网络空间安全动态(202401期)
一、发展动向热讯
1、中国网络安全审查认证和市场监管大数据中心挂牌
12月25日,中国网络安全审查认证和市场监管大数据中心正式挂牌成立。主要职责是:依据《网络安全法》《数据安全法》《个人信息保护法》《网络安全审查办法》及国家有关强制性产品认证法律法规,承担网络安全审查技术与方法研究、网络安全审查技术支撑工作;在批准范围内开展与网络安全相关的产品、管理体系、服务、人员认证和培训、检验检测等工作;参与研究拟订市场监管信息化发展规划,协助指导全国市场监管系统信息化建设、管理和应用推广工作;承担市场监管业务应用系统和总局政务信息系统建设、运维及技术保障工作;承担市场监管行业标准组织协调工作,承担全国统一的市场监管信息化标准体系的建立完善工作;负责市场监管大数据中心建设、管理和运行维护工作,支撑智慧监管建设;受委托承担市场监测技术支撑工作;开展网络安全认证、市场监管信息化与大数据分析应用、智慧监管等领域的国际合作与交流。(信息来源:北京日报客户端)
2、五部门联合印发“东数西算”一体化算力网的实施意见
12月26日消息,国家发展改革委、国家数据局、中央网信办、工业和信息化部、国家能源局联合印发《深入实施“东数西算”工程 加快构建全国一体化算力网的实施意见》(以下简称《实施意见》)。《实施意见》提出到2025年底,综合算力基础设施体系初步成型。国家枢纽节点地区各类新增算力占全国新增算力的60%以上,国家枢纽节点算力资源使用率显著超过全国平均水平;1ms时延城市算力网、5ms时延区域算力网、20ms时延跨国家枢纽节点算力网在示范区域内初步实现;算力电力双向协同机制初步形成,国家枢纽节点新建数据中心绿电占比超过80%;用户使用各类算力的易用性明显提高、成本明显降低,国家枢纽节点间网络传输费用大幅降低;算力网关键核心技术基本实现安全可靠,以网络化、普惠化、绿色化为特征的算力网高质量发展格局逐步形成。(信息来源:国家数据局)
3、工信部等开展网络安全技术应用试点示范工作
12月18日消息,工业和信息化部、国家网信办、人力资源社会保障部等十四部门联合印发通知,部署开展网络安全技术应用试点示范工作。将以新型信息基础设施安全、数字化应用场景安全、安全基础能力提升为主线,面向公共通信和信息服务、人力资源社会保障、水利、卫生健康、应急管理、广播电视、金融、交通运输、邮政等重要行业领域网络和数据安全保障需求,从基础网络安全、云计算安全、人工智能安全、大数据安全、信创安全、商用密码、车联网安全、物联网安全、中小企业数字化转型安全、网络安全共性技术、网络安全创新服务、教育技术产业融合发展联合体、网络安全“高精尖”创新平台等13个重点方向,遴选一批技术先进、应用成效显著的试点示范项目。(信息来源:工信部官网)
4、工信部组织开展网络安全保险服务试点工作
12月21日,工业和信息化部印发《关于组织开展网络安全保险服务试点工作的通知》,推动企业积极利用网络安全保险防范网络安全风险,促进网络安全产业高质量发展。《通知》指出,结合现阶段我国网络安全保险现有险种,本次试点险种主要包括网络安全财产类保险和网络安全责任类保险两大类。结合我国网络安全保险发展实际,试点内容包括面向电信和互联网、工业互联网、车联网等重点行业的企业类保险和网络安全产品、信息技术产品,以及网络安全服务类保险。(信息来源:北京日报客户端)
5、国家数据局就“数据要素×”三年行动计划公开征求意见
