网络空间安全动态（202414期）

编者按：网安动向热讯，本期有七点值得关注：一是中美举行人工智能政府间对话首次会议；二是四部门联合印发《关于深化智慧城市发展 推进城市全域数字化转型的指导意见》；三是美CISA与国际合作伙伴发布民间社会团体网络安全指南；发布《加密域名系统实施指南》；四是美NIST发布《保护政府系统非机密数据指南》更新版；五是美太空军发布《2024财年数据与人工智能战略行动计划》；六是欧洲理事会通过人工智能国际条约；七是英国NCSC推出新网络防御平台。

      网安事件聚焦，本期有两点建议关注：一是大量敏感数据泄露，对个人隐私和商业秘密构成严重威胁。本期介绍：网络安全研究小组Cybernews披露重大数据泄露事件，涉及12亿条中国公民个人数据记录；国内知名企业家个人信息遭大规模泄露，涉上亿数据；西班牙金融机构桑坦德银行因供应商托管数据库遭未经授权访问，导致客户数据泄露；谷歌云出现罕见重大配置错误事故，导致澳养老基金UniSuper账户被删；二是制造业、消费品行业不仅容易受到勒索软件攻击，而且可能会受到业务中断的严重影响。本期介绍：全球消费品供应商Fiskars遭勒索攻击，2TB数据被窃取；日产汽车确认遭勒索攻击，超53000名员工信息遭泄露；Turla APT使用两个新后门攻击欧洲外交部；美无线电中继联盟遭网络攻击，关键数据库离线。

      网安风险警示，本期有七点建议关注：一是英特尔神经压缩软件中存在满分漏洞；二是微软、谷歌云、AWS等科技巨头使用的流行日志记录实用程序Fluent Bit存在严重漏洞；三是WiFi标准中存在漏洞可致SSID混淆攻击；四是通用电气医疗超声设备存在多个安全漏洞；五是Google Chrome V8存在类型混淆漏洞；六是物联智慧ThroughTek的Kalay平台存在4个安全漏洞；七是企业级开源监控解决方案Zabbix Server组件中存在SQL注入漏洞。

      一、网安动向热讯

      （一）中美举行人工智能政府间对话首次会议

      5月14日，中美人工智能政府间对话首次会议在瑞士日内瓦举行。双方围绕人工智能科技风险、全球治理、各自关切的其他问题深入、专业，建设性地交换了意见。双方介绍了各自对人工智能技术风险的看法和治理举措以及推动人工智能赋能经济社会发展采取的措施。中方强调人工智能技术是当前最受关注的新兴科技，中方始终坚持以人为本、智能向善理念，确保人工智能技术有益、安全、公平。中方支持加强人工智能全球治理，主张发挥联合国主渠道作用，愿同包括美方在内的国际社会加强沟通协调，形成具有广泛共识的全球人工智能治理框架和标准规范。中方就美方在人工智能领域对华限制打压表明严正立场。双方均认识到人工智能技术发展既面临机遇也存在风险，重申继续致力于落实两国元首在旧金山达成的重要共识。（信息来源：环球网）

      （二）四部门联合印发《关于深化智慧城市发展 推进城市全域数字化转型的指导意见》

      5月20日，国家发展改革委、国家数据局、财政部、自然资源部发布《关于深化智慧城市发展 推进城市全域数字化转型的指导意见》，围绕总体要求、全领域推进城市数字化转型、全方位增强城市数字化转型支撑、全过程优化城市数字化转型生态以及保障措施等5方面着力推进城市全域数字化转型。意见要求，到2027年，全国城市全域数字化转型取得明显成效，形成一批横向打通、纵向贯通、各具特色的宜居、韧性、智慧城市，有力支撑数字中国建设。到2030年，全国城市全域数字化转型全面突破，人民群众的获得感、幸福感、安全感全面提升，涌现一批数字文明时代具有全球竞争力的中国式现代化城市。（信息来源：中国政府网）

      （三）美CISA与国际合作伙伴发布民间社会团体网络安全指南

      5月15日消息，美网络安全与基础设施安全局（CISA）、国土安全部、联邦调查局与英国、加拿大、爱沙尼亚、日本、芬兰的国家网络安全机构联合发布《利用有限资源减轻网络威胁：民间社会团体指南》，为其民间社会团体提供降低网络入侵风险的行动建议和缓解措施，并鼓励软件制造商积极实施并公开承诺“安全设计”实践。该指南指出，非营利、文化、学术、智库、记者、持不同政见者等组织和个人均为高风险社会团体，是民族国家支持的黑客的攻击目标。该指南帮助民间社会团体更好地了解对抗行为，有助于决策者做好网络安全资源配置。（信息来源：美CISA网站）

