東亞銀行領千萬級罰單、“十四五”數字經濟發展規劃釋出、數百萬路由器受漏洞影響｜網路安全週報

2022年1月8日至1月14日共收錄全球網路安全熱點10項，涉及Microsoft 、東亞銀行等。

01 國務院印發“十四五”數字經濟發展規劃，網路安全地位得到提升

1月12日，國務院印發“十四五”數字經濟發展規劃，《規劃》檔案以獨立章節概述網路安全要求，彰顯了網路安全的重要地位，檔案作為國家頂層規劃具備強大的示範意義。

《規劃》提出，到2025年，數字經濟核心產業增加值佔國內生產總值比重達到10%，資料要素市場體系初步建立，產業數字化轉型邁上新臺階，數字產業化水平顯著提升，數字化公共服務更加普惠均等，數字經濟治理體系更加完善。

02 IDC釋出2022年中國雲端計算市場十大預測

1月12日，IDC釋出《2022年中國雲端計算市場十大預測》，預計到2025年，全球整體雲端計算市場將超過1.3萬億美元，中國也將超過萬億元人民幣，40%的組織將會採用部署在企業本地或服務商處的專屬雲服務。

為了保證分散式資料的一致性，2024年將會有50%的組織採用多雲資料治理工具，使用統一的資料獲取、遷移，安全和保護策略。到2025年，30%的組織將使用雲託管服務商提供的應用實現任何地點部署以及執行的一致性。到2026年，50%的CIO將需要雲服務商和電信運營商合作提供安全的雲邊協同解決方案保證資料採集的效能和一致性。

03 微軟補丁日修復了97個安全漏洞

1月12日，微軟釋出2022年1月例行安全更新，修復Windows產品和元件97個安全漏洞（不包括29個Microsoft Edge漏洞），其中9個被歸類為嚴重，88個被歸類為重要。

須重點關注的漏洞包括CVE-2021-22947：Open Source Curl遠端程式碼執行漏洞、CVE-2022-21882：Win32k特權提升漏洞、CVE-2022-21907：HTTP協議堆疊遠端執行程式碼漏洞、CVE-2022-21919：Windows User Profile Service的特權提升漏洞。

04 數百萬路由器受NetUSB核心漏洞影響

近日，端點安全公司SentinelOne警告稱，NetUSB核心模組中的一個漏洞可能允許遠端攻擊者在數百萬路由器裝置上執行程式碼。該程式碼被眾多供應商的裝置使用，包括Netgear、TP-Link、Tenda、EDiMAX、D-Link和Western Digital。被跟蹤為CVE-2021-45608的程式碼中存在安全錯誤，該程式碼採用命令編號，然後將應用到相應的SoftwareBus功能。

該問題已於9月報告給NetUSB核心模組開發人員，並於10月向所有使用易受攻擊程式碼的供應商傳送了一個補丁。解決裝置漏洞的韌體更新於12月開始推出。“由於此漏洞存在於授權給各個路由器供應商的第三方元件中，因此修復此問題的唯一方法是更新路由器的韌體。請務必檢查您的路由器是否不是報廢型號，因為它不太可能收到此漏洞的更新，”SentinelLabs指出。

05 開發者破壞“colors”和“faker”資料庫影響數千應用程式

1月9日，開源NPM庫“colors”和“faker”背後的開發人員故意在其中引入了惡作劇的提交，這些提交影響了依賴這些庫的數千個應用程式。

一位名叫Marak Squires的開發人員在版本v1.4.44-liberty-2的colors.js庫中新增了一個“new American flag module”，將其推送到了GitHub和npm。程式碼中引入的無限迴圈將無限期地繼續執行；對於任何使用“colors”的應用程式，在控制檯上無休止地列印亂碼的非 ASCII 字元序列。同樣，faker的破壞版本“6.6.6”釋出到GitHub和npm。

開發人員的這種惡作劇背後的原因似乎是報復——針對大型公司和開源專案的商業消費者，他們廣泛依賴免費和社群支援的軟體，但據開發人員稱，他們不回饋社群。

06 FBI、NSA 和 CISA 發出警告：駭客將攻擊關鍵基礎設施

1月11日，美國網路安全和情報機構、網路安全和基礎設施安全域性 (CISA)、聯邦調查局 (FBI) 和國家安全域性 (NSA) 公開了採用的策略、技術和程式 (TTP)，包括矛-網路釣魚、暴力破解和利用已知漏洞來獲得對目標網路的初始訪問許可權。

