网络空间安全动态(202406期)
编者按:网安动向热讯,本期有七点值得关注:一是2024政府工作报告和计划报告对“数据要素”工作制定明确政策取向,并提出具体要求;二是拜登政府公布2025财年预算申请,联邦政府将投入130亿美元用于增强网络安全;美国防部公布2025财年网络空间活动预算优先事项;三是美国土安全部发布其首份人工智能路线图;四是美国家情报总监办公室与中央情报局联合发布《2024—2026年美国情报界开源情报战略》;美SpaceX正建设低轨间谍卫星网络;五是美联邦通信委员会批准物联网设备网络标签计划;六是美白宫科技政策办公室发布《国家微电子研究战略》;七是欧洲议会批准全球首部全面监管AI法规《人工智能法案》。
网安事件聚焦,本期有两点建议关注:一是政府机构、大型企业频繁遭受网络攻击,全球网络安全形势不容乐观。本期介绍:微软遭俄APT组织暴力攻击,部分源代码和机密信息泄露;法国政府多部门遭高强度网络攻击,多个黑客组织声称对此次攻击负责;美亚拉巴马州政府网站遭黑客组织“匿名苏丹”DDoS攻击,多个机构网站中断;日本科技巨头富士通遭网络攻击客户数据被窃。二是服务行业、金融领域和制造业是数据泄露和勒索攻击的主要目标,用户数据依旧是攻击重点。本期介绍:法国政府就业机构遭网络攻击,约4300万用户数据遭泄露;印度一金融公司因数据库配置错误,导致超3TB客户和员工信息泄露;日产澳大利亚分公司遭Akira勒索软件攻击,导致10万人数据泄露。
网安风险警示,本期有五点建议关注:一是应用程序开发和部署平台套件Progress OpenEdge存在一个严重身份验证绕过漏洞;二是数据库客户端管理软件pgAdmin4存在一个反序列化代码执行漏洞;三是Fortinet FortiOS安全操作系统和FortiProxy产品中存在一个越界写入漏洞;四是安全管理解决方案平台Fortinet FortiClientEMS中存在多个安全漏洞;五是Fortra公司文件管理传输工具FileCatalyst中存在一个严重的远程代码执行漏洞。
一、网安动向热讯
(一)2024政府工作报告和计划报告对“数据要素”工作制定明确政策取向,并提出具体要求
3月11日,第十四届全国人民代表大会第二次会议批准了政府工作报告、全国人大常委会工作报告、《关于2023年国民经济和社会发展计划执行情况与2024年国民经济和社会发展计划草案的报告》(以下简称《计划报告》)等,对数据要素开放开发、流通利用等方面的工作制定了明确的政策取向,并提出了具体要求。《计划报告》指出,促进数字技术与实体经济深度融合;有序开发利用数据要素,加快完善数据产权、流通交易、收益分配、安全治理等制度规则,制定支持数字经济高质量发展政策措施;适度超前布局建设数字基础设施;统筹提升“东数西算”整体效能;实施“数据要素×”行动计划;开展全国数据资源调查,加强数据要素应用场景指引;深化数据要素市场化配置改革;持续推进数据跨境流动试点,积极参与制定国际数字治理规则。(信息来源:国家数据局)
(二)拜登政府公布2025财年预算申请,联邦政府将投入130亿美元用于增强网络安全
3月11日,拜登政府公布2025财年预算申请,联邦政府将投入130亿美元用于增强网络安全,重点包括:网络安全与基础设施局拨款30亿美元,其中内部网络和分析能力建设需要约3.94亿美元,关键基础设施安全协调和网络事件报告分别需要4100万美元和1.16亿美元;联邦调查局计划增加2500万美元,以支持针对黑客组织的反间谍行动以及网络响应能力;司法部的国家安全部门要求提供约500万美元的预算,以打击网络威胁。拜登在2025财年预算中特别提出将拨款30亿美元“用于负责任地开发、测试、采购和集成整个联邦政府的变革性人工智能应用程序”,还将调拨其他预算支出,用以促使政府服务机构现代化转型升级,并提高网络安全响应能力。(信息来源:美Nextgov网)
(三)美国防部公布2025财年网络空间活动预算优先事项,网络空间活动投资将达145亿美元
