《全球网络安全政策法律发展年度报告 （2022）》

12月8日，公安部第三研究所网络安全法律研究中心发布《全球网络安全政策法律发展年度报告（2022）》，为促进我国网络与数据安全法治建设提供助力。报告共分为四大部分：第一部分重点研判2022年全球网络安全政策法律态势；第二部分展示全球立法特点和核心内容；第三部分特解读全球网络安全政策法律演进的内生驱动；第四部分对2023年及后续短期内的网络安全政策、立法趋势进行研判。

（来源：公安三所）

瑞士政府希望实施报告网络攻击的强制性义务

瑞士政府要求议会修改《信息安全法》，强制关键基础设施提供商向国家网络安全中心（NCSC）报告网络攻击，此举旨在揭露黑客并更广泛地对该国的网络威胁发出警报。瑞士政府表示，公众、当局和公司每天都面临着网络攻击的风险，由于向NCSC报告是自愿的，因此目前没有关于网络攻击的总体情况。

（来源：infosecurity-magazine）

AMD、ARM、HPE、戴尔等15家服务器厂商产品曝出严重漏洞

全球大量云计算和数据中心正面临一次严峻的服务器供应链安全危机。American Megatrends的服务器远程管理控制软件MegaRAC BMC近日曝出多个严重漏洞，攻击者可以在特定条件下执行代码、绕过身份验证和执行用户枚举。据悉，这些漏洞是Eclypsium安全研究人员于2022年8月检查American Megatrends泄漏的专有代码（特别是MegaRAC BMC固件）后发现的。MegaRAC BMC固件被至少15家服务器制造商使用，包括AMD、Ampere Computing、ASRock、Asus、ARM、Dell EMC、Gigabyte、Hewlett-Packard Enterprise、Huawei、Inspur、Lenovo、Nvidia、Qualcomm、Quanta和Tyan。

Eclypsium披露了AMI MegaRAC底板管理控制器软件中的3个漏洞，攻击者可利用漏洞在特定条件下执行代码、绕过身份验证和执行用户枚举。CVE-2022-40259，CVSS评分9.9，允许具有最低访问权限的攻击者通过Redfish API执行任意代码。CVE-2022-40242，CVSS评分8.3，sysadmin用户存在默认密码，攻击者可通过默认密码远程访问目标设备。CVE-2022-40242，CVSS评分7.5，允许攻击者通过遍历可能的帐户名称列表来测试用户帐户是否存在。

（来源：bleepingcomputer）

勒索软件凶猛！比利时最大城市数字服务被迫中断

12月7日消息，由于合作的数字供应商日前遭受网络攻击，西欧国家比利时的安特卫普市的数字服务被迫中断，目前正努力恢复。城市管理软件供应商Digipolis的服务器遭遇勒索软件攻击，导致比利时安特卫普市的数字服务被迫中断；当地居民和机构生活和经营受到较多影响，该市市长称事件造成的影响可能持续到12月底。

针对这起事件的调查正在进行中。从已公布的少量信息来看，造成服务中断的应该是勒索软件攻击，但幕后黑手是谁尚不明确。据比利时媒体《Het Laatste Nieuws》（简称HLN）报道，黑客实际是破坏了为城市提供管理软件的数字合作伙伴Digipolis的服务器，由此导致安特卫普的政务系统陷入瘫痪。HLN还提到，几乎所有Widows应用程序都受到了影响。

（来源：bleepingcomputer）