网络空间安全动态（202407期）

编者按：网安动向热讯，本期有六点值得关注：一是国家网信办发布《促进和规范数据跨境流动规定》；发布《数据出境安全评估申报指南（第二版）》和《个人信息出境标准合同备案指南（第二版）》；二是全国网安标委发布《数据安全技术 数据分类分级规则》，为数据要素流通提供方法论；三是联合国大会通过首个有关人工智能的决议草案，旨在消除发达国家和发展中国家之间的数字鸿沟；四是美众议院全票通过《保护美国人数据免受外国对手侵害法案》，防止“外国对手”国家通过数据经纪人获取美国人敏感数据；五是美CISA发布针对关键基础设施防御DDoS攻击的更新指南，以更好地应对DDoS攻击挑战；六是美太空军新设网络任务分析团队。 网安事件聚焦，本期有两点建议关注：一是黑客组织不断研发新的攻击工具，以实施更大规模、更有效、更隐蔽的网络攻击。本期介绍：俄罗斯黑客组织Solntsepek疑似攻击乌克兰互联网服务提供商，乌方暂未回应；以色列网络安全公司发现新的钓鱼攻击利用Office部署NetSupport RAT；新型恶意软件StrelaStealer发起大规模网络攻击，美国和欧盟数百个组织受影响。二是全球范围内数据泄露事件频发，涉及的企业、行业和地区广泛，用户数据仍是攻击者窃取的重点。本期介绍：以色列核设施计算机网络疑遭黑客组织入侵，数千份文件被窃取；Google Firebase因配置错误泄露超1.25亿条数据，涉及肯德基、赛百味等知名企业；奢侈品时尚电子商务平台Editorialist因存储桶配置不当导致用户敏感数据泄露；欧洲媒体公司MediaWorks遭网络攻击，约250万条数据被泄露；印度多家知名品牌因第三方营销公司网络安全问题泄露用户数据，影响超百万人。网安风险警示，本期有五点建议关注：一是运行苹果M1、M2和M3芯片Mac电脑存在无法修复漏洞，允许攻击者提取安全密钥并破坏加密；二是Mozilla Firefox网页浏览器存在越界写入漏洞，且已遭在野利用；三是自托管平台GitHub Enterprise Server存在多个安全漏洞；四是Linux的开源工具Buildah中存在容器逃逸漏洞且已遭利用；五是企业知识管理与协同软件Atlassian Confluence存在路径遍历漏洞。

      一、网安动向热讯

     （一）国家网信办发布《促进和规范数据跨境流动规定》，激发数据要素价值

     3月22日，国家网信办发布《促进和规范数据跨境流动规定》，对现有数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的实施和衔接作出进一步明确。该规定主要内容包括：一是明确重要数据出境安全评估申报标准。二是明确免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件。三是设立自由贸易试验区负面清单制度。四是调整应当申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件。五是延长数据出境安全评估结果有效期，增加数据处理者可以申请延长评估结果有效期的规定。（信息来源：网信中国）

     （二）国家网信办发布《数据出境安全评估申报指南（第二版）》和《个人信息出境标准合同备案指南（第二版）》

     3月22日，国家网信办发布《数据出境安全评估申报指南（第二版）》《个人信息出境标准合同备案指南（第二版）》，对申报数据出境安全评估、备案个人信息出境标准合同的方式、流程和材料等具体要求作出了说明，对数据处理者需要提交的相关材料进行了优化简化。数据处理者因业务需要向境外提供重要数据和个人信息，应当遵守《数据出境安全评估办法》《个人信息出境标准合同办法》和《促进和规范数据跨境流动规定》有关规定。（信息来源：网信中国）

     （三）全国网安标委发布《数据安全技术 数据分类分级规则》，为数据要素流通提供方法论

     3月21日，全国网安标委正式发布国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》，给出了数据分类分级的通用规则，为数据分类分级管理工作的落地执行提供重要指导，将于2024年10月1日起正式实施。该标准明确了数据分类与分级的基本原则，包括业务相关性、数据敏感性、风险可控性等。数据分类应根据业务特点和数据属性进行划分，如个人信息、商业秘密、国家秘密等；数据分级则应根据数据的敏感性、重要性和潜在风险进行划分，如一般数据、重要数据、核心数据等。（信息来源：全国网安标委网站）

