6月26日,星期一,您好!中科汇能与您分享信息安全快讯:
01
《2023年中国网络安全市场与企业竞争力分析》报告发布
近日,中国网络安全产业联盟(CCIA)发布《2023年中国网络安全市场与企业竞争力分析》报告。该报告由数说安全提供研究支持,从网络安全产业规模及增速、行业集中度、主要企业市场占有率、市场区域分布、客户与行业分布、企业数量及分布、行业六大趋势、市场采购趋势、市场竞争格局等多个维度分析网络安全市场与企业竞争力。
《报告》旨在客观、真实准确反映当前我国网络安全市场情况,评估网络安全企业竞争力情况,研究网络安全市场格局演变趋势,希望能够为产业相关从业者提供有效参考。
02
国家网络安全通报中心:关于谨慎采购使用未通过网络安全审查的软硬件产品的预警通报
谨慎采购使用未通过网络安全审查的软硬件产品,切实维护我国重要信息系统安全和国家安全。
为防止供应链安全风险,请网络安全等级保护第三级及以上信息系统相关网络运营者依照《网络安全法》等法律法规规定,切实增强风险意识,加强安全评估,谨慎采购使用未通过网络安全审查的软硬件产品,切实维护我国重要信息系统安全和国家安全。
03
大量飞行员敏感数据泄露,全球最大航空公司遭遇供应链攻击
近日,全球最大的两家航空公司美国航空和西南航空披露了一起数据泄露事件。泄露原因是航空飞行员管理招聘平台Pilot Credentials遭遇了黑客入侵。
此次攻击事件仅影响到了Pilot Credentials的系统,对航空公司的网络或系统并未造成损害或影响。黑客入侵了Pilot Credentials的系统,窃取了飞行员申请人及飞行员学员招聘过程中提供的个人信息文件。
美国航空公司表示,此次事件导致至少5745名飞行员和申请人的数据被泄露,西南航空公司报告的数据泄露总数为3009人。
04
近 1000 万驾照持有者信息在DMV、OMV网络攻击中泄露
俄勒冈州 DMV 和路易斯安那州 OMV 的网络攻击已泄露近 1000 万驾照持有者的敏感数据。
据路易斯安那州 OMV(机动车辆办公室)称,网络攻击影响了该州所有驾驶执照、身份证或汽车登记号码的持有者。暴露的数据包括受害者的姓名、地址、社会安全号码、出生日期、身高、眼睛颜色、驾驶执照号码、车辆登记信息和残障标牌信息。
05
06
vCenter Server 是VMware 的 vSphere 套件控制中心,也是一款服务器管理解决方案,帮助管理员管理和监控虚拟化基础设施。这些漏洞位于 vCenter Server 使用的 DCE/RPC 协议实现中。该协议可通过创建虚拟的统一计算环境在多个系统实施无缝操作。
VMware 已为四个高危漏洞发布安全更新,包括堆溢出漏洞 (CVE-2023-20892)、释放后使用漏洞 (CVE-2023-20893)、界外读 (CVE-2023-20895)和界外读 (CVE-2023-20894)。
前两个漏洞(CVE-2023-20892和CVE-2023-20893)可被具有网络访问权限的未认证攻击者用于在高度复杂攻击中获取代码执行权限,导致机密性、完整性和可用性完全丢失。
07
Fortinet 公司更新零信任访问解决方案 FortiNAC,修复可被用于执行代码和命令的严重漏洞CVE-2023-33299。FortiNAC 可使组织机构管理网络访问策略、获得对设备和用户的可见性并保护网络免受越权访问和威胁。
该漏洞的严重性评分是9.6,是一个不可信数据反序列化漏洞,可导致无需认证下的远程代码执行后果。Fortinet 并未提供任何缓解措施,因此建议应用可用的安全更新。
08
Grafana 提醒注意严重的认证绕过漏洞
Grafana 是一款广泛使用的开源分析和交互可视化 app,通过大量监控平台和应用程序提供很多集成选择。Grafana Enterprise 是具有更多能力的付费版本,用于多家著名组织机构中,如 Wikimedia、Bloomberg、JP Morgan Chase、eBay、PayPal 和 Sony。
该漏洞是由Grafana 基于在所关联“配置邮件”设置中邮件地址对 Azure AD 账户进行认证引发的。然而,该设置在所有 Azure AD 租户中并非唯一,导致威胁行动者可使用与Grafana 合法用户邮件地址一样的地址,创建 Azure AD 账户。
09
人工智能治理国内外政策与标准分析
人工智能(AI)作为新一轮科技革命的重要驱动力量,正在有效推动着数字化转型,其带来巨大机遇的同时,也伴随着新的风险和挑战。当前,人工智能仍处于快速发展阶段,其技术自身固有的脆弱性和管理体系落后于技术发展等诸多问题是客观存在的,人工智能的安全及治理是现阶段的重要课题。
纵观全球,世界各国对人工智能的治理还没有统一认识,治理方案正在热议且尚处于起步阶段,但随着各国政策的逐步出台和实践,人工智能治理的特点正在逐渐明朗。
10
自从5月底“AI诈骗正在全国爆发”登上热搜后,利用AI换脸技术的诈骗事件频繁发生。
近日,中国银河证券发布公告称:利用“AI合成技术”的诈骗手段或将逐步蔓延至证券行业。公告显示,某知名经济学家称,自己被人利用“AI换脸”等技术,通过视频、语音等方式联系投资者,骗取投资者信任,开展荐股活动。
这些账号发布的视频,主要内容都是人物手一挥就换了一张脸。视频还会同时搭配洗脑的音乐,简单的动作,以及“AI换脸教程、直播实时换脸、视频实时换脸、自定义换脸”等相关文字。
信息来源:人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEE Symantec 白帽汇安全研究院 安全帮 卡巴斯基
本文版权归原作者所有,如有侵权请联系我们及时删除
如有侵权请联系:admin#unsafe.sh