网络空间安全动态（202408期）

编者按：网安动向热讯，本期有六点值得关注：一是2024年中非互联网发展与合作论坛在厦门举办，并发布关于中非人工智能合作的主席声明；二是美商务部BIS发布实施额外出口管制规定，旨在使中国更难获取美国人工智能芯片和芯片制造工具；三是美国防部发布《2024年国防工业基础网络安全战略》，以提高美国防供应商和生产商的网络安全；四是美CISA发布关键基础设施网络攻击通报新规草案，旨在提高网络安全事件的识别和防御能力；五是欧盟与韩国承诺在半导体、量子计算、5G、人工智能和网络安全等关键技术领域加强合作；六是苹果、谷歌、Meta成为欧盟首次《数字市场法案》调查的目标。

       网安事件聚焦，本期有两点建议关注：一是大规模数据泄露事件高发频发，涉及电信、社交媒体和网络安全机构等多个领域。本期介绍：美电信运营商AT&T确认7000万客户信息被泄露至暗网；以色列流行的LGBTQ约会应用程序Atraf泄露超50万用户个人信息；全球知名网络安全组织OWASP发生大规模数据泄露事件；游戏平台Minecraft 14GB数据遭泄露。二是医疗、国防和金融领域仍是勒索组织和黑客的主要目标，用户数据依旧是攻击重点。本期介绍：印度国防和能源部遭黑客攻击，8.81GB数据被窃；苏格兰国家医疗服务体系遭勒索软件组织INC Ransom攻击，3TB数据被盗；越南第三大证券经纪公司遭网络攻击致服务中断；在线购物平台PandaBuy遭黑客攻击导致数据泄露，超130万客户受影响。

       网安风险警示，本期有五点建议关注：一是美CISA和红帽联合发布警告，称流行Linux压缩工具XZ存在满分漏洞；二是美CISA和FBI敦促开发人员全力消除SQL注入漏洞；三是德国政府警告称该国1.7万台Microsoft Exchange服务器易受严重权限提升漏洞影响；四是暗藏11年之久的Linux漏洞曝光，可用于伪造SUDO命令；五是新型僵尸网络感染全球88个国家/地区，超6千台华硕路由器遭攻击。

        一、网安动向热讯

       （一）2024年中非互联网发展与合作论坛在厦门举办，并发布关于中非人工智能合作的主席声明

       2024年中非互联网发展与合作论坛于4月2日至3日在中国厦门举行，论坛的主题为“共建数字创新伙伴关系 共创数字合作美好未来”。来自中国和20个非洲国家，以及国际组织、高校、研究机构、新闻媒体等共约400名代表出席论坛。就中非人工智能合作开展了深入交流。与会中方代表表示，2023年，中国国家主席习近平宣布中方提出《全球人工智能治理倡议》，这是中方积极践行人类命运共同体理念，落实全球发展倡议、全球安全倡议、全球文明倡议的具体行动。非洲是科技进步的重要参与者，人工智能的发展和应用，对包括中国和非洲国家在内的广大发展中国家具有重要意义。非洲代表感谢中方举办此次论坛，表示此次论坛是各方落实2021年签署的《达喀尔宣言》的重要行动，对开展中非网信领域合作非常重要。论坛还将发布《2024年中非互联网发展与合作论坛关于中非人工智能合作的主席声明》。（信息来源：中国日报网）

       （二）国家网信办发布生成式人工智能服务已备案信息的公告

       4月2日消息，为促进生成式人工智能服务创新发展和规范应用，网信部门会同相关部门按照《生成式人工智能服务管理暂行办法》要求，有序开展生成式人工智能服务备案工作，现将已备案信息予以公告。提供具有舆论属性或者社会动员能力的生成式人工智能服务的，可通过属地网信部门履行备案程序，属地网信部门应及时将已备案信息对外公开发布，网信办将在官网定期汇总更新，不再另行公告。已上线的生成式人工智能应用或功能，应在显著位置或产品详情页面公示所使用已备案生成式人工智能服务情况，注明模型名称及备案号。（信息来源：网信中国）

