网络空间安全动态(202413期)
编者按:网安动向热讯,本期有七点值得关注:一是中华人民共和国和法兰西共和国关于人工智能和全球治理的联合声明;二是国家市场监督管理总局发布《网络反不正当竞争暂行规定》,自9月1日起施行;三是美BIS将37家中国实体纳入出口管制实体清单,其中包括22家量子产业科研机构;四是美推出新的AI监管措施,拟限制中俄使用美企AI软件;五是美政府首次发布《国家网络安全态势报告》和第二版《国家网络安全战略实施计划》;六是美国家情报总监办公室发布《针对商业可用信息的情报界政策框架》文件;七是美CISA推出“安全设计”承诺倡议计划,68家软件大厂签署承诺书。
网安事件聚焦,本期有两点建议关注:一是黑客组织和勒索攻击持续不断,新的攻击手段不断翻新。本期介绍:俄罗斯黑客劫持乌克兰、拉脱维亚电视台转播莫斯科胜利日阅兵;美天主教医疗卫生系统Ascension遭网络攻击致临床服务中断;恶意安卓应用程序假冒谷歌、Instagram、WhatsApp窃取用户凭证;朝鲜黑客组织部署Golang恶意软件Durian攻击韩国加密货币公司;新的幽灵式“探路者”攻击针对英特尔CPU。二是金融、国防等领域大规模数据泄露事件频发。本期介绍:欧洲刑警组织疑遭黑客入侵致机密数据泄露;澳大利亚最大非银机构Firstmac遭勒索攻击致500G数据泄露;戴尔泄露约4900万用户购物数据;英国防部超22.5万名军事人员信息遭泄露。
网安风险警示,本期有七点建议关注:一是工信部:关于防范蠕虫病毒PlugX新变种攻击传播的风险提示;二是美CISA等督促软件维护人员修复路径遍历漏洞;三是超5万台Tinyproxy服务器易受严重RCE漏洞影响;四是Google Chrome Visuals释放后重用漏洞风险通告;五是Veeam备份管理平台中存在一个高危RCE漏洞;六是流行的终端模拟器PuTTY存在高危漏洞;七是BIG-IP Next Central Manager存在两个安全漏洞,可导致设备被接管。
一、网安动向热讯
(一)中华人民共和国和法兰西共和国关于人工智能和全球治理的联合声明
5月8日消息,应法兰西共和国总统埃马纽埃尔·马克龙邀请,中华人民共和国主席习近平于5月5日至7日对法国进行国事访问。两国元首在人工智能方面达成以下共识:包括中法两国一致认为促进人工智能的开发与安全,并为此推动适当的国际治理至关重要;中法两国充分认识到人工智能技术相关的潜在和实存风险,并加强人工智能的全球治理,以促进服务于公共利益的开发和利用;中法两国致力于深化关于人工智能国际治理模式的讨论,同时应对个人数据、人工智能用户的权利以及作品被人工智能使用的用户的权利提供必要保护;中法两国充分致力于促进安全、可靠和可信的人工智能系统,挖掘人工智能的潜力降低其风险;中法双方强调,为确保国际安全与稳定以及尊重主权和基本权利,加强国际合作具有重要意义;中法两国一致同意,应助力各国特别是发展中国家加强网络能力,以应对包括与人工智能发展相关的各类网络威胁等。(信息来源:新华网)
(二)国家市场监督管理总局发布《网络反不正当竞争暂行规定》,自9月1日起施行
5月11日,国家市场监督管理总局发布《网络反不正当竞争暂行规定》,自2024年9月1日起施行。《规定》具有以下几个特点:一是坚持鼓励创新,保护企业创新成果,着力促进互联网行业发挥最大创新潜能;二是着力规范竞争,顺应我国数字经济发展新特点、新趋势、新要求,完善各类网络不正当竞争行为认定标准及规制要求;三是加强消费者权益保护;四是强化平台责任,督促平台对平台内竞争行为加强规范管理,同时对滥用数据算法获取竞争优势等问题进行规制;五是优化执法办案,针对网络不正当竞争行为辐射面广、跨平台、跨地域等特点,对监督检查程序作出特别规定;六是明确法律责任,有效衔接反不正当竞争法、电子商务法、反垄断法、行政处罚法等法律。(信息来源:中国政府网)
(三)美BIS将37家中国实体纳入出口管制实体清单,其中包括22家量子产业科研机构
