网络空间安全动态(202410期)
编者按:网安动向热讯,本期有六点值得关注:一是美网络司令部司令回顾2023年成就并展望2024年工作;二是美CISA发布新版恶意软件分析平台;三是美参议院批准《多云创新和进步法案》,以推进联邦政府机构云计算的现代化建设;四是《欧洲互操作法案》正式生效;五是国家网信办发布第五批境内深度合成服务算法备案信息;六是清华大学提出了一种全新的量子算法,可破解格密码。
网安事件聚焦,本期有两点建议关注:一是地缘政治不稳定正加剧灾难性网络攻击风险,造成经济损失并威胁国家安全。本期介绍:俄APT组织成功窃取美政府通信数据和微软源代码;伊朗黑客成功入侵并关闭以色列导弹防御系统;乌克兰黑客攻击俄罗斯工业巨头数据中心,超300TB数据被毁;法国五个城市共享计算机服务器遭大规模网络攻击;荷兰中企半导体制造商Nexperia遭黑客攻击,数百G数据被盗;菲律宾科技部服务器遭黑客入侵,25TB数据被删除。二是个人信息泄露事件频发,对互联网和零售行业产生重大影响。本期介绍:印度电子巨头boAt遭网络攻击,约750万客户数据被泄露;加拿大零售连锁店Giant Tiger 280万条记录遭泄露。
网安风险警示,本期有七点建议关注:一是编程语言Rust标准库中存在满分级命令注入漏洞;二是Palo Alto Networks PAN-OS操作系统存在满分级命令注入漏洞;三是D-Link公司多款NAS设备存在高危漏洞;四是FortiClientLinux存在远程代码执行漏洞;五是客户端库MySQL2存在远程代码执行漏洞;六是多个WebOS版本中存在4个安全漏洞,影响超9万台LG智能电视;七是苹果公司向92个国家的部分iPhone用户发送间谍软件警报。
一、网安动向热讯
(一)美网络司令部司令回顾2023年成就并展望2024年工作
4月10日,美网络司令部司令蒂莫西·霍向美参议院军事委员会提交证词,回顾2023年成就并展望2024年工作。蒂莫西·霍表示,2023年网络司令部持续在网络空间领域保卫国家,主要包括扩大“设置战区”及“设置全球”;在17个国家开展22次“前出狩猎”行动;与网络安全与基础设施安全局(CISA)等部门合作共享情报,并通过“咨询建议”计划;与国家安全局及合作伙伴合作,对抗针对美国选举的外国影响干扰。2024年网络司令部将通过加强战备、实施类似军种的权力和推进任务伙伴关系,为作战人员、国防部、合作伙伴创造优势,主要包括开展“网络司令部2.0”举措;强化预算控制并简化参与国防部流程的方式;实现敏捷采办;获得联合网络作战架构(JCWA)系统工程和集成授权;与国防部合作建立JCWA项目执行办公室;做好人才建设和培养工作;通过陆军作战指挥支持代理,利用国民警卫队和预备役部队的专业知识加强行动;继续加强与政府、业界、学术界和外国同行的合作关系等。(信息来源:安全内参)
(二)美CISA发布新版恶意软件分析平台
4月12日消息,美CISA发布新版恶意软件分析平台Malware Next-Gen,鼓励所有组织、安全研究人员和个人向平台提交恶意软件样本供分析。CISA表示,Malware Next-Gen自2023年11月以来向政府和军事组织开放,已从1600个提交的文件中识别出200个可疑或恶意文件和URL。现该平台也向私营部门开放,用户可提交恶意软件样本,但只有授权用户才能访问分析结果。此外,该平台还可对其他可疑的数字工件进行分析。新升级系统使联邦网络威胁搜寻分析师能够更好地分析、关联和丰富数据,并与合作伙伴共享网络威胁情报。(信息来源:美CISA网站)
(三)美NSA发布《在数据支柱中推进零信任成熟度》报告,以增强数据整体安全性
4月12日消息,美国家安全局(NSA)发布《在数据支柱中推进零信任成熟度》报告,在数据安全层面提供指导,以增强数据整体安全性并保护静态和传输中的数据。报告建议将数据访问限制为授权个人,概述了数据支柱的价值和功能,包括使用加密、标记和标签、数据丢失预防策略以及数据权限管理工具应用等。报告还探讨了如何将数据支柱功能集成到全面的零信任架构中,指出企业通过识别数据风险、将细粒度数据属性整合到访问控制机制中、监控数据访问和使用等措施,可减少漏洞影响后果,并在网络入侵早期识别可疑活动。(信息来源:美国防部网站)
(四)美国防信息系统局征集商业AI/ML解决方案,以增强防御性网络作战能力
4月10日消息,美国防信息系统局(DISA)征集人工智能和机器学习(AI/ML)模型、工具和服务解决方案,以增强防御性网络作战能力。DISA寻求一个完整的AI/ML平台,用于数据采集和处理、模型开发以及运营和维护策略,可在本地、云端或混合方式部署。人工智能驱动的解决方案可帮助分析大量日志、传感器、警报和遥测数据,以识别异常和潜在恶意活动。DISA希望通过应用商业AI/ML解决方案,从网络传感器数据和实时威胁情报中主动检测未知的网络威胁,从而生成可操作的优先线索。(信息来源:MeriTalk网)
(五)美参议院批准《多云创新和进步法案》,以推进联邦政府机构云计算的现代化建设
4月10日消息,美参议院国土安全和政府事务委员会批准了《多云创新和进步法案》,旨在推进联邦政府机构云计算的现代化建设。该法案要求美总务管理局、国家标准与技术研究院、CISA以及数字服务局等多个联邦政府机构就实施多云计算和互操作进行协作,并发布实施指南。该指南将具体指引政府机构如何部署多云技术,将允许应用程序、数据在共用云、私有云和边缘云之间迁移和操作,同时,指南还将制定实施路线图,各机构需在2025年1月前进行部署。(信息来源:MeriTalk网)
(六)《欧洲互操作法案》正式生效
4月11日,《欧洲互操作法案》正式生效,该法案旨在提升欧洲整体数字服务效率,将促进跨境数据交换,加快公共部门的数字化转型,对实现欧盟“数字十年”的目标至关重要。该法案将通过一系列关键措施来实施:建立一个多层次的治理框架;引入强制性互操作性评估;建立可互操作性欧洲门户网站;加强创新和政策支持机制。公民、企业和公共行政部门都将从中受益,据测算,该法案预计每年可节省高达50亿欧元。(信息来源:欧盟委员会网站)
(七)欧盟与美国举行第四次联合技术竞争政策对话
4月11日,欧盟与美国在华盛顿举行了第四次联合技术竞争政策对话,旨在保障和促进双方在数字经济领域的公平竞争。会议的重点围绕数字领域快速发展的技术,如人工智能和云技术;确保现代数字经济领域合并执法的合理性;如何最好地考虑数字领域不断发展的市场动态,尤其是技术平台等方面进行讨论。双方表示,将继续在欧盟-美国联合技术竞争政策对话框架内密切合作,定期举行高级别会议并进行技术层面的探讨。(信息来源:欧盟委员会网站)
(八)国家网信办发布第五批境内深度合成服务算法备案信息
4月12日,国家互联网信息办公室关于发布第五批境内深度合成服务算法备案信息的公告。《互联网信息服务深度合成管理规定》第十九条明确规定,具有舆论属性或者社会动员能力的深度合成服务提供者,应当按照《互联网信息服务算法推荐管理规定》履行备案和变更、注销备案手续。深度合成服务技术支持者应当参照履行备案和变更、注销备案手续。本次共有394个算法通过备案,其中包括WPSAI文生图算法、LightGPT、阅文妙笔文本生成大模型算法、百度人脸融合算法等。(信息来源:中国网信网)
(九)网安标委印发《全国网络安全标准化技术委员会2024年度工作要点》
4月10日消息,全国网络安全标准化技术委员会印发《全国网络安全标准化技术委员会2024年度工作要点》,主要内容有:(一)强化顶层设计,加强网络安全战略规划与标准前瞻研究;(二)围绕中心工作,加快推进重点领域网络安全国家标准制修定;(三)拓展宣贯渠道,有效提升网络安全国家标准实施应用成效;(四)聚焦关键领域,强化国际标准提案研究与人才储备;(五)完善工作机制,提高网络安全标准化高质量发展保障能力。(信息来源:全国网安标委网站)
(十)清华大学提出了一种全新的量子算法,可破解格密码
4月11日消息,清华大学交叉信息研究院陈一镭助理教授提出一种全新的量子算法,可破解格密码。该研究成果具有两项重要意义:此项成果将是自30年前彼得·肖尔提出大数分解的量子算法以来,最重要的量子算法突破;将对美国NIST抗量子密码学算法的安全性产生冲击。清华大学在官方公告中表示,这项工作仍在同行评议中。如果被验证为正确,这一突破不仅会将量子计算推进到一个新的时代,还将对密码学、安全等领域产生深远影响。(信息来源:清华大学交叉信息研究院网站)
二、网安事件聚焦
(十一)俄APT组织成功窃取美政府通信数据和微软源代码
4月11日,美CISA发布紧急指令,要求所有联邦机构立即寻找俄罗斯APT“午夜暴风雪”的动向。该组织成功入侵了微软公司网络,窃取了美政府机构的敏感通讯数据以及微软公司的源代码,并仍有可能探查其内部系统。该APT组织正在利用窃取信息试图获得微软系统以及其他客户系统的访问权限。微软和CISA已向所有受影响的组织和企业发送了提醒。根据CISA的指令,联邦机构必须立即分析被窃取的电子邮件内容,重置被泄露的凭据,并采取措施确保微软Azure账户认证工具的安全性。(信息来源:Hackread网)
(十二)伊朗黑客成功入侵并关闭以色列导弹防御系统
4月13日,伊朗伊斯兰革命卫队使用弹道导弹和无人机对以色列目标发动军事打击。在伊朗向以色列发射的攻击型无人机飞抵目标之前,伊朗黑客组织Handala在社交媒体上宣布,他们成功入侵并关闭了以色列的“铁穹”导弹防御系统,并称这已是他们第二次成功制伏了以方反导系统的雷达。Handala还入侵了数字营销公司99 Digital,向以色列人民发送了超50万条反以色列政府的言论。据报道,此次行动是针对以色列4月1日对伊朗驻叙利亚使馆领事部门建筑的导弹袭击事件的反击。(信息来源:俄罗斯连塔网)
(十三)乌克兰黑客攻击俄罗斯工业巨头数据中心,超300TB数据被毁
4月10日消息,黑客组织Blackjack表示,他们与乌克兰安全局的网络部门合作,摧毁了俄罗斯军工联合体和其他商业巨头使用的云服务数据中心OwenCloud.ru。攻击导致超300TB的数据被毁,包括400台虚拟服务器和42台托管物理服务器内部文档、备份和其他程序。该数据中心储存有超过1万个法人的实体数据,包含俄罗斯天然气工业股份公司、卢克石油公司、电信以及俄罗斯国防工业龙头企业的数据。(信息来源:Unian网)
(十四)法国五个城市共享计算机服务器遭大规模网络攻击
4月10日消息,法国圣纳泽尔、布列塔尼蒙图瓦、东日、拉沙佩勒玛莱和波尔尼谢五个城市的共享计算机服务器遭到大规模网络攻击,导致五个城市的网络服务中断,工作人员无法访问文件并继续工作,电子邮件和电话系统已关闭。该事件的性质尚未得到证实,也不清楚攻击者是否已窃取居民的数据,网络攻击的起源以及封锁的持续时间暂未可知。法国网络安全机构ANSSI正在提供支持,以尽快恢复受影响系统。(信息来源:TheRecord网)
(十五)荷兰中企半导体制造商Nexperia遭黑客攻击,数百G数据被盗
4月12日,总部位于荷兰的半导体制造商Nexperia证实其遭黑客组织Dunghill攻击,攻击者已于3月成功访问了其计算机服务器,窃取公司数百GB的重要信息,包括芯片设计以及有关SpaceX、苹果和华为等公司的客户信息。黑客组织Dunghill将几份机密文件作为攻击证据发布在暗网,要求Nexperia支付赎金。Nexperia自2019年起被中国收购,现为上海闻泰科技所有。该公司表示已将受影响系统与互联网断开,并采取缓解措施。(信息来源:HackerNews网)
(十六)菲律宾科技部服务器遭黑客入侵,25TB数据被删除
4月11日消息,菲律宾科技部服务器遭黑客组织Ph1ns的攻击。该黑客组织声称已获得对虚拟机管理器、网络附加存储和路由器等关键基础设施的访问权限,甚至获取了域管理员权限,能无限制地访问员工计算机,并对域控制器进行加密,有效地锁定了授权用户。菲律宾信息技术部调查显示,Ph1ns删除了25TB数据,并在其中一台受感染的服务器上留言,造成了严重破坏。目前,菲律宾信息技术部正与科技部合作展开调查以尽快恢复相关服务。(信息来源:安全内参)
(十七)印度电子巨头boAt遭网络攻击,约750万客户数据被泄露
4月12日消息,印度电子巨头boAt遭网络攻击,约750万客户的个人信息被泄露,包括姓名、地址、电话号码、电子邮件地址和客户ID等,可能使攻击者能够访问用户的银行账户、进行欺诈性购买或发起有针对性的诈骗。受影响用户可能面临身份盗窃、金融欺诈和网络钓鱼攻击的风险。黑客ShopifyGUY声称对此事件负责,并将约2GB的客户数据发布至暗网。研究人员表示,boAt公司可能面临客户信心丧失和潜在的法律后果。(信息来源:FreeBuf网)
(十八)加拿大零售连锁店Giant Tiger 280万条记录遭泄露
4月14日消息,加拿大零售连锁店Giant Tiger 280万条记录被发布在黑客论坛上,泄露数据包括客户的姓名、电话号码、电子邮件地址、通信地址和网站活动数据等。Giant Tiger是加拿大的零售连锁店,在加拿大各地经营260多家商店。该公司回应称,已发现管理客户的通信和参与第三方供应商存在安全问题,部分客户的联系信息遭未经授权访问,但不涉及付款信息或密码。Giant Tiger建议客户警惕声称来自零售商的可疑电子邮件或通信。(信息来源:BleepingComputer网)
三、网安风险警示
(十九)编程语言Rust标准库中存在满分级命令注入漏洞
4月10日消息,研究人员发现Rust标准库中存在一个名为“BatBadBut”的命令注入漏洞CVE-2024-24576(CVSS评分10.0)。该漏洞允许攻击者在满足特定条件时对间接依赖CreateProcess函数的Windows应用程序执行命令注入,可能影响Erlang、Go、Haskell、Java、Node.js、PHP、Python、Ruby、Rust等多种编程语言,当编程语言封装CreateProcess函数并为命令参数添加转义机制时存在安全问题,可导致恶意命令行参数能够执行命令注入。Rust是一种通用、编译型编程语言,强调性能、类型安全和并发性,支持函数式、并发式、过程式以及面向对象的编程风格。目前该漏洞已修复,建议受影响用户尽快更新。(信息来源:Rust网站)
(二十)Palo Alto Networks PAN-OS操作系统存在满分级命令注入漏洞
4月12日,启明星辰VSRC监测到Palo Alto Networks PAN-OS软件的GlobalProtect功能中存在命令注入漏洞CVE-2024-3400(CVSS评分为10.0),目前该漏洞已遭利用。该漏洞影响启用了GlobalProtect网关和设备遥测配置的PAN-OS 10.2、PAN-OS 11.0和PAN-OS 11.1防火墙,未经身份验证的攻击者可利用该漏洞在防火墙上以root权限执行任意代码。PAN-OS是美网络安全公司Palo Alto Networks为其防火墙设备开发的操作系统。目前该漏洞已修复,受影响可尽快更新。(信息来源:启明星辰)
(二十一)D-Link公司多款NAS设备存在高危漏洞
4月10日消息,启明星辰VSRC监测到D-Link公司多款网络附加存储(NAS)设备型号存在硬编码账户后门漏洞CVE-2024-3272(CVSS评分9.8)和命令注入漏洞CVE-2024-3273(CVSS评分7.3),攻击者可组合利用上述漏洞通过HTTP GET请求将Base64编码的命令添加到system参数,从而在系统上执行任意命令,成功利用漏洞可能导致未授权访问敏感信息、修改系统配置或拒绝服务等。受影响设备型号包括D-Link DNS-320L、DNS-325、DNS-327L、DNS-340L等多个产品。目前官方已不再对D-Link NAS设备提供支持和维护,建议受影响用户停用或更换产品。(信息来源:启明星辰)
(二十二)FortiClientLinux存在远程代码执行漏洞
4月10日,美国Fortinet公司FortiClientLinux存在一个远程代码执行漏洞CVE-2023-45590(CVSS评分为9.4),未经身份验证的攻击者可通过诱导用户访问恶意网站来触发该漏洞,从而导致任意代码执行。FortiClient是一种全面的安全解决方案,可保护终端用户设备、网络和应用程序。FortiClientLinux支持多个Linux发行版,提供防病毒、SSL VPN和漏洞扫描等多种功能。Fortinet FortiClientLinux 7.2.0版本、7.0.6至7.0.10版本和7.0.3至7.0.4版本均受影响,建议用户尽快修复。(信息来源:奇安信CERT)
(二十三)客户端库MySQL2存在远程代码执行漏洞
4月15日,启明星辰VSRC监测到MySQL2存在一个远程代码执行漏洞CVE-2024-21508(CVSS评分为9.8),目前该漏洞的细节及PoC已公开。由于readCodeFor函数中未正确验证supportBigNumbers和bigNumberStrings值,攻击者可通过构造恶意对象并将其作为参数传递给connection.query函数来执行恶意JavaScript代码,从而导致远程代码执行。MySQL2是适用于Node.js的MySQL客户端库,该库的每周下载量超200万次。目前该漏洞已修复,建议用户尽快更新。(信息来源:启明星辰)
(二十四)多个WebOS版本中存在4个安全漏洞,影响超9万台LG智能电视
4月11日消息,网络安全公司Bitdefender发现多个WebOS版本中存在4个安全漏洞:CVE-2023-6317、CVE-2023-6318、CVE-2023-6319和CVE-2023-6320,其中3个漏洞CVSS评分为9.1。上述漏洞对超过9万台不同WebOS版本的LG智能电视构成潜在威胁,受影响电视型号包括LG43UM7000PLA、OLED55CXPUA、OLED48C1PUB及OLED55A23LA等。攻击者可利用上述漏洞提升权限和注入命令,在未经用户许可的情况下远程访问并控制设备。LG已于3月发布补丁,建议用户尽快更新。(信息来源:IT之家)
(二十五)苹果公司向92个国家的部分iPhone用户发送间谍软件警报
4月11日消息,苹果公司向92个国家/地区的部分iPhone用户发送间谍软件警报,称iPhone正遭受“雇佣间谍软件攻击”,攻击者试图远程控制用户设备。针对“雇佣间谍软件攻击”,苹果公司强调了NSO Group的飞马间谍软件,并指出此类攻击资金充足、技术复杂,且只针对少数个人,如工作性质敏感的记者、维权人士、政客和外交官等。但苹果公司并未披露检测/监测全球iPhone用户手机中间谍软件的技术细节。为防御此类攻击,苹果公司建议用户采取即时措施,包括启用设备上的“锁定模式”或将产品更新到最新版本等。(信息来源:IT之家)
