网络空间安全动态(202402期)
一、发展动向热讯
1、国家数据局等17部门联合印发“数据要素×”三年行动计划
1月4日,国家数据局等17部门联合印发《“数据要素×”三年行动计划(2024—2026年)》,旨在充分发挥数据要素乘数效应,赋能经济社会发展。行动计划强调坚持需求牵引、注重实效,试点先行、重点突破,有效市场、有为政府,开放融合、安全有序等4方面基本原则,明确了到2026年底的工作目标。行动计划选取工业制造、现代农业、商贸流通、交通运输、金融服务、科技创新、文化旅游、医疗健康、应急管理、气象服务、城市治理、绿色低碳等12个行业和领域,推动发挥数据要素乘数效应,释放数据要素价值。行动计划要求在三方面强化保障支撑:一是提升数据供给水平。二是优化数据流通环境。三是加强数据安全保障。(信息来源:新华网)
2、工信部等联合发布关于加快传统制造业转型升级的指导意见
1月3日消息,工业和信息化部、国家发展改革委、财政部等八部门联合发布《关于加快传统制造业转型升级的指导意见》,提出到2027年,传统制造业高端化、智能化、绿色化、融合化发展水平明显提升。其中关于数字技术、数据安全的有关内容包括:一是大力推进企业智改数转网联。加快人工智能、大数据、云计算、5G、物联网等信息技术与制造全过程、全要素深度融合。二是促进产业链供应链网络化协同。支持构建数据驱动、精准匹配、可信交互的产业链协作模式,开展协同采购、协同制造、协同配送、产品溯源等应用,建设智慧产业链供应链。三是推动产业园区和集群整体改造升级。探索建设区域人工智能数据处理中心,提供海量数据处理、生成式人工智能工具开发等服务,促进人工智能赋能传统制造业。(信息来源:工信部网站)
3、财政部印发《关于加强数据资产管理的指导意见》
1月11日,财政部印发《关于加强数据资产管理的指导意见》。提出构建“市场主导、政府引导、多方共建”的数据资产治理模式,逐步建立完善数据资产管理制度,不断拓展应用场景,提升和丰富数据资产经济价值和社会价值,推进数据资产全过程管理以及合规化、标准化、增值化。通过加强和规范公共数据资产基础管理工作,探索公共数据资产应用机制,促进公共数据资产高质量供给,有效释放公共数据价值,为赋能实体经济数字化转型升级,推进数字经济高质量发展,加快推进共同富裕提供有力支撑。(信息来源:财政部网站)
4、交通部公布《铁路关键信息基础设施安全保护管理办法》
1月3日消息,交通运输部公布《铁路关键信息基础设施安全保护管理办法》,自2024年2月1日起施行。《办法》共6章30条,包括总则、铁路关键信息基础设施认定、运营者责任和义务、保障和监督、法律责任、附则。主要内容包括:一是明确铁路关键信息基础设施管理体制,国家铁路局在职责范围内负责全国铁路关键信息基础设施安全保护和监督管理工作;地区铁路监督管理局开展本辖区铁路关键信息基础设施的安全保护和监督管理工作。二是压实运营者主体责任,明确规定运营者在机构设置、人员配备、经费保障、产品和服务采购、数据保护、安全检测和风险评估以及数据保护、密码应用、保密管理等方面的责任和义务。三是加强对铁路关键信息基础设施的监督管理和保障。(信息来源:央视网)
5、工信部就云计算综合标准化体系建设指南征集意见
1月9日消息,工业和信息化部就《云计算综合标准化体系建设指南》(征求意见稿)公开征集社会各界意见。征求意见稿提出了基础标准、技术与产品标准、服务标准、应用标准、管理标准、安全标准等六方面建设内容。到2025年,云计算标准体系更加完善。推进修订参考架构、术语等基础标准,优先制定云计算创新技术产品、新型服务应用和重要缺失领域的关键标准。开展云原生、边缘云、混合云、分布式云等重点技术与产品标准研制,制定一批新型云服务标准,面向制造、软件和信息技术服务、信息通信、金融、政务等重点行业领域开展应用标准建设。到2027年,制定云计算国家标准和行业标准达50项以上,基本覆盖基础、技术与产品、服务、应用、安全等各类研制方向,有效满足我国产业标准化新阶段需求。(信息来源:工信部网站)