5月9日,美商务部工业与安全局(BIS)宣布将37家中国实体纳入出口管制实体清单,包括中国科学技术大学、中国科学院物理研究所、中国科学院量子信息重点实验室、合肥量子信息科学国家实验室、本源量子、北京量子信息科学研究院等22家量子产业科研机构。BIS规定,上述37家中国实体被纳入“实体清单”后,美企业向这些实体出口、再出口、转让EAR管辖的所有产品和技术时,都需要向美政府申请许可。BIS强调,上述中国量子机构因推动了中国量子技术进步以及获取或试图获取美国原产物项用于发展量子技术能力而遭制裁。(信息来源:安全内参)
(四)美推出新的AI监管措施,拟限制中俄使用美企AI软件
5月8日消息,美商务部正考虑推出一项新的AI监管措施,以限制中国和俄罗斯使用美企业开发的专有或闭源AI软件,此举旨在与先前针对先进AI芯片的出口管制措施形成互补。该计划还将特别针对ChatGPT等AI模型的核心软件设置防护栏。据悉,OpenAI等美企业已开发出一些强有力的闭源AI模型,能够在几乎不受美政府监管的情况下出售相关服务。目前,美政府已采取措施,阻止AI芯片及其制造工具流向中国,并要求AI公司在外国客户使用其服务训练可能用于网络攻击的AI模型时通报政府。(信息来源:参考消息)
(五)美政府首次发布《国家网络安全态势报告》和第二版《国家网络安全战略实施计划》
5月11日消息,美国家网络总监办公室(ONCD)首次发布《美国网络安全态势报告》,明确了2023年的主要趋势,包括不断演变的关键基础设施风险、勒索软件、供应链利用、商业间谍软件和人工智能,并详细介绍了落实拜登政府2023年发布的国家网络安全战略的工作进展。ONCD于同日公布了第二版《国家网络安全战略实施计划》,新增了31项新举措,包括但不限于:实施网络安全标签计划;与合作伙伴合作,瓦解并消灭威胁行为者;实施美国务院新的国际网络安全战略。这些措施将由26个美联邦政府机构共同执行,在未来两年内完成。(信息来源:安全内参)
(六)美国家情报总监办公室发布《针对商业可用信息的情报界政策框架》文件
5月9日消息,美国家情报总监办公室发布《针对商业可用信息的情报界政策框架》文件,要求美情报界各成员机构最晚于今年8月前落实该文件所提出的要求。该框架文件提出了旨在监管美国情报界成员机构获得及使用“商业可用信息”行为的9项基本原则:即对“商业可用信息”的获得及使用应有授权并遵守相关法规;遵守美国各项情报监管措施,以保护美国公民权益;在采购及使用“商业可用信息”前核实其来源和收集机制;在使用前评估“商业可用信息”的完整性及品质,以确保由其产出的情报产品质量;禁止将“商业可用信息”用于带种族、性别、宗教等方面歧视的目的;要根据“商业可用信息”的敏感程度加以必要的安全保护;建立管理、使用及定期审查“商业可用信息”的制度;在条件适宜时编制可在美国情报界内部分享的“商业可用信息”档案;定期对公众及监管机构披露“商业可用信息”的获得及使用情况。(信息来源:国际安全简报)
(七)美CISA推出“安全设计”承诺倡议计划,68家软件大厂签署承诺书
5月10日消息,美网络安全与基础设施安全局(CISA)呼吁企业将网络安全融入技术产品的设计和开发中,并发起“安全设计”承诺计划。这是一项专注于企业软件产品和服务的自愿承诺,包括本地软件、云服务和软件即服务(SaaS)。通过参与承诺,制造商将致力于实现七个既定目标:多重身份验证MFA;默认口令;减少各类脆弱性;安全补丁;漏洞披露政策;CVE漏洞以及入侵的证据。该承诺旨在补充和建立现有的软件安全最佳实践,包括美CISA、美国家标准与技术研究院、其他联邦机构开发的最佳实践以及国际和行业最佳实践。目前已有68家公司签署了“安全设计”承诺,包括思科、谷歌、IBM和微软等。(信息来源:安全内参)
(八)微软公司宣布已成功为美情报机构打造定制GPT-4生成式AI模型
5月9日消息,微软公司宣布已成功为美国情报机构打造一款定制化的GPT-4生成式AI模型,该模型与互联网完全断开连接,标志着大型语言模型首次在安全环境中得到应用。这款定制化的GPT-4模型拥有强大的功能,主要包括:安全数据分析(在与互联网隔离的封闭网络中处理机密和敏感信息,确保数据安全,避免泄露或被截获);机密对话(提供类似ChatGPT的聊天功能,允许情报官员安全地与AI助手进行交谈,获取信息);信息总结(从上传的文件或数据中快速总结关键信息,帮助情报人员迅速把握核心内容);定制查询(支持针对特定数据集的定制化问题或查询,提供与情报相关的精准回答);决策辅助(通过提供全面的信息分析和解释,辅助情报人员做出更明智、更及时的决策)。目前,这项新服务已上线,约1万名情报界成员可以使用这个独立系统。(信息来源:彭博社)
(九)美网络司令部举行2024年度“网络旗帜”演习
5月13日消息,美网络司令部于5月5日至11日在弗吉尼亚州举行了2024年度“网络旗帜”演习,旨在加强国际合作和应对网络威胁的准备。此次演习涉及18个国家,包括“五眼”情报联盟国家以及包括韩国在内的其他伙伴国,演习重点是磨练跨国合作应对网络威胁、网络防御、情报共享和行动协调等方面的技能,分享针对敌方网络活动的情报,促进国际联盟和伙伴关系。(信息来源:奇安网情局)
二、网安事件聚焦
(十)俄罗斯黑客劫持乌克兰、拉脱维亚电视台转播莫斯科胜利日阅兵
5月11日消息,亲俄黑客劫持了几家乌克兰和拉脱维亚电视台转播莫斯科胜利日阅兵。乌克兰负责电视和广播的机构Nacrada称,黑客攻击了星光媒体旗下至少15个电视频道的广播,干扰了卢森堡SES公司拥有和运营的Astra通信卫星的运行,乌克兰媒体和信息消费者成为直接攻击对象。拉脱维亚国家电子媒体委员会表示,黑客劫持该国通信公司Balticom位于保加利亚的互动电视频道来转播莫斯科胜利日阅兵,使Balticom暂时失去了对电视转播的控制,但基础设施并未受到损害。拉脱维亚当局表示,只有大约5%的Balticom用户看到了莫斯科游行的现场直播,目前尚不清楚黑客如何入侵其服务器。(信息来源:TheRecord网)
(十一)美天主教医疗卫生系统Ascension遭网络攻击致临床服务中断
5月9日消息,美天主教医疗卫生系统Ascension遭网络攻击,导致临床运营服务中断,部分系统无法访问。Ascension发布声明称,正在确认是否有数据被攻击者窃取,敦促业务伙伴暂时中断与其技术环境的连接,事件影响及服务中断持续时间还在评估中,已启动程序以确保患者护理服务安全,并尽可能降低事件影响。Ascension是一家非营利组织,在19个州经营140所医院和40所养老院。美医院协会呼吁美联邦机构通过主动采取持续的安全措施应对网络威胁,以保护医院和卫生系统。(信息来源:安全内参)
(十二)恶意安卓应用程序假冒谷歌、Instagram、WhatsApp窃取用户凭证
5月11日消息,研究人员发现有恶意安卓软件伪装成谷歌、Instagram、Snapchat和WhatsApp,利用安卓应用程序图标误导用户安装恶意应用程序,在受害者不知情的情况下执行从数据窃取到恶意软件部署等任意操作。该恶意软件旨在与命令与控制(C2)服务器建立连接,以接收执行命令,使其能够访问联系人列表、短信、通话记录、已安装应用程序列表;发送短信;在网页浏览器上打开钓鱼网页以及切换摄像头闪光灯等。这是继Coper等安卓银行木马恶意软件活动后的又一次发现。(信息来源:FreeBuf网)
(十三)朝鲜黑客组织部署Golang恶意软件Durian攻击韩国加密货币公司
5月11日消息,卡巴斯基研究人员发现朝鲜黑客组织Kimsuky部署了一种全新的Golang恶意软件Durian,针对两家韩国加密货币公司进行高度定向网络攻击。Durian具有全面的后门功能,可以执行传送的命令、下载额外文件并泄露文件。该软件与攻击者服务器相连,从而导致恶意有效载荷检索并启动感染序列,最终通过植入恶意软件窃取浏览器中存储的数据,包括Cookie和登录凭据。Kimsuky是63号研究中心的下属部门,该中心隶属于朝鲜总参谋部,是该国主要军事情报组织,自2012年以来一直活跃。(信息来源:TheHackerNews网)
(十四)新的幽灵式“探路者”攻击针对英特尔CPU
5月8日消息,研究人员发现两种针对高性能英特尔CPU的新颖攻击方法,攻击者可利用这些方法对高级加密标准(AES)算法发起密钥恢复攻击,该技术被统称为“探路者”。这些攻击利用现代CPU上的分支预测和推测执行来读取内存中的特权数据,从而绕过应用程序之间的隔离保护。此次攻击针对的是分支预测器中称为路径历史寄存器(PHR)的功能,该功能保留最后采用的分支的记录,以诱发分支错误预测并导致受害者程序执行非预期的代码路径,从而暴露机密数据。(信息来源:ThehackerNews网)