       （三）美商务部BIS发布实施额外出口管制规定，旨在使中国更难获取美国人工智能芯片和芯片制造工具

       3月29日，美商务部工业和安全局（BIS）发布实施额外出口管制的规定，该规定针对半导体项目出口，旨在使中国更难获取美国人工智能芯片和芯片制造工具。新规规定，对向中国出口芯片的限制也适用于包含这些芯片的笔记本电脑，这意味着美国芯片对华限制扩大到更广泛的消费电子领域。新规拟于4月4日生效。美国于去年10月出台对华芯片限制令，禁止英伟达等芯片厂商向中国销售最先进版本的人工智能芯片。此次修改是在去年10月禁令基础上的更新。美商务部表示，计划继续更新对中国技术出口的限制，并加强和调整这些措施。（信息来源：美联邦公报）

       （四）美国防部发布《2024年国防工业基础网络安全战略》，以提高美国防供应商和生产商的网络安全

       3月28日，美国防部发布《2024年国防工业基础（DIB）网络安全战略》，旨在加强美国防部与DIB合作，进一步协调和统筹资源。该战略概述了四项主要目标及十二项细分目的。具体包括：一是加强美国防部DIB网络安全治理结构。分项目的包括：加强跨领域网络安全问题的跨部门合作；推进DIB承包商和分包商网络安全责任法规的制定。二是增强DIB的网络安全态势。分项目的包括：评估DIB是否符合国防部的网络安全要求；改善与DIB的威胁、漏洞和网络相关情报的共享；识别DIB信息技术网络安全生态系统中的漏洞；从恶意网络活动中恢复；评估网络安全法规、政策和要求的有效性。三是在网络竞争环境中保持关键DIB功能的弹性。分期目的包括：优先考虑关键DIB生产能力的网络弹性；在政策中优先关注关键供应商和设施的网络安全。四是改善与DIB的网络安全合作。分项目的包括：利用与商业互联网、云和网络安全服务提供商的合作来增强DIB网络威胁意识；与DIB领域协调委员会合作以改善与DIB的沟通与协作；改善与DIB的双向沟通并扩大公私网络安全合作。（信息来源：安全内参）

       （五）美CISA发布关键基础设施网络攻击通报新规草案，旨在提高网络安全事件的识别和防御能力

       3月29日消息，美网络安全与基础设施安全局（CISA）发布关键基础设施企业如何向政府报告网络攻击的规定草案。该草案基于拜登2022年3月15日签署的美国《关键基础设施网络事件报告法案（CIRCIA）》，旨在提高网络安全事件的识别和防御能力。美CISA正在就该草案征求公众意见，为期60天。美CISA表示，拥有和运营关键基础设施的公司需要在72小时内报告重大网络攻击，并在24小时内报告勒索软件支付情况。该规定适用于任何拥有或运营美国政府归类为关键基础设施的系统的所有者，例如医疗、能源、制造业和金融服务业。该规定还将适用于不运营关键基础设施，但其系统可能对特定行业关键基础设施造成影响的企业，例如服务提供商。美CISA表示将对报告进行保密处理，不遵守规定者将受到行政处罚，包括罚款和监禁。（信息来源：美CISA网站）

       （六）美白宫管理和预算办公室发布首个政府范围内人工智能政策

       3月28日消息，美白宫宣布已完成拜登总统发布的人工智能行政命令（AI EO）所规定的150天行动，同时白宫管理和预算办公室（OMB）发布联邦机构内使用人工智能的政策指南，以减轻人工智能的风险并利用其优势，进一步实现AI EO。OMB的新政策将指导美国联邦机构执行以下行动：一是解决人工智能使用带来的风险，到2024年12月1日，联邦机构必须在可能影响美国人使用人工智能的权利或安全方面实施具体保障措施；二是扩大人工智能使用的透明度，要求各机构公开扩展人工智能用例年度清单、拥有的人工智能代码和模型等；三是推进负责任的人工智能创新，加强人工智能应对气候危机和自然灾害、公共卫生的力度；四是发展人工智能劳动力，培养人工智能人才并提高其技能；五是加强人工智能治理，除指定首席人工智能官外，建立由副部长或同等职务担任主席的人工智能治理委员会，协调和管理整个机构对人工智能的使用。（信息来源：美白宫网站）

       （七）美英宣布建立人工智能安全科学合作伙伴关系

       4月1日，美国和英国签署一份谅解备忘录，双方将共同开发最先进人工智能模型的测试，以兑现2023年11月人工智能安全峰会上做出的承诺。美国和英国的人工智能安全研究所均已制定计划，建立通用的人工智能安全测试方法，分享各自的成果，并对可公开访问的模型进行至少一项联合测试，以确保有效应对人工智能风险。此外，双方还计划加强研究所人员之间的交流。（信息来源：美商务部网站）

       （八）美日发布联合声明草案，计划在人工智能和半导体领域深化合作

       3月30日消息，日本首相岸田文雄与美国总统拜登计划于4月10日在美国举行首脑会谈，届时将发布联合声明，宣布美日在人工智能和半导体等领域深化合作。本次美日首脑会谈的联合声明草案已经确定，该声明将日美关系定位为“全球伙伴关系”。声明草案指出，两国政府预计将与美国半导体巨头英伟达公司、日本软银集团旗下的英国半导体设计巨头ARM公司、美国亚马逊公司、美国华盛顿大学和日本筑波大学等单位合作，构建一个人工智能研发框架，预计将协调1亿美元左右的投资。（信息来源：路透社）

       （九）欧盟与韩国承诺在半导体、量子计算、5G、人工智能和网络安全等关键技术领域加强合作

       3月26日，欧盟与韩国在布鲁塞尔举行第二届数字合作伙伴理事会，双方承诺在半导体、量子计算、5G、人工智能和网络安全等关键技术领域持续合作，还同意分享有关网络安全趋势、中小企业数字化和信息通信技术标准化最佳实践的关键信息。为确保联合项目的实施，欧盟已同意将韩国纳入欧盟地平线计划。此外，会议强调了双方之间创新合作、半导体及其供应链信息交流的必要性，并为来自两个地区的研究人员发起欧盟-韩国半导体研究人员联合论坛，同时，双方还发出了关于无线电接入网络和6G技术研究提案的征集。（信息来源：Digwatch网）

       （十）苹果、谷歌、Meta成为欧盟首次《数字市场法案》调查的目标

       3月25日，欧洲反垄断监管机构表示，苹果、谷歌和Meta因可能违反欧盟新颁布的《数字市场法》（DMA）而接受调查。《数字市场法》于3月7日生效，旨在简化用户在不同在线服务间的切换流程，削弱科技巨头势力，为小企业创造更多竞争机会。尽管部分科技公司表示，已经部署了数千名工程师，以满足《数字市场法案》中六名“守门人”的要求，但欧盟委员会仍怀疑其所采取的措施未能有效遵守《数字市场法》。若被证实存在违反《数字市场法》相关行为，上述公司可能会面临高达全球年营业额10%的罚款。（信息来源：路透社）

        二、网安事件聚焦

       （十一）美电信运营商AT&T确认7000万客户信息被泄露至暗网

       3月31日消息，美电信运营商AT&T证实其发生数据泄露事件，大量用户的数据在约半个月前被发布至暗网。AT&T公司在一份声明中称，有760万个现用户和6540万个前用户的个人信息遭泄露，包括姓名、出生日期、电子邮件地址等，但不包括个人财务信息和通话记录。被泄露的数据疑似是2019年之前的，事件暂未对公司运营造成影响。AT&T公司表示，目前已重置了760万个现用户的密码，将通过书面或电子邮件形式与受影响客户保持沟通，并将提供免费的信用监控服务。该公司已就该事件展开调查。（信息来源：环球时报）

