WEEKLY NEWS
每周安全资讯
新鲜资讯热点都在这里
要闻速览
1
《数据安全技术 公共数据开放安全要求》等6项国家标准公开征求意见
2
3
工信部:关于防范PolarEdge僵尸网络的风险提示
4
美国政府网站遭SEO污染攻击:官方域名被篡改为色情内容入口
5
OpenAI发布GPT-5.2-Codex:显著提升智能编程与漏洞检测能力
6
委内瑞拉国家石油公司遭网络攻击,出口业务中断系统离线
一周政策要闻
《数据安全技术 公共数据开放安全要求》等6项国家标准公开征求意见
近日,全国网络安全标准化技术委员会归口的《网络安全技术 区块链共识机制安全要求》等6项国家标准现已形成标准征求意见稿。
根据《全国网络安全标准化技术委员会标准制修订工作程序》要求,现将该6项标准征求意见稿面向社会公开征求意见。标准相关材料已发布在网安标委网站(网址:https://www.tc260.org.cn/portal/suggestion),如有意见或建议请于2026年2月10日24:00前反馈秘书处。
国家能源局印发《能源行业数据安全管理办法(试行)》
近日,国家能源局印发《能源行业数据安全管理办法(试行)》(2026 年7月1日起施行,有效期5年),作为能源行业首个数据安全规范性文件,将能源行业非密数据分为三级,明确各方职责,规范数据全生命周期管理及监测应急、监督问责,防范安全风险,保障数据安全与开发利用。
消息来源:国家能源局
业内新闻速览
工信部:关于防范PolarEdge僵尸网络的风险提示
近日,工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)监测发现,攻击者正利用思科、华硕、威联通及群晖等厂商路由器的安全漏洞(如思科命令执行漏洞),部署名为PolarEdge的后门程序。攻击流程包括:通过远程FTP下载Shell脚本,植入PolarEdge后门;后者随即清理环境、隐匿进程(伪装为igmpproxy并绑定/proc/1路径),并通过watchdog机制实现30秒自启守护。通信阶段采用自签名PolarSSL证书与魔术令牌建立TLS加密通道,结合PRESENT分组密码和仿射密码(AffineCipher)混淆关键逻辑与数据。恶意载荷最终以回连模式投递至/tmp/.qnax.sh执行。
专家建议用户立即更新固件、关闭UPnP等非必要外网服务,并核验数字签名。相关样本SHA256为:
a3e2826090f009691442ff1585d07118c73c95e40088c47f0a16c8a59c9d9082。
美国政府网站遭SEO污染攻击:官方域名被篡改为色情内容入口
2025年12月,美国多州及地方政府的.gov域名遭遇大规模SEO污染攻击。攻击者未直接入侵服务器,而是利用政府网站公开的文件上传表单,上传含恶意链接的PDF等文件。这些文件被Google索引后,用户点击官方域名链接会跳转至色情广告、AI成人内容生成器等不良页面。截至12月14日,已有38个.gov域名(涉及18个州)受影响,包括内布拉斯加州、夏威夷州、加州等政府机构。研究人员Dominic Alvieri指出,攻击利用了政府平台文件上传功能的公开性缺陷,文件默认对外可访问且被搜索引擎收录。托管约5500个政府网站的Granicus公司已调整设置,禁止上传文件默认公开,但事件暴露了政府网站在内容发布与索引管控上的漏洞。
消息来源:安全牛
https://mp.weixin.qq.com/s/aqkCvUo-XFQqfIriYdO1-A
OpenAI发布GPT-5.2-Codex:显著提升智能编程与漏洞检测能力
https://www.freebuf.com/articles/ai-security/462876.html
委内瑞拉国家石油公司遭网络攻击,出口业务中断系统离线
来源:本安全周报所推送内容由网络收集整理而来,仅用于分享,并不意味着赞同其观点或证实其内容的真实性,部分内容推送时未能与原作者取得联系,若涉及版权问题,烦请原作者联系我们,我们会尽快删除处理,谢谢!
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...