网络空间安全动态(202416期)
编者按:网安动向热讯,本期有七点值得关注:一是中央网信办等三部门印发《信息化标准建设行动计划(2024—2027年)》;二是国家标准《网络安全技术 关键信息基础设施边界确定方法》征求意见稿发布;三是美ODNI发布《美情报界信息环境展望:信息技术路线图》;四是美国土安全部发布2024-2030财年《创新、研究与发展战略规划》;五是美CISA将制定《2025年国家基础设施风险管理计划》;六是欧盟委员会宣布成立人工智能办公室,对人工智能进行监管;七是英《数字市场、竞争和消费者法案》完成立法程序。
网安事件聚焦,本期有两点建议关注:一是网络攻击频发,对全球关键基础设施、企业和个人构成重大威胁。本期介绍:俄罗斯大型快递公司CDEK遭黑客攻击,业务全面停摆;塞尔维亚天然气储存服务提供商PSG BANATSKI DVOR D.O.O遭网络攻击,监控和数据采集系统瘫痪;美商业间谍软件pcTattletale遭黑客攻击,17TB敏感数据被窃取;美票务巨头Ticketmaster遭网络攻击,5.6亿用户信息待售;日本加密交易所DMM Bitcoin遭黑客入侵,价值超3亿美元比特币被盗;美保险公司QuoteWizard遭入侵,1.9亿用户信息被盗;二是随着网络攻击日益猖獗,大规模数据泄露的风险愈加突出,生物特征信息泄露事件为世界敲响了警钟。本期介绍:近千名欧洲政客敏感信息在暗网泄露;印度公民约500 GB生物特征识别数据遭泄露;计算机硬件制造商酷冷至尊50万名会员信息遭泄露。
网安风险警示,本期有五点建议关注:一是苹果Wi-Fi定位系统漏洞可监控全球数亿台设备;二是网络安全厂商Fortinet安全信息和事件管理解决方案FortiSIEM中存在严重RCE漏洞;三是TP-Link游戏路由器存在满分漏洞;四是网络安全厂商Palo Alto Networks防火墙软件PAN-OS存在命令注入漏洞;五是网络安全解决方案供应商Check Point安全网关文件读取漏洞遭在野利用。
一、网安动向热讯
(一)中央网信办等三部门印发《信息化标准建设行动计划(2024—2027年)》
5月29日消息,中央网信办、市场监管总局、工业和信息化部联合印发《信息化标准建设行动计划(2024—2027年)》,围绕4个方面部署了主要任务。一是创新信息化标准工作机制,包括完善国家信息化标准体系、优化信息化标准管理制度、强化信息化标准实施应用。二是推进重点领域标准研制,在关键信息技术、数字基础设施、数据资源、产业数字化、电子政务、信息惠民、数字文化、数字化绿色化协同发展等8个重点领域推进信息化标准研制工作。三是推进信息化标准国际化,包括深化国际标准化交流合作、积极参加国际标准组织工作、推动国际国内标准协同发展。四是提升信息化标准基础能力,包括优化标准供给结构、加强标准化人才培养、推动标准数字化发展。(信息来源:网信中国)
(二)国家标准《网络安全技术 关键信息基础设施边界确定方法》征求意见稿发布
5月30日,全国网安标委发布国家标准《网络安全技术 关键信息基础设施边界确定方法》征求意见稿。该标准给出了关键信息基础设施边界确定的方法,包括基本信息梳理、关键信息基础设施功能识别、关键业务链与关键业务信息识别、关键业务信息流识别和资产识别、关键信息基础设施要素识别和边界确定的流程、步骤等内容,适用于指导关键信息基础设施运营者确定关键信息基础设施边界,也可为关键信息基础设施安全保护的其他相关方使用。该文件主要起草单位包括国家信息技术安全研究中心、国家能源局信息中心、中国交通通信信息中心等。(信息来源:全国网安标委网站)
(三)美ODNI发布《美情报界信息环境展望:信息技术路线图》
5月30日,美国家情报总监办公室(ODNI)发布《美情报界信息环境展望:信息技术路线图》。该路线图汇集了美情报界百余名资深技术专家建议,针对2025至2030财年期间美情报界各成员机构如何开展IT能力建设,尤其是涉及云计算环境、网络安全、先进计算、数据分析及人工智能等方面提出了前瞻性的技术指导意见。路线图主要聚焦五个领域:一是以可靠而具有韧性的数字底座强化任务;二是以稳健的网络安全保障任务;三是以现代化的实践和合作关系赋能任务;四是以数据中心化增强任务;五是以先进技术和人员技能发展加速任务。(信息来源:美ODNI网站)
(四)美国土安全部发布2024-2030财年《创新、研究与发展战略规划》
5月29日消息,美国土安全部(DHS)发布2024-2030财年《创新、研究与发展战略规划》,阐明未来7个财政年度的主要投资目标,确定了八个关键战略优先研究领域,包括先进传感;人工智能和自主系统;生物技术;气候变化;通信和网络;网络安全;数据集成、分析、建模和模拟;数字身份和信任。DHS科学技术局将与相关利益方合作,为每个战略重点研究领域制定创新、研究和开发投资路线图以推进战略计划的实施,同时将为DHS 2027财年计划提供参考。(信息来源:美DHS网站)
