网络空间安全动态(202415期)
编者按:网安动向热讯,本期有七点值得关注:一是中国国家互联网信息办公室与印尼国家网络与密码局续签网络安全领域合作备忘录;二是中央网信办等四部门联合发布《互联网政务应用安全管理规定》;三是工信部印发《工业和信息化领域数据安全风险评估实施细则(试行)》;四是工信部印发《工业互联网专项工作组2024年工作计划》;五是国家数据局印发《数字中国建设2024年工作要点清单》;六是美网络司令部与DARPA签署推进“星座”计划新协议,加速先进网络战技术应用;七是欧洲理事会最终批准人工智能法案。
网安事件聚焦,本期有两点建议关注:一是地缘政治引发的网络攻击事件持续,攻击规模和范围进一步扩大。本期介绍:伊朗两个高级黑客组织对以色列发起猛烈攻击;全球首例光伏电场网络攻击事件曝光;黑客滥用微软“快速助手”针对用户展开社交工程攻击;黑客组织Sharp Dragon攻击非洲和加勒比地区。二是数据泄露是全球数据安全领域的核心问题,以窃取敏感数据为目标的勒索攻击成为主流新形态。本期介绍:中国韦尔半导体子公司OmniVision遭勒索软件攻击致大量内部信息泄露;勒索组织Blackbasta声称已入侵美最大燃料分销商Atlas,并窃取730GB数据;威尔士橄榄球联盟成员数据泄露影响约7万人;金融巨头因内部VPN遭漏洞攻击未向监管部门报告,被罚超1000万美元。
网安风险警示,本期有六点建议关注:一是罗克韦尔向全球客户发出紧急断网通知;二是软件项目托管平台GitHub Enterprise Server中存在身份认证绕过漏洞;三是数据备份和恢复解决方案提供商Veeam Backup Enterprise Manager中存在严重认证绕过漏洞;四是两款Atlassian产品存在安全漏洞,逾20万个Confluence数据中心实例面临暴露风险;五是用于人工智能系统的Python开发组件存在重大漏洞,可能导致系统数据泄露;六是日志和度量解决方案Fluent Bit存在严重漏洞,影响主流云提供商。
一、网安动向热讯
(一)中国国家互联网信息办公室与印尼国家网络与密码局续签网络安全领域合作备忘录
5月26日,中华人民共和国国家互联网信息办公室与印度尼西亚共和国国家网络与密码局在印尼登巴萨续签《关于发展网络安全能力建设和技术合作的谅解备忘录》,双方将进一步深化和拓展中印尼网络安全领域合作。(信息来源:中国网信网)
(二)中央网信办等四部门联合发布《互联网政务应用安全管理规定》
5月22日消息,中央网络安全和信息化委员会办公室、中央机构编制委员会办公室、工业和信息化部、公安部联合印发《互联网政务应用安全管理规定》。规定要求,建设运行互联网政务应用应当依照有关法律、行政法规的规定以及国家标准的强制性要求,采取技术措施和其他必要措施,防范内容篡改、攻击致瘫、数据窃取等风险,保障互联网政务应用安全稳定运行和数据安全。规定共8章,包括总则、开办和建设、信息安全、网络和数据安全、电子邮件安全、监测预警和应急处置、监督管理以及附则。规定要求,一个党政机关最多开设一个门户网站。互联网政务应用的名称优先使用实体机构名称、规范简称,使用其他名称的,原则上采取区域名加职责名的命名方式,并在显著位置标明实体机构名称。规定指出,机关事业单位应当采取安全保密防控措施,严禁发布国家秘密、工作秘密,防范互联网政务应用数据汇聚、关联引发的泄密风险。规定自2024年7月1日起施行。(信息来源:新华社)
(三)工信部印发《工业和信息化领域数据安全风险评估实施细则(试行)》
5月24日,工业和信息化部印发《工业和信息化领域数据安全风险评估实施细则(试行)》(下称《实施细则》)。《实施细则》提出,重要数据和核心数据处理者按照国家法律法规、行业监管部门有关规定以及评估标准,对数据处理活动的目的和方式、业务场景、安全保障措施、风险影响等要素,开展数据安全风险评估。重点评估八方面内容:一是数据处理目的、方式、范围是否合法、正当、必要;二是数据安全管理制度、流程策略的制定和落实情况;三是数据安全组织架构、岗位配备和职责履行情况;四是数据安全技术防护能力建设及应用情况;五是数据处理活动相关人员是否熟悉数据安全相关政策法规、是否具备数据安全知识技能、是否接受数据安全相关教育培训等情况;六是发生数据遭到篡改、破坏、泄露、丢失或者被非法获取、非法利用等安全事件,对国家安全、公共利益的影响范围、程度等风险;七是涉及数据提供、委托处理、转移的,数据获取方或受托方的安全保障能力、责任义务约束和履行情况;八是涉及国家法律法规中规定需要申报的数据出境安全评估情形,履行数据出境安全评估要求情况。《实施细则》自2024年6月1日起施行。(信息来源:工信部网站)