3月11日,美国防部公布美政府拟议的2025财年国防预算案,2025财年国防部将获得8498亿美元资金,其中网络空间活动投资将达145亿美元,重点涉及网络安全、网络空间作战以及网络研发三大领域。网络安全领域计划投入74亿美元,将通过整个美国防部对网络安全工具和能力的持续开发、部署、维护和现代化投资,提供更强大的网络态势;网络空间作战领域计划投资64亿美元,将支持网络空间关键信息收集和分析,使美网络部队能够准备和开展攻防网络效应行动,以及支持联合行动和训练;网络研发领域计划投资6.294亿美元,将用于部署现有能力和技术并使其现代化,同时推进下一代工具开发,以增强国防部网络安全和网络空间作战计划。(信息来源:美国防部网站)
(四)美国土安全部发布其首份人工智能路线图,概述了国土安全部人工智能工作的三条路线及三个试点项目
3月17日,美国土安全部发布其首份人工智能(AI)路线图,列出了国土安全部在人工智能方面的举措,描述了人工智能技术在整个部门的潜力,强调了该部门对负责任利用的承诺。该路线图概述了国土安全部用来指导其工作的三条工作路线:负责任地利用人工智能推进国土安全任务,同时保护个人隐私、公民权利和公民自由;在全国范围内推广人工智能安全与保障;通过强大而有凝聚力的合作伙伴关系,继续在人工智能领域发挥领导作用。三个试点项目将转变安全调查流程,解锁数据驱动的见解,并改善任务成果;加强对具有韧性社区的规划援助;利用生成式人工智能加强入境事务人员培训。(信息来源:美国土安全部网站)
(五)美国家情报总监办公室与中央情报局联合发布《2024—2026年美国情报界开源情报战略》
3月11日消息,美国家情报总监办公室与中央情报局联合发布《2024—2026年美国情报界开源情报战略》,旨在解决特定的情报优先事项、要求或差距。该战略提出协调开源数据采集与扩展分享、构建综合开源情报采集管理机制、推动开源情报创新以形成新情报能力和发展下一代开源情报工作队伍与技能体系四大战略方针。美国家情报总监海恩斯表示,该战略反映了美情报界将开始一个“将开源情报学科进行专业化建设、改革情报分析与生产流程,并构建一个与外部及外国伙伴开展情报合作之新领域”的长期建设过程。(信息来源:美国家情报总监办公室网站)
(六)美SpaceX公司正根据与美国家侦察办公室签订的合同,建设低轨间谍卫星网络
3月16日消息,美太空探索技术公司(SpaceX)的“星盾”业务部正在根据2021年与美国家侦察办公室(NRO)签订的18亿美元合同,建设一个由数百颗间谍卫星组成的网络,若成功建成,将大幅提升美政府和军方在全球任何地方快速发现潜在目标的能力。该计划显示了SpaceX参与美国情报和军事项目的程度,并表明美国防部对旨在支持地面部队的大型低地球轨道卫星系统进行了更深入的投资。目前新间谍卫星网络的上线时间暂未确定。(信息来源:环球网)
(七)美联邦通信委员会批准物联网设备网络标签计划,以加强网络安全和监管行业网络状况
3月14日消息,美联邦通信委员会批准物联网设备网络标签计划,以帮助消费者选购不易受网络攻击的物联网设备和其他依赖互联网连接的产品,旨在加强美网络防御并改善联邦机构监管行业的网络状况。根据该计划,符合网络安全标准的智能产品将贴有专有标签,并附有二维码供用户扫描以获取有关产品安全功能的更多信息。(信息来源:美Nextgov网)
(八)美白宫科技政策办公室发布《国家微电子研究战略》,以加强美微电子研发创新生态系统
3月15日,美白宫科技政策办公室发布《国家微电子研究战略》,以加强美微电子研发创新生态系统。该战略概述了美微电子研究领域未来五年的主要目标和行动方案,为美联邦部门和机构、学术界、工业界、劳工组织、非营利组织以及国际盟友和合作伙伴提供指导框架,旨在实现以下关键目标:促进并加速未来几代微电子学的研究进展;支持、建设和连接从研究到制造的微电子基础设施;培养和维持微电子研发到制造生态系统的技术人员队伍;创建一个充满活力的微电子创新生态系统,加速研发向产业化过渡。(信息来源:美白宫网站)
