网络空间安全动态(202405期)
编者按:网安动向热讯,本期有五点值得关注:一是习近平强调,要构建网络空间防御体系,提高维护国家网络安全能力;二是中国政府工作报告指出,要制定支持数字经济高质量发展政策,开展“人工智能+”行动;三是国家数据局等三部门研究建立专用于国家枢纽节点间的公共传输通道,有效提升“东数西算”网络传输效能;四是拜登政府将对内嵌中国信息通信技术或服务的智能网联汽车启动国家安全风险审查;五是美NSA发布零信任网络和环境成熟度指南,旨在帮助企业通过零信任框架原则来抵御外部网络攻击;六是美国防部启动网络作战准备评估计划,以增强国防部信息网络的态势感知和韧性。
网安事件聚焦,本期有两点建议关注:一是网络攻击手段的多样化和隐蔽性使网络安全威胁更加难以防范,国家政府机构和大型企业成重灾区。本期介绍:微软GitHub遭大规模攻击,超10万个存储库受影响;GhostSec和Stormous勒索软件组织联合发起了针对超15个国家多个行业的双重勒索攻击;朝鲜黑客入侵两家韩国芯片设备制造商服务器,窃取产品设计图和设施照片;乌克兰GUR声称入侵了俄罗斯国防部内部服务器,并成功窃取大量敏感文件;社交媒体巨头Meta Platforms旗下服务大范围宕机,全球数以亿计用户受影响。二是数据泄露、窃取、买卖等安全事件屡屡发生,全球数据安全态势依旧十分严峻。本期介绍:瑞士Xplain公司遭Play勒索软件攻击,6.5万份政府机密文件被窃取;中国台湾最大电信公司中华电信遭黑客组织攻击,1.7TB机密数据被盗并在暗网出售;科技公司YX International因未对其内部数据库进行密码保护,导致世界科技巨头2FA代码泄露;人工智能图像编辑工具Cutout.Pro遭网络攻击,2000万用户敏感信息被泄露;最大在线词典Glosbe服务器暴露,700万用户个人敏感信息遭泄露。
网安风险警示,本期有四点建议关注:一是美CISA网络系统遭黑客攻击,导致其紧急关闭2个关键业务系统;二是JetBrains TeamCity CI/CD服务器存在两个严重身份验证绕过漏洞;三是WordPress WPvivid Backup and Migration插件中存在一个SQL注入漏洞;四是VMware ESXi/Workstation/Fusion的XHCI USB和UHCI USB控制器中存在2个高危漏洞。
一、网安动向热讯
(一)习近平强调:要构建网络空间防御体系,提高维护国家网络安全能力
3月7日,中共中央总书记、国家主席、中央军委主席习近平在出席十四届全国人大二次会议解放军和武警部队代表团全体会议时强调,新兴领域战略能力是国家战略体系和能力重要组成部分,关系我国经济社会高质量发展,关系国家安全和军事斗争主动,对以中国式现代化全面推进强国建设、民族复兴伟业具有重要意义。要强化使命担当,深化改革创新,全面提升新兴领域战略能力。习近平强调,要突出发展重点,抓好新兴领域战略能力建设有关战略和规划落实。要统筹海上军事斗争准备、海洋权益维护和海洋经济发展,提升经略海洋能力。要优化航天布局,推进我国航天体系建设。要构建网络空间防御体系,提高维护国家网络安全能力。要加强智能科技重大项目统筹实施,加大先进成果应用力度。(信息来源:新华社)
(二)中国政府工作报告指出:要制定支持数字经济高质量发展政策,开展“人工智能+”行动
3月5日,国务院总理李强在政府工作报告中介绍2024年政府工作任务时提出,大力推进现代化产业体系建设,加快发展新质生产力。一是推动产业链供应链优化升级。二是积极培育新兴产业和未来产业。巩固扩大智能网联新能源汽车等产业领先优势。制定未来产业发展规划,开辟量子技术、生命科学等新赛道,创建一批未来产业先导区。三是深入推进数字经济创新发展。制定支持数字经济高质量发展政策。深化大数据、人工智能等研发应用,开展“人工智能+”行动,打造具有国际竞争力的数字产业集群。实施制造业数字化转型行动,加快工业互联网规模化应用,推进服务业数字化,建设智慧城市、数字乡村。健全数据基础制度,大力推动数据开发开放和流通使用。适度超前建设数字基础设施,加快形成全国一体化算力体系。(信息来源:中国政府网)
