网络空间安全动态(202411期)
编者按:网安动向热讯,本期有六点值得关注:一是中国人民解放军信息支援部队成立大会在京举行,习近平向信息支援部队授予军旗并致训词;二是国家数据局印发《数字社会2024年工作要点》,对2024年数字社会重点工作做出部署;三是美NSA发布《安全部署人工智能系统:部署安全、弹性人工智能系统的最佳实践》指南;四是英NCSC发布网络安全评估框架(CAF)3.2版本;五是欧盟委员会发布《数据法》指南,进一步明确实施过程中的各种细节;六是北约举行全球规模最大的“锁定盾牌”年度网络安全演习,乌克兰首次参加。
网安事件聚焦,本期有两点建议关注:一是APT组织对关键基础设施的攻击范围不断扩大;勒索攻击趋势不减,赎金屡创记录。本期介绍:乌克兰称俄APT组织“沙虫”破坏其约20家关键基础设施,涉及能源、水务和通信;美领先通信服务提供商边疆通信公司遭网络攻击致部分运营中断;国际医疗诊断和试验巨头Synlab的意大利分公司遭勒索软件攻击,其IT系统被迫关闭;美得克萨斯州某水务工控系统疑遭俄APT组织攻击;日本光学仪器巨头遭勒索攻击被索要超1000万美元巨额赎金。二是政府机构和企业高价值数据仍是勒索软件组织和黑客的主要目标。本期介绍:美政府承包商Tyler遭LockBit勒索软件组织攻击,客户数据被窃取;美地理空间情报服务商天眼公司遭黑客入侵,大量机密数据被窃取;联合国开发计划署遭网络攻击致人力资源和采购数据泄露;国产摄像监控设备制造商安联锐视30亿条数据遭泄露;巴西游戏开发公司Asantee Games的文档数据库未设置密码,泄露超1400万用户数据;印度文具巨头Luxor 692 MB的SQL敏感数据遭泄露。
网安风险警示,本期有六点建议关注:一是美CISA紧急要求美联邦政府机构评估电子邮件系统安全性;二是kkFileView远程代码执行漏洞安全风险通告;三是终端安全管理软件IP-guard WebServer存在权限绕过漏洞;四是Chirp智能锁存在远程漏洞影响数万个家庭;五是思科集成管理控制器IMC中存在高危漏洞;六是流行开源SSH客户端程序PuTTY被曝存在严重漏洞。
一、网安动向热讯
(一)中国人民解放军信息支援部队成立大会在京举行,习近平向信息支援部队授予军旗并致训词
4月19日,信息支援部队成立大会在北京八一大楼隆重举行。中共中央总书记、国家主席、中央军委主席习近平向信息支援部队授予军旗并致训词。习近平强调,信息支援部队是全新打造的战略性兵种,是统筹网络信息体系建设运用的关键支撑,在推动我军高质量发展和打赢现代战争中地位重要、责任重大。要坚决听党指挥,全面贯彻党对军队绝对领导的根本原则和制度,全面加强部队党的建设,坚定理想信念,严肃纪律规矩,弘扬优良作风,确保部队绝对忠诚、绝对纯洁、绝对可靠。要有力支撑作战,坚持信息主导、联合制胜,畅通信息链路,融合信息资源,加强信息防护,深度融入全军联合作战体系,精准高效实施信息支援,服务保障各方向各领域军事斗争。要加快创新发展,坚持作战需求根本牵引,加强体系统筹,推进共建共享,强化科技创新,建设符合现代战争要求、具有我军特色的网络信息体系,高质量推动体系作战能力加速提升。要夯实部队基础,落实全面从严治军要求,严格教育管理,保持正规秩序,激发动力活力,全面锻造过硬基层,确保部队高度集中统一和安全稳定,奋力开创部队建设新局面,坚决完成党和人民赋予的各项任务。(信息来源:新华社)
(二)国家数据局印发《数字社会2024年工作要点》,对2024年数字社会重点工作做出部署