駭客組織利用這些漏洞獲得初步立足點的漏洞列表，這些機構稱這些漏洞“常見但有效”如下：CVE-2018-13379（FortiGate VPN）、CVE-2019-1653（思科路由器）、CVE-2019-2725（Oracle WebLogic 伺服器）、CVE-2019-7609 (Kibana)、CVE-2019-9670（Zimbra 軟體）、CVE-2019-10149（Exim 簡單郵件傳輸協議）、CVE-2019-11510（脈衝安全）、CVE-2019-19781（思傑）、CVE-2020-0688（微軟交換）、CVE-2020-4006 (VMWare)、CVE-2020-5902（F5 大 IP）、CVE-2020-14882 (Oracle WebLogic)、CVE-2021-26855（Microsoft Exchange，與CVE-2021-26857、CVE-2021-26858和CVE-2021-27065一起經常被利用）。

APT參與者還透過破壞第三方基礎設施、破壞第三方軟體或開發和部署定製惡意軟體，展示了複雜的貿易和網路能力。為了提高針對這種威脅的網路彈性，這些機構建議對所有使用者強制執行多因素身份驗證，尋找暗示橫向移動的異常活動跡象，實施網路分段，並保持作業系統、應用程式和韌體為最新。

07 供應商遭勒索攻擊，美國全境4500所學校網站受到影響

1月8日，據美國中文網報導，軟體提供商Finalsite的發言人7日證實，該公司遭到勒索軟體的攻擊，影響了大約5000所學校的網站，其中約有4500所美國的學校受影響。

“我們大多數學校的網站都重新上線了，在看到問題後決定關閉我們的網路，並在乾淨的環境中重建了一切。目前，沒有任何證據表明資料已被洩露。”該公司發言人摩根·德拉克表示。

政府問責辦公室GAO呼籲美國教育部採取更多措施保護學校免受駭客攻擊。該辦公室2021年11月釋出的一份報告指出，教育部“缺乏基於當前對教育領域面臨的網路安全風險評估的最新計劃”。

08 2022年首張千萬級罰單：東亞銀行違反資訊採集等規定

1月10日，中國人民銀行上海分行公佈一張鉅額罰單，顯示東亞銀行違反信用資訊採集、提供、查詢及相關管理規定。對於上述違法違規行為，中國人民銀行上海分行對東亞銀行處以罰款人民幣1674萬元，責令限期改正。東亞銀行（中國）方面回應，東亞銀行（中國）一貫重視合規經營，對於上海人行在相關檢查中所指出的問題高度重視，積極跟進，已根據監管要求悉數進行整改。

事實上，這並非東亞銀行近年首次領千萬級罰單。而違反信用資訊採集、提供、查詢及相關管理規定的違法違規行為，正成為監管重點，多家銀行因此受罰。

09 工信部、網信辦、央行等12部門開展網路安全技術應用試點示範工作

1月10日，工信部、網信辦、央行、銀保監會、證監會等十二部門釋出《關於開展網路安全技術應用試點示範工作的通知》（以下簡稱《通知》）。

《通知》指出，試點示範內容以新型基礎設施安全、數字化應用場景安全、安全基礎能力提升為主線，面向公共通訊和資訊服務、能源、交通、水利、應急管理、金融、醫療、廣播電視等重要行業領域網路安全保障需求，從雲安全、人工智慧安全、大資料安全、車聯網安全、物聯網安全、智慧城市安全、網路安全共性技術、網路安全創新服務、網路安全“高精尖”技術創新平臺9個重點方向，遴選一批技術先進、應用成效顯著的試點示範專案。

10 歐盟透過網路攻擊“抗壓測試” 以防範敵對勢力

1月13日，據美媒報導，歐盟國家即將在近日展開一場大規模網路安全演習，目的是為了防範敵對勢力對該區域的供應鏈體系進行網路攻擊。此次演習是為了檢驗歐盟國家對該類攻勢的承受能力，增強各成員國間的合作、應對效率及備戰水平。另一方面，西方國家長期炒作俄羅斯將烏克蘭作為網路攻擊目標，此次演習也是出於對俄方的防範。

因此，這場演習將基於以往的駭客案例，儘可能真實地還原網路攻擊的實際危害。演習開始後，“進攻方”將對多個成員國展開模擬網路攻擊，主要打擊目標是貫穿全歐洲的龐大供應鏈體系。參與演習的各成員國則需要共同商討策略，協調公共及外交層面的應對措施，同時觀察該類襲擊對成員國造成的社會經濟影響。