6、美国防部发布CMMC计划拟议规则
1月3日消息,美国防部发布网络安全成熟度模型认证(CMMC)计划拟议规则,旨在确保国防供应链中的企业具备足够的网络安全能力,以保护受控非机密信息(CUI)。该规则确定了网络安全要求的分层模型,要求承包商根据信息的敏感性实施三级网络安全标准。其中,第1级针对涉及联邦合同信息(FCI)的合同,要求承包商必须遵守《美国联邦采购法规(FAR)》52.204-21规定的15项安全要求;第2级适用于涉及CUI的合同,承包商除需遵守第1级要求外,还必须遵守《美国国家标准与技术研究院特别出版物800-171修订版2》中规定的110项安全要求;第3级旨在增强CUI抵御高级持续性威胁(APT)的保护,承包商除在第2级基础上,还需遵守《美国国家标准与技术研究院特别出版物800-172》中选定的24项安全要求。五角大楼正在征求公众对拟议规则的意见,截止日期为2024年2月26日。(信息来源:安全内参)
7、美NASA发布太空安全最佳实践指南
2023年12月28日消息,美国家航空航天局(NASA)发布第一版《太空安全:最佳实践指南》,以增强公共部门和私营部门太空活动的网络安全。NASA表示,随着太空系统的集成度和互联度不断提高,NASA和其他组织在太空工作、通信和数据收集等方面的能力不断增强,但这些复杂系统也可能存在漏洞。NASA旨在通过该指南提供应对新挑战和实施安全措施的最佳实践,针对空间和地面任务建立一套原则,识别和减缓风险,确保其在地球轨道及太空取得持续成功。(信息来源:全球技术地图)
8、欧盟《网络安全条例》正式生效
1月8日消息,欧盟《网络安全条例》已正式生效。该条例规定了欧盟内实体内部网络安全风险管理、治理和控制框架的具体措施。《条例》提出将设立一个新的机构间网络安全委员会(IICB),并为CERT-EU提供计算机紧急响应小组的扩展授权。下一步,欧盟将按照该条例规定,建立内部网络安全治理流程,逐步实施该条例规定的具体网络安全风险管理措施。IICB将尽快成立并投入运营。(信息来源:欧盟官网)
二、安全事件聚焦
9、境外机构在我国海域周边投放航空信息窃密设备
1月6日,国家安全机关工作发现多个境外机构以免费提供设备、共享航空信息为诱饵,依托网络社交平台面向境内航空爱好者精准招募“志愿者”,并跨境邮寄大小接近普通智能手机的便携式信号接收设备,远程指导“志愿者”在我国渤海、东海、南海周边省份航空枢纽附近投放,以实现对周边一定范围内飞机的型号、高度、经度、纬度、速度、航向等信息的自动采集,并将上述数据实时传输到境外机构指定的服务器上。这些境外机构不仅窃取民用航空数据,甚至还能窃取军用航空器等敏感数据信息。(信息来源:国家安全部)
10、全国21个省市社保医疗等系统信息遭窃取
1月5日消息,四川省成都市新都区检察院近期查处了一起利用技术手段非法窃取公民个人信息案。王某等人通过网络渠道委托黑客,利用搜集到的各级政府、企业网络平台的接口漏洞,通过对接口进行数据抓包、参数解析等,开发100余款黑客软件,先后非法入侵全国21个省市的社保、医疗、婚姻、人口等多个重点民生领域共计29个行业的51个系统,“爬取”包括姓名、身份证号、工作单位、家庭成员、社保缴纳等在内的公民个人信息获利。(信息来源:检察日报)
11、巴西公民2.23亿条敏感信息遭泄露