(四)工信部印发《工业互联网专项工作组2024年工作计划》
5月23日消息,工信部印发《工业互联网专项工作组2024年工作计划》,明确14类任务49项重点工作。在优化网络基础能力任务中,重点工作包括打造“5G+工业互联网”升级版、深化新型工业网络技术行业应用。在深化平台中枢功能任务中,重点工作包括提升平台技术供给质量,加快平台应用推广、持续推动工业互联网平台建设、促进工业互联网平台精准对接。在壮大新模式新业态任务中,重点工作包括探索工业互联网在重点领域的新发展模式、积极开展央企数字化转型、深化工业互联网开展工业经济运行监测、推动电商企业赋能产业数字化转型。在拓宽资金来源渠道任务中,重点工作包括优化工业互联网产业的金融服务、发挥财政积极作用,加大财政政策支持、加大对工业互联网领域相关企业投资融资力度。(信息来源:工信部网站)
(五)国家数据局印发《数字中国建设2024年工作要点清单》
5月24日消息,国家数据局印发《数字中国建设2024年工作要点清单》(以下简称《工作要点》),对2024年数字中国建设工作作出部署。《工作要点》围绕高质量构建数字化发展基础、数字赋能引领经济社会高质量发展、强化数字中国关键能力支撑作用、营造数字化发展良好氛围环境等四个方面部署重点任务。主要包括:加快推动数字基础设施建设扩容提速,着力打通数据资源大循环堵点,深入推进数字经济创新发展,健全完善数字政府服务体系,促进数字文化丰富多元发展,构建普惠便捷的数字社会,加快推进数字生态文明建设,加强数字技术协同创新运用,稳步增强数字安全保障能力,不断完善数字领域治理生态,持续拓展数字领域国际合作交流空间。(信息来源:国家数据局)
(六)国家标准《网络安全技术 生成式人工智能服务安全基本要求》公开征求意见
5月23日消息,全国网络安全标准化技术委员会归口的国家标准《网络安全技术 生成式人工智能服务安全基本要求》已形成标准征求意见稿,并面向社会公开征求意见。《要求》规定了生成式人工智能服务在安全方面的基本要求,包括训练数据安全、模型安全、安全措施等,并给出了安全评估参考要点。《要求》对语料来源安全、语料内容安全、语料标注安全、模型安全、安全措施在内的多个支撑生成式人工智能服务整体安全的重要环节,划分了安全责任边界,这些要求对服务提供者需要履行的责任和义务做出了明确的规范。(信息来源:全国网安标委网站)
(七)美网络司令部与DARPA签署推进“星座”计划新协议,加速先进网络战技术应用
5月22日消息,美网络司令部和国防高级研究计划局(DARPA)签署一份具有约束力的新协议,确定迅速将网络技术“从实验室转移到网络战场”所需的联合治理结构、角色、职责和预算目标。根据协议,研发项目将由DARPA选择,并由“猎户座联盟”(由DARPA执行人员和CYBERCOM开发人员组成的联合组织)执行。“星座”计划旨在加速新网络能力的采用,提高美网络司令部、国防部乃至整个国家的网络安全。“星座”计划将提供一个框架并创建机制,以提供虚拟和物理基础设施、人员和合同、关系维持以及有关不断演变的网络威胁和任务需求的反馈。除美网络司令部和DARPA外,该计划的参与者还包括美陆军网络司令部以及特邀的供应商。(信息来源:奇安网情局)
(八)美商务部发布人工智能安全战略愿景,公开人工智能安全机构全球合作计划
5月21日消息,美商务部发布人工智能安全研究所(AISI)战略愿景,重点关注三个目标:一是推进人工智能安全科学;二是阐释、展示和推广人工智能安全实践;三是支持、协调人工智能安全机构和社区。AISI计划主要采取以下措施实现:即测试先进模型和系统,评估潜在和新出现的风险;制定评估和风险缓解指南;开展和协调技术研究。此外,美商务部和AISI还将与其他人工智能安全机构开展国际合作,建立全球人工智能安全科学网络,扩大国际合作范围,深化合作力度,推动人工智能安全科学和治理的国际协调进入新阶段。(信息来源:美商务部网站)