12月15日,国家数据局就《“数据要素×”三年行动计划(2024—2026年)公开征求意见。计划提出,到2026年底,数据要素应用场景广度和深度大幅拓展,在经济发展领域数据要素乘数效应得到显现,打造300个以上示范性强、显示度高、带动性广的典型应用场景,产品和服务质量效益实现明显提升,涌现出一批成效明显的数据要素应用示范地区,培育一批创新能力强、市场影响力大的数据商和第三方专业服务机构,数据产业年均增速超过20%,数据交易规模增长1倍,场内交易规模大幅提升,推动数据要素价值创造的新业态成为经济增长新动力,数据赋能经济提质增效作用更加凸显,成为高质量发展的重要驱动力量。此次征求意见的时间为2023年12月16日至2023年12月22日。(信息来源:国家发改委官网)
6、工信部推出数据安全事件颜色编码行动计划
12月18日消息,工业和信息化部公布了一份关于应对数据安全事件的计划草案,其中包括一个颜色编码系统,用于区分数据安全事件的严重程度。该计划旨在提高对数据安全事件的综合响应能力,确保及时有效地控制、减轻和消除数据安全事件造成的危害和损失,保护个人和组织的合法权益,维护国家安全和公共利益。草案规定了四个层级的颜色编码,分别对应不同严重程度的数据安全事件。同时,草案还要求对受影响的公司进行评估,并在必要时立即向当地工业监管部门报告。这些规定将在2024年1月15日前接受公众意见。(信息来源:工信部官网)
7、美NSA发布《软件物料清单(SBOM)管理建议》
12月15日,美国国家安全局(NSA)发布新指南《软件物料清单(SBOM)管理建议》,旨在助力组织机构按照网络风险分析、漏洞分析和事件响应三个步骤来改进SBOM管理并缓解供应链风险。NSA建议,软件供应商应将SBOM交流实践成熟化,私营机构和政府机构均应扩展SBOM研究以助力解决方案标准化,软件开发人员应当为客户安全结果负责。该指南还为美国国家安全系统所有人员推荐了一系列最佳实践并分享了组织机构在考虑SBOM管理工具时应当关注的功能详情。(信息来源:奇安信代码卫士)
8、美NIST发布两份指南草案为后量子迁移做好准备
12月20日消息,美国国家标准与技术研究院(NIST)发布了《量子准备:密码发现》和《量子准备:测试互操作性和性能标准草案》两份出版物草案,概述了迁移到新的后量子密码标准时可能出现的具体问题,并提供了潜在的解决方案,将指导各机构将其加密方案转变为旨在阻止潜在量子计算机攻击的方案,现开放这些文件以征求公众意见。《量子准备:密码发现》概述了功能测试计划,要求加密工具查找数字网络中的安全配置错误,并描述了成功的用例场景,为演示成功的后量子系统迁移提供了背景;《量子准备:测试互操作性和性能标准草案》强调了如何协调量子算法与现有网络基础设施,并提供了兼容性问题的解决方案。(信息来源:NextGov官网)
9、美卫生与公众服务部发布《2023-2028数据战略》
12月20日消息,美卫生与公众服务部(HHS)发布未来五年数据战略,HHS将投资五个关键领域,即培养数据人才、促进数据共享、将管理数据整合到项目运营中、通过连接人类服务数据实现“全人”护理服务以及负责任地利用人工智能。该战略的重点是近中期(约五年),旨在定期审查其内容,以确保其满足HHS不断变化的需求。该战略基于由副部长于2022年秋季召集的跨HHS特别工作组的研究和建议,该工作组由数据领导者和主题专家组成。该工作组评估了HHS的数据使用、需求和能力现状;汇编了来自部门内部和外部的最佳做法;并制定了一份重点领域清单,在这些领域进行投资对于推动整个HHS安全、有效地使用数据至关重要。(信息来源:安全内参)
10、美英法等国启动对乌克兰民间网络援助的塔林机制
12月20日,美英法德等11国批准启动“对乌克兰民间网络援助的塔林机制”,该机制旨在作为成员国民用网络能力建设支持的协调中心,以帮助整合、协调多国对乌克兰的支持,全面提高态势感知能力;不禁止成员国以正式或非正式的方式参与对乌克兰的其他双边和多边网络能力建设支持;向乌克兰提供网络能力建设援助的努力方向聚焦即“短期支持”“中期建设”“长期维护”,重点是援助、恢复和复原力。(信息来源:安全内参)