(三)国家数据局等三部门研究建立专用于国家枢纽节点间的公共传输通道,有效提升“东数西算”网络传输效能
3月1日消息,为深入贯彻党中央、国务院决策部署,加快落实《深入实施“东数西算”工程 加快构建全国一体化算力网的实施意见》,国家数据局会同国家发改委、工信部围绕充分发挥“东数西算”网络传输效能,进一步提高企业网络传输性价比,听取国家枢纽节点企业、数据传输需求企业,以及电信运营商等方面的意见建议,研究建立专用于国家枢纽节点间的公共传输通道,有效提升“东数西算”网络传输效能。下一步,国家发改委、国家数据局、工信部将引导中国电信、中国联通、中国移动等企业加强创新探索,近期将在部分枢纽节点间试点开通“东数西算”的“公共传输通道”,探索采用多种服务方式,增强普惠易用水平,切实提升企业主体获得感。(信息来源:国家数据局)
(四)拜登政府将对内嵌中国信息通信技术或服务的智能网联汽车启动国家安全风险审查
2月29日,美总统拜登以存在潜在的国家安全风险为由指示商务部调查来自包括中国在内的受关注国家的联网车辆,并对内嵌中国信息通信技术或服务的智能网联汽车启动国家安全风险审查,阻止包括电动汽车在内的中国联网汽车和卡车进入美国市场。同日,美商务部工业与安全局(BIS)发布拟议规则制定预先通知,旨在就联网车辆涉及的信息通信技术和服务交易相关问题征求公众意见,以协助BIS制定法规应对联网车辆带来的国家安全风险,征求意见截止日期为2024年4月30日。(信息来源:美白宫网站)
(五)美NSA发布零信任网络和环境成熟度指南,旨在帮助企业通过零信任框架原则来抵御外部网络攻击
3月5日,美国家安全局(NSA)发布新的零信任网络和环境成熟度指南,旨在帮助企业通过零信任框架原则来抵御外部网络攻击。零信任安全架构要求对网络资源的访问进行严格控制,无论是在物理边界内外,以最大限度地减少漏洞的影响。该指南详细介绍了如何限制组织网络内的对抗性横向移动访问敏感数据和关键系统,提供了有关如何使用零信任原则加强内部网络控制和遏制对网络分段部分的网络入侵指导,概述了如何加强网络和环境的关键举措,包括:数据流映射、宏观和微观分段、软件定义网络等。(信息来源:美NSA网站)
(六)美国防部启动网络作战准备评估计划,以增强国防部信息网络的态势感知和韧性
3月1日消息,经过9个月的试点工作,美国防部启动网络作战准备评估(CORA)计划。该计划代表了美国防部对网络中出现的威胁、脆弱性和影响的综合监控,将有助于增强国防部信息网络的态势感知和韧性,支持网络行动区指挥部加强其信息系统,缩小网络地形攻击面,加强积极防御。此外,CORA还高度关注保护网络外围设备、面向公众和美国防部外部的网络服务,以及与国防部外部直接连接的任何信息系统的安全。(信息来源:美国防部网站)
(七)美白宫督促科技公司改用内存安全编程语言,通过减少安全漏洞提高软件安全性
3月1日消息,美白宫国家网络总监办公室(ONCD)敦促科技公司改用内存安全编程语言如Rust,通过减少内存安全漏洞提高软件的安全性。内存安全漏洞是软件中最常见的编程错误之一,当软件以非预期或不安全的方式访问内存时,会导致各种安全问题,如缓冲区溢出、释放后使用、使用未初始化的内存和双重释放。成功利用此类漏洞会带来严重安全风险,可能允许攻击者未经授权访问数据,或允许以系统权限执行恶意代码。ONCD称,消除内存安全漏洞是一个紧迫而复杂的问题,科技公司必须采取新方法以减轻风险。(信息来源:美白宫网站)
(八)欧盟理事会与欧洲议会同意就《网络团结法案》达成协议,并对《网络安全法》进行修订
3月6日消息,欧盟理事会与欧洲议会达成一致意见,双方就《网络团结法案》达成协议,并同意对2019年《网络安全法》进行修订。《网络团结法案》的主要内容为:建立欧盟在网络安全方面应对能力,在面对网络威胁时更快速反应,加强合作机制。如加强网络安全威胁检测和认知;建立欧盟层面、成员国层面统一的危机管理。《网络安全法》修正案主要内容为:同意“托管安全服务”认证计划,增强欧洲网络韧性,即由专业的网络安全公司向欧洲客户提供托管安全服务,加强网络安全事件预防、检测、响应、恢复。(信息来源:欧盟理事会网站)
(九)新加坡发布最新《国家人工智能战略(NAIS 2.0)》