      （四）美CISA发布《加密域名系统实施指南》

      5月16日，美CISA发布了针对联邦民事行政机构的《加密域名系统（DNS）实施指南》，以满足美联邦机构DNS流量加密的要求，并增强其内部网络安全态势。CISA指出，传统的DNS协议缺乏加密，易受网络间谍攻击，可能导致用户浏览路径被锁定和篡改，建议联邦机构加密设备间通信，并逐步实施包括HTTPS流量在内的特定加密措施。该指南进一步推动了《联邦零信任战略》部署。（信息来源：NextGov网）

      （五）美NIST发布《保护政府系统非机密数据指南》更新版

      5月15日消息，美国家标准与技术研究院（NIST）发布《保护政府系统非机密数据指南》更新版，旨在保护机构和私营部门承包商间交换敏感非机密信息时的未经授权传输。根据该指南，新的联邦计划必须立即达到新标准，而现有业务有一年过渡时间。此次新增三个安全控制系列，包括供应链风险管理框架、采购外部服务提供商的控制、帮助各机构提前计划额外安全控制的总体监督部分，为联邦机构保护存储在其系统中的敏感非机密数据的实施措施设定了基准。（信息来源：美NIST网站）

      （六）美FTC就联网汽车数据隐私问题发出警告

      5月15日消息，美联邦贸易委员会（FTC）向汽车制造商发出警告称，正密切关注其收集数据和销售的行为。FTC表示，将采取行动保护消费者免受非法收集、使用和披露个人数据的侵害。根据《联邦贸易委员会法案》，地理位置数据尤其受到加强保护，汽车制造商应注意收集、使用和披露位置信息可能侵犯用户隐私。此外，FTC提醒有权访问客户敏感数据的公司必须确保数据仅用于其收集该信息的用途。（信息来源：TheRecord网）

      （七）美太空军发布《2024财年数据与人工智能战略行动计划》

      5月15日消息，美太空军发布《2024财年数据与人工智能战略行动计划》，为全组织部门实现数据中心化提供具体指导，以在竞争环境中开展行动。美太空军将专注于以下四项工作，使数据可见、可访问、可理解、可信且具有互操作性：一是开展成熟的全部门级数据和人工智能治理；二是推动数据和人工智能驱动任务；三是优化数据、推进分析和人工智能技术的发展；四是加强与政府、学术界、工业界以及国际伙伴的合作。（信息来源：美太空军网站）

      （八）欧洲理事会通过人工智能国际条约

      5月18日，欧洲理事会在斯特拉斯堡正式通过了《人工智能与人权、民主和法治框架公约》，这是一项关于负责任地使用人工智能的具有法律约束力的国际条约，对理事会的所有成员国和其他签署国都具有约束力。该条约涵盖了人工智能系统在公共和私营部门的使用，遵守缔约方可选择直接承担相关公约条款的义务，也可选择采取其他措施来遵守条约条款。此外，公约要求各方建立独立的监督机制，以监督公约的遵守情况，并将于9月5日在立陶宛举行的司法部长会议上向各国开放签署。（信息来源：欧洲理事会网站）

      （九）英国NCSC推出新网络防御平台

      5月16日，英国国家网络安全中心（NCSC）宣布推出新网络防御平台“共享和防御”，旨在通过与行业共享威胁情报数据，打击网络犯罪和在线欺诈，保护英国民众和企业免受侵害。该平台向通信服务商提供恶意域名列表，以便其将这些域名添加到阻止列表中，从而保护用户免受网络钓鱼、凭据收集页面和恶意软件命令与控制服务器的威胁。此外，该平台将与合作伙伴共享用于保护高风险个人和网络的相同阻止列表，以提高普通用户的网络安全级别。（信息来源：英NCSC网站）

      二、网安事件聚焦

      （十）网络安全研究小组Cybernews披露重大数据泄露事件，涉及12亿条中国公民个人数据记录

      5月15日消息，网络安全研究小组Cybernews发现一个涉及中国公民的大规模数据泄露集合（COMB），其数据量已超12亿条记录，并在持续增长，涉及的敏感数据包含公民电话号码、身份证号码、地址等。造成此次泄露事件的原因是某实体错误配置了Elasticsearch实例（一种广泛使用的数据存储与检索工具），导致大量数据被泄露至公共网络。Cybernews指出，此次发现的COMB是今年第二大泄露事件，仅次于1月发现的包含260亿条记录的“泄露之母”（MOAB）。（信息来源：Cybernews网）