11、日本内阁审批通过2024财年防卫预算草案
12月22日,日本内阁审批通过2024财年政府预算草案,总额高达7.9496万亿日元,较去年增长约16.5%。日本计划到2027年花费43万亿美元来增强军事实力,年度预算达到国内生产总值的约2%。日本2024年防务预算的核心是“尽早部署‘防区外’导弹”。此外,日本内阁会议上批准放宽日本出口限制,允许日本在一定条件下向其他国家提供完整的致命性武器和弹药。该预算计划后续将由日本国会进行审批。(信息来源:新华网)
二、安全事件聚焦
12、意大利云服务提供商遭勒索攻击致政府服务瘫痪
12月20日消息,从事公共管理数字服务的意大利云服务提供商Westpole遭勒索组织攻击,事件殃及Westpole的客户、政务服务商PA Digitale。PA Digitale是一家为意大利540个城市、1300个公共管理部门提供数字服务的供应链技术企业,其基础设施遭严重破坏,致使意大利全国范围大规模政府组织和市政当局数字服务系统陷入瘫痪。俄罗斯黑客组织声称对此事负责,并发送赎金要求。此次攻击是迄今为止意大利公共管理部门遭受的最严重攻击。目前,部分城市被迫以人工方式提供服务。意大利国家网络安全局正在努力恢复受影响实体的数据。(信息来源:勒索病毒头条)
13、伊朗全国大部分加油站因网络攻击导致业务中断
12月19日消息,伊朗石油部长证实,全国范围内70%加油站(伊朗约有3.3万坐加油站)因网络攻击而造成业务中断,不得不改为手动操作。一家名为“掠食麻雀”的黑客组织声称对此事负责,并表示这是对伊朗行为的报复。伊朗指控该组织与以色列有关联。伊朗国家电视台称,超50%的加油站正在提供服务,正在努力恢复更多线上服务。(信息来源:安全内参)
14、非洲国家莱索托央行遭勒索攻击致支付系统瘫痪
12月19日消息,非洲南部国家莱索托遭勒索软件攻击,内部部分系统被迫关闭,国家支付系统瘫痪,当地银行无法相互交易。莱索托央行发表声明,确认网络攻击事件影响多个系统,但尚未造成任何财务或其他损失。莱索托银行协会和央行表示,技术团队正在解决问题,但官员们“已同意采取业务连续性流程和措施作为替代方式,临时支持所有银行之间支付和交易”。(信息来源:安全内参)
15、新黑客组织攻击亚太地区其中涉及4个中国目标
12月16日消息,研究人员发现一个被称为GambleForce的黑客组织,自9月开始针对亚太地区的公司发起了一系列SQL注入攻击,其中针对中国的攻击目标有4个。GambleForce使用了一套很基础但非常有效的技术,包括SQL注入和利用易受攻击的网站内容管理系统来窃取敏感信息。该组织的目标是澳大利亚、巴西、中国、印度、印尼、菲律宾、韩国和泰国的赌博、政府、零售和旅游行业的24家组织。其中6次攻击成功。(信息来源:Hackernews网)
16、美国15亿条房地产数据泄露波及诸多政商名人
12月22日消息,总部位于纽约的在线房地产教育平台Real Estate Wealth Network由于云配置错误,包含业主、投资者和卖家详细信息在内的超过15亿条记录的数据库被暴露在互联网,该数据库大小为1.16TB。其中包含用户姓名、地址、电话号码、电子邮件地址、设备信息和文件详细信息等。被暴露的信息涉及数百万人,包括马斯克、特朗普等诸多政商名人。该平台在接到通知后立即阻止公众访问该数据库,并确认了所有权。目前无法确定该数据库在互联网上暴露的时间。(信息来源:安全内参)
17、美国贷款巨头库珀先生泄露1470万名客户数据
