网络空间安全动态（202409期）

编者按：网安动向热讯，本期有六点值得关注：一是2024年全国数据工作会议在京召开，明确八项重点任务，将大力发展新质生产力；国家数据局拟出台意见探索发展数字低空基础设施，推进城市全域数字化转型；二是联合国发布《全球数字契约零草案》，以实现包容、安全和可靠的数字未来；三是美欧贸易和技术理事会举行第六次部长级会议，并就人工智能等方面合作发布联合声明；四是美国家安全局发布文件关注混合云与多云环境相关挑战，并提供解决方案；五是德国将设立新的网络和信息部队，旨在打击俄罗斯对北约成员国日益增加的网络攻击；六是丹麦技术大学成功实现100公里量子加密传输。

      网安事件聚焦，本期有两点建议关注：一是勒索软件等攻击影响持续，造成多国重要机构大量信息泄露。本期介绍：美环保署遭黑客USDoD攻击，约850万用户数据被泄露；美国家癌症研究所超80万人个人信息遭泄露；美家得宝公司约1万名员工数据遭泄露；英国莱斯特市议会服务器遭勒索软件攻击致机密文件泄露；中美洲国家萨尔瓦多超500万公民个人信息遭泄露。二是网络攻击层出不穷，政府部门、关键基础设施及大型公司仍是攻击重点。本期介绍：美政府供应商Acuit确认黑客从GitHub存储库窃取政府数据；日本光学仪器制造商Hoya Corporation遭网络攻击致服务器下线；黑客利用Rhadamanthys恶意软件针对石油和天然气行业发起网络钓鱼攻击。

      网安风险警示，本期有五点建议关注：一是网络监控和安全解决方案Progress Flowmon中存在命令注入漏洞；二是热门Wordpress插件LayerSlider中存在SQL注入漏洞；三是Web应用程序防火墙Imperva SecureSphere中存在严重安全漏洞；四是Fortinet FortiOS安全操作系统和FortiProxy产品中存在一个越界写入漏洞；五是SSL VPN解决方案产品Ivanti Connect Secure IPSec组件存在堆越界写漏洞。

      一、网安动向热讯

      （一）2024年全国数据工作会议在京召开，明确八项重点任务，将大力发展新质生产力

      4月1日至2日，首次全国数据工作会议在北京召开。会议指出，2024年数据工作要大力发展新质生产力，奋力开创国家数据工作新局面。会议从六个方面总结了2023年数据工作成效，包括：党对数据工作的领导全面加强；数据工作体系初步成型；数据要素市场化配置改革加快破局；统筹数字化发展力度稳步增强；数据基础设施建设有力推进；数据领域开放合作进一步拓展。会议从八个方面明确了2024年数据工作要点，强调坚持“一条主线”，统筹“三个建设”，具体包括：一要健全数据基础制度；二要提升数据资源开发利用水平；三要以数字化赋能高质量发展；四要促进数据科技创新发展；五要优化数据基础设施布局；六要强化数据安全保障能力；七要提升数据领域国际合作水平；八要发挥试点试验的引领作用。（信息来源：国家数据局）

      （二）国家数据局拟出台意见探索发展数字低空基础设施，推进城市全域数字化转型

      4月2日，国家数据局发布《深化智慧城市发展 推进城市全域数字化转型的指导意见（征求意见稿）》，提出深入实施城市云网强基行动，推进千兆城市建设，探索发展数字低空基础设施等系列行动。指导意见明确主要目标：到2027年，全国城市全域数字化转型取得明显成效，形成一批横向打通、纵向贯通、各具特色的宜居、韧性、智慧城市；到2030年，全国城市全域数字化转型全面突破，涌现一批数字文明时代具有全球竞争力的中国式现代化城市。指导意见从建立城市数字化共性基础、促进新型产城融合发展、推进城市精准精细治理、建设完善数字基础设施、构建数据要素赋能体系、推动数字化协同发展等多方面布局，提出深化城市场景开放促进以城带产，提升产业聚合力；加强城市生命体征监测，推动城市体检与城市更新数据赋能、业务联动；统筹推进城市算力网建设，实现城市算力需求与国家枢纽节点算力资源高效供需匹配，有效降低算力使用成本；推动新能源汽车融入新型电力系统，推进城市智能基础设施与智能网联汽车协同发展；加快推进数据产权、流通交易、收益分配、安全治理等制度建设，促进数据要素高效流通和使用等系列举措。（信息来源：新华社）