(十五)欧洲刑警组织疑遭黑客入侵致机密数据泄露
5月11日消息,黑客组织IntelBroker声称已成功入侵欧洲刑警组织网络系统,并在网络犯罪平台BreachForums上发布被盗数据。遭泄露数据包括欧洲刑警组织旗下各机构工作人员的详细个人数据、仅供官方使用的源代码、用于侦察任务和行动指南的业务文件等。此次数据泄露事件可能对受影响机构的持续运作和相关人员人身安全构成严重威胁,破坏欧洲刑警组织行动的完整性和安全性。欧洲刑警组织是欧盟内部的一个执法机构,旨在加强欧盟成员国在打击跨国犯罪及执法方面的合作。目前,欧洲刑警组织尚未就此事发表声明。(信息来源:FreeBuf网)
(十六)澳大利亚最大非银机构Firstmac遭勒索攻击致500G数据泄露
5月13日消息,澳大利亚最主要非银行类贷款机构Firstmac遭勒索软件组织Embargo攻击,500G数据被窃取。泄露信息包括用户姓名、出生日期、电话号码、住址、电子邮箱、外部银行账户信息和驾照信息等。Firstmac主要专注于抵押贷款、投资管理和证券化服务,目前管理着150亿澳元的资金。Firstmac通过邮件方式告知用户发生严重数据泄露事件,并向用户保证其账户和资金未受影响。Firstmac已将所有账户更改为必须使用双因素身份验证或生物识别技术来确认用户身份,建议用户对未经请求的通信保持谨慎,并定期检查其账户对账单是否有异常。(信息来源:BleepingComputer网)
(十七)戴尔泄露约4900万用户购物数据
5月10日消息,攻击者声称已窃取约4900万戴尔用户信息。戴尔随后证实其门户网站遭黑客入侵,该网站包含一个数据库,记录了购买戴尔产品的客户信息。泄露信息包括用户姓名、家庭住址、选购的戴尔产品的订单信息等,但不涉及联络方式和支付信息。该数据库中用户归属最多的国家依次为美国、中国和印度等。戴尔已通过电子邮件方式告知用户其信息疑遭泄露,建议用户尽快更改密码,以保护个人隐私和财产。目前正与执法部门和第三方取证公司合作调查该事件。(信息来源:IT之家)
(十八)英国防部超22.5万名军事人员信息遭泄露
5月9日消息,一家为英国防部提供薪资处理服务的企业遭网络攻击,其处理系统中超22.5万名英国陆军、海军和皇家空军现役军人、预备役军人和退役军人的个人姓名、银行账号等详情信息被访问。英国媒体确认外部承包商为Shared Services Connected Ltd,并表示被入侵的薪资系统还包含多年前的军事人员信息。英国防大臣格兰特·沙普斯指出,此次攻击很可能得到了民族国家的支持,指责第三方承包商未能充分保护系统。(信息来源:环球时报)
三、网安风险警示
(十九)工信部:关于防范蠕虫病毒PlugX新变种攻击传播的风险提示
5月14日消息,工信部网络安全威胁和漏洞信息共享平台监测发现PlugX蠕虫病毒新变种已在全球多个国家传播,主机感染量超百万台。PlugX最早可追溯到2008年,并逐渐演化成为大众化的流行黑客工具,被全球网络犯罪分子广泛使用。新变种可通过U盘感染物理隔离系统,并能将目标敏感文件隐藏在U盘中。由于其在成功感染主机后,通过动态IP寻址或VPN等方式与控制端交互通信,增加了发现和溯源复杂度。建议相关单位和用户及时更新病毒库,加强对接入移动存储的安全扫描,防范网络攻击。(信息来源:网络安全威胁和漏洞信息共享平台)
(二十)美CISA等督促软件维护人员修复路径遍历漏洞
5月6日消息,美CISA和美联邦调查局(FBI)发布联合警报,督促软件企业审计产品并在交付前修复多个路径遍历漏洞。(1)CVE-2024-28185(CVSS评分10),可被用于写入任意文件并在沙箱外获得代码执行权限。(2)CVE-2024-28189(CVSS评分10),是对CVE-2024-28185的补丁绕过,攻击者可创建沙箱外文件的符号链接,在沙箱外的任意文件上运行chown。(3)CVE-2024-29021(CVSS评分9.1),Judge0的默认配置可导致服务易受经由SSRF的沙箱逃逸。美CISA和FBI建议软件开发人员执行缓解措施,包括为每份文件生成随机标识符并分开存储相关联的元数据、严格限制可在文件名称中提供的字符类型和确保所上传文件没有可执行文件权限等。(信息来源:代码卫士)
