【一周安全资讯1007】多项信息安全国家标准10月1日起实施；GitLab发布紧急安全补丁修复高危漏洞

要闻速览

1.以下信息安全国家标准10月1日起实施
2.GitLab发布紧急安全补丁修复高危漏洞
3.主流显卡全中招！GPU.zip侧信道攻击可泄漏敏感数据
4.MOVEit漏洞导致美国900所院校学生信息发生大规模泄露
5.法国太空和国防供应商Exail遭黑客攻击，泄露大量敏感信息
6.英国王室网站因DDoS攻击而瘫痪

一周政策要闻

以下信息安全国家标准10月1日起实施

《信息安全技术 电信领域数据 安全指南》

实施日期：2023-10-01
标准编号：GB/T 42447-2023
概述/要求：本文件给出了开展电信领域数据处理活动的安全原则、通用安全措施，及在实施数据收集、存储、使用加工、传输、提供、公开、销毁等过程中宜采取的相应安全措施。适用于指导电信数据处理者开展数据安全保护工作，也适用于指导第三方机构开展电信数据安全评估工作。

《信息安全技术 网络安全态势感知通用技术要求》

实施日期：2023-10-01
标准编号：GB/T 42453-2023
概述/要求：本文件给出了网络安全态势感知技术框架，规定了该框架中核心组件的通用技术要求本文件适用于网络安全态势感知产品、系统或平台等的规划、设计、开发、建设和测评。

《信息安全技术 网络安全从业人员能力基本要求》

实施日期：2023-10-01
标准编号：GB/T 42446-2023
概述/要求：本文件确立了网络安全从业人员分类,规定了各类从业人员具备的知识和技能要求。适用于各类组织对网络安全从业人员的使用、培养、评价、管理等。

《信息安全技术 个人信息去标识化效果评估指南》
《信息安全技术 公共域名服务系统安全要求》
《信息安全技术 网络安全服务成本度量指南》
《信息技术 安全技术 实体鉴别 第3部分：采用数字签名技术的机制》
《信息技术 安全技术 带附录的数字签名 第1部分：概述》
《信息安全技术 信息系统安全保障评估框架 第1部分：简介和一般模型》
《信息安全技术 公钥基础设施 PKI系统安全技术要求》
《信息安全技术 公钥基础设施 PKI系统安全测评方法》
《信息安全技术 IPSec VPN安全接入基本要求与实施指南》

信息来源：粤密粤安 https://mp.weixin.qq.com/s/6CsEvv9YHqXhJHEjbmtNpA

业内新闻速览

GitLab发布紧急安全补丁修复高危漏洞

GitLab本周四紧急发布安全补丁，修复一个可让攻击者以其他用户身份运行管道的严重漏洞。
该漏洞编号为CVE-2023-5009（CVSS评分：9.6），影响从13.12到16.2.7以及从16.3到16.3.4之前的所有版本的GitLab Enterprise Edition(EE)。安全研究员JohanCarlsson（又名joaxcar）发现并报告了该漏洞。
GitLab在一份公告中表示：“攻击者有可能通过预定的安全扫描策略以任意用户身份运行管道。”“该漏洞是CVE-2023-3932（GitLab于2023年8月上旬修复了该漏洞）的绕过，并显示出额外的影响。”
通过利用CVE-2023-5009，攻击者可以访问敏感信息或利用冒充用户的权限来修改源代码或在系统上运行任意代码，从而导致严重后果。
GitLab强烈建议用户尽快将已安装的GitLab更新到最新版本，以防范潜在风险。

消息来源： Go UpSec https://mp.weixin.qq.com/s/TqEpqeELVwldRHro-TpVow

主流显卡全中招！GPU.zip侧信道攻击可泄漏敏感数据

近日，来自四所美国大学的研究人员针对主流显卡中的一个漏洞开发了一种新的GPU侧信道攻击，当用户访问恶意网页时，该攻击可利用GPU数据压缩技术从现代显卡中窃取敏感的视觉数据。
研究人员已经通过在Chrome浏览器上执行跨源SVG滤镜像素窃取攻击，展示了这种"GPU.zip"攻击的有效性，并2023年3月向受影响的显卡制造商披露了这一漏洞。
然而，截至2023年9月，受影响的GPU供应商（AMD、苹果、ARM、英伟达、高通）或Google（Chrome）均尚未推出漏洞补丁。
德克萨斯大学奥斯汀分校、卡内基梅隆大学、华盛顿大学和伊利诺伊大学厄巴纳-香槟分校的研究人员在论文中对该漏洞进行了详细描述，并将在第45届IEEE安全与隐私研讨会上发表。