(九)美国家标准与技术研究院将建立新的美国制造研究所,重点是利用人工智能提高制造业韧性
3月13日,美国家标准与技术研究院宣布将成立一个新的美国制造研究所,计划五年内为其拨款7000万美元,重点是利用人工智能提高美制造业韧性。该研究所主要关注制造工艺、新颖材料、使能技术、供应链集成方法或先进制造的其他相关方面,如纳米技术应用、先进陶瓷、光子学和光学、复合材料、生物基和先进技术材料、灵活混合技术、微电子工具开发、食品制造、超导体、先进电池技术、机器人、先进传感器、量子信息科学、航空和先进材料以及石墨烯及其商业化。该研究所将加入由美国防部、能源部和商务部资助的17家美国制造研究所网络。(信息来源:美联邦公报)
(十)美国防高级研究计划局在2025财年预算中明确多个关键人工智能项目,作为未来发展重点
3月15日消息,美国防高级研究计划局在2025财年预算中明确多个关键人工智能项目,作为未来发展重点。一是快速实验任务化自主(REMA)项目,旨在研发新型子系统以增强商用无人机自主性,或作为军用无人机自主作战的技术储备。二是具有军事作战价值的自主标准和理想(ASIMOV)项目,旨在测试自主武器遵守国防部安全和道德原则的程度。三是人工智能与人机共生访问项目,针对人机交互理念,寻求使聊天机器人能够进行现实和积极对话,并将启动大型预训练模型。四是开发类似于ChatGPT的大型语言模型,旨在实现人类和人工智能模型之间透明和逻辑的通信。五是空中情报强化(AIR)项目,寻求战术控制任务自主化,将初级飞行员从低级战术家转变为高级任务指挥官。(信息来源:信息安全与通信保密杂志社)
(十一)欧洲议会批准《网络弹性法案》,以及全球首部全面监管AI法规《人工智能法案》
3月12日,欧洲议会批准《网络弹性法案》,旨在确保具有数字功能产品的使用安全,确保它们能够抵御网络威胁并提供有关其安全属性的足够信息。根据该法案,重要和关键产品将根据其重要性及其网络安全风险等级被列入不同的清单之中。基于上述标准形成的清单将由欧盟委员会提出和更新,被认为构成较高网络安全风险的产品将由指定机构进行更为严格的检查。
3月13日,欧洲议会批准通过了全球首部全面监管AI法规《人工智能法案》,旨在保护基本权利、民主、法治和环境可持续性免受高风险人工智能的影响,并将欧洲打造成为该领域的领导者。该条例根据人工智能的潜在风险和影响程度规定了人工智能的义务。该法案将禁止某些威胁公民权利的人工智能应用,包括基于敏感特征的生物识别分类系统,以及从互联网或闭路电视录像中无目标地抓取面部图像以创建面部识别数据库。操纵人类行为或利用人类弱点的人工智能也将被禁止。(信息来源:欧盟委员会网站)
二、网安事件聚焦
(十二)微软遭俄APT组织暴力攻击,部分源代码和机密信息泄露
3月11日消息,微软称具有俄罗斯背景的APT组织“午夜暴雪”(APT29)于今年1月对其进行攻击,访问了部分源代码库和内部系统,并在最近几周内试图利用此前窃取的信息来获得未授权访问权限。微软表示,与1月份观察到的大量攻击相比,黑客组织“APT29”2月份针对微软的密码喷涂攻击活动增加了近10倍。目前,微软已采取相关措施,并已通知受影响用户,但未公布被窃取的具体源代码和机密信息。(信息来源:TheHackerNews网)
(十三)法国政府多部门遭高强度网络攻击,多个黑客组织声称对此次攻击负责
3月11日消息,法国多个政府部门已遭高强度网络攻击,连接100万公共部门代理和1.4万个国家站点的国家部际网络已成为攻击目标。法国国家信息系统安全局表示,已成立危机应对小组,正在实施过滤措施,直到攻击结束。多个黑客组织声称对此次攻击负责,其中包括“匿名苏丹”组织。该组织声称已攻击了超过1.7万个IP和设备,以及超过300个域名的基础设施。法国总理办公室表示,政府服务机构已成为网络攻击的主要目标,攻击利用传统技术手段,但空前密集。(信息来源:参考消息)