12月19日消息,美国抵押贷款巨头库珀先生称近期遭到的一次网络攻击泄露了1470万名曾在该公司抵押贷款的客户数据,包括客户姓名、出生日期、电话号码、家庭住址、社会安全号码以及银行账号。该公司拥有超过430万客户,管理着价值9370亿美元的服务内容。此次攻击导致该公司损失高达2500万美元。该公司尚未透露相关细节,暂未发现有数据被发布或遭利用情况。(信息来源:FreeBuf网)
18、美国某金融公司遭网络攻击影响约130万民众
12月27日消息,美国最大产权保险公司富达国民金融子公司(FNF)向所在州监管机构报告了一起数据泄露事件,并指出约130万民众的数据信息被入侵其母公司的攻击者盗取。FNF拥有数十家地区性产权公司。收到数据泄漏安全事件通知后,FNF聘请第三方网络安全专家调查此事,并为受影响用户提供为期两年的身份保护服务。(信息来源:FreeBuf网)
19、美国医疗保健供应商遭攻击致270万人信息泄露
11月22日消息,美国一家为应急响应人员和医疗机构提供数据和软件服务的提供商ESO Solutions遭勒索软件攻击致270万人信息泄露,包括姓名、社会安全号码、地址和健康信息等。此次泄露事件于9月28日发生,迫使ESO暂时关闭系统,以遏制事件影响。黑客访问并加密了内部系统,但ESO表示已使用备份恢复了受影响系统。ESO表示未经授权的第三方可能已经获取了个人数据,正在积极配合联邦执法调查。(信息来源:安全客)
20、洛杉矶电动汽车供应商超2.2万名用户数据泄露
12月22日消息,一家位于美国洛杉矶的电动汽车共享提供商Blink Mobility由于MongoDB数据库配置错误,导超2.2万名用户的个人数据遭泄露,包括电话号码、电子邮件地址、加密密码等敏感信息。遭泄露的信息可能被黑客用于身份盗窃、钓鱼攻击等恶意行为。研究人员建议用户立即终止活动会话、更改密码并开启多重身份验证,并密切监视账户以防止可疑活动。(信息来源:360网络安全响应中心)
21、英国技术公司ULTRA遭攻击致30GB数据泄露
12月27日,英国技术公司30GB数据遭泄露,数据包含审核数据、财务数据、项目数据、员工数据、合同数据、公司和组织列表。数据来源于勒索组织BlackCat,数据可下载。ULTRA是一家全球领先的技术公司,总部位于英国。该公司提供先进的情报、通信和安全技术解决方案,服务于政府、军事和商业客户。是一家与美国政府合作的承包商,由美国政府相关或在美国政府工作的机密人员赞助。ULTRA高管拒绝支付恢复被盗数据费用,导致所有与ULTRA及其附属公司有关的被盗数据被公开。(信息来源:HackerNews网)
三、安全风险警示
22、金蝶Apusic应用服务器JNDI注入漏洞风险通告
12月22日,奇安信CERT监测到金蝶Apusic应用服务器JNDI注入漏洞QVD-2023-48297(CVSS评分9.8)和QVD-2023-48476(CVSS评分8.1)。金蝶Apusic应用服务器是一款企业级应用服务器,支持Java EE技术,适用于各种商业环境。由于金蝶Apusic应用服务器权限验证不当,导致攻击者可以向createDataSource接口执行JNDI注入,造成远程代码执行。利用该漏洞需低版本JDK且需要服务器上有数据库驱动。鉴于该漏洞影响范围较大,建议用户尽快做好自查及防护。(信息来源:奇安信CERT)
23、Google Chrome WebRTC堆缓冲区溢出漏洞风险通告