     （十一）国内知名企业家个人信息遭大规模泄露，涉上亿数据

      5月15日消息，一家名为“探客查”的平台正在售卖企业家个人信息，号称覆盖“2亿+企业数据库”“10亿+线索联系方式”，报价“980元包年，每月可查看企业数量5000条”。另一家售卖企业家个人信息的平台名为“励销云”，号称“覆盖2.7亿+企业工商信息，5.3亿+联系人”。以上两个平台在售包括农夫山泉创始人钟睒睒、蜜雪冰城实控人张红甫、钟薛高创始人林盛、蔚来汽车联合创始人秦力洪等多位企业家手机号。经核实，确认上述平台销售的手机号均为企业家本人所有并正在使用。（信息来源：澎湃新闻）

      （十二）西班牙金融机构桑坦德银行因供应商托管数据库遭未经授权访问，导致客户数据泄露

      5月16日消息，西班牙金融机构桑坦德银行宣布遭遇一起数据泄露事件，一名未经授权的攻击者访问了该银行某第三方服务提供商托管的数据库。该数据库包含桑坦德银行智利、西班牙和乌拉圭地区客户的详细信息，以及部分桑坦德银行现任和前任员工的数据。该银行声明称，数据库中不包含交易数据和网络银行交易凭证，目前已迅速采取相关措施。桑坦德银行是全球范围内最大、最重要的银行之一，业务遍布西班牙、英国、巴西、墨西哥和美国等，为超1.4亿客户提供服务。（信息来源：BleepingComputer网）

      （十三）谷歌云出现罕见重大配置错误事故，导致澳养老基金UniSuper账户被删

      5月15日消息，谷歌云服务发生一起重大配置错误事故，导致澳大利亚UniSuper基金云订阅账户被删除，服务中断长达一周。UniSuper是一支非盈利性的养老基金，管理着约1250亿美元资金，投资者超五十万人。由于账户被删，导致UniSuper在谷歌云的两份备份同时丢失，但另一家云提供商的数据备份减少了事故带来的损失，加速了UniSuper恢复谷歌云上数据过程。谷歌云表示，此前未遭遇过类似事件，已采取安全措施。（信息来源：IT之家）

      （十四）全球消费品供应商Fiskars遭勒索攻击，2TB数据被窃取

      5月16日消息，勒索软件组织Akira声称，攻击了全球消费品供应商Fiskars，并成功窃取该公司2TB的数据，包括各种敏感文件。Fiskars确认了此次攻击事件，表示公司运营未受影响，已通知执法部门采取遏制措施，目前尚不清楚此次事件是否泄露个人数据。Fiskars集团总部位于芬兰，在100多个国家/地区开展业务，拥有近450家门店和约7000名员工。（信息来源：Cybernews网）

      （十五）日产汽车确认遭勒索攻击，超53000名员工信息遭泄露

      5月15日，日本汽车制造商Nissan披露其系统于去年11月遭勒索软件攻击，超53000名现任和前任员工的个人数据被泄露，包括个人标识符和社会安全号码。Nissan称，黑客利用外部VPN关闭了公司某些系统，并访问了本地和网络共享上的文件，其中大部分包含商业信息。Nissan发现遭攻击后，立即通知执法部门，并进行彻底网络安全审查。（信息来源：安全客）

      （十六）Turla APT使用两个新后门攻击欧洲外交部

      5月19日消息，斯洛伐克网络安全公司ESET研究人员发现两个未知后门LunarWeb和LunarMail被利用攻击欧洲外交部及其驻外使团。部署在服务器上的LunarWeb使用HTTP(S)进行C&C通信并模仿合法请求，而部署在工作站上的LunarMail则作为Outlook加载项保留并使用电子邮件进行C&C通信。根据攻击策略、技术与过去活动的相似性，研究人员将该活动归因于疑似与俄罗斯有关的APT组织Turla。（信息来源：TheHackerNews网）

      （十七）美无线电中继联盟遭网络攻击，关键数据库离线

      5月21日消息，美无线电中继联盟（ARRL）确认遭网络攻击，影响了包括“世界日志”（LoTW）互联网数据库在内的多个关键在线服务。LoTW被用于记录和验证全球联系。ARRL强调，其系统不存储社会安全号码和信用卡信息，但会员数据库包含公开信息和地址等敏感数据。ARRL正与网络安全专家合作，以减轻事件影响并尽快恢复服务。（信息来源：CyberExpress网）

     三、网安风险警示

      （十八）英特尔神经压缩软件中存在满分漏洞

      5月20日，英特尔披露其用于人工智能模型压缩的神经压缩软件的部分版本中存在高危漏洞CVE-2024-22476（CVSS评分10.0）。未经身份验证的攻击者可利用该漏洞在受影响的英特尔系统上执行任意代码。英特尔神经压缩器是一个开源Python库，可帮助压缩和优化计算机视觉、自然语言处理、推荐系统和各种其他用例等任务的深度学习模型。人工智能模型压缩技术是在各种硬件设备上部署人工智能应用程序。英特尔建议用户将Intel Neural Compressor升级到2.5.0或更高版本。（信息来源：DarkReading网）