(二十一)超5万台Tinyproxy服务器易受严重RCE漏洞影响
5月9日消息,攻击面管理公司Censys发现超5万台暴露在互联网的Tinyproxy服务器易受RCE漏洞CVE-2023-49606(CVSS评分9.8)影响,大多数设备位于美、中、韩等国。该漏洞位于“remove_connection_headers()”函数中,攻击者无需认证,即可通过一个简单的恶意HTTP请求利用该漏洞,可能导致内存被释放且遭不恰当访问,影响1.11.1和1.10.0版本。Tinyproxy是一款开源的HTTP和HTTPS代理服务器,常用于小型企业、公共WiFi提供商和家庭用户。该公司尚未发布补丁。(信息来源:FreeBuf网)
(二十二)Google Chrome Visuals释放后重用漏洞风险通告
5月10日消息,奇安信CERT监测到Google发布公告称Google Chrome Visuals释放后重用漏洞CVE-2024-4671(CVSS评分8.8)遭在野利用,攻击者可通过诱导用户打开恶意链接来利用该漏洞,从而获取敏感信息或使应用程序崩溃。Chrome是一款由Google公司开发的互联网浏览器软件,为用户提供稳定、安全、高效的网络浏览体验。libvpx是开源的视频编解码器库,可以同时支持VP8和VP9视频编码。鉴于该漏洞影响范围较大,建议用户做好自查及防护。(信息来源:奇安信CERT)
(二十三)Veeam备份管理平台中存在高危RCE漏洞
5月9日消息,Veeam修复了位于Veeam Service Provider Console(VSPC)中的高危RCE漏洞CVE-2024-29212,由于VSPC服务器在与管理代理及其组件之间的通信过程中使用不安全的反序列化方法导致,影响VSPC 4.0、5.0、6.0、7.0和8.0版本。VSPC是供管理服务提供商和企业用于管理和监控数据备份操作的云平台。攻击者可利用该漏洞在安装了VSPC的服务器上实现远程代码执行,从而中断备份和容灾流程。研究人员检测发现超1600台暴露在互联网的VSPC设置,多数位于美国。Veeam公司建议用户尽快更新。(信息来源:代码卫士)
(二十四)流行的终端模拟器PuTTY存在高危漏洞
5月10日消息,深信服深瞳漏洞实验室监测发现PuTTY存在一个密钥泄露漏洞CVE-2024-31497,该漏洞由基于Windows的PuTTY SSH客户端更老旧版本,为用于认证的NIST P-521曲线生成临时的唯一加密数字方式引发,影响XenCenter for Citrix Hypervisor 8.2 CU1 LTSR的多个版本。攻击者可利用该漏洞窃取XenCenter管理员的SSH私钥,XenCenter有助于管理Windows桌面的Ctrix Hypervisor环境,包括部署和监控虚拟机。目前该漏洞已被修复,建议用户尽快升级。(信息来源:深信服深瞳漏洞实验室)
(二十五)BIG-IP Next Central Manager存在两个安全漏洞,可导致设备被接管
5月9日消息,网络安全公司Eclypsium的研究人员在F5的Next Central Manager中发现两个安全漏洞,分别为SQL注入漏洞CVE-2024-26026和OData注入漏洞CVE-2024-21793,CVSS评分均为7.5,可导致未经认证的攻击者在未修复设备上远程执行恶意SQL命令,导致越权访问、数据泄露和系统接管。攻击者还可利用上述漏洞长期且隐蔽地存在于任何F5资产相关的组织网络基础设施中。F5的Next Central Manager是BIG-IP Next机群所有生命周期任务的集中控制点,该工具为企业提供了一个统一的管理用户界面。建议F5用户尽快升级到最新版本。(信息来源:代码卫士)
