网络安全国内安全动态

DYNAMIC SECURITY

01

全国网信办主任会议在京召开

1月4日至5日，全国网信办主任会议在京召开。会议以习近平新时代中国特色社会主义思想特别是习近平总书记关于网络强国的重要思想为指导，深入学习宣传贯彻党的二十大精神以及中央经济工作会议、全国宣传部长会议精神，回顾总结2022年网络安全和信息化工作，研究部署2023年工作。中央宣传部副部长、中央网信办主任、国家网信办主任庄荣文出席会议并讲话。中央网信办副主任、国家网信办副主任盛荣华主持会议。中央网信办副主任、国家网信办副主任曹淑敏、牛一兵、赵泽良出席会议。

https://baijiahao.baidu.com/s?id=1754242886147332397&wfr=spider&for=pc

“政府数据开放专区”正式上线

2023年1月5日，由中国信息通信研究院（以下简称“中国信通院”）、中国通信标准化协会指导，中国通信标准化协会大数据技术标准推进委员会主办，数据安全推进计划承办的第二届数据安全治理峰会在北京召开，本次峰会的主题为“筑牢安全根基 促进数据利用”。

https://baijiahao.baidu.com/s?id=1753653226029537525&wfr=spider&for=pc

工信部：公开征集百项行业标准计划项目意见，多项涉及网络数据安全

工业和信息化部发布公告，公开征集对《5G核心网异网漫游安全防护及检测要求》等792项行业标准、10项行业标准外文版和104项推荐性国家标准计划项目的意见。

https://mp.weixin.qq.com/s/xeVRTuhW2yTp00rVu7Fvtg

《数据安全治理实践指南（2.0）》正式发布

2023年1月5日，在第二届数据安全治理峰会上，《数据安全治理实践指南（2.0）》正式发布。

https://mp.weixin.qq.com/s/Ksxi7p-WBefJqVkT_mCkWQ

近日安全研究人员Sam Curry披露了近20家知名汽车制造商在线服务中的API安全漏洞，这些漏洞可能允许黑客执行恶意活动，包括从解锁、启动、跟踪汽车到窃取客户个人信息。这可能是汽车行业迄今披露的影响最为广泛，也最为严重的安全漏洞。

https://mp.weixin.qq.com/s/kNHUX8ZhCU0e_1eNp2WCXQ

NIST发布太空运营-地面部分网络安全指南

美国国家标准与技术研究院 (NIST) 发布了一个网络安全框架，涵盖太空运营的地面部分（Satellite Ground Segment），重点是卫星总线和有效载荷的指挥和控制。该计划将协助航天部门商业地面部分的运营商为其系统提供网络安全，并为利益相关者提供一种评估其网络安全态势的方法。

https://www.secrss.com/articles/50718

据俄罗斯卫星通讯社报道，俄罗斯武装力量军事政治总局第一副局长谢尔盖·谢夫留科夫中将4日称，俄军在马克耶夫卡遭袭的主要原因是人员使用手机并被乌军定位，目前正采取措施避免今后发生类似情况，有关人员将被追责。

据报道，1月1日跨年夜，乌克兰炮兵向俄军在马克耶夫卡地区的一个临时部署点发射了6枚“海马斯”火箭弹，其中2枚被防空系统拦截，4枚装有杀伤爆破弹头的火箭弹击中俄罗斯军人所在的建筑物。谢夫留科夫此前报告，清理废墟之后，袭击造成的俄军死亡人数升至89人，其中包括一名副团长。

https://mp.weixin.qq.com/s/YsWhPpDPXCuINspg4PF8UQ

1月4日消息，位于不列颠哥伦比亚省的加拿大铜山矿业公司（CMMC）公布，因遭受勒索软件攻击，业务运营受到影响。

铜山矿业占地18000英亩，平均年产铜料1亿磅，其矿产储量预计可继续开采32年。日本三菱综合材料株式会社持有该公司部分股权。

此次勒索软件攻击发生在2022年12月27日晚，铜山矿业IT团队已通过预定义的风险管理系统及协议迅速做出响应。

为了遏制此次事件，铜山矿业隔离了受感染系统并将其余部分关闭，旨在全面盘查并确定勒索软件攻击的影响。作为预防措施，铜山矿业的工程师们不得不关停矿场以确定控制系统当前状态，其余流程则转为手动操作。

https://mp.weixin.qq.com/s/s4IRkOBdjonjPw-fvZDG9w

Siemens Parasolid是德国西门子（Siemens）公司的一个几何建模内核。Siemens Simcenter STAR-CCM+是德国西门子（Siemens）公司的一个完整的多物理场解决方案，可对真实条件下工作的产品和设计进行仿真。Siemens SICAM PAS/PQS是德国西门子（Siemens）公司的一款带有用于能源自动化和电能质量操作系统的软件。Siemens Solid Edge是德国西门子（Siemens）公司的一款三维CAD软件。该软件可用于零件设计、装配设计、钣金设计、焊接设计等行业。Siemens LOGO! 8 BM是德国西门子（Siemens）公司的一个用于工业环境用于Windows平台的编程软件。Siemens Industrial Edge Management是德国西门子（Siemens）公司的一个平台，用于在靠近车间的计算平台上托管来自不同供应商的应用程序。Siemens Desigo PX是德国西门子（Siemens）公司的一套楼宇自动化控制系统。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞以root权限执行任意系统命令，在应用程序崩溃时发送消息并创建拒绝服务条件等。