3月1日消息,新加坡发布最新《国家人工智能战略(NAIS 2.0)》,主要内容包括:在未来三年内投资超过2000万美元,以增加新加坡数字奖学金的名额和人工智能职位的海外实习的机会;投资5亿美元用于确保人工智能创新和能力建设保持较高水准;启动生成式人工智能之数字领导者计划,为企业提供获得生成式GenAI方面的专业知识和资源;发布《关于在人工智能推荐和决策系统中使用个人数据的咨询指南》等。(信息来源:新加坡通信信息部网站)
二、网安事件聚焦
(十)微软GitHub遭大规模攻击,超10万个存储库受影响
3月2日消息,网络安全公司Apiiro发布报告称微软GitHub存储库遭大规模攻击。此次攻击通过克隆安全且干净的存储库,并在其中添加恶意代码后重新上传来实施,被称为“恶意存储库混淆”,预计超10万个GitHub存储库受影响,甚至可能有数百万个。攻击者利用GitHub等平台易于生成账户和存储库、使用舒适API以及软速率限制等问题,使其成为感染软件供应链的理想目标。GitHub已收到通知,大部分恶意代码库已被删除,但该活动仍在继续,并试图向存储库中注入恶意代码的攻击变得越来越普遍。攻击始于2023年5月,并呈指数级增长,越来越多的用户可能会被感染。(信息来源:IT之家)
(十一)GhostSec和Stormous勒索软件组织联合发起了针对超15个国家多个行业的双重勒索攻击
3月8日消息,思科安全报告称,GhostSec和Stormous勒索软件组织已联合推出一项名为STMX_GhostLocker的新勒索即服务(RaaS)计划,针对超15个国家各行业发起双重勒索攻击。新计划包括向附属机构提供的付费服务、免费服务以及用于在博客上出售或发布数据的个人服务。一旦部署成功,勒索软件将与命令和控制面板建立连接,继续执行加密例程,但在此之前将终止指定进程或服务,并窃取与特定扩展名列表匹配的文件。此次攻击涉及阿根廷、波兰、中国、以色列、印度等多个国家的技术、教育、制造、政府、交通、能源和电信等行业。(信息来源:E安全)
(十二)朝鲜黑客入侵两家韩国芯片设备制造商服务器,窃取产品设计图和设施照片
3月6日消息,韩国国家情报院(NIS)称,朝鲜黑客入侵了韩国两家芯片设备制造商服务器,并窃取了产品设计图和设施照片。NIS称黑客采用了一种名为“living off the land(LOTL)”的技术,最大限度地减少恶意代码并使用服务器内安装的现有合法工具,从而难以用安全软件检测到。网络攻击发生在2023年12月和今年2月。NIS表示,朝鲜可能正面临由于制裁而难以获取半导体的困境,因此试图自产芯片,尤其是用于其卫星和导弹等武器计划的芯片,建议韩国各公司采取预防措施。NIS未透露黑客组织或目标的详细信息,只表明攻击者的重点是连接互联网的服务器。(信息来源:韩国家情报院网站)
(十三)乌克兰GUR声称入侵了俄罗斯国防部内部服务器,并成功窃取大量敏感文件
3月5日消息,乌克兰国防部情报总局(GUR)声称入侵了俄罗斯国防部(Minoborony)的内部服务器,并成功窃取大量敏感文件。主要包括:俄罗斯国防部用于保护和加密数据的软件;俄罗斯国防部的一系列特勤文件(命令、报告、指令和各种其他文件),在国防部2000多个结构单位中分发;允许建立Minoborony系统及其链接的完整结构的信息;属于俄罗斯国防部副部长蒂穆尔·瓦迪莫维奇·伊万诺夫的文件;此外,GUR还发布了四张显示数据库查询结果、日志文件和概述官方程序/指南的文件截图,作为其成功发动网络入侵的证据。(信息来源:FreeBuf网站)
(十四)社交媒体巨头Meta Platforms旗下服务大范围宕机,全球数以亿计用户受影响
3月6日消息,社交媒体巨头Meta Platforms旗下服务,包括Facebook、Instagram、Messenger和Threads大范围宕机,并持续1个多小时。全球数以亿计的Meta社交媒体用户均无法正常访问账户(YouTube、T-Mobile等非Meta服务也出现严重中断)。在线故障追踪平台Downdetector的用户报告激增,显示所有四个平台均出现登录问题,一些用户甚至被意外登出,该问题疑似同时影响了所有桌面端和移动端应用。Meta Platforms尚未承认此次宕机事件。网络安全专家建议用户尽快更改账户密码。(信息来源:安全内参)