4月24日消息,国家数据局印发《数字社会2024年工作要点》(以下简称《工作要点》),对2024年数字社会重点工作做出部署。按照《数字中国建设整体布局规划》和“十四五”规划关于推进数字社会建设的重点任务安排,《工作要点》围绕促进数字公共服务普惠化、推进数字社会治理精准化、深化智慧城市建设、推动数字城乡融合发展、着力构筑美好数字生活等5个方面部署重点任务。国家数据局表示,下一步将会同有关单位抓好各项任务落实,为广大人民群众构建智能便捷友好的数字社会空间、提供丰富优质普惠的数字公共服务,不断增强人民群众的获得感、幸福感、安全感。(信息来源:国家数据局)
(三)网信办、发改委和工信部联合印发《深入推进IPv6规模部署和应用2024年工作安排》
4月19日消息,中央网信办、国家发展改革委、工业和信息化部联合印发《深入推进IPv6规模部署和应用2024年工作安排》(以下简称《工作安排》)。明确了2024年工作目标:到2024年末,IPv6活跃用户数达到8亿,物联网IPv6连接数达到6.5亿,固定网络IPv6流量占比达到23%,移动网络IPv6流量占比达到65%。云服务、内容分发网络、数据中心在业务开通时默认启用IPv6功能。主要商业网站及移动互联网应用IPv6支持率达到95%,IPv6行业融合应用更加深入广泛。IPv6单栈支持能力持续增强。IPv6标准体系持续完善,立项IPv6国家标准达到50项等。《工作安排》部署了十个方面重点任务:包括增强IPv6网络性能和服务质量;提高应用设施IPv6部署水平;提高终端设备IPv6连通水平;强化先行先试和示范引领;推进IPv6单栈部署演进;深化行业融合应用;扩大IPv6内容源规模;推进创新生态和标准体系建设;强化网络安全保障和加大宣传推广力度。(信息来源:新华社)
(四)美NSA发布《安全部署人工智能系统:部署安全、弹性人工智能系统的最佳实践》指南
4月17日消息,美国家安全局(NSA)发布《安全部署人工智能系统:部署安全、弹性人工智能系统的最佳实践》指南,该指南旨在为部署和运行由其他实体设计和开发的人工智能系统的组织提供最佳实践,以提高人工智能系统的机密性、完整性和可用性,并确保已知的人工智能系统的网络安全漏洞得到适当的缓解。该指南还提供了若干方法和控制措施,包括开发和构建安全的人工智能系统、保障人工智能系统的数据安全、确保人工智能系统和相关工具的安全、管理人工智能系统的安全、响应安全事件和意外情况等,以保护、检测和应对针对人工智能系统及其相关数据和服务的恶意活动。此外,该指南还提供了报告恶意和不寻常活动的方法和机构的详细信息。(信息来源:安全内参)
(五)美国防部成立数字化转型跟踪行动小组
4月22日消息,美国防部成立数字化转型跟踪行动小组(TTAG),将根据数据分析,建立起全范围内的跟踪技术来掌握相关部门的数字化转型过程。TTAG将为美国防数字化转型进行全方位的技术与产业赋能,其主要任务包括三个方面:一是分析美国防部队数字化转型技术的机遇和阻碍;二是通过数据收集与分析,监管美国防部队数字化转型的进程;三是为美国防部队数字化转型制定必要的流程和政策。此外,TTAG的职责还包括确定政策更新和数据源修订以跟踪技术过渡,进行研究和分析以绘制整个R&E生命周期的数据关系,以及解决其成员或上级授权的优先跟踪问题。(信息来源:赛博研究院)
(六)英NCSC发布网络安全评估框架(CAF)3.2版本
4月19日消息,英国家网络安全中心(NCSC)发布网络安全评估框架(CAF)3.2版本。CAF是一个目标导向的评估体系,提供了一种系统、全面的方法,用于评估组织网络安全风险管理的成熟度和网络弹性。CAF框架的核心是4个高级目标和14个原则。在CAF3.2版本中,NCSC通过分析全球关键基础设施遭各种网络攻击的情况,针对CAF3.1版本中有关远程访问、特权操作、用户访问级别和多因素认证的使用(均包含在框架的B2a和B2c原则中)等部分进行修订,同时还改进了CAF与网络基本要素(CE)的对齐度,并保留CAF现有的以结果为导向的方法。(信息来源:安全内参)
(七)欧盟委员会发布《数据法》指南,进一步明确实施过程中的各种细节
4月21日,欧盟委员会发布《数据法》指南,全面概述了该法的主要内容,进一步明确实施过程中的各种细节。指南可分为八个主要章节:一是企业和消费者的数据共享,涉及物联网背景下企业对企业和企业对消费者的数据共享。二是企业间的数据共享。三是不公平合同条款,旨在保护所有寻求获取数据的欧洲企业,使其免受不公平合同条款影响。四是企业对政府的数据共享。五是数据处理服务之间的互操作性和切换。六是避免第三国政府非法访问非个人数据。七是欧洲共同数据空间的标准和互操作性。八是关于《数据法》的执行。(信息来源:欧盟官网)
(八)北约将建立新的网络中心以全天时争夺网络空间
4月19日消息,北约将在位于比利时蒙斯的军事总部建立北约综合网络中心,标志着该军事联盟在网络空间行动方式方面发生重大理论转变。该中心将采取类似于英国家网络安全中心的模式,平民专家可以与来自业界、军队和北约政治团体的专家一起工作,各方打破壁垒以共同应对潜在的威胁,欧洲盟军最高指挥官可全天时了解北约网络体系以及可能影响欧洲军事行动的其他网络事件。北约网络事务负责人表示,新网络中心最终结构尚未确定,计划在7月华盛顿峰会前完成有关规划设计工作。(信息来源:奇安网情局)
(九)北约举行全球规模最大的“锁定盾牌”年度网络安全演习,乌克兰首次参加
4月22日至26日,北约举行全球规模最大的“锁定盾牌”年度网络安全演习,旨在促进系统性、跨国性、多部门及公私网络防御合作与协调。此次演习精心设计了虚构国家贝里利亚的通信和基础设施面临来自敌对虚构国家克里姆索尼亚的严重网络攻击威胁,挑战参演人员在逆境中表现出的韧性、适应能力和协作能力。演习汇集了来自40多个国家的约4000名不同学科领域的专家,乌克兰通过与捷克组成联合团队首次参加此次演习。(信息来源:奇安网情局)
(十)美CISA宣布成功举办第九次网络风暴演习
4月19日消息,美网络安全与基础设施安全局(CISA)宣布成功举办第九次网络风暴演习,来自100多个组织超过2000多人参加实时演练。此次演习以食品和农业公司为目标,模拟食品供应链安全遭网络攻击的场景。演习涵盖了美联邦政府、各州政府、外国政府以及私营部门的多个组织。参与组织与CISA直接合作,深入了解CISA在网络攻击中的角色和能力;参与人员以工作小组的形式协同工作,以实现特定的组织和部门目标。此次演习还评估了美最新版国家网络安全战略、政策和指南等,明确在不断演变的网络威胁环境中联邦政府的角色和责任,以及信息共享能力和资源需求等。(信息来源:美CISA网站)
二、网安事件聚焦
(十一)乌克兰称俄APT组织“沙虫”破坏其约20家关键基础设施,涉及能源、水务和通信
4月23日消息,乌克兰计算机应急响应团队(CERT-UA)发布报告,称俄罗斯APT组织“沙虫”(Sandworm)破坏乌克兰约20家关键基础设施的运行,涉及能源、水务、供暖供应商的信息和通信系统等。CERT-UA在调查期间发现,该组织还结合了之前用过的恶意软件和新的恶意工具(如BIASBOAT和LOADGRIP)来获取系统访问权限,其他恶意工具来自开源空间,包括Weevly webshell、Regeorg.Neo和Chisel隧道程序等。该组织利用这些工具来维持攻击持久性、隐藏恶意进程,并提升其在被入侵系统上的权限。乌克兰机构认为,该组织的攻击目的是增强俄罗斯导弹对目标基础设施的打击效果。(信息来源:BleepingComputer网)
(十二)美领先通信服务提供商边疆通信公司遭网络攻击致部分运营中断