(九)欧洲理事会最终批准人工智能法案
5月21日,欧洲理事会最终批准《人工智能法案》。作为全球首部全面的人工智能法规,该法案为人工智能治理设定了新标准,旨在促进欧盟单一市场内安全可信的人工智能系统的开发和采用,包括私营部门和公共部门的应用,保障欧盟公民的基本权利,同时鼓励全欧洲在人工智能领域的投资和创新。该法案仅适用于欧盟管辖范围内的领域,军事、国防和研究用途除外。违反该法案的行为将被处以罚款,罚款额度为违规公司上一财政年度全球年营业额的一定百分比或预先确定的金额,以较高者为准;中小型企业和初创企业将面临相应比例的行政罚款。(信息来源:安全内参)
(十)美德就量子信息科学技术合作发布联合声明
5月22日消息,美国与德国就量子信息科学技术(QIST)合作发表联合声明。指出双方将加强合作与相互尊重,推动QIST发展,包括但不限于量子计算、量子网络、量子传感等。具体行动涉及:创建科研社区;举办多层次学术会议;在自愿和共同商定的条件下共享研究方法、基础设施、数据;为QIST研发建立值得信赖的全球市场和供应链;扩大QIST领域人才交流与合作等。(信息来源:全球技术地图)
二、网安事件聚焦
(十一)伊朗两个高级黑客组织对以色列发起猛烈攻击
5月23日消息,网络安全解决方案提供商Check Point Research研究报告称,伊朗情报和安全部所属的两个高级黑客组织Scarred Manticore和Void Manticore对以色列发起猛烈攻击。这两个黑客组织之间的合作模式简单高效,ScarredManticore进行间谍活动,VoidManticore则利用获取权限发动破坏。截止目前,Void Manticore声称已成功攻击了超过40家以色列重要组织,并在阿尔巴尼亚发起多次高调的攻击活动,攻击重点从网络间谍活动转向舆论影响和设施破坏。(信息来源:安全内参)
(十二)全球首例光伏电场网络攻击事件曝光
5月24日消息,日本媒体称黑客劫持了一个大型光伏电网中的800台远程监控设备(由工控电子制造商Contec生产的SolarView Compact),用于银行账户盗窃,这可能是全球首例公开确认的针对光伏发电基础设施的网络攻击。攻击者利用了Palo Alto Networks在2023年6月发现的一个漏洞CVE-2022-29303传播Mirai僵尸网络。安全专家称,光伏分布式能源资源面临最严重的网络安全风险是逆变器,逆变器具有通信功能,可连接到电网或者云服务,从而增加了设备被攻击的风险。Contec确认其远程监控设备遭攻击,并提醒运营商尽快更新。(信息来源:日本产经新闻)
(十三)黑客滥用微软“快速助手”针对用户展开社交工程攻击
5月21日消息,微软威胁情报团队表示,名为Storm-1811的黑客正在滥用客户端管理工具“快速助手”(Quick Assist),针对用户展开社交工程攻击。Quick Assist是微软公司推出的一款合法应用程序,允许用户通过远程连接与他人共享Windows或macOS设备,默认安装在运行Windows 11的设备上,主要用于排除系统中的技术问题。黑客通常冒充安检人员,诱骗受害者安装远程监控和管理工具,获得对潜在攻击目标设备的初始访问权限,最终部署Black Basta勒索软件。“快速助手”滥用活动始于4月中旬,目标涉及制造、建筑、金融以及运输等多个行业领域。微软称正在软件中加入警告信息,以通知用户可能存在的技术支持诈骗。(信息来源:FreeBuf)
(十四)黑客组织Sharp Dragon攻击非洲和加勒比地区
5月24日消息,以色列网络安全公司称黑客组织Sharp Dragon正在开展网络间谍活动,其目标已扩大到非洲和加勒比地区。攻击活动于2021年6月首次被发现,主要针对东南亚备受瞩目的实体。Sharp Dragon在Windows系统上部署了一个名为VictoryDLL的后门,传播Soul模块化恶意软件框架,从被控的服务器上接收其他组件以收集信息。最新针对非洲和加勒比地区的攻击表明该黑客组织原有目标有所扩大,其攻击手法包括利用东南亚被入侵的知名电子邮件账户发送网络钓鱼电子邮件,从而感染这两个地区的新目标。(信息来源:HackerNews网)