     （四）联合国大会通过首个有关人工智能的决议草案，旨在消除发达国家和发展中国家之间的数字鸿沟

     3月22日消息，联合国大会投票通过了第一个有关人工智能（AI）的决议草案，以确保这项新技术能够惠及所有国家、尊重人权并且是“安全、可靠和值得信赖的”技术。该决议草案旨在消除发达国家和发展中国家之间的数字鸿沟，确保它们在人工智能讨论中处于同等地位，并确保发展中国家拥有利用人工智能的技术和能力。决议草案承认了人工智能发展和使用的加速进程，并强调“迫切需要就安全、可靠和值得信赖的人工智能系统达成全球共识”。决议还承认“人工智能系统的治理是一个不断发展的领域”，需要进一步讨论可能的治理方法。美国为这项决议草案的发起国，中国参与了共同提案。（信息来源：环球网）

     （五）美众议院全票通过《保护美国人数据免受外国对手侵害法案》

     3月21日消息，美国会众议院以414票对0票的全体一致通过了旨在防止“外国对手”国家通过数据经纪人获取美国人敏感数据的法案。该法案明确禁止数据经纪人把美国个人的敏感数据传输给外国对手国家或者外国对手控制的实体。法案对“传输”的界定极为广泛，包括出售、许可、出租、交易、转让、发布、披露、提供访问以及其他方式等。“外国对手”是根据美国法典第10章第4872节(d)(2)款规定：除非有特殊情况，美国防部长不能从朝鲜、中国、俄罗斯或伊朗等“非盟友国家”购买或销售一些关键金属敏感材料。“被外国对手控制的实体”的定义为：在外国对手国家定居、总部设在该国、主要营业地在该国或根据该国法律限定的外国人；上述这些外国人或外国人的集合直接或间接拥有至少20%权益的实体；受上述两项外国人或实体“控制或受其指示”的人。（信息来源：美国会网站）

     （六）美CISA发布针对关键基础设施防御DDoS攻击的更新指南，以更好地应对DDoS攻击挑战

     3月21日，美网络安全与基础设施安全局（CISA）、联邦调查局和多州信息共享与分析中心联合发布《了解和应对分布式拒绝服务（DDoS）攻击》的更新指南，为关键基础设施组织提供了三种不同类型的DDoS技术的详细见解，包括旨在消耗可用带宽的容量攻击；利用网络协议漏洞的协议攻击；针对特定应用程序或正在运行的服务中的漏洞攻击。该指南还概述了拒绝服务（DoS）和DDoS情况，包括攻击类型、动机、对政府运营的潜在影响，实施预防措施的具体步骤，以及针对不同DDoS和DoS技术类型的应对策略。（信息来源：美CISA网站）

     （七）美太空军新设网络任务分析团队

     3月22日消息，美太空军高级将领表示，太空军已在米德堡组建了一个网络任务分析小组，该小组将与美网络司令部和国家安全局合作，以确定如何在网络司令部辖下组建太空军团队，比如太空军应向联合网络任务部队派遣多少人员或团队，如防御小组、进攻小组或支持小组等。目前太空军的网络人员主要集中在Delta 6联队，负责为太空军资产（如地面终端）提供网络防御。（信息来源：信息安全与通信保密杂志社）

     （八）美卫生与公众服务部民权办公室发布有关医疗机构网站使用在线追踪器的更新指南

     3月19日，美卫生与公众服务部（HHS）民权办公室（OCR）发布有关医疗机构网站使用在线追踪器的更新指南，为受监管实体在考虑使用追踪技术时提供指导。该指南指出，受监管实体必须确保仅在健康保险携带和责任法案（HIPAA）隐私规则明确允许或要求的情况下，才能披露受保护的健康信息。该指南概述了HIPAA规则如何适用于受监管实体对追踪技术的使用，包括追踪经过用户身份验证的网页；追踪未经身份验证的网页；在应用程序中追踪；受监管实体在使用追踪技术时需遵守的HIPAA合规义务。（信息来源：美HHS网站）

     （九）澳CISC推出增强组织韧性工具和框架，旨在增强抵御各种威胁的韧性

     3月18日，澳大利亚网络和基础设施安全中心（CISC）推出一种增强型自我评估工具，即组织韧性健康检查工具。该工具根据现代组织韧性方法论设计，旨在增强抵御各种威胁的韧性。用户可以根据领导力、决策、态势感知、创造力和创新等13个韧性指标，使用此工具进行组织评估和评级。此外，澳CISC发布了《组织韧性：良好实践指南》更新版，介绍了一个组织韧性的成熟度框架，该框架为联合国组织复原力成熟度模型的修改版本，以补充更新健康检查工具的使用，为用户提供使用真实范例。（信息来源：Industrial Cyber网）