       （十二）以色列流行的LGBTQ约会应用程序Atraf泄露超50万用户个人信息

       4月1日消息，以色列流行的LGBTQ约会应用程序Atraf泄露超50万用户个人信息，包括姓名、出生日期、电话号码、IP地址、家庭详细信息、宗教、智能手机类型和操作系统、对话消息、明文密码以及支付卡数据等。Hackread网站报告称，此次数据泄露事件是由来自伊朗的黑客组织“黑影”发起，该组织通过攻击以色列托管服务CyberServe获取了其应用程序上的数据，并要求支付100万美元的赎金，并确认数据泄露记录可追溯到2021年。此次事件将对用户的隐私和人身安全构成重大威胁，可能导致在线骚扰和电子邮件账户被入侵。（信息来源：安全客）

       （十三）全球知名网络安全组织OWASP发生大规模数据泄露事件

       4月2日消息，全球知名网络安全组织OWASP基金会承认发生数据泄露事件，影响范围可能涉及2006年至2014年间加入OWASP并提交过简历的老成员。OWASP免费提供物联网、系统软件和Web应用程序安全领域的文章、方法、文档、工具和技术。此次数据泄露事件源于OWASP的旧Wiki服务器配置错误，导致部分老成员简历信息被公开访问。泄露信息包含姓名、电子邮件地址、电话号码、物理地址和其他个人识别信息。OWASP基金会建议受影响成员对陌生电子邮件、信件或电话保持警惕，并已采取双因素认证、最小访问权限和系统弹性等最佳实践来保护现有成员数据。（信息来源：HackerNews网）

       （十四）游戏平台Minecraft 14GB数据遭泄露

       3月27日消息，黑客使用Burner账户在BreachForums非法论坛上公布了一个14GB的数据库，其中包含游戏网站Minecraft用户和服务器数据。Cybernews称，该数据库由700多个较小的文档组成，似乎是根据之前发生的多次数据泄露事件编制而成，其中一些文档专门针对各种私有Minecraft服务器而创建，部分文件包含个人敏感信息，如用户名、电子邮件、IP地址及付款详细信息等，该数据库可免费下载。针对受影响的Minecraft用户，建议更改受感染账户密码，启用双因素身份验证，以增强账户安全性。（信息来源：Cybernews网）

       （十五）印度国防和能源部遭黑客攻击，8.81GB数据被窃

       3月30日消息，研究人员EclecticIQ报告揭示了针对印度政府实体和能源公司的网络攻击。黑客使用修改版的HackBrowserData恶意软件，通过网络钓鱼邮件伪装成印度空军邀请函进行传播。攻击者利用Slack作为命令和控制中心，窃取包括财务文件、员工个人信息以及石油天然气钻探活动在内的敏感数据，总计约8.81GB。此次攻击行动被命名为“FlightNight”，始于包含隐藏二进制文件的ISO文件。此外，攻击链中还包括使用GoStealer窃取程序的类似活动。此次攻击利用开源工具和合法基础设施，降低了攻击者的时间和开发成本，同时提高了攻击的隐蔽性和效率。研究人员指出，印度多个政府实体已成为攻击目标，包括负责电子通信、IT治理和国防的机构。此外，该攻击者还攻击了印度私营能源公司，窃取其财务文件、员工个人信息及有关石油和天然气钻探活动的信息。（信息来源：FreeBuf网）

       （十六）苏格兰国家医疗服务体系遭勒索软件组织INC Ransom攻击，3TB数据被盗

       3月28日消息，苏格兰国家医疗服务体系（NHS）遭勒索软件组织INC Ransom攻击，该组织声称窃取了NHS系统约3TB的数据，并附有几份被盗文件，包括医院报告、电子邮件内容、临床报告、文件扫描以及来自苏格兰各医疗机构的其他敏感信息作为证据。NHS是苏格兰一个公共资助的医疗保健系统，是英国国家医疗服务体系的四大组成之一，主要为苏格兰约540万居民提供服务。勒索软件组织INC Ransom于2023年7月首次被关注，该组织针对不同行业部门进行攻击，包括医疗保健、教育和政府等。NHS暂未就该事件进行回应。（信息来源：Cybernews网）