(五)美CISA将制定《2025年国家基础设施风险管理计划》
5月31日消息,美网络安全与基础设施安全局(CISA)宣布,将制定美《2025年国家基础设施风险管理计划》。该计划在美白宫4月发布的《关键基础设施安全和韧性的国家安全备忘录》(NSM-22)基础上,阐明美政府如何与合作伙伴共同识别和管理国家风险,利用联邦资源减轻美国家层面风险,特别是针对关键基础设施部门的威胁。CISA将通过行业风险评估和跨部门风险评估确定并排序系统性风险,并与联邦、州、地方以及私人和国际合作伙伴联合实施降低风险的措施。该计划指出,政府无法使所有关键基础设施免受威胁影响,将根据行业风险评估和CISA的跨行业风险评估,使关键基础设施能够优先抵御高级别风险。(信息来源:美CISA网站)
(六)美NIST推出人工智能风险与影响评估计划
6月2日消息,美国家标准与技术研究院(NIST)正式启动人工智能风险与影响评估计划,致力于评估人工智能系统在社会环境中的实际风险和影响,特别是评估人工智能技术实际部署后的有效性、可靠性、安全性、隐私性和公平性。该计划将支持美人工智能安全研究所的工作,重点关注大型语言模型相关的风险和影响,采用模型测试、红队测试和现场测试三层评估方法。该计划扩展了NIST 2023年1月发布的人工智能风险管理框架,还将创建定性和定量指标,衡量模型在特定使用环境中的风险和影响。(信息来源:美NIST网站)
(七)美国防部宣布使用Open DAGIR,以实现数据平台、开发工具和服务的无缝集成
5月30日消息,美国防部首席数据和人工智能官办公室(CDAO)宣布使用一种扩展数据、分析和人工智能能力的多供应商生态系统Open DAGIR,代表政府拥有的开放数据和应用程序可互操作存储库,支持商业模式,使行业和政府能够以保护政府数据所有权和行业知识产权的方式,集成数据平台、开发工具、服务和应用程序。美国防部将首先利用该系统,支持联合全域指挥与控制的数据基础设施和应用程序。CDAO将在7月通过全球信息优势实验来评估和选择Open DAGIR生态系统的新解决方案。(信息来源:美国防部网站)
(八)欧盟委员会宣布成立人工智能办公室,对人工智能进行监管
5月31日消息,欧盟委员会宣布成立人工智能办公室,对人工智能进行监管。该办公室由包括技术专家、律师和经济学家在内的140名成员组成,主要任务包括:保障《人工智能法案》实施,测试和评估通用人工智能模型;与欧洲人工智能委员会等组织开展密切合作,与科学界建立紧密联系;帮助欧盟建立值得信赖的人工智能创新生态系统;确保在国际层面采取战略性、连贯性和有效的欧洲人工智能方针。目前,该办公室正在制定关于人工智能系统定义和禁令的指南,并协调起草通用人工智能模型行为义务准则。(信息来源:欧盟委员会网站)
(九)英《数字市场、竞争和消费者法案》完成立法程序
5月29日消息,英《数字市场、竞争和消费者法案(DMCCA)》完成立法程序。该法案旨在建立一套数字市场监管新制度,授权英国竞争与市场管理局(CMA)规范数字市场的竞争,通过严格执行有关促进竞争的规则,遏制大型科技公司滥用其市场支配地位。此外,该法案还加强了CMA执行竞争法和解决消费者纠纷的能力,保障消费者免受不公平商业行为的影响,预计于今年下半年正式生效。(信息来源:英国议会网站)
(十)新加坡政府发布《生成式人工智能治理模型框架》
5月30日,新加坡政府发布《生成式人工智能治理模型框架》。该框架借鉴了主要司法管辖区、国际组织、研究界和领先的人工智能组织的见解和讨论,反映了生成式AI中新兴的原则、关注点和技术发展,建议从9个维度全面审视生成式AI的开发:问责制;数据;可信开发和部署;事件报告;测试和保证;安全;内容来源;安全与协调研发;人工智能造福公众。该框架同时强调了数据在生成式AI中的核心作用,并为实现有效的生成式AI中的数据治理提出了一系列具体措施。(信息来源:安全内参)
二、网安事件聚焦
(十一)俄罗斯大型快递公司CDEK遭黑客攻击,业务全面停摆
5月29日消息,俄罗斯大型快递公司CDEK遭网络攻击致服务中断,包裹递送延误,部分客户因此蒙受经济损失。黑客组织Head Mare声称通过勒索软件加密了该公司服务器,并销毁系统备份。CDEK将此次服务中断归因于“大规模技术故障”,暂停了包裹运输以避免手动处理出现错误。俄罗斯国家杜马信息政策委员会已证实CDEK的业务中断是由网络攻击造成的。CDEK成立于2000年,在31个国家拥有4300多个提货点,大部分位于俄罗斯。(信息来源:FreeBuf网)
