网络安全国内安全动态

DYNAMIC SECURITY

01

数据安全合规研讨会在京成功举办

9月21日下午，由中国信息通信研究院指导，中国信息通信研究院安全研究所和《中国信息安全》杂志社主办，北京亿赛通科技发展有限责任公司承办的“数据安全合规研讨会”在北京成功举办。研讨会采用线上线下相结合的方式，线下参会嘉宾50余位，线上观众超过2000位。会议现场，多位业界权威专家围绕数据安全合规治理、相关政策解读、实践成果分享、数据出境安全、个人信息安全等前沿话题展开深入的交流探讨，积极为数据安全行业工作提出有益的意见建议。

https://safe.it168.com/a2022/0923/6765/000006765288.shtml

浙江召开海洋强省建设推进会 袁家军讲话

20日下午，海洋强省建设推进会在杭举行，省委书记袁家军强调要深入学习贯彻习近平总书记关于海洋强国的重要论述精神，忠实践行“八八战略”，突出创新制胜、变革重塑、优势叠加、开放合作，坚持全省域、全方位、系统性推进海洋经济发展，全力推动国家战略落地，深入推进海洋强省建设“八大行动”，进一步放大海洋优势、激发海洋价值，加快建设依海富民、向海图强、人海和谐、合作共赢的海洋强省，努力建设国家经略海洋实践先行区，为海洋强国建设作出更大贡献。

http://www.zjsjw.gov.cn/toutiao/202209/t20220921_7003153.shtml

国家信息中心牵头制定的《数字化城市时空数据标识编码规则》团体标准正式发布

由国家信息中心牵头提出，中关村空间信息产业技术联盟归口管理，北京大学、北京都在哪智慧城市科技有限公司、 北京北斗伏羲科技有限公司等单位联合编制的团体标准T/ZKJXX 00027-2022《数字化城市时空数据标识编码规则》正式发布。

https://www.sohu.com/a/587808345_416839

中国信通院联合中国通信企业协会发布《5G消息发展报告（2022年）》

2022年9月19日-22日，第五届“绽放杯”5G应用征集大赛5G消息专题赛的复赛、决赛在江苏省无锡市举办。在9月22日的颁奖仪式上，中国信息通信研究院（以下简称“中国信通院”）、中国通信企业协会，以及基础电信运营企业代表共同发布了《5G消息发展报告（2022年）》，中国信通院技术与标准研究所业务与网络研究部主任张大坤对白皮书进行了深度解读。

https://news.cnstock.com/industry,rdjj-202209-4960703.htm

河南一高校学信网信息泄露，校方：已报案

2022年9月19日，学校在日常网络舆情梳理中发现“学信网信息泄露”的话题。对此，学校高度重视，第一时间责成学生处、校团委、保卫处等部门对事件进行调查，要求快速查清事实，及时作出回应，给学生一个安心答复。经过多部门协同调查，与相关学生走访座谈，基本查清事实。现将有关情况说明如下。

2022年8月28日，校学生会一名学生干部参加社会实践活动期间，应郑州泽梦企业管理咨询有限公司业务人员要求，协助该公司擅自组织学生参与网上《信师宿舍满意度调查问卷》活动，通过学生干部QQ交流群发布调查问卷，组织2020级和2021级学生参加问卷调查。经查，该调查问卷最后一题是要求学生登录学信网并填写学信码，涉事公司事前向该生隐瞒了学信码的真实用途，该生对问卷调查的真实目的缺乏了解。经与填写问卷学生核实，确实存在部分学生学信码被盗用情况，造成这些学生在三个月内不能享受购买苹果平板电脑、耳机等产品的优惠政策。

针对该事件，学校有关部门已于9月19日上午向信阳市五星乡派出所报案，并立案调查。校团委第一时间召开团学会议，要求做好学生信息统计、事件解释和情绪安抚工作，同时，通知参与问卷调查的学生登录学信网关闭学信码。涉事学生干部已被撤职，责令写出深刻检讨，等待进一步处理。同时，与涉事企业进行严正交涉，要求该公司立即停止非法侵害行为，最大限度保护学生信息安全。目前，公安机关已掌握涉事公司收集我校学生个人信息情况，已责令该公司不得售卖学生信息，并最快消除不良后果，给我校学生一个满意交代。有关部门正与公安、网信部门保持密切联系，开展进一步调查，以确保学生信息安全。

最后，请同学们放心，也请同学们相信，学校将尽最大努力帮助学生挽回损失，消除此次事件可能造成的不良后果，后续事件进展情况将及时跟踪公布。

https://mp.weixin.qq.com/s/IArK0hIbRfC9KfxaLLf3Ww

参考消息编译，据埃菲社智利圣地亚哥22日报道，智利武装部队参谋长联席会议主席吉列尔莫·派瓦将军在包括敏感的国家安全信息在内的大量电子邮件泄露后，于9月22日辞职。

报道称，派瓦辞职的消息得到了几家当地媒体的证实。在此之前，一个黑客组织利用安全漏洞，公布了40多万封参谋长联席会议的电子邮件，其中包括被列为“保密”、“机密”和“最高机密”的文件。

https://mp.weixin.qq.com/s/H3wv9gkVl6yXrNYEPcSr_Q

敌对黑客声称可操纵以色列某酒店游泳池的pH值和氯含量

在黑客组织GhostSec吹嘘它已经攻破了以色列的一个酒店游泳池控制器后，一组研究人员决定进行深入研究。 

网络攻击组织没有提供有关操作技术(OT)漏洞的详细信息，但Otorio公司的研究人员发现两个使用默认口令暴露在互联网上的Aegis II控制器。Aegis II控制器用于控制水池等位置的水中化学物质浓度。

