01
網信辦發布《網絡數據安全管理條例(征求意見稿)》
國家網信辦于11月14日發布了《網絡數據安全管理條例(征求意見稿)》的公開征求意見通知。截至今年6月,我國網民規模達10.11億,由此產生的網絡數據量更是天文數字。該條例規范網絡數據處理活動,保護個人、組織在網絡空間的合法權益,維護國家安全和公共利益。中國互聯網協會法工委副秘書長胡鋼指出,這是新時代規范互聯網平臺企業,強化反壟斷和資本無序擴張的應有之義,也是維護國家安全、保護社會公共利益的需要。
原文鏈接:
http://www.cac.gov.cn/2021-11/14/c_1638501991577898.htm
02
VMware修復Tanzu中的DoS漏洞CVE-2021-22101
VMware在11月11日發布補丁,修復了Tanzu Application Service中的漏洞CVE-2021-22101。該漏洞存在于Cloud Foundry的云控制器(CAPI),CVSSv3評分為7.5。遠程攻擊者利用此漏洞時,可以通過使用REST HTTP請求生成大量的SQL查詢導致數據庫(ccdb)不可用,來觸發拒絕服務狀態。
原文鏈接:
https://us-cert.cisa.gov/ncas/current-activity/2021/11/12/vmware-releases-security-update-tanzu-application-service-vms
03
CISA披露多個DDS供應商的設備中13個漏洞的細節
CISA在11月11日發布了一條ICS咨詢,披露了6個多數據分發服務(DDS)供應商的設備中存在的13個漏洞的細節。這些漏洞涉及到Eclipse、eProsima和GurumNetworks等公司,涉及到的設備包括CycloneDDS、FastDDS、GurumDDS和OpenDDS等。其中較為嚴重的漏洞為GurumDDS中基于堆的緩沖區溢出漏洞(CVE-2021-38439),OCI OpenDDS中的DoS漏洞(CVE-2021-38447)和可能導致拒絕服務條件和信息泄露的漏洞(CVE-2021-38429)等。
原文鏈接:
https://us-cert.cisa.gov/ics/advisories/icsa-21-315-02
04
Cloudflare宣布其抵御了高達2 Tbps的DDoS攻擊
美國網絡安全公司Cloudflare在11月15日宣布其抵御了迄今為止遇到的最大攻擊DDoS攻擊,峰值略低于2 Tbps。此次攻擊活動是結合了DNS放大攻擊和UDP泛洪的多向量攻擊,整個過程只持續了一分鐘,來自約15000個機器人組成的僵尸網絡Mirai變種。Cloudflare報告稱第三季度網絡層DDoS攻擊活動比上一季度增加了44%,該公司在8月抵御了每秒1720萬次請求的DDoS攻擊,微軟在10月稱其云服務Azure抵御了2.4 Tbps的DDoS攻擊。
原文鏈接:
https://securityaffairs.co/wordpress/124634/security/cloudflare-mitigated-ddos-2-tbps.html
05
Ivanti發布2021年Q3勒索攻擊態勢的分析報告
Ivanti于11月9日發布了2021年Q3勒索攻擊態勢的分析報告。報告指出,第三季度與勒索軟件相關的漏洞較之上一季度增加了4.5%,總數達到278個;勒索軟件家族增加了3.4%,總數達到151個。報告還發現勒索運營團伙仍在積極利用零日漏洞;攻擊中使用的技術也變得越來越復雜,例如dropper as-a-service;有3個可追溯到2020年或更早的漏洞與這一季度的新勒索軟件有關。
原文鏈接:
https://www.ivanti.com/lp/security/reports/2021-q3-ransomware-index-spotlight-report
06
Check Point發布2021年10月全球威脅指數報告
Check Point在近期發布了2021年10月全球威脅指數報告。報告指出,Trickbot仍位居惡意軟件榜單之首,影響了全球4%的組織,其次是XMRig(3%)和Remcos(2%);教育和研究行業是全球受攻擊最多的行業,其次是通信行業,以及政府和軍事組織;最常見的漏洞是Web服務器URL目錄遍歷漏洞,包括CVE-2010-4598和CVE-2011-2474等;xHelper 仍然是最常見的移動惡意軟件,其次是AlienBot和XLoader。
原文鏈接:
