网络空间安全动态(202412期)
编者按:网安动向热讯,本期有七点值得关注:一是中央网信办部署开展“清朗·打击违法信息外链”专项行动;二是国家发展改革委办公厅、国家数据局综合司印发《数字经济2024年工作要点》;三是美FCC禁止中国电信运营商在美提供宽带业务,限期停止业务;四是美商务部正在审查中国使用RISC-V芯片技术的风险;五是美日韩签署涉中国等合作意向书,联手构筑技术防线;六是欧盟理事会通过欧盟与日本促进数据跨境流动议定书;七是日本与太平洋岛国举行网络防御演习。
网安事件聚焦,本期有两点建议关注:一是黑客组织主要瞄准政府机构、军工企业等领域,针对特定目标进行长期和持续性的网络攻击。本期介绍:北约和欧美谴责俄罗斯黑客组织APT28利用Outlook漏洞攻击德国和捷克;朝鲜三大黑客组织对韩国军工企业实施网络攻击;黑客组织声称已渗透白俄罗斯安全部门,访问超8600名员工的人事档案;阿联酋政府机构遭大规模网络攻击;二是泄露事件涉及医疗保健、金融服务等领域,泄露数据大多为个人敏感信息。本期介绍:美医疗保健巨头Kaiser Permanente网站跟踪工具可能泄露超1300万客户数据;伦敦证券旗下数据库被窃取,泄露超500万条敏感信息;印度ICICI银行泄露1.7万名客户的信用卡数据。
网安风险警示,本期有七点建议关注:一是GPT-4可通过阅读安全公告自主利用“1day漏洞”;二是八大主流中文手机输入法存在严重漏洞,影响近10亿用户;三是网络性能监控工具Progress Flowmon存在满分漏洞;四是新僵尸网络Goldoon利用9年前满分漏洞瞄准D-Link设备;五是WP Automatic插件遭SQL注入攻击;六是美CISA KEV新增两个急需修复的思科产品漏洞;七是移动网络供应商HPE Aruba设备存在10个安全漏洞。
一、网安动向热讯
(一)中央网信办部署开展“清朗·打击违法信息外链”专项行动
4月28日消息,中央网信办在全国范围内部署开展为期2个月的“清朗·打击违法信息外链”专项行动。本次行动聚焦违法信息外链问题易发多发的8个重点环节开展整治:一是账号环节;二是评论环节;三是群圈环节;四是直播、短视频环节;五是生活服务环节;六是浏览器、搜索引擎环节;七是电商环节;八是涉未成年人版块环节。通过开展此次专项行动,建立覆盖各类重点网站平台的跨平台工作机制,及时共享违法外链最新问题表现,扩大联动处置效应,全力铲除违法信息外链滋生土壤。(信息来源:中国网信网)
(二)国家发展改革委办公厅、国家数据局综合司印发《数字经济2024年工作要点》
4月24日,国家发展改革委办公厅、国家数据局综合司印发《数字经济2024年工作要点》,对2024年数字经济重点工作作出部署。工作要点提出9方面落实举措,包括适度超前布局数字基础设施、加快构建数据基础制度、深入推进产业数字化转型、加快推动数字技术创新突破、不断提升公共服务水平、推动完善数字经济治理体系、全面筑牢数字安全屏障、主动拓展数字经济国际合作、加强跨部门协同联动等内容。下一步,国家发展改革委、国家数据局将围绕基础制度、重大设施、技术创新、产业发展、转型赋能、安全治理、国际合作等重点领域多向发力。(信息来源:新华社)
(三)美FCC禁止中国电信运营商在美提供宽带业务,限期停止业务
4月25日,美国联邦通信委员会(FCC)表示,将禁止中国电信、中国联通和中国移动等中国电信运营商的美国子公司在美国提供固定或移动宽带互联网业务。FCC要求中国运营商在近期批准的网络中立性命令生效后60天内停止服务。该命令还适用于中国通信企业太平洋网络及其全资子公司信通电话。这是美国限制中国的电信运营商的最新行动,包括限制处理互联网流量的海底电缆。FCC专员Geoffrey Starks称:“中国电信在美国运营着多达26个互联网接入点,提供主机托管、宽带、IP传输和数据中心服务。它们正在与其他网络互联,并能访问重要的存在点和数据中心,对我们的数据和数据中心构成威胁。”(信息来源:俄罗斯卫星通讯社)
(四)美商务部正在审查中国使用RISC-V芯片技术的风险
4月24日消息,美商务部正在审查中国开源RISC-V芯片的所谓“国家安全”风险。2023年11月,来自美国会参众两院的18名议员向拜登政府施压,要求其制定计划,阻止中国“在RISC-V技术领域取得主导地位,并以牺牲美国国家和经济安全为代价利用这种主导地位”。美商务部在致立法者的一封信中表示,正在审查潜在风险,并评估商务部是否采取适当行动来有效解决潜在问题。RISC-V是一个基于精简指令集原则建立的开源指令集架构,与大多数指令集相比,RISC-V架构开源开放、简洁、模块化、可定制、可扩展,从智能手机芯片到用于人工智能的高级处理器,它都可以用作关键部件。(路透社)