12月21日消息,奇安信CERT监测到Google修复Google Chrome WebRTC堆缓冲区溢出漏洞CVE-2023-7024(CVSS评分9.8)。攻击者可通过诱导用户打开恶意链接来利用此漏洞,从而在应用程序上下文中执行任意代码或导致浏览器崩溃。Chrome是一款由Google公司开发的免费的、快速的互联网浏览器软件,目标是为使用者提供稳定、安全、高效的网络浏览体验。Google Chrome基于更强大的JavaScript V8引擎,提升浏览器的处理速度。目前,该漏洞已遭在野利用。鉴于此漏洞影响范围较大,建议用户尽快做好自查及防护。(信息来源:IT之家)
24、金蝶天燕远程代码执行漏洞风险通告
12月20日消息,奇安信CERT监测到金蝶天燕远程代码执行漏洞QVD-2023-48081(CVSS评分9.8)POC及EXP在互联网上流传,该漏洞允许未授权的远程攻击者上传任意文件,最终可能导致远程执行恶意命令,控制服务器等。金蝶Apusic应用服务器是一款标准、安全、高效、集成并具丰富功能的企业级应用服务器软件,为企业级应用的便捷开发、高效管控等提供关键支撑。鉴于该漏洞影响范围较大,建议用户尽快做好自查及防护。(信息来源:奇安信CERT)
25、关于蓝牙协议存在中间人攻击漏洞的安全公告
12月20日,国家信息安全漏洞共享平台(CNVD)收录了蓝牙协议中间人攻击漏洞(CNVD-2023-98846,对应CVE-2023-24023)。攻击者利用漏洞通过欺骗性的配对或绑定设备强制使用较短的加密密钥长度,破坏蓝牙设备会话的安全验证机制。蓝牙(Bluetooth)是一种支持设备短距离通信的无线电通信协议,目前已成为全球通用的开放性技术规范,广泛应用于个人终端、车载娱乐、工业生产和医药医疗领域。目前,漏洞技术原理已公开,CNVD建议受漏洞影响的设备厂商和用户加强防范。(信息来源:CNVD漏洞平台)
26、关于Apache Dubbo代码问题漏洞的安全公告
12月20日消息,国家信息安全漏洞库(CNNVD)收到关于Apache Dubbo代码问题漏洞(CNNVD-202312-1524、CVE-2023-29234)情况的报送。成功利用漏洞的攻击者,可在目标系统上执行任意代码。Apache Dubbo 3.1.0至3.1.10版本,3.2.0至3.2.4版本均受此漏洞影响。Apache Dubbo是美国阿帕奇(Apache)基金会的一款基于Java的轻量级RPC(远程过程调用)框架。该产品提供了基于接口的远程呼叫、容错和负载平衡以及自动服务注册和发现等功能。目前,Apache官方已发布新版本修复上述漏洞,建议用户及时确认产品版本,并尽快采取修补措施。(信息来源:CNNVD安全动态)
27、恶意软件NKAbuse针对Linux系统发起攻击
12月25日消息,研究人员发现一种名为NKAbuse的恶意软件针对哥伦比亚、墨西哥和越南等国的Linux桌面系统发起攻击。NKAbuse既可以作为洪水式攻击器感染Linux系统以及类似MISP和ARM的Linux派生架构,将使物联网设备面临风险;又可作为后门用于未经授权访问,并可启动破坏性的分布式拒绝服务攻击。建议用户及时更新操作系统、应用程序和杀毒软件。(信息来源:360网络安全响应中心)
四、前沿技术瞭望
28、中国团队在超导量子处理器上实现保真度超蒸馏阈值制备
12月28日消息,中国科学技术大学、河南省量子信息与密码学重点实验室和合肥国家实验室的研究人员最近在超导量子处理器上演示了保真度超过蒸馏阈值的逻辑魔法态的制备。该研究团队提出的协议概述了在超导量子处理器中制备高保真原始魔法态的一种简单、实验可行且可扩展的策略。作为最近研究的一部分,论文合著者朱晓波教授和他的同事们在祖冲之2.1上应用了这一协议:祖冲之2.1是一个具有可调耦合设计的66量子比特机器。未来,其他研究团队可利用朱教授及其同事开发的协议,利用更广泛的超导量子处理器,实现高保真原始逻辑魔法态。这将有助于实现稳健容错的量子计算,进而推动更大规模量子计算机的发展。