消息来源：GoUpSec https://mp.weixin.qq.com/s/5NfniSDI9QZJ9jj55uaVNA

MOVEit漏洞导致美国900所院校学生信息发生大规模泄露

美国非营利教育组织NSC（国家学生信息交换所）近日披露，其MOVEit服务器遭到入侵并导致近900所高等院校的学生个人信息被盗。
NSC为大约3600所北美学院和大学以及2.2万所高中提供教育报告、数据交换、验证和研究服务。
美国国家安全委员会已代表受影响的学校向加州总检察长办公室提交了一份数据泄露通知信，披露攻击者于5月30日获得了对NSC的MOVEit托管文件传输(MFT)服务器的访问权限，并窃取了包含大量个人信息的文件。
根据通知信内容，被盗文件中包含的学生个人身份信息(PII)包括姓名、出生日期、联系信息、社会安全号码、学生ID号码以及一些与学校相关的记录（例如入学记录、学位记录和课程级别数据）。
美国国家安全委员会还公布了受此数据泄露事件影响的教育组织名单。

消息来源：GoUpSec https://mp.weixin.qq.com/s/HiN2aY6ZqgbFvpelV-BYYA

法国太空和国防供应商Exail遭黑客攻击，泄露大量敏感信息

Cybernews 研究团队发现，法国高科技工业集团 Exail 暴露了一个带有数据库凭证的可公开访问的环境 (.env) 文件。

Exail于 2022 年由 ECA Group 和 iXblue 合并后成立，专注于机器人、海事、导航、航空航天和光子技术，其客户包括美国海岸警卫队。由于这些特性，Exail成为攻击者特别感兴趣的目标。
研究团队发现，托管在 exail.com 网站上可公开访问的 .env 文件已暴露在互联网上，导致任何人都可以对其进行访问。环境文件充当计算机程序的一组指令，因此，文件的完全开放可能会暴露关键数据，一旦攻击者访问，便可以查看、修改或删除敏感数据并执行未经授权的操作，并为攻击者者提供一系列攻击选项。
研究团队还发现，Exail 的网络服务器版本和特定操作系统也受到了威胁。如果攻击者知道网络服务器上运行的操作系统及其版本，就可以针对性地利用与操作系统相关的特定漏洞。
而具有已知特定操作系统暴露的 Web 服务器可能成为自动扫描工具、恶意软件和僵尸网络的目标。一旦攻击者了解了操作系统的特性，就可以集中精力寻找和利用与该操作系统相关的漏洞。他们可以采用扫描、证明或使用已知漏洞等技术来访问服务器或损害其安全性。
此外，攻击者还可以利用操作系统特定的弱点对暴露的 Web 服务器发起拒绝服务 (DoS) 攻击，从而中断服务器的运行。
Cybernews研究团队向Exail进行反馈后，对方已经修复了该问题，但并未透露有关问题更加详细的信息。

消息来源：FreeBuf https://mp.weixin.qq.com/s/WyrHQr7Ni8x-LbQysmpX-g

英国王室网站因DDoS攻击而瘫痪
据报道，英国王室官方网站周日（10月1日）因分布式拒绝服务（DDoS）攻击而离线。据《独立报》报道，从当地时间上午10点开始，Royal.uk网站大约有90分钟无法访问。尽管在撰写本文时 Cloudflare检查已经到位，以确保寻求访问该网站的IP地址不是自动机器人，但很快它就再次完全正常运行。据报道，臭名昭著的俄罗斯黑客组织Killnet在其Telegram频道上吹嘘自己对此次攻击负责，尽管这一消息尚未得到证实。安全供应商RiverSafe的首席技术官Oseloka Obiora认为，所有组织都应确保其安全状况符合目的。DDoS攻击已成为俄罗斯黑客活动分子最喜欢的工具，因为他们希望惩罚乌克兰的盟友并获得地缘政治分数。去年10月，Killnet声称对美国十多个机场的网站发起了严重的DDoS攻击。

消息来源：网空闲话plus https://mp.weixin.qq.com/s/3WUpLbvz5qjZqD9Q3aqq-g

来源:本安全周报所推送内容由网络收集整理而来，仅用于分享，并不意味着赞同其观点或证实其内容的真实性，部分内容推送时未能与原作者取得联系，若涉及版权问题，烦请原作者联系我们，我们会尽快删除处理，谢谢！