(十四)美亚拉巴马州政府网站遭黑客组织“匿名苏丹”DDoS攻击,多个机构网站中断
3月18日消息,美亚拉巴马州多个政府机构的网站因DDoS攻击而中断,影响了许可证的发放、税收活动和警察行动,黑客组织“匿名苏丹”声称对此次攻击负责。亚拉巴马州州长办公室表示,此次DDoS攻击持续了5到10分钟,但未导致任何网络或数据泄露,目前正在与供应商合作以解决该事件。(信息来源:SC Magazine网)
(十五)日本科技巨头富士通遭网络攻击客户数据被窃
3月19日消息,日本科技巨头富士通宣称公司遭网络攻击,客户个人数据被窃取。富士通表示,事件发生后已及时隔离了受影响计算机,加强了对其他设备的监控,暂未收到客户数据被滥用情况,并已向个人信息保护委员会通报了该事件,目前已通知受影响客户。富士通是全球第六大IT服务提供商,拥有12.4万名员工。该公司市场业务遍及全球100多个国家,产品包括服务器、存储系统、软件、电信设备等。(信息来源:BleepingComputer网)
(十六)法国政府就业机构遭网络攻击,约4300万用户数据遭泄露
3月18日消息,法国政府负责失业救济和残疾人就业促进的两家机构遭网络攻击,约4300万用户数据被泄露,涉及过去20年内在这两家机构登记过的所有求职者,相当于法国总人口的63%。泄露的信息包括姓名、出生日期、电话号码、社会保障号码、法国劳动局标识符和电子邮件地址等,暂未发现用户密码和银行支付信息受影响。法国数据保护部门警告称,此次数据泄露事件将增加受害者遭遇身份盗用和网络钓鱼等风险,建议相关人群对收到的电子邮件、电话和短信保持高度警惕。目前,法国政府已展开调查。(信息来源:BleepingComputer网)
(十七)印度一金融公司因数据库配置错误,导致超3TB客户和员工信息泄露
3月17日消息,印度一家非银行性质金融公司IKF Finance因一个配置错误的MongoDB数据库实例,导致400多万份IKF Finance文件暴露,超3TB客户和员工敏感数据遭泄漏。泄露信息包括印度税务部门颁发的永久账号卡、生物识别身份证件、护照和贷款合同等。Cybernews研究团队表示,由于数据库公开的实例包含IKF在线申请系统的明文访问信息,可能允许攻击者查阅、批准或驳回贷款申请,增加了用户遭受身份盗用和财务损失的风险,建议该公司尽快采取措施保护受影响用户。(信息来源:Cybernews网)
(十八)日产澳大利亚分公司遭Akira勒索软件攻击,导致10万人数据泄露
3月15日消息,日产澳大利亚分公司发布安全公告称,其在2023年12月遭Akira勒索软件组织攻击,导致10万人数据泄露,相关信息在暗网被公开。日产称Akira勒索软件组织窃取了一些现任和前任员工的数据,以及该地区日产、三菱、雷诺和英菲尼迪等经销商的客户数据。被窃数据的每个人所涉及的信息类型都不同,其中约10%为个人身份信息,包括医疗保险卡、驾照、护照和税务档案号等,其余90%大部分为贷款相关文件、就业详情和出生日期等信息。目前,日产承诺将尽快通知受影响客户,并为其提供免费信用监控服务和身份证更换费用报销,建议客户启用多因素身份验证及定期更新密码。(信息来源:HackerNews网)
三、网安风险警示
(十九)应用程序开发和部署平台套件Progress OpenEdge存在一个严重身份验证绕过漏洞
3月12日消息,启明星辰VSRC监测到Progress OpenEdge中存在一个身份验证绕过漏洞CVE-2024-1403,CVSS评分10。该漏洞影响OpenEdge平台的OEAG组件和AdminServer,当OpenEdge Authentication Gateway配置了OpenEdge域,该域使用操作系统本地身份验证提供程序在OpenEdge活动版本支持的操作平台上授予用户ID和密码登录权限时,攻击者可利用该漏洞绕过身份验证导致未授权访问;当OpenEdge Explorer和OpenEdge Management建立AdminServer连接时,会利用受支持平台上的操作系统本地身份验证提供程序来授予用户ID和密码登录权限,攻击者可利用该漏洞获得未经授权的登录访问。Progress OpenEdge是一个应用程序开发和部署平台套件。该漏洞目前已修复,建议用户尽快升级。(信息来源:启明星辰)
