全球动态

1. 工信部网络安全威胁和漏洞信息共享平台正式上线运行

为落实《网络产品安全漏洞管理规定》有关要求，工业和信息化部网络安全管理局组织建设的工业和信息化部网络安全威胁和漏洞信息共享平台（以下简称“平台”）（https://www.nvdb.org.cn）于2021年9月1日正式上线运行。[阅读原文]

2. 美新版管道网络安全标准涵盖所有控制系统

美国石油学会（API）本月发布了第三版管道网络安全标准，该标准侧重于管理与工业自动化和控制环境相关的网络风险。根据API（石油和天然气行业最大的贸易协会）的说法，该版本涵盖了所有的控制系统，而不是像前一版本那样只涵盖SCADA系统。[外刊-阅读原文]

3. 阿联酋网络安全委员会将进行"防护盾网络演习"

2021年8月31日消息，阿联酋网络安全委员会与国家危机和应急管理局（NCEMA）及其战略伙伴合作，计划从2021年9月开始进行"防护盾网络演习"。 演习将针对几个重要部门，涵盖各种网络攻击情况，包括在受监控的环境中模拟一系列网络攻击，以培训各部门并评估其快速应对电子事件的能力。[外刊-阅读原文]

4. 攻击者从 Cream Finance 窃取了价值 2900 万美元的加密货币

威胁行为者从去中心化金融 (DeFi) 平台 Cream Finance 窃取了价值超过 2900 万美元的加密货币资产。攻击者在平台的“闪电贷”功能中进行了“重入攻击”，窃取了 418,311,571 个 AMP 代币和 1,308.09 个 ETH 代币。[外刊-阅读原文]

5. 9月1日起，Microsoft 365 Usage Analytics 默认匿名化用户信息

微软宣布，从当地时间 2021 年 9 月 1 日起，它将开始默认匿名化Microsoft 365 Usage Analytics的用户信息 。可识别的记录字段将被替换为人工数据以删除识别细节。[外刊-阅读原文]

6. CISA 将单因素身份验证添加到不良做法列表中

美国网络安全和基础设施安全局 (CISA) 8月30日在“高风险”网络安全行为的名单中添加了单因素身份验证。这些被列举的行为可能会使关键基础设施以及政府和私营部门实体面临毁灭性的网络攻击。[外刊-阅读原文]

安全事件

1. HPE警告其 Aruba AirWave 管理平台中使用的 Sudo 开源程序存在漏洞

Hewlett Packard Enterprise (HPE) 警告称，其 Aruba AirWave 管理平台中使用的Sudo开源程序中存在严重的权限提升漏洞。该管理平台是 HPE 设计的实时监控和安全警报平台。无特权且未经身份验证的本地攻击者可以利用该漏洞在易受攻击的主机上获得 root 权限。[外刊-阅读原文]

2. Microsoft Exchange ProxyToken 漏洞可允许攻击者阅读用户的电子邮件

Microsoft Exchange Server 中一个被称为 ProxyToken (CVE-2021-33766) 的严重漏洞的技术细节已被公开披露。未经身份验证的攻击者可能会利用该漏洞从目标帐户访问电子邮件。[外刊-阅读原文]

3. 非接触式万事达卡和Maestro卡被曝新漏洞，黑客可以免密支付

研究人员发现了一个新的漏洞。该漏洞的关键之处在于，如果利用得当，盗贼可以使用被入侵的万事达卡或Maestro卡进行非接触式支付，无需输入密码即可完成交易。[阅读原文]

4. 网络犯罪分子正出售在 AMD、NVIDIA GPU 中隐藏恶意软件的工具

网络犯罪分子正在发掘新的攻击方向，这些恶意软件可以从被攻击系统的图形处理单元（GPU）中执行代码。现在，这个概念验证（PoC）在一个黑客论坛上被出售，这也许标志着网络犯罪分子的攻击已经到了一个新的复杂水平。[外刊-阅读原文]

5. 心怀不满的雇员试图部署勒索软件

一家企业中的员工主动与黑客团伙联系，要求他们在公司网络内释放恶意软件，并表示事成之后自己也要分取一定比例的赎金。[阅读原文]

6. 攻击者可以远程禁用Fortress S03 WiFi家庭安全系统

Rapid7研究人员发现了两个漏洞，攻击者可以利用这些漏洞远程禁用Fortress Security Store生产的Fortress S03 WiFi安全系统。[外刊-阅读原文]

优质文章

1. “三法”今天正式施行，网安人都在讨论什么

新法施行的第一天，网络安全从业者都就此话题展开了热切的讨论。FreeBuf也收集了网安人们对于新法施行的一些观点与看法，在此与大家分享。[阅读原文]

2. 浅谈如何规范开展等级保护定级和备案工作

最近《关键信息基础设施安全保护条例》（以下简称《条例》）正式公布并将于2021年9月1日起正式实施。业界形容《条例》开启了关键信息基础设施保护的新纪元，很是恰如其分。[阅读原文]

3. 美国：武器系统网络安全

美国防部武器系统的网络安全问题一直以来是美军关注的重点。美国政府问责署（GAO）近期审查发现，与过去的国防部采购项目相比，目前的采购项目在开发过程中进行了或计划进行更多的网络安全测试。然而，GAO 发现，多个采办项目合同中未明确网络安全要求，也未制定采用或拒绝以及验证的标准。[阅读原文]

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。