4月22日消息,美领先通信服务提供商边疆通信公司部分IT系统遭入侵,为防止攻击者通过网络横向移动,该公司被迫关闭部分核心IT系统,导致运营中断。边疆通信表示,攻击者可能已访问部分个人可识别信息,但并未透露遭访问的数据主体。边疆通信是美国领先的通信服务提供商,为25个州的数百万消费者和企业提供高速光纤网络。目前,边疆通信称数据泄露事件已得到控制,事件期间受影响的核心IT系统和业务已恢复。(信息来源:安全内参)
(十三)国际医疗诊断和试验巨头Synlab的意大利分公司遭勒索软件攻击,其IT系统被迫关闭
4月23日消息,国际医疗诊断和试验巨头Synlab的意大利分公司遭勒索软件攻击,其IT系统被迫关闭,目前所有医学诊断和试验服务均已暂停。Synlab在声明中表示,尽管已采取安全措施,但部分医疗数据可能已遭窃取。目前已开始逐步重启包括专科门诊访问和物理治疗等在内的部分服务,同时清除IT基础设施上的恶意软件,并从备份中恢复系统。Synlab集团总部位于德国慕尼黑,在全球30个国家开展业务,其意大利分公司的网络覆盖380个实验室和医疗中心。截止目前,尚无任何勒索软件组织宣称对此事负责。(信息来源:BleepingComputer网)
(十四)美得克萨斯州某水务工控系统疑遭俄APT组织攻击
4月18日消息,美网络安全公司Mandiant表示,一个疑似与俄罗斯政府有关联的APT组织“沙虫”,入侵美得克萨斯州某水务工控系统,导致水罐溢出,攻击者通过访问敏感的工业设备来干扰美水处理设施的正常运营。美国拥有15万个公共供水系统,美环保署警告称各州政府和水务部门必须加强对这一威胁的防御。Mandiant公司称此次攻击者疑为俄罗斯联邦武装力量总参谋部情报总局(GRU)下属的某个单位。美当地官员称攻击事件并未影响城镇饮用水供应,目前已采取相关措施来保护网络。(信息来源:安全内参)
(十五)日本光学仪器巨头遭勒索攻击被索要超1000万美元巨额赎金
4月16日,日本豪雅株式会社遭勒索软件组织“国际猎手”攻击。该组织要求支付1000万美元赎金以获取文件解密工具,否则将公开被窃取的1700万份文件(总数据量约为2TB)。日本豪雅是一家专注于光学仪器、医疗设备和电子组件的公司,在30多个国家设有160家办事处和子公司,并拥有43个遍布全球的实验室。该公司承认遭网络攻击,其多个业务部门IT系统被迫中断,目前正在调查勒索组织是否已访问或窃取其系统中的敏感信息。(信息来源:安全内参)
(十六)美政府承包商Tyler遭LockBit勒索软件组织攻击,客户数据被窃取
4月24日消息,LockBit勒索软件组织声称拥有哥伦比亚特区保险、证券和银行部(DISB)、美证券交易委员会(SEC)、特拉华州银行机构以及其他金融实体的800GB数据,并威胁称除非DISB支付赎金,否则将公开这些数据。上述数据疑似为LockBit勒索软件组织在3月底针对数据服务商Tyler Technologies的网络攻击期间,从DISB的STAR系统客户端所盗取。Tyler目前已证实信息遭泄露,可能包括姓名、出生日期、社会安全号码、驾驶执照号码和其他信息等,但尚未确定泄露的范围。(信息来源:SecurityWeek网)
(十七)美地理空间情报服务商天眼公司遭黑客入侵,大量机密数据被窃取
4月17日消息,黑客组织CyberNiggers声称入侵美天眼公司,仅用时10-15分钟就从该公司系统中成功窃取大量美国家安全机密数据。美天眼公司是一家地理空间情报服务商,专门服务于美政府部门,包括司法部、国土安全部、美武装部队的多个分支机构以及包括国家地理空间情报局在内的关键情报机构。此次攻击破坏了天眼公司位于迈阿密的数字基础设施,并可能泄露了包括美司法部等在内的多家机构的国家安全机密数据,以及多名政府官员的姓名、电话号码、公司名称、职位描述、电邮地址、密码哈希值以及具体位置数据等。此次攻击已引起五眼情报联盟关注。(信息来源:Hackeread网)
(十八)联合国开发计划署遭网络攻击致人力资源和采购数据泄露
4月18日消息,联合国开发计划署(UNDP)在哥本哈根的办公地点遭网络攻击,致人力资源和采购数据泄露。UNDP官方已发布通知证实此次事件,并采取紧急措施,隔离受影响服务器,确定数据泄露的源头、范围和受影响个人身份。该组织在170多个国家和地区开展活动,此次网络攻击对UNDP的数字基础设施及推动全球可持续发展项目产生重大影响。遭泄露的数据可能破坏关键业务的机密性和完整性,影响开发署向全球社区提供服务和支持的能力,损害民众对开发署保护信息能力的信任,危及其与政府、民间社会组织和其他利益相关者的合作关系。目前,UNDP已与受影响人员保持沟通,并向联合国通报此事件。(信息来源:安全威胁纵横)
(十九)国产摄像监控设备制造商安联锐视30亿条数据遭泄露
4月19日消息,Cybernews研究团队在分析平台的泄露数据库中发现摄像监控设备制造商安联锐视30亿条数据泄露记录,时间跨度从2023年11月2日到2024年2月1日。泄露的数据类型包括:唯一的设备标识符、用于移动应用程序中的身份验证和授权的移动令牌、应用程序本身的唯一标识符以及使用该设备的用户或组织的信息等。安联锐视是中国一家摄像机、录像机和其他监控产品制造商。该制造商确认使用Elasticsearch来管理日志,因其错误配置导致此次数据泄露。Elasticsearch是一种常用的分析工具,旨在组织、搜索、分析和可视化大量数据。数据泄露可能会给所有使用安联锐视设备和应用程序的用户带来安全风险,研究人员建议用户采取更改密码和重置身份验证令牌等措施加强防范。(信息来源:HackerNews网)
(二十)巴西游戏开发公司Asantee Games的文档数据库未设置密码,泄露超1400万用户数据
4月18日消息,巴西游戏开发公司Asantee Games因面向文档的数据库平台MongoDB未设置密码,泄露超1400万用户的数据。遭泄露的数据包括用户名、电子邮件、用户的设备数据以及具有加密密码的管理员凭据等。由于此类数据可能被用于各种攻击媒介,会被攻击者利用来进行身份盗窃、实施欺诈或创建虚假身份,还可能冒充合法实体发送欺骗性电子邮件诱骗用户泄露敏感信息或安装恶意软件,成为网络钓鱼攻击的目标,给用户带来安全隐患。Asantee Games公司的旗舰项目为Magic Rampage游戏,在Android和iOS平台的下载量超过1000万次。(信息来源:安全客)
(二十一)印度文具巨头Luxor 692 MB的SQL敏感数据遭泄露
4月23日消息,印度文具巨头Luxor 692 MB的SQL敏感数据被泄露在Telegram频道Leakbase上,其中含有大量敏感信息,包括客户姓名、出生日期、散列密码、账单、运输详细信息、税务信息以及在Luxor网站上的个人信息等。Luxor在印度次大陆开展业务,此次数据泄露可能导致信任丧失、财务损失、声誉受损、身份盗窃、运营中断和潜在的欺诈,不仅影响公司本身和其国内客户,还波及其在亚太地区的客户和合作伙伴。一名暗网用户声称对此事负责,但未透露更多细节。(信息来源:HackerNews网)
三、网安风险警示
(二十二)美CISA紧急要求美联邦政府机构评估电子邮件系统安全性
4月18日消息,美CISA发布紧急公告,要求美所有政府部门及联邦机构立刻采取行动,对所使用的电子邮件系统进行安全性检查,评估系统是否存在数据泄露的迹象,如发现异常,应在4月30日前向CISA报告。公告内容显示,已有明确的迹象表明,有国家背景支持的午夜暴雪APT组织正在利用去年底攻击微软公司期间所获得的FCEB(联邦民事行政部门)非法访问权限,对美国政府部门发起进一步的攻击活动。CISA要求各政府部门应该采取多种措施来应对可能的攻击威胁,包括重置凭据,保护特权Microsoft Entra ID(Azure)账户以及实时监控电子邮件流量等。(信息来源:安全牛)