      （三）全国网安标委就《生成式人工智能预训练和优化训练数据安全规范》等4项国家标准公开征求意见

      4月3日，全国网安标委发布《数据安全技术 基于个人请求的个人信息转移要求》《数据安全技术 数字水印技术实现指南》《网络安全技术 生成式人工智能预训练和优化训练数据安全规范》《网络安全技术 生成式人工智能数据标注安全规范》4项国家标准征求意见稿。其中，《生成式人工智能预训练和优化训练数据安全规范》明确了生成式人工智能服务研发者在预训练和优化训练等训练数据处理活动中数据来源等方面的管理要求，解决生成式人工智能服务可能存在的被诱导生成侵害他人知识产权、个人信息等问题，提高生成式人工智能服务的安全性；《生成式人工智能数据标注安全规范》针对生成式人工智能产品研制中的人工标注环节，对人工标注规则制定、标注实施安全、标注质量及安全性核验要求、过程安全控制要求、安全证实方法等方面提出规范指引。征求意见截止时间为2024年6月2日。（信息来源：全国网安标委）

      （四）联合国发布《全球数字契约零草案》，以实现包容、安全和可靠的数字未来

      4月2日消息，联合国发布《全球数字契约零草案》，作为政府间谈判的基础，概述了五大目标和十项原则，以实现包容、安全和可靠的数字未来。五大目标包括：缩小数字鸿沟并加速可持续发展目标的进展；扩大融入数字经济的机会；营造包容、开放、安全的数字空间；推进公平的国际数据治理；为人类管理包括人工智能在内的新兴技术。十项原则包括：包容性；以发展为重点；以人权为基础；性别平等；环境可持续；可访问和可互操作；负责和问责；创新友好；多利益相关方；前瞻性。（信息来源：联合国网站）

      （五）美欧贸易和技术理事会举行第六次部长级会议，并就人工智能等方面合作发布联合声明

      4月4日至5日，美欧贸易和技术理事会第六次部长级会议在比利时召开，并于会后发布联合声明，宣布了在人工智能、量子、6G、半导体和标准化方面的合作，具体包括：发布关于人工智能公益文件，确定双方在极端天气、能源、应急响应等领域的合作；宣布欧盟人工智能办公室和美国安全研究所就开发用于测量和评估人工智能模型的工具、方法和基准进行新的对话；通过共同的6G愿景，并签署研究合作的行政安排；双方将半导体领域的两项行政安排延长三年，将共同识别半导体行业中的所谓“干扰”，特别是针对中国制造的成熟制程芯片；在新兴技术标准方面，双方正发布数字身份映射报告，确定跨大西洋互操作性和数字身份跨境使用的用例。此外，双方还重申了跨大西洋可持续贸易倡议的重要性，促进其更加便捷、可持续和安全发展。（信息来源：欧盟委员会网站）

      （六）美国家安全局发布文件关注混合云与多云环境相关挑战，并提供解决方案

      4月5日，美国家安全局发布一份网络安全信息表，重点关注与实施混合云和多云环境相关的挑战，并提供解决方案。该信息表呼吁组织考虑实施标准化云运营，以解决运营复杂性，具体包括：从集中位置部署混合云和多云基础设施；确保对所有正在使用的云环境人员进行持续培训；最大限度地减少环境之间的数据流到日常业务运营所需的路径；确保使用商用国家安全算法套件批准的算法；遵循美国家安全局和国家标准与技术研究院指南来确定满足组织需求的最佳身份和访问管理解决方案。（信息来源：中国信息安全）

      （七）美国会议员公布《美国隐私权法案》草案

      4月8日，美国会议员公布《美国隐私权法案》草案，包括数据最小化要求、消费者选择不接收定向广告的权利以及查看、更正、导出或删除其数据的权利等内容。该草案还包括数据安全条款、国家数据经纪人登记处，以及当存在重大隐私损害时，保护组织机构免于执行强制性仲裁的部分。公民权利方面，草案提出个人信息非歧视化，个人有权决定企业能否使用算法做出关于住房、就业、医疗保健、信贷、教育、保险等的决定。该草案将使美国人拥有控制其个人信息去向的权利，并使他们能够阻止其数据的转移或出售。该草案还要求对敏感数据进行更严格的保护，在将敏感数据传输给第三方之前需征得个人明确同意。（信息来源：美能源和商业委员会网站）