      （十九）微软、谷歌云、AWS等科技巨头使用的流行日志记录实用程序Fluent Bit存在严重漏洞

      5月21日消息，微软、谷歌云、AWS等科技巨头使用的流行日志记录实用程序Fluent Bit存在严重漏洞CVE-2024-4323（CVSS评分9.8），该漏洞可导致拒绝服务攻击、信息泄露，甚至可能导致远程代码执行。有权访问Fluent Bit监控API（旨在查询和监控内部服务信息）的用户或服务可以发起DoS攻击或获取潜在的敏感信息。Fluent Bit 是一个开源数据收集器和处理器，能够处理来自各种来源的大量日志数据。该工具的下载量已达数十亿次，目前每日部署量超过1000万次。Fluent Bit 的用户可采取限制对该工具API的访问以及禁用受影响的端点等措施来降低攻击风险。（信息来源：HackerNews网）

     （二十）WiFi标准中存在漏洞可致SSID混淆攻击

      5月17日消息，研究人员在IEEE 802.11 WiFi标准中发现一个安全漏洞CVE-2023-52424，允许攻击者诱导用户连接至不安全的网络，进而对用户进行流量拦截和操纵，影响所有操作系统和Wi-Fi客户端，包括基于WEP、WPA3、802.11X/EAP和AMPE协议的家庭网络和网状网络。该漏洞是由于IEEE 802.11标准在客户端连接到网络时并不总是要求对网络的服务集标识符（SSID）进行身份验证，可让攻击者有机会设置恶意接入点、欺骗可信网络的SSID，并将受害者降级到可信度更低的网络中。目前官方已发布WiFi标准更新以及个人和组织机构可用于缓解风险的方法。（信息来源：CyberSecurity网）

      （二十一）通用电气医疗超声设备存在多个安全漏洞

      5月17日消息，研究人员在通用电气医疗（GE HealthCare）的Vivid系列超声波机和两个相关软件中发现了11个安全漏洞，其中最严重的为CVE-2024-27107(CVSS评分9.6)。上述漏洞涉及缺少敏感数据加密、使用硬编码凭据等问题，攻击者可利用这些漏洞篡改患者数据，甚至在某些情况下安装勒索软件。GE表示，上述漏洞只能被具有直接物理访问权限的攻击者利用，目前已采取措施将漏洞带来的风险降到可接受水平。（信息来源：安全内参）

      （二十二）Google Chrome V8存在类型混淆漏洞

      5月16日，Google发布公告称Google Chrome V8类型混淆漏洞CVE-2024-4947（CVSS评分8.8）遭在野利用，是Chrome中最近一周内被利用的第3个0 day漏洞。远程攻击者可通过诱导用户打开恶意链接来利用该漏洞，从而获取敏感信息或代码执行。Google Chrome是Google公司开发的一款网页浏览器，V8是Google开源的一个高性能JavaScript引擎，被广泛应用于各种JavaScript执行环境。目前Google Chrome已发布安全更新，建议用户尽快做好自查及防护。（信息来源：启明星辰）

      （二十三）物联智慧ThroughTek的Kalay平台存在4个安全漏洞

      5月17日，研究人员在物联智慧ThroughTek的Kalay平台驱动设备中发现了4个安全漏洞（CVE-2023-6321—CVE-2023-6324）。该平台广泛用于物联网监控设备，全球超1亿台设备可能受影响。上述漏洞链接在一起，可允许攻击者在本地网络进行未经授权的root访问、远程执行代码、泄露AuthKey密钥、推断DTLS会话的预共享密钥等。目前，供应商已修复所有受影响的SDK版本，建议用户立即更新。（信息来源：HackRead网）

      （二十四）企业级开源监控解决方案Zabbix Server组件中存在SQL注入漏洞

      5月20日，Zabbix Server组件中存在SQL注入漏洞CVE-2024-22120（CVSS评分9.1），该漏洞的PoC已公开。该漏洞存在于audit.c的zbx_auditlog_global_script函数中，由于clientip字段未经清理，可导致SQL时间盲注攻击，经过身份验证的攻击者可利用该漏洞将权限提升为管理员从数据库中获取敏感信息，并可能导致远程代码执行。Zabbix是一个基于Web界面的提供分布式系统监视以及网络监视功能的企业级开源监控解决方案，可用来监控服务器、硬件、网络等。目前官方已修复漏洞，建议用户尽快更新。（信息来源：启明星辰）