(五)美日韩签署涉中国等合作意向书,联手构筑技术防线
4月26日消息,美日韩在华盛顿举行“第一届美日韩创新技术保护网络高级会议”,并签署合作意向书,旨在加强技术保护和出口管制,这是继2023年8月美日韩“戴维营峰会”后的一项重要行动。三国领导人在“戴维营峰会”达成协议,决定加强技术保护措施的合作,防止其开发的尖端技术被非法泄露或被海外窃取。根据韩联社称,美日韩在“戴维营峰会”并未明确指出其试图保护自己的技术免受哪些国家的侵害,但在此次会议上,美方代表明确表示其防护重点为中、俄、伊三国,并强调盟友间加强合作的重要性。韩国官员也承诺将与美日合作,共同保护与国家安全密切相关的关键技术。(信息来源:环球网)
(六)美国务院发布《美国国际网络空间和数字政策战略》
5月6日,美国务院发布《美国国际网络空间和数字政策战略》,旨在指导国际社会参与技术外交并推动《美国国家安全战略》和《美国国家网络安全战略》。该战略重点提出“数字团结”的概念,通过未来三到五年优先考虑的三项指导原则和四个行动领域,来建立广泛的“数字团结”。其中三项指导原则包括:一是以国际法(包括国际人权法)为基础的安全和包容性网络空间的积极愿景;二是网络安全、可持续发展和技术创新的融合;三是在整个数字生态系统中利用适当的外交工具和国际治理手段的全面政策方法。四个行动领域包括推进开放和安全的数字环境;与国外合作伙伴协调尊重权利的数字和数据治理方法;通过与国际伙伴的接触,促进在网络空间采取负责任的行动,抵御对网络空间和关键基础设施的威胁;加强和扩大合作伙伴的数字和网络能力。(信息来源:美国务院网站)
(七)欧盟理事会通过欧盟与日本促进数据跨境流动议定书
5月6日消息,欧盟理事会通过了一项有关促进欧盟与日本间数据流动的协定(以下简称“协定”),该议定将跨境数据流动的条款纳入欧盟与日本之间的经济伙伴关系协定。该协定旨在为欧盟与日本之间的数据跨境流动提供法律保障,从而防止其受到数据本地化措施的阻碍,并确保欧盟和日本之间的数据流动,可以根据数据保护和数字经济规则合法受益。对于B端(主要面向企业和商业用户),该协议有助于企业能够有效地处理数据,而无需繁琐的管理或存储要求,并为他们提供可预测的法律框架。对于C端(直接面向普通消费者),该协定的签订有助于欧盟和日本的个人数据和隐私保护的规则得到充分尊重,从而促进构建数字经济信任体系。后期该协定还需通过日本方面的批准,并通过相关程序后方可正式生效。(信息来源:欧盟理事会网站)
(八)英国立法禁止在物联网设备上使用默认弱密码
5月7日消息,英国政府于2022年12月通过的《产品安全和电信基础设施法案2022》(PSTI法案)在2024年4月29日强制实施,在全球范围内率先明确物联网设备不得使用默认弱密码。PSTI为制造商引入了新的最低安全标准,并要求这些公司向消费者公开其产品的安全更新期限。该法案明确所有在线实体,包括服务、组织和个人,均被禁止使用诸如“admin”或“12345”等弱密码或容易被猜到的默认密码。该法案还要求智能设备制造商在用户首次启动设备时更改密码,以保护消费者免受密码攻击。不符合规定的产品可能会被召回,负有责任的公司可能会被处以最高1000万英镑或其全球收入4%的罚款,以金额较高者为准。(信息来源:CyberSecurity网)
(九)日本与太平洋岛国举行网络防御演习
4月24日消息,日本总务省将在太平洋岛国实施网络防御演习,参演国家和地区将增至16个,旨在培养网络安全技术人才,在作为海底电缆经由地的太平洋岛国地区增强网络安全。演习内容主要是设想企业系统感染恶意软件等情境,让参与者学习如何应对网络攻击。此外,日本将对情报通信研究机构推进的实践性网络防御演习进行有效利用,美国也将以派遣讲师等方式提供合作。(信息来源:参考消息)
二、网安事件聚焦
(十)北约和欧美谴责俄罗斯黑客组织APT28利用Outlook漏洞攻击德国和捷克
5月3日消息,德国和捷克政府指责与俄罗斯军事情报机构GRU有关的黑客组织APT28在其国家发动网络攻击。德国政府发布公告称:“在相对较长一段时间内,APT28利用微软Outlook中一个当时未确定的关键漏洞,针对欧洲国家和乌克兰政府当局、军工企业、航空航天工业、IT机构等发起攻击”。捷克外交部也发表声明,指出自2023年起,其国内部分企业组织遭遇APT28攻击,也是利用当时未知的Outlook漏洞。北约与欧盟谴责俄罗斯政府持续在网络空间不负责任的态度,对欧盟国家安全构成威胁。(信息来源:E安全)
(十一)朝鲜三大黑客组织对韩国军工企业实施网络攻击
4月29日消息,韩国警察厅称,朝鲜黑客组织Lazarus集团、Andariel、Kimsuky对韩国军工企业实施网络攻击,以盗取其军工技术。韩警方发现其国内83家军工企业中有10多家遭到攻击,黑客组织主要攻击军工企业,同时也攻击安全措施较薄弱的军工合作单位,盗取军工企业服务器账号信息,并渗透主要服务器植入恶意代码。韩警方表示,朝鲜黑客组织至少1年半前就开始实施攻击,但未掌握具体的攻击时间和企业受害程度。韩警方建议军工企业及其合作企业加强网络安防措施。(信息来源:韩联社)
(十二)黑客组织声称已渗透白俄罗斯安全部门,访问超8600名员工的人事档案
4月27日消息,白俄罗斯黑客组织“网络游击队”(Cyber-Partisans)声称已渗透该国主要克格勃情报机构的网络,并访问超8600名员工的人事档案。Cyber-Partisans在其Telegram频道上发布一系列文件作为攻击证据,包括网站管理员列表、底层数据库和服务器日志。该黑客组织称,此次攻击是对该机构首脑伊万·特尔特尔公开指责其策划对白俄罗斯关键基础设施攻击的回应。白俄罗斯当局尚未就该事件发表评论。(信息来源:SecurityWeek网)
(十三)阿联酋政府机构遭大规模网络攻击
5月2日消息,不明身份攻击者在BreachForums发帖,声称对涉及阿拉伯联合酋长国政府的大规模数据泄露攻击负责,称其已获得对高级政府官员的个人身份信息的访问权限,并列出姓名、角色和联系方式的样本,要求支付150比特币(900万美元)的赎金,否则将泄露本次攻击获取的数据。此次网络攻击事件的受害者包括阿联酋主要政府机构,如电信和数字政府监管局、联邦核监管局和迪拜执行委员会,以及Sharik.ae和WorkinUAE.ae等关键政府平台。多个部委也受影响,如阿联酋卫生和预防部、财政部和阿联酋航天局等。阿联酋政府和受影响机构尚未做出回应。(信息来源:TheCyberExpress网)
(十四)美医疗保健巨头Kaiser Permanente网站跟踪工具可能泄露超1300万客户数据
4月28日消息,美医疗保健巨头Kaiser Permanente通知超1300万客户,告知其个人信息疑似已暴露给第三方供应商。该公司表示,泄露信息包括姓名、IP地址、账户或服务的信息等,但不包括财务信息或社会安全号码。当用户访问其网站或移动应用程序时,某些未命名的“在线技术”(疑似跟踪软件)可能已将个人信息传输给第三方供应商Google、Microsoft Bing和X。该公司表示这些技术已被删除,目前尚未发现数据被滥用情况。(信息来源:安全客)
(十五)伦敦证券旗下数据库被窃取,泄露超500万条敏感信息
5月5日消息,一名自称GhostR的攻击者宣称,成功窃取并泄露了伦敦证券交易所集团(LSEG)旗下World-Check数据库。该数据库中存储了超500万条关于政治公众人物、罪犯、风险组织以及其他机构的数据信息。根据攻击者提供的泄露数据样本,World-Check原始数据信息包括社会安全号码、银行账号、加密货币账户、护照、出生日期和工作地点等。LSEG是全球领先的金融市场基础设施提供商,为170多个国家/地区的4万多名客户提供金融数据、分析、新闻和指数产品。LSEG在声明中透露,World-Check数据库泄露事件不涉及公司其它网络系统,目前正与客户联系并通知有关当局。(信息来源:FreeBuf网)
(十六)印度ICICI银行泄露1.7万名客户的信用卡数据
4月28日消息,总部位于孟买的印度跨国银行和金融服务公司ICICI意外泄露1.7万名客户信用卡敏感数据。由于其移动银行应用“iMobile”中存在技术漏洞,该漏洞允许用户查看其他客户的信用卡详细信息,包括信用卡号、到期日期和卡片验证值等。目前该银行对受影响用户的信用卡进行冻结,并将为用户重新办理信用卡。该银行在印度拥有6000家分行和1.7万台ATM,并在17个国家设有业务。(信息来源:SecurityAffairs网)
三、网安风险警示
(十七)GPT-4可通过阅读安全公告自主利用“1day漏洞”
