Faits rapides
1. Les normes nationales de sécurité des informations suivantes seront mises en œuvre le 1er octobre.
2. GitLab publie des correctifs de sécurité d'urgence pour corriger les vulnérabilités à haut risque
. 3. Toutes les cartes graphiques grand public sont concernées ! L'attaque par canal secondaire GPU.zip peut divulguer des données sensibles
4. La vulnérabilité MOVEit a entraîné une fuite à grande échelle d'informations sur les étudiants de 900 collèges et universités aux États-Unis
5. Le fournisseur français de l'espace et de la défense Exail a été piraté et a divulgué une grande quantité d'informations sensibles
6. Le site Internet de la famille royale britannique a été touché par un DDoS paralysé par l'attaque
Actualités politiques de la semaine
Les normes nationales de sécurité de l'information suivantes seront mises en œuvre le 1er octobre
"Lignes directrices pour la sécurité des données dans le domaine des télécommunications en matière de technologie de sécurité de l'information"
Date de mise en œuvre : 01/10/2023
Numéro de norme : GB/T 42447-2023
Présentation/Exigences : Ce document fournit les principes de sécurité et les mesures générales de sécurité pour l'exécution d'activités de traitement de données dans le domaine des télécommunications et la mise en œuvre de la collecte et du stockage de données. , utilisation et traitement Des mesures de sécurité correspondantes doivent être prises pendant le processus de transmission, de fourniture, de divulgation, de destruction, etc. Il convient pour guider les processeurs de données de télécommunications dans la réalisation de travaux de protection de la sécurité des données, et convient également pour guider les organisations tierces dans la réalisation de travaux d'évaluation de la sécurité des données de télécommunications.
"Exigences techniques générales pour la connaissance de la situation en matière de sécurité des réseaux grâce aux technologies de sécurité de l'information"
Date de mise en œuvre : 2023-10-01
Numéro de norme : GB/T 42453-2023
Présentation/Exigences : Ce document donne le cadre technique de connaissance de la situation en matière de sécurité du réseau et spécifie les exigences techniques générales pour les composants principaux du cadre. Ce document s'applique à sécurité des réseaux Planification, conception, développement, construction et évaluation de produits, systèmes ou plateformes de connaissance de la situation.
"Exigences de base relatives aux compétences des praticiens de la sécurité des réseaux des technologies de la sécurité de l'information"
Date de mise en œuvre : 01/10/2023
Numéro de norme : GB/T 42446-2023
Aperçu/Exigences : Ce document établit la classification des praticiens de la sécurité des réseaux et stipule les exigences en matière de connaissances et de compétences pour différents types de praticiens. Il convient à l'utilisation, à la formation, à l'évaluation et à la gestion des praticiens de la sécurité des réseaux par diverses organisations.
"Guide d'évaluation de l'effet de désidentification des informations personnelles sur les technologies de sécurité de l'information"
"Exigences de sécurité du système du service de noms de domaine public des technologies
de sécurité de l'information" "Guide de mesure des coûts du service de sécurité des réseaux de technologies de sécurité de l'information"
"Identification d'entité de technologie de sécurité des technologies de l'information - Partie 3 : Utilisation de la technologie de signature numérique Mécanisme"
"Signature numérique des technologies de sécurité des technologies de l'information avec annexe, partie 1 : Présentation"
" Cadre d'évaluation de l'assurance de la sécurité des systèmes d'information des technologies de la sécurité de l'information, partie 1 : introduction et modèle général "
" Technologie de la sécurité de l'information - Infrastructure à clé publique - Exigences technologiques en matière de sécurité du système PKI "
" Sécurité de l'information Technologie Infrastructure à clé publique Méthode d'évaluation de la sécurité du système PKI"
"Technologie de sécurité de l'information Exigences de base et guide de mise en œuvre de l'accès à la sécurité VPN IPSec"
Source d'informations : Yue Mi Yue An https://mp.weixin.qq.com/s/6CsEvv9YHqXhJHEjbmtNpA
Un aperçu rapide de l'actualité du secteur
GitLab publie un correctif de sécurité d'urgence pour corriger les vulnérabilités à haut risque
GitLab a publié jeudi un correctif de sécurité d'urgence pour corriger une grave vulnérabilité qui permet aux attaquants d'exécuter des pipelines comme d'autres utilisateurs.