(十五)瑞士Xplain公司遭Play勒索软件攻击,6.5万份政府机密文件被窃取
3月8日消息,瑞士国家网络安全中心(NCSC)披露一起数据泄露事件,瑞士技术和软件解决方案提供商Xplain在2023年5月23日遭Play勒索软件组织入侵,6.5万份政府文件被窃取,其中包括机密文件和登录凭据,并在暗网上公开。Xplain为瑞士多个政府部门、行政单位以及国家军队提供服务。攻击者利用一个漏洞将托管州服务应用程序的Xplain服务器作为目标,阻止访问,直到发送密钥或解锁工具以换取赎金。此次攻击影响联邦警察局、联邦海关、边境保护局和瑞士联邦铁路局等。(信息来源:HackerNews网)
(十六)中国台湾最大电信公司中华电信遭黑客组织攻击,1.7TB机密数据被盗并在暗网出售
3月5日消息,中国台湾最大电信公司中华电信遭黑客组织攻击,1.7TB数据被盗,一名昵称“303”、头像上带有“Monogon”签名的用户将泄露的数据在暗网上出售。台湾有关部门正式确认此次攻击事件,经调查发现,攻击者成功获取了中华电信的机密信息,包含台湾军方、海岸警卫队和其他政府部门的机密文件。台湾有关部门敦促中华电信强化安全措施,防止类似事件发生。(信息来源:HackerNews网)
(十七)科技公司YX International因未对其内部数据库进行密码保护,导致世界科技巨头2FA代码泄露
3月6日消息,一家在全球范围内提供短信转发服务的亚洲科技和互联网公司YX International,因未对其内部数据库进行密码保护,导致其数据库被公开暴露在互联网上,任何人都可以通过浏览器访问其中的敏感数据。遭泄露的数据包括为用户发送的一次性验证码和密码重置链接,验证码和链接可能被用于访问用户的Facebook、Google、TikTok等账户。YX International短信转发服务可以帮助将及时的短信信息发送到不同地区和运营商的目的地,每天可以发送约500万条SMS短信。(信息来源:Techcrunch网站)
(十八)人工智能图像编辑工具Cutout.Pro遭网络攻击,2000万用户敏感信息被泄露
3月1日消息,人工智能图像编辑工具Cutout.Pro发生一起严重数据泄露事件,约2000万会员用户的姓名、电子邮件地址、散列和加盐密码,以及IP地址等敏感信息在数据泄露论坛上被出售。Cutout.Pro是一个人工智能驱动的照片和视频编辑平台,可用于图像增强、背景移除、漫反射、着色、旧照片修复和新图像内容生成。目前,Cutout.Pro还未核实此次数据泄露事件,但多家媒体已证实数据泄露中列出的电子邮件与Cutout.Pro的合法用户完全匹配。网络安全专家建议用户立即重置密码,并警惕有针对性的网络钓鱼诈骗。(信息来源:阿里云)
(十九)最大在线词典Glosbe服务器暴露,700万用户个人敏感信息遭泄露
3月7日消息,Cybernews研究团队发现,最大的在线词典Glosbe留下一个开放的MongoDB服务器,导致700万用户个人数据、加密密码、社交媒体标识符等敏感信息遭泄露。Glosbe企业通常使用MongoDB来存储大量的面向文档的信息,但配置错误可能会使实例可供公众访问,从而导致敏感数据泄露,开放的实例包含了Glosbe的用户记录集合。攻击者能够进行身份盗窃、进行网络钓鱼攻击以及未经授权访问账户,对个人隐私和安全构成严重威胁。目前,开放的实例已关闭。(信息来源:HackerNews网)
三、网安风险警示
(二十)美CISA网络系统遭黑客攻击,导致其紧急关闭2个关键业务系统
3月11日消息,黑客组织利用Ivanti产品的安全漏洞侵入美CISA机构网络系统,导致其紧急关闭基础设施保护网关和化学安全评估工具2个关键业务系统,目前还未发现对其他业务运营造成影响。CISA此前曾多次发布警告,称黑客正在利用Ivanti Connect Secure和Policy Secure Gateways的安全漏洞CVE-2023-46805、CVE-2024-21887和CVE-2024-21893进行大范围攻击活动,任何组织都可能受威胁,即使是国家级安全监管机构如CISA也不例外,并提醒联邦机构防范利用Ivanti软件漏洞发起的攻击。(信息来源:RecordedFutureNews网)