(二十三)kkFileView远程代码执行漏洞安全风险通告
4月19日消息,奇安信CERT监测到kkFileView发布新版本修复了kkFileView远程代码执行漏洞QVD-2024-14703(CVSS评分9.8)。kkFileView的文件上传功能存在zip路径穿越问题,导致攻击者可通过上传恶意构造的zip包覆盖任意文件,并通过调用Libreoffice执行任意python代码。kkFileView是使用spring boot搭建的文件文档在线预览解决方案,支持主流办公文档的在线预览。目前该漏洞技术细节与PoC已在互联网公开,鉴于该漏洞影响范围较大,建议用户尽快更新。(信息来源:奇安信CERT)
(二十四)终端安全管理软件IP-guard WebServer存在权限绕过漏洞
4月18日消息,奇安信CERT监测到IP-guard WebServer 权限绕过漏洞QVD-2024-14103(CVSS评分9.8)在互联网上公开,由于IP-guard WebServer的权限验证机制中存在设计缺陷,远程攻击者能够规避安全验证,通过后端接口执行文件的任意读取和删除操作。IP-guard是由广州市溢信科技股份有限公司开发的一款终端安全管理软件,旨在帮助企业保护终端设备安全、数据安全、管理网络使用和简化IT系统管理。奇安信CERT已复现此漏洞,鉴于该漏洞影响范围较大,建议用户尽快更新。(信息来源:奇安信CERT)
(二十五)Chirp智能锁存在远程漏洞影响数万个家庭
4月19日消息,美CISA发布警告,称Chirp Systems智能锁存在一个低攻击复杂性远程漏洞CVE-2024-2197(CVSS评分9.1),攻击者可利用该漏洞远程解锁智能锁并物理渗透受保护的位置。该漏洞是由Chirp Android应用程序硬编码密码和私钥造成的。Chirp的软件允许控制与August和Yale等公司的产品兼容,后者是瑞典公司Assa Abloy旗下的产品。Chirp系统目前已经拥有超过5万个用户。研究人员建议拥有通过Chirp控制智能锁的用户使用额外的机械锁来增强安全性。(信息来源:FreeBuf网)
(二十六)思科集成管理控制器IMC中存在高危漏洞
4月22日消息,思科集成管理控制器(IMC)基于网络的管理界面中存在一个命令注入漏洞CVE-2024-20356,是由于IMC界面的用户输入验证不足导致,拥有管理权限的经过验证的远程攻击者可利用该漏洞获得受影响系统的root访问权限,从而可能完全控制硬件,导致数据被盗,系统宕机,甚至注入恶意命令进一步破坏网络。IMC是用于远程管理思科硬件的重要组件,包括5000系列企业网络计算系统(ENCS)、Catalyst 8300系列边缘uCPE等一系列思科服务器和计算系统均受影响。思科已发布修复方案,建议所有受影响组织立即更新。(信息来源:FreeBuf网)
(二十七)流行开源SSH客户端程序PuTTY被曝存在严重漏洞
4月18日消息,流行开源SSH客户端程序PuTTY被曝存在一个可泄露用户加密密钥的严重漏洞CVE-2024-31497,存在于PuTTY程序的SSH身份认证环节。PuTTY是一款用于SSH、Telnet等网络协议的开源客户端程序,可帮助用户连接远程服务器并传输文件。攻击者只需访问60条已签名消息和公钥,就能从中恢复私钥,后续就可以伪造签名,并在未经授权的情况下访问服务器。除PuTTY之外,包括FileZilla、WinSCP和TortoiseGit在内的相关组件也存在该问题。美NIST警告称该漏洞可能导致供应链攻击。PuTTY官方已修复该漏洞,敦促用户立即更新。(信息来源:安全内参)