4月24日消息,美国伊利诺伊大学近期研究表明,OpenAI公司的GPT-4大型语言模型(LLM)可通过阅读安全公告,在沙盒环境中利用网络安全漏洞实施攻击。研究者选取15个已披露但尚未修补“1day漏洞”用于测试,发现GPT-4的漏洞利用成功率高达87%,而用其他模型(GPT-3.5、开源LLM)和开源漏洞扫描器(ZAP和Metasploit)测试的利用成功率为0%。(信息来源:百朋AI学堂)
(十八)八大主流中文手机输入法存在严重漏洞,影响近10亿用户
4月24日消息,隐私研究独立机构公民实验室发布关于百度、荣耀、华为、科大讯飞、OPPO、三星、腾讯、vivo和小米九家厂商输入法的隐私安全报告,除华为以外其余八家厂商的手机云输入法均存在严重漏洞,黑客可利用这些漏洞窃取用户输入内容或实施网络窃听,影响近10亿用户。该实验室已向上述八家厂商报告漏洞。(信息来源:安全内参)
(十九)网络性能监控工具Progress Flowmon存在满分漏洞
4月26日消息,网络性能监控工具Progress Flowmon存在高危漏洞CVE-2024-2389(CVSS评分10.0),影响产品的v12.x和v11.x的版本。攻击者可利用该漏洞使用特制的API请求,获得对Flowmon Web界面未经身份验证的远程访问并执行任意系统命令。Progress Flowmon结合了性能跟踪、诊断以及网络检测与响应功能,被全球超过1500家公司使用。该程序的开发商于4月4日首次披露该漏洞,并敦促用户将系统更新到最新版本。(信息来源:安全客)
(二十)新僵尸网络Goldoon利用9年前满分漏洞瞄准D-Link设备
5月4日,Fortinet的FortiGuard实验室网络安全研究人员发现了一种名为“Goldoon”的新僵尸网络威胁,专门针对D-Link路由器和网络附加存储设备。该恶意软件利用CVE-2015-2051(CVSS评分10.0)漏洞感染设备,可能使用户数据和网络安全面临风险。该漏洞已有近十年历史,主要影响报废设备。Goldoon利用暴力攻击来获取对D-Link设备的访问权限。暴力攻击涉及系统地尝试不同的用户名和密码组合,直到获得未经授权的访问。由于新僵尸网络的不断开发和引入,研究人员建议D-Link用户应用补丁和更新。(信息来源:Fortinet网站)
(二十一)WP Automatic插件遭SQL注入攻击
4月28日消息,研究人员披露黑客正试图利用WordPress的Automatic插件漏洞CVE-2024-27956(CVSS评分9.9)来创建具有管理权限的用户账户,并植入后门以实现长期访问。研究人员称其属于SQL注入漏洞,存在于插件的用户验证机制中,攻击者可绕过该机制执行恶意SQL查询,通过发送特殊请求将任意SQL代码注入站点的数据库并获得提升的权限。WordPress是网站构建平台,WP Automatic已被安装在3万多个网站上,可让管理员自动从各种在线资源导入文本、图片、视频等内容,并在WordPress网站上发布。研究人员建议WordPress网站管理员更新插件版本。(信息来源:FreeBuf网)
(二十二)美CISA KEV新增两个急需修复的思科产品漏洞
4月26日消息,美网络安全与基础设施安全局(CISA)已知可利用漏洞(KEV)目录新增两个思科公司产品漏洞:CVE-2024-20353(CVSS评分8.6)和CVE-2024-20359(CVSS评分6.0),以及一个影响文件传输工具CrushFTP的漏洞,CISA要求美联邦机构在5月1日前修补上述漏洞。思科于4月24日发布了两个漏洞的公告,称漏洞正在被有国家背景的黑客组织利用,影响思科的自适应安全设备和相关的Firepower威胁防御软件套件。思科表示,澳大利亚、英国和加拿大的网络安全机构也参与了此次调查。(信息来源:TheRecord网)
(二十三)移动网络供应商HPE Aruba设备存在10个安全漏洞
5月6日消息,移动网络供应商HPE Aruba Networking发布安全公告,称其网络设备操作系统ArubaOS存在10个安全漏洞,影响Mobility Conductor、Mobility Controller,以及由Aruba Central云计算管控的WLAN网关、SD-WAN网关等设备。其中4个为缓冲区溢出漏洞:CVE-2024-26304、CVE-2024-26305、CVE-2024-33511和CVE-2024-33512,CVSS评分均为9.8。攻击者可利用上述漏洞以特权用户的身份,于操作系统底层执行任意程序代码。目前上述漏洞已被修复,建议受影响用户尽快升级版本。(信息来源:启明星辰)