       （十七）越南第三大证券经纪公司遭网络攻击致服务中断

       3月28日消息，越南第三大证券经纪公司VNDirect遭网络攻击致服务中断，投资者无法登录并访问VNDirect官方网站。河内证券交易所宣布，在问题得到解决之前，暂时中断VNDirect的远程或在线衍生证券交易、债务工具交易和个人公司债券交易。VNDirect公司表示，其整个系统遭黑客攻击，数据被加密，但客户资产或数据未受影响，目前已成功解密这些数据并全力恢复运营。VNDirect计划分四个阶段逐步恢复各项在线服务，从客户账户开始，最后是金融产品。（信息来源：安全内参）

       （十八）在线购物平台PandaBuy遭黑客攻击导致数据泄露，超130万客户受影响

       4月2日消息，在线购物平台PandaBuy遭黑客攻击导致数据泄露，超130万客户受影响。名为Sanggiero和IntelBoker的两个攻击者声称对PandaBuy实施攻击，数据是其利用平台API中的几个关键漏洞盗取并已发布在论坛上，任何注册会员都可通过象征性的加密货币支付获取。遭泄露的数据包括超300万用户姓名、电话号码、电子邮件、登录IP、订单数据、家庭地址、邮政编码及地区等。目前已确认至少130万个有效电子邮件地址来自PandaBuy，其余地址为虚构和重复。国际用户可通过PandaBuy从中国的多个电子商务平台购买产品，包括天猫、淘宝和京东。PandaBuy尚未就此次事件发表声明。（信息来源：安全客）

       三、网安风险警示

       （十九）美CISA和红帽联合发布警告，称流行Linux压缩工具XZ存在满分漏洞

       4月1日消息，美CISA和红帽联合发布警告，称流行的Linux压缩工具XZ Utils存在一个高危漏洞CVE-2024-3094（CVSS评分10分），影响用于压缩和解压缩文件格式的XZ Utils工具（5.6.0和5.6.1版本），该工具几乎存在于所有Linux发行版中。美CISA表示，他们正与开源社区合作，响应有关恶意代码嵌入在XZ Utils 5.6.0和5.6.1版本中的报告，该恶意代码可能允许攻击者未经授权访问受影响的系统。XZ是一种高压缩比的数据压缩格式，由Tukaani项目开发，可将大文件压缩为更小、更易管理的格式，以便通过文件传输进行共享。Liblzma是一个用于处理XZ压缩格式的开源软件库。红帽强烈建议相关用户立即停止个人或工作用途的XZUtils使用，并提供了用于修复漏洞的更新链接。（信息来源：HackerNews网）

       （二十）美CISA和FBI敦促开发人员全力消除SQL注入漏洞

       3月27日消息，美CISA、FBI联合发布安全设计警报《消除软件中的SQL注入漏洞》，此警报是为响应托管文件传输应用程序中SQL注入（SQLi）缺陷的利用而制定，该漏洞影响了数千个组织。在SQL注入攻击中，攻击者将恶意构造的SQL查询“注入”数据库查询中所使用的字段或参数中，利用应用程序中的漏洞来执行非计划SQL命令，如提取、操作或删除存储在数据库中的敏感数据，可导致机密数据越权访问、数据泄露甚至是目标系统遭完全接管。美CISA和FBI敦促技术制造商的高级管理人员对其代码进行正式审查，以确定其对SQLi攻击的敏感性，并鼓励所有技术客户询问其供应商是否进行了此类审查。（信息来源：美CISA网站）

       （二十一）德国政府警告称该国1.7万台Microsoft Exchange服务器易受严重权限提升漏洞影响

       4月1日消息，德国联邦信息安全办公室（BSI）发布警告，称该国至少1.7万台Microsoft Exchange服务器易受严重权限提升漏洞CVE-2024-21410（CVSS评分9.8）影响。未经身份验证的攻击者可将用户泄露的Net-NTLMv2哈希值中继到一个易受攻击的Exchange服务器，以该用户的身份进行认证，并绕过SmartScreen检测注入代码以获得潜在的代码执行权限，部署恶意软件或进行网络间谍活动。德国BSI称该漏洞影响大学等教育机构、诊所等医疗机构、护理服务机构、法律和税务咨询公司、地方政府和众多中型企业等众多组织机构。目前微软已发布安全补丁，建议受影响用户尽快更新。（信息来源：绿盟科技）