1月10日消息,研究人员发现一起Elasticsearch数据泄露事件,其中包含超过2.23亿条巴西公民的敏感信息,包括姓名、性别、出生日期以及个人税务登记号码等,黑客可能利用这些信息进行身份盗窃、欺诈和网络犯罪,给相关人员带来财务损害和非授权账户访问等严重风险。Elasticsearch是一个常用的工具,用于搜索、分析和可视化大量数据。遭泄露的数据并没有明确与某个特定公司或组织关联,暂时无法追溯具体数据来源。(信息来源:HackerNews网)
12、中国台湾虎航泄露客户85.8万条数据
1月9日消息,中国台湾虎航85.8万条数据遭泄露,包括客户数据和航班预定数据。其中客户数据包括姓名、性别、出生日期、电子邮件、ID、账户、密码、国籍、护照号码等。台湾虎航总部位于桃园国际机场,是中华航空集团与廉价航空控股有限公司的合资企业。此前,台湾虎航曾在其官网发布公告称遭网络攻击,但未造成重大运营影响。此次数据泄露事件可能对客户隐私和公司声誉带来新的风险。(信息来源:HackerNews网)
13、沙特工业和矿产资源部敏感数据遭泄露
1月9日消息,沙特阿拉伯工业与矿产资源部(MIM)环境文件遭泄露,包括多种类型数据库凭据、邮件凭据和数据加密密钥等,这些敏感数据在长达15个月的时间里可被随意访问。攻击者可利用已泄露的信息在部门系统内实现横向移动,完成接管账号、加密政府关键数据、进行勒索软件攻击。拥有政府SMTP凭据的攻击者,可获取敏感的政府信息、机密文件、个人可识别信息或其他保密记录,还可能冒充政府官员或员工进行社交工程攻击,或者欺骗受害者透露其他敏感信息,实施欺诈,甚至获取对其他系统或资源的访问权。目前,MIM遭暴露的环境文件已停止访问。(信息来源:安全内参)
14、美国知名安全公司遭黑客攻击致军方信息外泄
1月9日消息,美国知名安全公司ULTRA遭网络攻击后,瑞士空军敏感文件在暗网被泄露。ULTRA是一家提供关键战略能力和安全解决方案的网络安全公司,其服务对象包括瑞士联邦国防部、RUAG等其他国防公司以及美国联邦调查局和北约等国际机构。瑞士联邦国防部证实空军在此次攻击中受影响,并已展开调查。黑客从ULTRA公司窃取了约30GB的敏感文件,包括瑞士国防部与这家美国公司之间价值近500万美元的合同、电子邮件和付款收据等。黑客组织BlackCat声称对此次攻击负责。(信息来源:FreeBuf网)
15、亲乌黑客对俄罗斯电信运营商实施数据擦除攻击
1月15日消息,亲乌克兰黑客组织Blackjack声称成功攻击了俄罗斯电信运营商M9com,使其网络瘫痪、数据失窃,以回应此前乌克兰电信公司Kyivstar被黑。该黑客组织分享了三个.ZIP文件的暗网地址,其中包含其访问M9com系统的截图,带有员工和客户账号凭据的文本,以及50GB的通话数据,遭泄露的文本文件包含姓名、用户名、电子邮件地址、明文密码以及其他机密细节。2023年12月中旬,乌克兰最大电信服务提供商Kyivstar遭攻击,服务受到严重干扰。乌克兰国家安全局调查显示,俄罗斯黑客最早在5月侵入了Kyivstar系统,于12月发动攻击,同时擦除了数千台虚拟服务器和计算机。(信息来源:安全内参)
16、全球超1100万SSH服务器面临“水龟攻击”威胁
1月9日消息,安全威胁监控平台Shadowserver的报告显示,全球超1100万台SSH服务器(由唯一的IP地址标识)易受水龟攻击(TerrapinAttack)。大多数易受攻击的系统位于美国(330万个),其次是中国(130万个)、德国(100万个)、俄罗斯(70万个)、新加坡(39万个)和日本(38万个)。TerrapinAttack是德国波鸿鲁尔大学安全研究人员开发的新攻击技术,利用了SSH传输层协议的弱点,并结合了OpenSSH十多年前引入的较新的加密算法和加密模式,后者已被广泛的SSH实现所采用,因此影响当前的大多数SSH实例。一旦攻击成功,攻击者可以破坏管理员通过SSH会话建立的安全连接,导致计算机、云和其他敏感环境受到损害。(信息来源:E安全)