La vulnérabilité, numérotée CVE-2023-5009 (score CVSS : 9,6), affecte toutes les versions de GitLab Enterprise Edition (EE) de 13.12 à 16.2.7 et de 16.3 à 16.3.4. La vulnérabilité a été découverte et signalée par le chercheur en sécurité Johan Carlsson (alias joaxcar).
"Il est possible pour un attaquant d'exécuter un pipeline en tant qu'utilisateur arbitraire via une politique d'analyse de sécurité planifiée", a déclaré GitLab dans un avis. "La vulnérabilité est CVE-2023-3932 (que GitLab a corrigée début août 2023). Contournée, et a démontré un impact supplémentaire. »
En exploitant CVE-2023-5009, un attaquant pourrait accéder à des informations sensibles ou exploiter les privilèges d'un utilisateur usurpé pour modifier le code source ou exécuter du code arbitraire sur le système, entraînant de graves conséquences.
GitLab recommande fortement aux utilisateurs de mettre à jour leur GitLab installé vers la dernière version dès que possible pour éviter les risques potentiels.
Source : Go UpSec https://mp.weixin.qq.com/s/TqEpqeELVwldRHro-TpVow
Toutes les cartes graphiques grand public sont concernées ! L'attaque par canal secondaire GPU.zip fait fuir des données sensibles
Récemment, des chercheurs de quatre universités américaines ont développé une nouvelle attaque par canal secondaire GPU ciblant une vulnérabilité des cartes graphiques grand public. Lorsque les utilisateurs visitent des pages Web malveillantes, l'attaque peut utiliser la technologie de compression de données GPU pour voler des données sensibles des cartes graphiques modernes.
Les chercheurs ont démontré l'efficacité de cette attaque « GPU.zip » en effectuant une attaque de vol de pixels de filtre SVG d'origine croisée sur le navigateur Chrome et ont révélé la vulnérabilité aux fabricants de cartes graphiques concernés en mars 2023.
Cependant, depuis septembre 2023, aucun des fournisseurs de GPU concernés (AMD, Apple, ARM, Nvidia, Qualcomm) ou Google (Chrome) n'a lancé de correctif de vulnérabilité.
Des chercheurs de l'Université du Texas à Austin, de l'Université Carnegie Mellon, de l'Université de Washington et de l'Université de l'Illinois à Urbana-Champaign ont détaillé la vulnérabilité dans un article qui sera présenté lors du 45e séminaire IEEE sur la sécurité et la confidentialité.
Source : GoUpSec https://mp.weixin.qq.com/s/5NfniSDI9QZJ9jj55uaVNA
La vulnérabilité MOVEit a entraîné une fuite à grande échelle d'informations sur les étudiants de 900 collèges et universités aux États-Unis.
Le NSC (National Student Clearinghouse), une organisation éducative à but non lucratif aux États-Unis, a récemment révélé que son serveur MOVEit avait été compromis et que les informations personnelles d'étudiants de près de 900 collèges et universités avaient été volées.
NSC fournit des services de reporting pédagogique, d'échange de données, de vérification et de recherche à environ 3 600 collèges et universités nord-américains et 22 000 écoles secondaires.
Le Conseil national de sécurité a soumis une lettre de notification de violation de données au bureau du procureur général de Californie au nom des écoles concernées, révélant que les attaquants ont eu accès au serveur MOVEit Managed File Transfer (MFT) du NSC le 30 mai et ont volé des fichiers contenant une grande quantité de données. de renseignements personnels.
Selon la lettre de notification, les informations personnelles identifiables (PII) des étudiants contenues dans les documents volés comprennent les noms, les dates de naissance, les coordonnées, les numéros de sécurité sociale, les numéros d'identification d'étudiant et certains documents liés à l'école tels que les dossiers d'inscription, les dossiers de diplômes. , et cours.données de niveau).
Le Conseil national de sécurité a également publié une liste des établissements d'enseignement concernés par la violation de données.
Source : GoUpSec https://mp.weixin.qq.com/s/HiN2aY6ZqgbFvpelV-BYYA
Le fournisseur français d'espace et de défense Exail a été piraté, divulguant une grande quantité d'informations sensibles
L'équipe de recherche de Cybernews a découvert que le groupe industriel français de haute technologie Exail a exposé un fichier d'environnement accessible au public (.env) avec les informations d'identification de la base de données.