       （二十二）JumpServer多个高危漏洞安全风险通告

       4月1日消息，奇安信CERT监测到JumpServer远程代码执行漏洞CVE-2024-29201、JumpServer后台模板注入漏洞CVE-2024-29202，CVSS评分均为9.9。在CVE-2024-29201中，攻击者可绕过JumpServer的Ansible中的输入验证机制，在Celery组件中执行任意代码；在CVE-2024-29202中，攻击者可以利用JumpServer的Ansible中的Jinja2模板注入漏洞在Celery组件中执行任意代码。由于Celery组件以root权限运行并具有数据库访问权限，因此攻击者可以从所有主机窃取敏感信息或操纵数据库。JumpServer是广受欢迎的开源堡垒机，是符合4A规范的专业运维安全审计系统，可帮助企业以更安全的方式管控和登录各种类型的资产。鉴于上述漏洞影响范围较大，建议客户尽快做好自查及防护。（信息来源：奇安信CERT）

       （二十三）泛微E-Office10远程代码执行漏洞安全风险通告

       3月28日消息，奇安信CERT监测到泛微E-Office10远程代码执行漏洞QVD-2024-11354（CVSS评分9.8）在互联网上公开，由于系统处理上传的PHAR文件时存在缺陷，未经身份验证的远程攻击者能够上传伪装的恶意PHAR文件到服务器，从而在目标服务器上执行任意代码。泛微E-Office10是一款企业级办公自动化系统，主要用于优化和管理企业的文档、信息流转、协作与沟通工作流程。鉴于该漏洞影响范围较大，建议用户尽快做好防护。（信息来源：奇安信CERT）

       （二十四）暗藏11年之久的Linux漏洞曝光，可用于伪造SUDO命令

       3月29日消息，研究人员发现Linux操作系统中的util-linux软件包wall命令中存在一个11年之久的漏洞WallEscape（被追踪为CVE-2024-28085），黑客可利用该漏洞窃取密码或更改剪贴板，影响该软件包2.40版本前的所有版本。WallEscape可能会影响wall命令，该命令在Linux系统中通常用于向登录到同一系统（如服务器）的所有用户的终端发送消息弹窗。由于在处理通过命令行参数输入时，转义序列会被过滤，因此无权限用户可利用该漏洞，使用转义控制字符在其他用户的终端机上创建假的SUDO提示，并诱使用户输入管理员密码。研究人员建议用户立即升级到linux-utils v2.40版本。（信息来源：FreeBuf网）

       （二十五）Adobe ColdFusion任意文件读取漏洞安全风险通告

       3月28日消息，奇安信CERT监测到Adobe ColdFusion在新版本中修复了Adobe ColdFusion任意文件读取漏洞CVE-2024-20767（CVSS评分8.2）。由于Adobe ColdFusion访问控制不当，未经身份认证的远程攻击者可构造恶意请求读取目标服务器上的任意文件，泄露敏感信息。Adobe ColdFusion是美国Adobe公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言，将可扩展、改变游戏规则且可靠产品的愿景变为现实。鉴于该漏洞影响范围较大，建议用户尽快做好防护。（信息来源：奇安信CERT）

       （二十六）新型僵尸网络感染全球88个国家/地区，超6千台华硕路由器遭攻击

       3月27日消息，研究人员发现TheMoon恶意软件僵尸网络的新变种感染了88个国家/地区数千个小型办公室和家庭办公室路由器和物联网设备。TheMoon与Faceless代理服务相关联，该服务使用一些受感染的设备作为代理，为希望匿名其恶意活动的网络攻击者路由流量。研究人员监控发现72小时内有6000台华硕路由器成为TheMoon的攻击目标。TheMoon首次被发现于2014年，该恶意软件当时正在利用漏洞感染LinkSys设备。Faceless是一项网络犯罪代理服务，可通过受感染的设备为仅使用加密货币付款的客户路由网络流量。研究人员建议用户使用强管理员密码并将设备的固件升级到最新版本以阻止攻击。