上周，GhostSec声称它破坏了以色列的55个Berghof可编程逻辑控制器(PLC)。9月10日，该组织声称它控制了一家身份不明的酒店的泳池供水系统。

https://mp.weixin.qq.com/s/G72Nkj0ZWWeKKy67PVCv5A

美国航空公司上周末（9月16日）发出客户通知信确认遭遇黑客攻击，声称攻击者获取了数量不明的客户和员工电子邮件账户和敏感个人信息。

https://mp.weixin.qq.com/s/Yqh_hmU2NTi05gNssMvjRQ

Samsung SMR是韩国三星（Samsung）公司的一个系统补丁包。提供了三星手机应用的补丁程序。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞启动某些活动，进行越界写入，执行代码等。

CNVD收录的相关漏洞包括：Samsung SMR输入验证错误漏洞（CNVD-2022-63630、CNVD-2022-63647）、Samsung SMR缓冲区溢出漏洞（CNVD-2022-63652）、Samsung SMR堆缓冲区溢出漏洞（CNVD-2022-63631、CNVD-2022-63655、CNVD-2022-63658、CNVD-2022-63656、CNVD-2022-63659）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

IBM Spectrum Scale是美国IBM公司的一套基于IBM GPFS（专为PB级存储管理而优化的企业文件管理系统）的可扩展的数据及文件管理解决方案。该产品支持帮助客户减少存储成本，同时提高云、大数据和分析环境中的安全性和管理效率等。IBM i是一套运行在IBM Power Systems和IBM PureSystems中的操作系统。IBM Aspera是一套基于IBM FASP协议构建的快速文件传输和流解决方案。IBM Sterling Secure Proxy是一个用于确保组织非保护区(DMZ)中文件安全传输的应用程序代理。IBM Security Identity Governance and Intelligence（IGI）是的一套身份治理解决方案。该产品包括生命周期管理、访问风险评估和身份认证管理等功能。IBM Robotic Process Automation是一种机器人流程自动化产品。可帮助您以传统 RPA 的轻松和速度大规模自动化更多业务和IT流程。IBM InfoSphere Information Server是一套数据整合平台。该平台可用于整合各种渠道获取的数据信息。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞进行未授权访问，在URL参数中获取敏感信息，导致拒绝服务，执行任意命令等。

CNVD收录的相关漏洞包括：IBM i SQL注入漏洞（CNVD-2022-63180）、IBM Aspera访问控制错误漏洞、IBM Sterling Secure Proxy信任管理问题漏洞、IBM Security Identity Governance and Intelligence信息泄露漏洞（CNVD-2022-63183）、IBM Robotic Process Automation SQL注入漏洞、IBM InfoSphere Information Server命令执行漏洞、IBM Sterling External Authentication Server和IBM Sterling Secure Proxy拒绝服务漏洞、IBM Spectrum Scale加密问题漏洞（CNVD-2022-63371）。其中，“IBM Robotic Process Automation SQL注入漏洞、IBM InfoSphere Information Server命令执行漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

Siemens产品安全漏洞

Parasolid是一种3D几何建模工具，支持各种技术，包括实体建模、直接编辑和自由曲面/片材建模。Simcenter Femap是一种高级仿真应用程序，用于创建、编辑和检查复杂产品或系统的有限元模型。本周，上述产品被披露存在越界写入漏洞，攻击者可利用漏洞在当前进程的上下文中执行代码。

CNVD收录的相关漏洞包括：Siemens Simcenter Femap and Parasolid越界写入漏洞（CNVD-2022-62982、CNVD-2022-62980、CNVD-2022-62979、CNVD-2022-62985、CNVD-2022-62984、CNVD-2022-62983、CNVD-2022-62986、CNVD-2022-62990）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

SAP产品安全漏洞

SAP Adaptive Server Enterprise（ASE）是德国思爱普（SAP）公司的一款关系型数据库服务器。SAP Cloud Connector是一款用于连接SAP云平台的连接器。SAP NetWeaver Application Server是一款应用程序服务器。SAP Mobile Platform是用于构建和部署移动app的便于用户连接的平台。SAP NetWeaver是一套面向服务的集成化应用平台。该平台可为SAP应用提供开发和运行环境。SAP Enterprise Portal是一个应用软件。一个综合性的集成和应用程序平台，可促进跨组织和技术边界的人员、信息和业务流程的一致性。SAP SAPCAR是一款用于压缩和/或解压缩SAP存档文件的实用程序。SAP Focused Run是一个数据中心和大客户系统运维管理方案(高容量监控，警报，诊断和分析的终极解决方案)。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过证书认证，通过路径遍历进行代码注入从而访问文件或目录，在客户端执行JavaScript代码，将自己的权限提升为本地Unix系统上的root权限等。

CNVD收录的相关漏洞包括：SAP Adaptive Server Enterprise权限提升漏洞、SAP Cloud Connector信任管理问题漏洞、SAP Cloud Connector路径遍历漏洞、SAP NetWeaver Application Server跨站脚本漏洞（CNVD-2022-63625）、SAP Mobile Platform SDK资源管理错误漏洞、SAP NetWeaver Enterprise Portal跨站脚本漏洞（CNVD-2022-63628）、SAP SAPCAR存在输入验证错误漏洞、SAP Focused Run访问控制错误漏洞。其中，“SAP Adaptive Server Enterprise权限提升漏洞、SAP SAPCAR存在输入验证错误漏洞、SAP Focused Run访问控制错误漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：