     （十）法国多家机构联合开发适用于安全通信网络的后量子密码

     3月19日消息，法国泰雷兹、TheGreenBow、CryptoExperts、CryptoNext Security、法国信息系统安全机构ANSSI、Inria研究所等公司、机构及高校共同合作开发“量子弹性”项目。该项目将致力于开发一种后量子密码学解决方案，保护企业和地方政府的通信基础设施和网络免受未来量子计算机攻击。该项目将重点关注两个关键用例：一是混合后量子虚拟专用网络，为用户提供对信息系统的简单、安全和抗量子访问；二是高性能后量子硬件安全模块，用于保护整个系统并与其他产品集成。（信息来源：信息安全与通信保密杂志社）

     （十一）英国发布云托管监控和数据采集（SCADA）安全指南，将网络安全作为关键考虑因素

     3月18日，英国国家网络安全中心（NCSC）发布了云托管监控和数据采集（SCADA）安全指南，用以帮助使用运营技术（OT）的组织识别云托管SCADA的优势和风险，确定是否将其SCADA系统迁移到云端。OT组织在决定SCADA云迁移前需评估3个关键领域，即了解业务驱动因素和云机会；组织准备；技术和云解决方案的适用性。该指南还解决了有关数据敏感性的问题，并强调实施适当安全控制的重要性，包括静态和传输数据的加密措施。（信息来源：英NCSC网站）

     二、网安事件聚焦

     （十二）俄罗斯黑客组织Solntsepek疑似攻击乌克兰互联网服务提供商，乌方暂未回应

     3月22日消息，俄罗斯黑客组织疑似攻击乌克兰互联网服务提供商，在入侵开始时使用的擦除软件AcidRain出现更新版本，该新版恶意软件已被黑客组织Solntsepek用于攻击Triacom、Misto TV、Linktelecom和KIM四家乌克兰互联网服务提供商。AcidRain在俄乌冲突之初被用于攻击与Viasat公司服务有关的数千台KA-SAT调制解调器，新版恶意软件AcidPour拥有一系列扩展功能和潜在的目标定位能力，多个乌克兰电信网络受AcidPour干扰，自3月13日以来一直处于离线状态。Solntsepek是一个疑似由俄罗斯军事情报局控制的黑客组织，此次攻击是因为这些提供商向乌克兰政府机构和武装部队提供了互联网服务。负责网络防御的乌克兰国家特殊通信和信息保护局以及乌克兰安全局均未对此事作出回应。（信息来源：信息安全与通信保密杂志社）

     （十三）以色列核设施计算机网络疑遭黑客组织入侵，数千份文件被窃取

     3月20日消息，一个与伊朗有关的黑客组织Anonymous声称在一起攻击事件中破坏了以色列敏感核设施的计算机网络，以抗议加沙战争。该组织声称从西蒙·佩雷斯·内盖夫核研究中心窃取并发布了数千份文件，包括PDF、电子邮件和PowerPoint演示文稿等，该组织此前曾发布一段描绘核爆炸的动画视频。目前还未有官方证实黑客组织成功渗透该设施的运营技术网络的真实性。以色列网络安全公司CheckPoint的专家通过分析黑客组织公开的文件后表示，大多数文件不包含关键信息，也不能证明黑客是否控制了该核设施运营系统，但遭泄露信息仍可被用于未来攻击。（信息来源：E安全网）

     （十四）以色列网络安全公司发现新的钓鱼攻击利用Office部署NetSupport RAT

     3月20日，以色列网络安全公司Perception Point公布关于“幻蓝行动”（Operation PhantomBlu）的最新调查报告。“幻蓝行动”是指近期针对美国企业的网络钓鱼活动，黑客制作携带有NetSupport RAT木马的微软Office文件，并通过邮件方式分发，吸引用户点击打开，从而远程窃取敏感数据。恶意软件NetSupport RAT源自合法的远程桌面工具NetSupport Manager，攻击者通常利用该工具在已被入侵的终端上搜索各种数据。PhantomBlu使用加密的.doc文件，通过OLE模板和模板注入的方式部署NetSupport RAT，并添加了新技术以逃避检测。（信息来源：IT之家）

     （十五）新型恶意软件StrelaStealer发起大规模网络攻击，美国和欧盟数百个组织受影响

     3月25日消息，Palo Alto Networks公司威胁情报团队Unit 42的研究人员发现，新型信息窃取恶意软件StrelaStealer发起大规模网络攻击行动，试图窃取组织机构电子邮件账户凭据，影响美国和欧洲的数百个组织。该恶意软件可从Outlook和Thunderbird中窃取电子邮件账户凭据，同时还能使用多文件感染方法来逃避安全软件检测，于2022年11月被首次披露。该组织大多数攻击目标都锁定了高科技领域，其次是金融、法律服务、制造、政府和能源等行业。（信息来源：FreeBuf网）

     （十六）Google Firebase因配置错误泄露超1.25亿条数据，涉及肯德基、赛百味等知名企业

     3月20日消息，研究人员在调查AI招聘软件Chattr（客户包括肯德基、赛百味、Wendy’s）的Firebase实例配置错误问题时发现近1900万个明文密码因Firebase（一个用于托管数据库、云计算和应用程序开发的Google平台）配置错误而在公共互联网上暴露，任何人都可对数据库进行读取访问。研究人员扫描了超过500万个域名，发现有916个组织网站的FireBase实例存在未启用安全规则或设置不正确情况，导致超过1.25亿条敏感用户记录公开泄露，包括姓名、电话号码、电子邮件、密码以及带有银行详细信息的账单信息等。Firebase拥有19项产品，被超过150万个应用程序采用。（信息来源：BleepingComputer网）

     （十七）奢侈品时尚电子商务平台Editorialist因存储桶配置不当导致用户敏感数据泄露

     3月21日消息，Cybernews研究团队发现了一个暴露的Amazon S3云存储桶，该存储桶属奢侈品时尚电子商务平台Editorialist，其中存放着7000多张客户发票，详细记录了Editorialist客户的姓名、地址和购物项目描述等信息；信用卡表文件夹中包含了316个电子表格，公开了用户身份信息、支付卡名称和类型、后四位数字及账户余额等。上述数据已暴露五个月之久，目前尚未收到该公司对此次事件的回应。研究人员建议受影响用户留意冒充编辑或相关公司的欺诈者发送的有针对性的网络钓鱼电子邮件。（信息来源：HackerNews网）

     （十八）欧洲媒体公司MediaWorks遭网络攻击，约250万条数据被泄露

     3月20日消息，欧洲媒体公司MediaWorks确认遭网络攻击，约250万条重要数据被未经授权访问。泄露数据包含姓名、出生日期、手机号码、电子邮件地址等个人敏感信息。黑客组织OneERA声称对此事件负责，并在暗网公开出售被盗数据以及视频、音乐内容和选举信息等，还敦促潜在购买者发起私下沟通以了解更多详细信息。黑客组织要求MediaWorks公司支付500美元的比特币赎金。目前，受此次泄露影响的个人已收到黑客组织发送的电子邮件，表明其数据已被泄露。MediaWorks公司称正与外部专家合作调查该事件。（信息来源：HackerNews网）

     （十九）印度多家知名品牌因第三方营销公司网络安全问题泄露用户数据，影响超百万人

     3月20日消息，Cybernews研究团队发现了一个可公开访问的Apache Kafka Broker开放实例，其属于印度营销分析公司Gamooga，该公司主要提供第三方营销服务。Kafka是一个分布式消息流平台，用于实时处理大量数据。Brokers是Kafka架构中的服务器，用于管理数据记录的存储并将数据从一个系统传输到另一个系统。该开放实例包含多个印度知名品牌客户的敏感数据，包括银行服务商、保险机构、电商平台、娱乐应用平台和教育机构的数据。被泄露数据的访问时间已超过一年，任何人都可以连接到它并实时接收客户的敏感数据，可能给客户带来如身份盗窃、垃圾邮件、人肉搜索、网络钓鱼、恐吓等安全风险。Cybernews已将数据泄露事件上报Gamooga，暂未收到该公司回应。（信息来源：HackerNews网）

     三、网安风险警示

     （二十）运行苹果M1、M2和M3芯片Mac电脑存在无法修复漏洞，允许攻击者提取安全密钥并破坏加密

     3月25日消息，研究人员发现运行苹果M1、M2和M3芯片Mac电脑存在一个无法修复漏洞GoFetch，允许攻击者提取安全密钥并破坏加密。GoFetch被称为“微架构侧信道攻击”，它会影响苹果芯片的一部分，即用于提高操作速度的数据内存依赖预取器。由于该漏洞存在于苹果的芯片本身而不是其软件中，目前无法被修复，制造商必须发布全新的芯片才能彻底解决该问题。其他公司如英特尔的处理器也受影响。研究人员建议苹果硅设备用户小心防范。（信息来源：HackerNews网）

     （二十一）Mozilla Firefox网页浏览器存在越界写入漏洞，且已遭在野利用

     3月25日，启明星辰VSRC监测到Firefox中修复了一个越界写入漏洞CVE-2024-29943（CVSS评分9.1），目前该漏洞已发现被利用。在Firefox 124.0.1之前版本中，由于基于范围的边界检查消除过程中存在问题，攻击者可通过绕过预期安全检查的方式操纵JavaScript对象执行越界读取或写入，成功利用该漏洞可能导致远程代码执行。此外，Firefox 124.0.1之前版本和Firefox ESR 115.9.1之前版本（桌面版）中还修复了一个代码执行漏洞（CVE-2024-29944），攻击者可将事件处理程序注入特权对象，从而导致在父进程中执行任意JavaScript。Mozilla Firefox是一个由Mozilla开发的开放源代码的网页浏览器，支持桌面版（Windows、Mac及Linux平台）、Android版、iOS版等多种版本。上述漏洞已被修复，建议受影响用户尽快升级。（信息来源：启明星辰）

     （二十二）自托管平台GitHub Enterprise Server存在多个安全漏洞

     3月21日，启明星辰VSRC监测到GitHub Enterprise Server中修复了一个命令注入漏洞CVE-2024-2443（CVSS评分为9.1），该漏洞存在于GitHub Enterprise Server多个版本中，攻击者可利用该漏洞访问GitHub Enterprise Server实例，具有编辑者角色的攻击者还可在配置GeoJSON设置时通过命令注入获得对实例的SSH访问权限。此外，GitHub Enterprise Server还修复了一个输入验证不当漏洞CVE-2024-2469（CVSS评分8.0），在GitHub Enterprise Server中具有管理员角色的攻击者可通过远程代码执行获得SSH root访问权限。GitHub Enterprise Server是一个用于企业内软件开发的自托管平台，团队可使用GitHub Enterprise Server通过Git版本控制、强大的API、生产力和协作工具以及集成来构建和发布软件。上述漏洞已修复，建议受影响用户尽快升级。（信息来源：启明星辰）

     （二十三）Linux的开源工具Buildah中存在容器逃逸漏洞且已遭利用

     3月21日消息，启明星辰VSRC监测到Buildah中修复了一个容器逃逸漏洞CVE-2024-1753（CVSS评分8.6），目前该漏洞的利用细节已公开。Buildah是一款基于Linux的开源工具，用于构建兼容开发容器计划（OCI）的容器。该漏洞可能导致容器将主机文件系统上的任意位置挂载到构建容器中。攻击者还可通过恶意Containerfile使用带有指向/文件系统的符号链接的虚拟映像作为挂载源，并导致挂载操作在RUN步骤内挂载主机/文件系统，RUN步骤中的命令将具有对主机文件系统的读/写访问权限，从而在构建时实现容器逃逸。目前该漏洞已修复，受影响用户可升级到Buildah 1.35.1或更高版本。（信息来源：启明星辰）

     （二十四）企业知识管理与协同软件Atlassian Confluence存在路径遍历漏洞

     3月21日消息，奇安信CERT监测到Atlassian Confluence路径遍历漏洞CVE-2024-21677（CVSS评分8.3），未经身份验证的远程攻击者需要与受害者交互来利用该漏洞，成功利用后可对Confluence服务器机密性、完整性和可用性造成严重影响。Confluence是一个专业的企业知识管理与协同软件，也可以用于构建企业wiki，使用简单，但其强大的编辑和站点管理特征能帮助团队成员之间共享信息、文档协作、集体讨论及信息推送等。目前官方已发布安全更新，鉴于该漏洞影响范围较大，建议用户尽快修复。