(十五)中国韦尔半导体子公司OmniVision遭勒索软件攻击致大量内部信息泄露
5月21日消息,总部位于加利福尼亚的成像传感器制造商OmniVision发布警告称,因公司系统在2023年9月4日至9月30日期间遭勒索软件攻击,系统中大量个人数据被泄露。OmniVision是中国韦尔半导体的子公司,主要设计并开发智能手机、笔记本电脑、网络摄像头、汽车、医疗成像系统等设备的成像传感器。Cactus勒索软件组织承认对OmniVision发动攻击,并泄露了包括护照扫描件、保密协议、合同和机密文件等在内的数据样本。Cactus勒索软件组织的目的是利用VPN设备漏洞获取对企业网络的访问权限,同时采用特殊加密方式来规避检测。OmniVision建议受影响用户使用其提供的服务,并主动报告异常活动。(信息来源:BleepingComputer网)
(十六)勒索组织Blackbasta声称已入侵美最大燃料分销商Atlas,并窃取730GB数据
5月22日消息,研究人员发现勒索组织Blackbasta将美最大燃料分销公司Atlas添加到其Tor泄露网站的受害者名单中。该勒索组织声称从Atlas公司窃取730GB数据,包括人力资源、财务、行政等部门数据以及用户和员工个人数据等,并发布一系列文件作为攻击证据。Atlas是美国大陆49个州最大的燃料分销商之一,每年销售超过10亿加仑,该公司尚未就此事进行回应。(信息来源:HackerNews网)
(十七)威尔士橄榄球联盟成员数据泄露影响约7万人
5月23日消息,Cybernews研究团队发现威尔士橄榄球联盟(WRU)一个AWS S3存储桶被公开,该存储桶包含1419个文本文件,涉及69317名WRU成员的详细个人信息,包括姓名、出生日期、电话号码、家庭住址、电子邮件地址、会员付款方式及购买的会员类型等。黑客可利用泄露信息,伪造合法来源的欺诈通讯,包括电子邮件、短信或电话,还可进行社会工程攻击、鱼叉式网络钓鱼攻击或其他针对性社会工程攻击等。研究人员建议WRU用户对访问日志进行监控,并评估是否遭未经授权访问。(信息来源:HackerNews网)
(十八)金融巨头因内部VPN遭漏洞攻击未向监管部门报告,被罚超1000万美元
5月23日消息,金融巨头美洲际交易所(ICE)因子公司未及时报告VPN安全漏洞,遭美证券交易委员会(SEC)指控,需支付1000万美元罚款。美《监管系统合规性和完整性》法规要求,如公司发现入侵等安全事件,必须立即通知SEC,并在24小时内提供更新。SEC称,2021年4月15日第三方通知ICE可能发生了与其VPN设备中未知漏洞有关的系统入侵事件,疑为国家级黑客在被入侵的VPN设备上部署了恶意代码,企图远程访问ICE网络,以窃取其设备信息。ICE员工未在规定时间内上报攻击事件,违反了SCI法规。ICE及其子公司同意接受SEC的命令,并支付罚款。(信息来源:安全内参)
三、网安风险警示
(十九)罗克韦尔向全球客户发出紧急断网通知
5月22日消息,工业自动化巨头罗克韦尔产品接连曝出多个严重漏洞,包括CVE-2021-22681(CVSS评分10)、CVE-2023-3595(CVSS评分9.8)、CVE-2024-21915(CVSS评分9.0)和CVE-2024-21917(CVSS评分9.8)等。该公司向其全球客户发出紧急通知,要求立即采取行动切断所有工业控制系统(ICS)与互联网的连接,减少企业自身遭受攻击的风险面,确保黑客组织无法直接访问尚未修复安全漏洞的工控系统,阻止攻击者获取目标内部网络的访问权限。美CISA发布警报,重点强调罗克韦尔关于减少ICS设备遭受网络攻击的新指南,建议用户和管理员按照指南采取适当措施以减少攻击。(信息来源:HackerNews网)
(二十)软件项目托管平台GitHub Enterprise Server中存在身份认证绕过漏洞