(二十一)JetBrains TeamCity CI/CD服务器存在两个严重身份验证绕过漏洞
3月6日消息,研究人员发现JetBrains TeamCity CI/CD服务器存在两个严重的身份验证绕过漏洞CVE-2024-27198(CVSS评分9.8)和CVE-2024-27199(CVSS评分7.3)。上述漏洞允许未经授权的远程攻击者完全控制受影响的TeamCity服务器,执行未经认证的远程代码执行,从而成为供应链攻击的潜在途径,所有TeamCity版本均受影响。TeamCity是一款由JetBrains开发的持续集成和持续交付服务器,提供了一个功能强大的平台,用于自动化构建、测试和部署软件项目。JetBrains已在TeamCity 2023.11.4版本中修复漏洞,建议用户立即更新。(信息来源:启明星辰)
(二十二)WordPress WPvivid Backup and Migration插件中存在一个SQL注入漏洞
3月1日消息,启明星辰VSRC监测到WordPress WPvivid Backup and Migration插件中存在一个SQL注入漏洞CVE-2024-1981(CVSS评分9.8),目前该漏洞细节及PoC已公开。由于对用户提供的参数转义不充分且现有SQL查询准备不足,可能导致通过table_prefix参数受SQL注入攻击,未经身份验证的攻击者可在已有的查询中附加额外的SQL查询,从数据库中获取敏感信息。WPvivid Backup and Migration插件是一款用于高级计划备份、恢复和迁移的一体化Wordpress插件,活跃安装量已超40万次。目前上述漏洞已被修复,建议用户尽快更新。(信息来源:启明星辰)
(二十三)VMware ESXi/Workstation/Fusion的XHCI USB和UHCI USB控制器中存在2个高危漏洞
3月6日消息,启明星辰VSRC监测到VMware ESXi/Workstation/Fusion的XHCI USB和UHCI USB控制器中存在2个高危漏洞CVE-2024-22252和CVE-2024-22253,CVSS评分最高为9.3。具有虚拟机本地管理权限的攻击者可能利用上述漏洞在主机上运行的虚拟机VMX进程来执行代码。在ESXi上,漏洞利用包含在VMX沙箱内,在Workstation和Fusion上,成功利用漏洞可能导致在安装Workstation或Fusion的计算机上执行代码。VMware是一家提供虚拟化解决方案的软件公司,产品包括VMware ESXi虚拟化操作系统及各种管理和监控工具。(信息来源:启明星辰)
(二十四)美CISA针对Windows Streaming Service漏洞遭利用发出警告
3月4日消息,美CISA将位于微软流服务Streaming Service中的一个高危提权漏洞CVE-2024-29360(CVSS评分8.4)列入必修复清单中。该漏洞允许具有本地访问权限的攻击者获得系统权限,无需用户交互即可实施攻击,可导致攻击者获得易受攻击设备上的系统权限。美CISA要求联邦行政部门加强对其Windows系统的保护,在三周内识别并修复环境中易受攻击的资产以防止攻击,督促所有组织机构应用清单中提到的补丁。(信息来源:代码卫士)
(二十五)Apple Shortcuts中的安全漏洞可能导致用户敏感信息泄露
3月4日消息,Apple Shortcuts应用程序中存在一个高严重性漏洞CVE-2024-23204,可能允许攻击者在不提示用户的情况下访问敏感数据(照片、联系人、文件和剪贴板数据等)并将其导入,同时使用Base64编码选项进行转换,最后将其转发至恶意服务器。该漏洞影响iOS和macOS用户。Apple Shortcuts是一款自动化应用程序,提供数百个内置操作,使用户能够通过文件管理、教育、智能家居集成等个性化工作流程来简化iOS和macOS上的任务。目前,该漏洞已被修复,建议用户尽快更新。