      （八）美国防部设立负责网络政策的助理国防部长和助理国防部长办公室

      4月2日消息，美国防部根据《2023财年国防授权法案》的要求设立了负责网络政策的助理国防部长和助理国防部长办公室。助理国防部长将作为国防部首席网络顾问，负责全面监督部门网络作战政策的实施，同时担任国防部长在军事网络力量和活动方面的首席顾问，职责包括但不限于：制定、协调、评估和监督国防部网络空间政策和战略的实施；监督网络空间作战能力与作战应急计划的整合；领导国防部实施国家级网络空间政策；领导网络空间相关安全合作活动的制定、实施和监督等。（信息来源：美国防部网站）

      （九）德国将设立新的网络和信息部队，旨在打击俄罗斯对北约成员国日益增加的网络攻击

      4月5日消息，德国将设立新的网络和信息部队，旨在打击俄罗斯对北约成员国日益增加的网络攻击，进一步推进为应对俄乌战争而启动的德国联邦国防军改革。德国武装部队将增加为四个军种，包括陆军、海军、空军以及新的网络和信息军（CIR）。CIR负责在网络和信息空间中开展军事行动，包括抵御网络攻击、保护电子基础设施以及分析虚假信息和其他混合威胁。德军四个军种将在新的中央司令部下运作，该司令部将合并两个独立的国内和国外部署司令部，旨在实现快速决策、消除重叠并充当北约的统一联络点。（信息来源：TheRecord网）

      （十）韩国成立国防人工智能研究中心，致力于将民用人工智能技术应用于军事领域

      4月2日消息，韩国成立国防人工智能研究中心，将作为韩军人工智能研究的“指挥中心”，致力于将民用人工智能技术应用于军事领域，并专注于开发基于人工智能的有人-无人联合作战系统和战场态势感知相关技术。韩国国防部长和科学部长还签署了两部门间的谅解备忘录，以加强在人工智能、半导体、太空和网络空间等未来战场至关重要的关键技术领域的合作。（信息来源：韩联社）

      （十一）丹麦技术大学成功实现100公里量子加密传输

      4月4日消息，丹麦技术大学研究团队采用连续变量量子密钥分发（CV QKD）方法成功在100公里距离上实现了量子加密传输。该研究团队通过解决噪声、错误等问题，并利用机器学习辅助成功增加了CV QKD方法的传输距离。此外，研究团队在纠正传输错误方面也取得了进展，提高了系统的可靠性。CV QKD技术可在未来集成到现有的互联网基础设施中，利用光纤进行数据传输。相关研究发表在《科学进展》杂志上。（信息来源：cnBeta网）

      二、网安事件聚焦

      （十二）美环保署遭黑客USDoD攻击，约850万用户数据被泄露

      4月7日消息，美环保署遭网络攻击，该机构数据库遭入侵，约850万用户个人敏感信息泄露，包括姓名、电话号码、公司名称和地址、职位名称、电子邮件地址等。黑客USDoD宣布对该事件负责，并声称窃取了美环保署客户和承包商的个人敏感信息。被泄露的数据疑正在俄罗斯黑客和网络犯罪论坛中流传，可能引发身份盗用、网络间谍活动，以及对环境报告产生不良影响。目前，Hackread已向美环保署和网络安全与基础设施安全局报告该事件，美环保署尚未确认此事件。（信息来源：Hackread网）

      （十三）美国家癌症研究所超80万人个人信息遭泄露

      4月7日消息，美国家癌症研究所（NCI）综合癌症中心City of Hope发生数据泄露事件，未经授权的第三方访问了其系统的子集，并复制了一些包含受影响个人信息的文件，超80万人的个人信息被盗。泄露数据包括姓名、身份证号码、社会安全号码、出生日期、电话号码、电子邮件地址、驾照号码、银行账号、信用卡详细信息、健康保险信息和医疗信息等。City of Hope总部位于加利福尼亚州，在美国各地拥有临床实践地点和办事处网络。数据泄露发生在2023年9月19日至10月12日期间，事件发生后City of Hope立即采取措施，并通知执法和监管机构。目前，City of Hope已向受影响用户发送通知，并为受影响个人提供为期两年的身份监控服务。（信息来源：SecurityWeek网）