Fondée en 2022 suite à la fusion du groupe ECA et d'iXblue, Exail est spécialisée dans les technologies de robotique, maritime, de navigation, aérospatiale et photonique, et compte parmi ses clients la Garde côtière américaine. De par ces caractéristiques, Exail est une cible particulièrement intéressante pour les attaquants.
L'équipe de recherche a découvert qu'un fichier .env accessible au public et hébergé sur le site Web exail.com avait été exposé sur Internet, permettant à quiconque d'y accéder. Les fichiers d'environnement agissent comme un ensemble d'instructions pour un programme informatique. Par conséquent, l'ouverture complète du fichier peut exposer des données critiques. Une fois accédé, un attaquant peut afficher, modifier ou supprimer des données sensibles et effectuer des opérations non autorisées, et fournir à l'attaquant Une gamme d'options d'attaque.
L'équipe de recherche a également découvert que les versions du serveur Web d'Exail et de systèmes d'exploitation spécifiques étaient également compromises. Si un attaquant connaît le système d'exploitation et sa version exécuté sur un serveur réseau, il peut exploiter des vulnérabilités spécifiques liées au système d'exploitation.
Et les serveurs Web présentant des expositions connues spécifiques au système d'exploitation peuvent devenir des cibles pour les outils d'analyse automatisés, les logiciels malveillants et les botnets. Une fois qu'un attaquant comprend les caractéristiques d'un système d'exploitation, il peut se concentrer sur la recherche et l'exploitation des vulnérabilités liées à ce système d'exploitation. Ils peuvent utiliser des techniques telles que l'analyse, l'attestation ou l'utilisation de vulnérabilités connues pour accéder à un serveur ou compromettre sa sécurité.
De plus, un attaquant pourrait exploiter les faiblesses spécifiques du système d'exploitation pour lancer une attaque par déni de service (DoS) sur un serveur Web exposé, perturbant ainsi le fonctionnement du serveur.
Après que l'équipe de recherche de Cybernews a fait rapport à Exail, l'autre partie a résolu le problème, mais n'a pas divulgué d'informations plus détaillées sur le problème.
Source : FreeBuf https://mp.weixin.qq.com/s/WyrHQr7Ni8x-LbQysmpX-g
Le site Web de la famille royale britannique paralysé en raison d'une attaque DDoS
Selon certaines informations, le site Web officiel de la famille royale britannique était hors ligne en raison d'une attaque par déni de service distribué (DDoS) dimanche 1er octobre. Selon The Independent, le site Web Royal.uk a été inaccessible pendant environ 90 minutes à partir de 10 heures du matin, heure locale. Bien qu'au moment de la rédaction de cet article, des contrôles Cloudflare étaient en place pour garantir que les adresses IP cherchant à accéder au site n'étaient pas des robots automatisés, celui-ci est rapidement redevenu pleinement opérationnel. Le célèbre groupe de hackers russe Killnet se serait vanté sur sa chaîne Telegram d'être responsable de l'attaque, bien que cela n'ait pas été confirmé. Oseloka Obiora, directeur de la technologie chez le fournisseur de sécurité RiverSafe, estime que toutes les organisations devraient s'assurer que leur posture de sécurité est adaptée à leur objectif. Les attaques DDoS sont devenues l'outil favori des hacktivistes russes qui cherchent à punir les alliés de l'Ukraine et à marquer des points géopolitiques. En octobre dernier, Killnet affirmait avoir lancé de graves attaques DDoS sur les sites Internet de plus d'une douzaine d'aéroports aux États-Unis.
Source : discussion sur Internet et https://mp.weixin.qq.com/s/3WUpLbvz5qjZqD9Q3aqq-g
Source : Le contenu diffusé par ce Security Weekly est collecté et compilé à partir d'Internet. C'est uniquement pour le partage. Cela ne signifie pas que vous êtes d'accord avec ses opinions ou que vous confirmez l'authenticité de son contenu. Certains contenus ont été diffusés sans contacter l'auteur original. Si le droit d'auteur est impliqué, si vous avez des questions, veuillez nous contacter et nous le supprimerons dès que possible. Merci !