5月22日消息,研究人员发现GitHub Enterprise Server中存在身份验证绕过漏洞CVE-2024-4985(CVSS评分10),细节已在互联网公开。该漏洞与SAML SSO身份验证机制有关,当利用具有可选加密断言功能的SAML SSO身份验证时,攻击者便可利用该漏洞伪造SAML响应,从而绕过身份验证机制,可能允许攻击者配置或获取具有站点管理员权限的用户访问权限。GitHub Enterprise Server是GitHub的一个付费版本,专为需要在私有服务器上托管代码的企业或组织设计,提供完整的GitHub体验,包括代码托管、协作、代码审查、项目管理和社区功能。鉴于该漏洞影响范围较大,建议用户尽快更新。(信息来源:奇安信CERT)
(二十一)数据备份和恢复解决方案提供商Veeam Backup Enterprise Manager中存在严重认证绕过漏洞
5月23日消息,数据备份和恢复解决方案提供商Veeam发布Veeam Backup & Replication备份软件12.1.2.172更新版本,修复Veeam Backup Enterprise Manager(VBEM)集中管理控制台的4个漏洞:重大安全漏洞CVE-2024-29849(CVSS评分9.8)、2个高风险漏洞CVE-2024-29850和CVE-2024-29851、以及1个低风险漏洞CVE-2024-29852。受影响产品包括Veeam Backup & Replication从5.0到12.1的所有版本,以及Veeam Agent for Windows的2.0到6.1版。上述漏洞允许未经身份验证的攻击者登录VBEM,任意执行管理功能导致数据外泄。VBEM是Veeam的集中管理控制台,是专门针对远程分支办公室与大规模部署环境的管理工具,有助于在组织机构的备份基础设施和大规模部署中控制备份任务并执行恢复操作。(信息来源:代码卫士)
(二十二)两款Atlassian产品存在安全漏洞,逾20万个Confluence数据中心实例面临暴露风险
5月23日消息,研究人员在两款Atlassian产品中发现一个安全漏洞CVE-2024-21683(CVSS评分8.3),攻击者可利用该漏洞对受影响系统实施远程代码执行攻击且不需要用户交互,进而盗取受害者大量数据信息。Atlassian是一家软件巨头,为开发人员和管理人员提供产品。Cyber news安全研究人员发现,Atlassian Confluence Data Center和Confluence Server两款产品曝出安全漏洞后,目前在五个国家/地区就发现了一半易受攻击的实例,其中,美国53195个,日本22007个,南非、法国和德国各超过11000个。(信息来源:FreeBuf网)
(二十三)用于人工智能系统的Python开发组件存在重大漏洞,可能导致系统数据泄露
5月23日消息,Checkmarx公司发现AI Python中存在安全漏洞CVE-2024-34359,是因对“llama_cpp_python”包中的Jinja2模板引擎滥用导致。该漏洞位于模板数据处理中,攻击者可利用该漏洞执行任意代码,使AI系统面临越权操作、数据盗取、系统攻陷和运营中断风险,影响可信平台如Hugging Face上的6000多个AI模型。Jinja2是用于模板渲染和HTML生成的一个Python库。鉴于AI系统通过系统集成攻击面得到扩展,因此,单个组件中的漏洞可能影响整个系统。目前,该漏洞已被修复,建议用户及时更新。(信息来源:代码卫士)
(二十四)日志和度量解决方案Fluent Bit存在严重漏洞,影响主流云提供商
5月21日消息,研究人员发现Fluent Bit中存在一个严重漏洞CVE-2024-4323,是由Fluent Bit的嵌入式HTTP服务器对追踪请求的解析中存在堆缓冲区溢出弱点引发,可被用于拒绝服务和远程代码执行攻击。Fluent Bit是一款极其热门的日志和度量解决方案,适用于主流Kubernetes发行版本内嵌的Windows、Linux和macOS系统,包括Amazon AWS、Google GCP和Microsoft Azure等。截止3月前,Fluent Bit的下载和部署次数超过130亿次。攻击者可轻松利用该漏洞触发拒绝服务或远程捕获敏感信息,但要在条件正确和时间足够的情况下才能利用该漏洞获得远程代码执行权限。研究人员建议用户通过禁用API端点拦截潜在攻击。(信息来源:代码卫士)