17、美国抵押贷款机构loanDepot遭勒索软件攻击
1月9日消息,美国一家抵押贷款机构loanDepot遭勒索软件攻击,未经授权的攻击者已访问并加密了内部大量数据,迫使loanDepot关闭了部分系统,以阻止黑客访问其网络上的其他设备。loanDepot表示,正在努力恢复正常业务运营,并积极采取安全措施将事件影响降至最低,并通过社交媒体通知其客户,继续处理定期自动付款。建议受影响的客户向呼叫中心寻求帮助。(信息来源:FreeBuf网)
三、安全风险警示
18、关于GitLab密码重置漏洞安全风险通告
1月12日消息,奇安信CERT监测到GitLab密码重置漏洞CVE-2023-7028(CVSS评分10),未经身份验证的远程攻击者可以利用该漏洞将用户账户密码重置电子邮件发送至任意邮箱。LDAP用户不会受到影响,因为没有忘记/重置密码选项。此外,启用了双因素身份验证的用户易受密码重置的影响,但账户不会被接管。Gitlab是目前被广泛使用的基于git的开源代码管理平台,基于Ruby on Rails构建,主要针对软件开发过程中产生的代码和文档进行管理。鉴于该产品用量较大,建议用户做好防护。(信息来源:奇安信CERT)
19、美CISA在已知被利用漏洞目录中增加6个漏洞
1月10日消息,美网络安全与基础设施安全局(CISA)在其已知被利用漏洞目录中增加6个漏洞:(1)Apache Superset 2.0.1版本及以下的不安全默认资源初始化漏洞CVE-2023-27524(CVSS评分8.9),可能导致未经授权的访问;(2)Joomla!4.0.0至4.2.7版本中的不当访问检查漏洞CVE-2023-23752(CVSS评分5.3),可能导致未授权访问。(3)处理iMessage附件的字体文件中存在的远程代码执行漏洞CVE-2023-41990(CVSS评分7.8),可能导致iOS 16.2及更早版本的Apple iPhone设备受到攻击。(4)Adobe ColdFusion中的不受信任数据反序列化漏洞CVE-2023-38203和CVE-2023-29300(CVSS评分均为9.8)可能导致任意代码执行,无需用户交互。(5)D-Link DSL-2750B 1.05版本之前的设备存在远程未认证命令注入漏洞CVE-2016-20017,从2016年至2022年被活跃利用。CISA称上述漏洞对联邦机构构成严重,要求所有组织和机构在1月29日前修复漏洞。(信息来源:BleepingComputer网)
20、Apache OFBiz远程代码执行漏洞安全风险通告
1月1日消息,360CERT监测到Apache发布OFBiz远程代码执行漏洞CVE-2023-51467(CVSS评分9.8)。由于在OFBiz 18.12.10版本中官方未修复CVE-2023-49070漏洞中的权限绕过漏洞,导致未经身份认证的远程攻击者仍能够利用该漏洞绕过身份认证,还可利用该漏洞结合后台相关功能执行任意代码,并接管目标服务器。Apache OFBiz是一个电子商务平台,用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。鉴于该漏洞影响范围较大,建议用户做好防护。(信息来源:360CERT)
21、Ivanti修复EPM软件中的严重的远程代码执行漏洞
