de investigación de Cybernews informó a Exail, la otra parte solucionó el problema, pero no reveló información más detallada sobre el problema.
Fuente: FreeBuf https://mp.weixin.qq.com/s/WyrHQr7Ni8x-LbQysmpX-g
Sitio web de la familia real británica paralizado debido a un ataque DDoS
Según los informes, el sitio web oficial de la familia real británica estaba fuera de línea debido a un ataque distribuido de denegación de servicio (DDoS) el domingo (1 de octubre). Según el Independent, el sitio web Royal.uk estuvo inaccesible durante unos 90 minutos a partir de las 10 a.m. hora local. Aunque en el momento de escribir este artículo se había implementado una verificación de Cloudflare para garantizar que las direcciones IP que buscaban acceso al sitio no fueran bots automatizados, pronto volvió a estar completamente operativo. Según los informes, el famoso grupo de hackers ruso Killnet se jactó en su canal de Telegram de ser responsable del ataque, aunque esto no ha sido confirmado. Oseloka Obiora, director de tecnología del proveedor de seguridad RiverSafe, cree que todas las organizaciones deben garantizar que su postura de seguridad sea adecuada para su propósito. Los ataques DDoS se han convertido en la herramienta favorita de los hacktivistas rusos que buscan castigar a los aliados de Ucrania y ganar puntos geopolíticos. El pasado mes de octubre, Killnet afirmó haber lanzado graves ataques DDoS en los sitios web de más de una docena de aeropuertos de Estados Unidos.
Fuente: Chat de Internet más https://mp.weixin.qq.com/s/3WUpLbvz5qjZqD9Q3aqq-g
Fuente: El contenido publicado por este Security Weekly se recopila y compila de Internet. Es solo para compartir. No significa que usted esté de acuerdo con sus puntos de vista ni confirme la autenticidad de su contenido. Algunos contenidos se publicaron sin comunicarse con el autor original. . Si hay derechos de autor involucrados, si tiene alguna pregunta, comuníquese con nosotros y la eliminaremos lo antes posible. ¡Gracias!