      （十四）美家得宝公司约1万名员工数据遭泄露

      4月9日消息，美家得宝公司约1万名员工数据信息被黑客组织IntelBroker发布至黑客论坛，泄露数据包括公司ID、员工姓名、工作电子邮件地址和部分用户ID。家得宝公司确认了此次事件，称第三方软件即服务供应商在测试其系统期间无意暴露了部分数据。美家得宝公司为全球领先的家居建材用品零售商，公司遍布美国、加拿大、墨西哥和中国等地区，连锁商店数量达2234家。攻击者可能会利用上述泄露数据对家得宝员工进行针对性的网络钓鱼攻击，相关人员应对邮件信息提高警惕。（信息来源：Cybernews网）

       （十五）英国莱斯特市议会服务器遭勒索软件攻击致机密文件泄露

      4月8日消息，英国莱斯特市议会服务器遭勒索软件攻击，黑客组织INC Ransom访问了超3TB数据，约25份机密文件被泄露并在网上公开。被盗文件包括敏感个人数据，如租金报表、议会住房申请及护照信息等。莱斯特市议会在事件发生后已禁用了其电话和计算机系统，并与警方和国家网络安全中心合作对该事件展开调查。目前，大部分系统和电话线路已恢复运行。该市议会已通知受影响个人，并考虑使用身份监控服务来降低风险，建议个人对在线活动保持警惕。（信息来源：TheRecord网）

      （十六）中美洲国家萨尔瓦多超500万公民个人信息遭泄露

      4月8日消息，中美洲国家萨尔瓦多超500万公民个人信息遭泄露，涉及多项用户个人隐私。泄露内容主要为两部分：一部分包含了5129518张高清无水印照片、公民身份证号码，总计144GB；另一部分包含了所有公民的信息，主要有姓名、出生日期、电话、邮箱，通信地址等。目前，泄露数据以250美元售价在暗网出售，因黑客未收到赎金，决定免费发布数据。（信息来源：Hackernews网）

      （十七）爱沙尼亚连锁药房Apotheca数据库遭黑客入侵，致该国近70万居民数据被泄露

      4月8日消息，爱沙尼亚连锁药房Apotheca会员卡系统遭黑客入侵，致该国近70万居民个人数据被泄露，包括个人ID、超40万封电子邮件、近6万个家庭地址、约3万个电话号码，以及约4300万次购买详细信息（含非处方药）。此次事件影响了Apotheca的会员及另外两家连锁店Apotheca Beauty和PetCity的用户。被盗数据库由Allium UPI运营，该公司主要经营药品和医院用品。警方表示，因运营商Allium UPI未采取足够的安全措施，导致系统被入侵，此次事件暂未泄露处方药、银行详细信息和密码信息。Allium UPI表示已采取安全措施，并就此次事件致歉。（信息来源：Cybernews网）

      （十八）美政府供应商Acuit确认黑客从GitHub存储库窃取政府数据

      4月8日消息，美政府机构合作联邦承包商Acuity已证实，黑客入侵其GitHub存储库，包含旧数据和非敏感数据的文档被盗。黑客组织IntelBroker声称窃取了五眼联盟的机密信息文件，并在黑客论坛上发布数千条记录，包含美国务院、司法部、国土安全部和联邦调查局员工的信息。Acuity在事件发生后立即进行了安全更新，并根据供应商的指导采取了缓解措施。Acuity是一家技术咨询公司，为美政府客户提供DevSecOps、网络安全、数据分析和运营支持服务。（信息来源：cnBeta网）

      （十九）日本光学仪器制造商Hoya Corporation遭网络攻击，导致服务器下线

      4月7日消息，日本光学仪器制造商Hoya Corporation遭攻击者未经授权访问其服务器，导致系统故障，部分生产工厂和业务部门服务器下线。HOYA Corporation公司总部位于日本东京，是全球最大的光学仪器制造商之一，产品涵盖光罩等半导体设备、储存装置、光学玻璃，以及ASP等资讯科技服务。Hoya目前正在调查攻击者是否访问或提取了存储在受感染系统上的机密或个人信息。Hoya表示，已对故障服务器进行隔离，并通知受影响国家相关部门。（信息来源：HackerNews网）

      （二十）黑客利用Rhadamanthys恶意软件针对石油和天然气行业发起网络钓鱼攻击

      4月8日消息，黑客利用Rhadamanthys信息窃取恶意软件发起网络钓鱼攻击，主要针对石油和天然气行业。此类钓鱼邮件使用车辆事故作为“诱饵”，并在感染链的后期阶段，使用内容为事故巨额罚款的PDF文件诱骗联邦运输局。该电子邮件附带的恶意链接利用了开放重定向漏洞，会将收件人重定向到一个托管了虚假PDF文档的链接，点击后会诱导收件人下载包含窃取程序有效载荷的ZIP压缩包。研究人员表示，黑客在Rhadamanthys捆绑软件中添加了信息窃取程序和LockBit勒索软件变种的组合，表明该恶意软件仍在不断进化。（信息来源：SecurityWeek网）