1月4日,IT安全管理软件服务商Ivanti修复了其端点管理器(EPM)软件中的一个严重RCE漏洞CVE-2023-39336(CVSS评分9.6)。该漏洞如果遭利用,有权访问内网的攻击者可以执行任意SQL查询并检索输出,而无需进行身份验证,当核心服务器配置为使用SQL Express时,可能导致核心服务器上出现RCE。该漏洞影响所有受支持的Ivanti EPM版本,目前已在2022 Service Update 5版本中被修复。(信息来源:安全客)
22、关于微软多个安全漏洞安全风险通告
1月11日消息,微软官方发布多个安全漏洞的公告,其中微软产品本身漏洞55个,影响到微软产品的其他厂商漏洞1个。包括Microsoft.NET和Microsoft Visual Studio安全漏洞(CNNVD-202401-741、CVE-2024-0057)、Microsoft Windows Kerberos安全漏洞(CNNVD-202401-711、CVE-2024-20674)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已发布漏洞修复补丁,建议用户尽快采取措施。(信息来源:CNNVD安全动态)
23、热门扳手套件中存在23个安全漏洞
1月11日消息,研究人员在博世力士乐(Bosch Rexroth)生产的NXA015S-36V-B型手持螺帽扳手套件中发现23个安全漏洞,包括CVE-2023-48243、CVE-2023-48250和CVE-2023-48265等。攻击者可利用这些漏洞在设备中植入勒索软件,进而导致生产线停工。另外,攻击者还可以劫持拴紧程序,并操纵面板导致作业员装配产品时,产生不可发现的损坏,影响产品安全。博世官方发表声明称已采取补救措施,补丁将于1月底发布。(信息来源:安全内参)
24、AI插件漏洞致5万个WordPress网站遭远程攻击
1月10日消息,研究人员在WordPress的AI 引擎插件发现一个严重漏洞,影响其超5万个活跃安装的免费版本。该插件因其多样化的人工智能相关功能而受到广泛认可,允许用户创建聊天机器人、管理内容并利用各种人工智能工具,如翻译、搜索引擎优化等。该漏洞允许任何未经身份验证的用户上传任意文件,包括潜在的恶意PHP文件,可能导致在受影响的系统上远程执行代码。目前,官方已在1.9.99版本中引入了补丁,建议用户尽快更新。(信息来源:安全客)
25、Bandook RAT新变种向Windows发起网络钓鱼攻击
1月9日消息,Fortinet的研究人员发现一种新的名为Bandook的远程访问变种木马(RAT),黑客利用该木马对Windows用户发起网络钓鱼攻击。Bandook的常见行为包括文件操作、注册表操作、下载、信息窃取、文件执行、从C2调用dll中的函数、控制受害者的计算机、终止进程以及卸载恶意软件等。Bandook木马的有效载荷支持139种动作,最近的变种又增加了用于C2通信的附加命令。(信息来源:FreeBuf网)
四、前沿技术瞭望
26、中国科学家成功实现“量子电子商务”
1月15日消息,中国科研团队提出一种量子电子商务方案,在国际上首次实现5用户的量子电子商务应用场景演示,为完整的电子商务交易流程提供了无条件的安全性保证。南京大学物理学院教授陈增兵、中国人民大学物理学系副教授尹华磊领衔的团队将量子数字签名作为一项底层技术,通过秘密共享的非对称特性和量子态的隐私特性等,构建了一个无条件安全的量子电子商务协议。实验中,研究团队基于“四相位测量设备无关的量子态传输技术”,构建了一个5用户的量子网络。该网络结构无需事先指定可信第三方进行支付验证,因而不需要固定中心节点。通过将系统中所有量子态制备、传输偏差量化为信息泄露,可衡量协议的失败概率。该方案成功验证了将兆比特交易文件的秒量级处理速率扩展到百公里光纤传输的可行性。