CNVD收录的相关漏洞包括：Siemens Parasolid越界写入漏洞（CNVD-2022-89757）、Siemens Simcenter STAR-CCM+权限提升漏洞、Siemens SICAM PAS/PQS输入验证错误漏洞、Siemens Solid Edge堆缓冲区溢出漏洞（CNVD-2022-89764）、Siemens LOGO! 8 BM输入验证错误漏洞（CNVD-2022-89766）、Siemens LOGO! 8 BM缓冲区溢出漏洞（CNVD-2022-89767）、Siemens Industrial Edge Management信任管理问题漏洞、多款Siemens产品操作系统命令注入漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

https://www.cnvd.org.cn/flaw/show/CNVD-2022-89757

https://www.cnvd.org.cn/flaw/show/CNVD-2022-89758

https://www.cnvd.org.cn/flaw/show/CNVD-2022-89760

https://www.cnvd.org.cn/flaw/show/CNVD-2022-89764

https://www.cnvd.org.cn/flaw/show/CNVD-2022-89766

https://www.cnvd.org.cn/flaw/show/CNVD-2022-89767

https://www.cnvd.org.cn/flaw/show/CNVD-2022-91613

https://www.cnvd.org.cn/flaw/show/CNVD-2022-91640

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，在系统上执行任意代码，造成拒绝服务。

CNVD收录的相关漏洞包括：Google Android权限提升漏洞（CNVD-2022-89770、CNVD-2022-89777）、Google Android拒绝服务漏洞（CNVD-2022-89771、CNVD-2022-89772、CNVD-2022-89773）、Google Android代码执行漏洞（CNVD-2022-89774、CNVD-2022-89776）、Google Android信息泄露漏洞（CNVD-2022-89775）。其中，“Google Android权限提升漏洞（CNVD-2022-89770、CNVD-2022-89777）、Google Android代码执行漏洞（CNVD-2022-89774、CNVD-2022-89776）” 的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

IBM产品安全漏洞

IBM Security Verify Governance Identity Manager是IBM一款基于网络设备的集成，主要用以业务为中心的规则、活动和流程。IBM Spectrum Control（前称Tivoli Storage Productivity Center）是美国国际商业机器（IBM）公司的一套存储资源管理软件。该软件可以为多个存储系统提供监控、自动化和分析。IBM Security Guardium是美国国际商业机器（IBM）公司的一套提供数据保护功能的平台。该平台包括自定义UI、报告管理和流线化的审计流程构建等功能。IBM Cognos Analytics是美国IBM公司的一套商业智能软件。该软件包括报表、仪表板和记分卡等，并可通过分析关键因素与关键人等内容，协助企业调整决策。IBM Engineering Requirements Quality Assistant是美国IBM公司的一款基于Watson AI用于辅助开发人员提高工程需求质量的软件。该应用可显著降低发现缺陷成本，有利于尽早发现工程流程中的需求错误，加快产品上市。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞向内部网络或本地文件系统发出任意请求，获取敏感信息，在Web UI中嵌入任意JavaScript代码等。

CNVD收录的相关漏洞包括：IBM Security Verify Governance Identity Manager信息泄露漏洞（CNVD-2022-91125）、IBM Spectrum Control弱加密漏洞、IBM Security Guardium信息泄露漏洞（CNVD-2022-91128）、IBM Cognos Analytics服务器端请求伪造漏洞、IBM Cognos Analytics跨站脚本漏洞（CNVD-2022-91132）、IBM Cognos Analytics敏感信息泄露漏洞（CNVD-2022-91131）、IBM Cognos Analytics日志注入漏洞、IBM Engineering Requirements Quality Assistant输入验证错误漏洞。其中，“IBM Spectrum Control弱加密漏洞、IBM Cognos Analytics服务器端请求伪造漏洞、IBM Cognos Analytics日志注入漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

Adobe产品安全漏洞

Adobe Experience Manager（AEM）是美国奥多比（Adobe）公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。本周，上述产品被披露存在跨站脚本漏洞，攻击者可利用漏洞在浏览器上下文中执行恶意JavaScript。

CNVD收录的相关漏洞包括：Adobe Experience Manager跨站脚本漏洞（CNVD-2022-91149、CNVD-2022-91148、CNVD-2022-91147、CNVD-2022-91146、CNVD-2022-91152、CNVD-2022-91151、CNVD-2022-91150、CNVD-2022-91156）。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-91149

https://www.cnvd.org.cn/flaw/show/CNVD-2022-91148

https://www.cnvd.org.cn/flaw/show/CNVD-2022-91147

https://www.cnvd.org.cn/flaw/show/CNVD-2022-91146

https://www.cnvd.org.cn/flaw/show/CNVD-2022-91152

https://www.cnvd.org.cn/flaw/show/CNVD-2022-91151

https://www.cnvd.org.cn/flaw/show/CNVD-2022-91150

https://www.cnvd.org.cn/flaw/show/CNVD-2022-91156

LibreNMS命令注入漏洞（CNVD-2022-91160）

LibreNMS是LibreNMS社区的一套基于PHP和MySQL的开源网络监控系统。该系统具有自定义警报、自动发现网络环境和自动更新等特点。本周，LibreNMS被披露存在命令注入漏洞，该漏洞源于service_ip、hostname和service_param参数未能正确过滤构造命令特殊字符、命令等。攻击者可利用该漏洞导致任意命令执行。目前，厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-91160