      三、网安风险警示

      （二十一）网络监控和安全解决方案Progress Flowmon中存在满分漏洞

      4月7日消息，启明星辰VSRC监测到Progress Flowmon中存在一个命令注入漏洞CVE-2024-2389，CVSS评分为10.0。该漏洞存在于Progress Flowmon版本11.x、12.x中，未经身份验证的远程攻击者可访问Flowmon的Web界面，以发出恶意设计的API命令，从而导致在未经身份验证的情况下执行任意系统命令。Progress Flowmon是一种网络监控和安全解决方案，可帮助企业和组织监控、分析和保护其网络。目前该漏洞已修复，受影响用户可升级到Flowmon 11.1.14、12.3.5或更高版本。（信息来源：启明星辰）

      （二十二）热门Wordpress插件LayerSlider中存在SQL注入漏洞

      4月3日消息，研究人员发现WordPress插件LayerSlider中存在一个SQL注入漏洞CVE-2024-2879，CVSS评分为9.8。该漏洞存在于LayerSlider插件版本7.9.11–7.10.0中，由于对用户提供的参数转义不充分以及缺少wpdb::prepare()，可导致通过ls_get_popup_markup操作受到SQL注入攻击，未经身份验证的攻击者可利用该漏洞从数据库中获取敏感信息。此外，WordPress WP-Members Membership插件中还存在一个跨站脚本漏洞CVE-2024-1852（CVSS评分为7.2），成功利用该漏洞可导致创建恶意账户、网站接管或将站点访问者重定向到恶意网站等。WordPress插件LayerSlider是一款可视化网页内容编辑器、图形设计软件和数字视觉效果应用程序，全球活跃安装量超过100万次。上述漏洞已修复，建议受影响用户尽快升级。（信息来源：TheHackerNews网）

       （二十三）Web应用程序防火墙Imperva SecureSphere中存在严重安全漏洞

      4月3日消息，Web应用程序防火墙（WAF）Imperva SecureSphere中存在一个严重安全漏洞CVE-2023-50969，CVSS评分为9.8。该漏洞存在于对HTTP请求中“Content-Encoding”标头的操作以及特定编码的POST数据传输中，允许攻击者绕过旨在阻止常见基于Web的攻击（如SQL注入和跨站点脚本）的关键安全协议，通过巧妙地操纵HTTP请求标头并对POST数据进行编码规避安全措施，从而对各组织的数字基础设施进行攻击。Imperva已确认该漏洞影响SecureSphere WAF的特定版本，建议用户尽快采取措施。（信息来源：TheCyberExpress网）

      （二十四）Fortinet FortiOS安全操作系统和FortiProxy产品中存在一个越界写入漏洞

      4月8日消息，启明星辰VSRC监测到攻击者正在利用Adobe Magento Open Source命令注入漏洞CVE-2024-20720（CVSS评分为9.1）向电子商务网站注入持久后门。该漏洞存在于Adobe Magento Open Source 2.4.6-p4、2.4.5-p6及2.4.4-p7之前版本中，具有管理权限的攻击者可利用该漏洞执行任意代码，还可通过利用数据库中恶意设计的布局模板来自动注入XML代码，以实现系统的持久感染。Adobe Magento Open Source是Adobe公司的一套开源PHP电子商务系统，提供权限管理、搜索引擎和支付网关等功能。目前该漏洞已修复，建议受影响用户尽快升级。（信息来源：启明星辰）

      （二十五）SSL VPN解决方案产品Ivanti Connect Secure IPSec组件存在堆越界写漏洞

      4月9日消息，奇安信CERT监测到Ivanti Connect Secure IPSec组件存在堆越界写漏洞CVE-2024-21894，CVSS评分为8.2。攻击者可利用该漏洞通过UDP 500端口攻击Ivanti Connect Secure，进而触发拒绝服务，在特定情况下可导致远程代码执行。Ivanti Connect Secure是一款提供SSL VPN解决方案的产品，允许远程用户通过一个安全的通道访问企业资源，确保数据在传输过程中的加密和安全。鉴于该漏洞影响范围较大，建议用户尽快更新。