(二十)数据库客户端管理软件pgAdmin4存在一个反序列化代码执行漏洞
3月15日消息,研究人员监测到pgAdmin4中存在一个反序列化代码执行漏洞CVE-2024-2044,CVSS评分9.9。pgAdmin版本<=8.3在会话处理代码中反序列化用户会话时容易受到路径遍历漏洞的影响。如果服务器在Windows上运行,未经身份验证的攻击者可加载和反序列化远程pickle对象并获得代码执行权;如果服务器在POSIX/Linux上运行,经过身份验证的攻击者可上传恶意pickle对象并执行反序列化,从而导致代码执行。pgAdmin4是一款专门针对PostgreSQL数据库的客户端管理软件。该漏洞目前已修复,建议用户升级到更高版本。(信息来源:Github网)
(二十一)Fortinet FortiOS安全操作系统和FortiProxy产品中存在一个越界写入漏洞
3月11日消息,研究人员发现Fortinet FortiOS安全操作系统和FortiProxy产品中存在一个越界写入漏洞CVE-2024-21762,CVSS评分9.8。由于Fortinet FortiOS和FortiProxy多个受影响版本在SSL VPN组件中存在越界写入漏洞,可导致未经身份验证的远程攻击者通过特制HTTP请求执行任意命令或代码。目前,全球范围内存在约15万个易受该漏洞影响的资产设备,其中最多的设备位于美国(超2.4万台),其次是印度、巴西和加拿大。FortiOS是美国飞塔(Fortinet)公司开发的一套专用于FortiGate网络安全平台上的安全操作系统,FortiProxy是Fortinet推出的一款高性能代理产品,保护用户免受网络攻击。目前该漏洞已修复,建议用户尽快升级。(信息来源:FortiGuard网)
(二十二)安全管理解决方案平台Fortinet FortiClientEMS中存在多个安全漏洞
3月15日消息,奇安信CERT监测到Fortinet FortiClient Enterprise Management Server(EMS)平台存在一个SQL注入漏洞CVE-2023-48788,CVSS评分9.8,未经认证的远程攻击者可向服务器发出精心制作的恶意数据,成功利用此漏洞可在目标系统上执行任意命令。此外Fortinet FortiOS和FortiProxy多个受影响版本在captive portal中还存在一个越界写入漏洞CVE-2023-42789(CVSS评分9.8)和一个缓冲区溢出漏洞CVE-2023-42790(CVSS评分8.1),有权访问captive portal的内部攻击者可通过特制的HTTP请求执行任意命令或代码。Fortinet FortiClientEMS是一种安全管理解决方案平台,支持对多终端进行可扩展的集中管理。建议用户定期更新,提升服务器安全性。(信息来源:奇安信CERT)
(二十三)Fortra公司文件管理传输工具FileCatalyst中存在一个严重的远程代码执行漏洞
3月19日消息,Fortra公司文件管理传输工具FileCatalyst中存在一个远程代码执行漏洞CVE-2024-25153,CVSS评分9.8,可导致文件通过一个特殊构造的POST请求,被上传到预定“uploadtemp”目录以外的地方。如果文件被成功上传到该web门户的DocumentRoot中,则特殊构造的JSP文件可被用于执行代码,导致攻击者易获得服务器上的远程代码执行权限。建议用户尽快更新以缓解潜在威胁。