(十二)塞尔维亚天然气储存服务提供商PSG BANATSKI DVOR D.O.O遭网络攻击,监控和数据采集系统瘫痪
5月30日消息,黑客组织RansomHub声称对塞尔维亚天然气存储服务提供商PSG BANATSKI DVOR D.O.O发起网络攻击,其目标是关键基础设施的安全性和敏感数据的完整性。黑客组织窃取该公司80 GB数据,包括IT、会计、客户数据库、物流和供应链管理、生产数据、人力资源、法律数据等关键文件,并禁用了该公司的监控和数据采集系统。黑客组织将被盗数据的潜在泄露期限定为5天,要求该公司与其合作,否则将公开被盗数据。PSG BANATSKI DVOR D.O.O尚未回应该事件,其网站目前无法正常运行。(信息来源:TheCyberExpress网)
(十三)美商业间谍软件pcTattletale遭黑客攻击,17TB敏感数据被窃取
5月29日消息,美商业间谍软件pcTattletale遭黑客攻击,攻击者利用pcTattletale API中存在的一个严重低级漏洞从其亚马逊S3存储桶中窃取高达17TB敏感数据。泄露数据包含数据库转储、stalkerware服务的完整webroot文件以及其他内容,涉及大量用户敏感信息。pcTattletale是一款公开销售的商业间谍软件,可安装在Windows和Android操作系统设备上,用于远程截屏信息取证,被酒店、律所、学校、科技公司等用于监控员工、客户或开展个性化营销。安全研究人员指出,鉴于该事件受害者范围广泛,pcTattletale可能面临被停业的严重后果。(信息来源:TheCyberExpress网)
(十四)美票务巨头Ticketmaster遭网络攻击,5.6亿用户信息待售
5月30日消息,黑客组织ShinyHunters声称入侵美票务巨头Ticketmaster数据库,窃取了5.6亿用户信用卡详细信息共1.3TB,并以50万美元价格出售。黑客组织提供了数据样本,其中一数据集包含大量个人信息(姓名、地址、电子邮件和电话号码等),另一数据集包含客户销售信息(事件ID和付款方式等关键细节)。Ticketmaster是全球最大的票务平台之一,为各种演出、体育赛事、文化活动提供票务销售服务。目前,Ticketmaster母公司Live Nation官方确认了此次数据泄露,但未透露更多细节。(信息来源:安全客)
(十五)日本加密交易所DMM Bitcoin遭黑客入侵,价值超3亿美元比特币被盗
5月31日,据Beosin Alert安全风险监控、预警与阻断平台监测显示,日本证券公司DMM.com旗下子公司DMM Bitcoin交易所发生未经授权的巨额比特币流出,外流金额约3亿美元。DMM Bitcoin随后发布公告表示损失详情和原因仍在调查中,目前交易所已限制新用户开户、加密资产提现、停止现货交易买单、暂停杠杆交易新持仓订单等服务。加密货币安全公司Elliptic称,黑客已将被盗的比特币分成多个新钱包。DMM Bitcoin向其客户保证其比特币存款将得到充分保障,但尚未提供具体细节。(信息来源:E安全)
(十六)美保险公司QuoteWizard遭入侵,1.9亿用户信息被盗
6月4日消息,黑客组织Sp1d3r称,已从美国保险公司QuoteWizard系统中窃取了2 TB的压缩数据,包含超1.9亿用户的个人敏感数据(姓名、信用卡号、驾驶记录和其他背景信息等),还包括超30亿个跟踪像素数据条目(用户年龄、地址、移动信息和事故责任详情等)。黑客组织在暗网公开了数据库样本条目,并以200万美元价格出售。目前QuoteWizard尚未就此次数据泄露的真实性发表评论。(信息来源:TheCyberExpress网)
(十七)近千名欧洲政客敏感信息在暗网泄露
6月3日消息,研究人员发现918名英国议员、欧洲议会议员、法国议员和参议员的出生日期、电子邮件地址、社交媒体账户以及其他敏感信息出现在暗网市场。泄露数据的电子邮件地址大部分属于英国议员,其次是欧洲议会议员。数据遭泄露的议员大多数担任高级职务,包括委员会负责人、政府部长和高级反对派领导人,他们可接触高度敏感信息,其中个别议员目前或曾经是负责监督和执行国家和国际数字战略的成员。导致此次数据泄露的原因是议员们使用电子邮件地址在各类第三方服务网站上(如Adobe、LinkedIn、Dropbox等)建立账户,而上述服务网站曾被黑客攻击。(信息来源:SecurityWeek网)
(十八)印度公民约500 GB生物特征识别数据遭泄露
5月30日消息,网络安全研究人员发现一个配置错误且无密码保护的数据库,该数据库包含超160万份文档,其中166159份文件(约500 GB)已遭泄露,包括警察、军人、教师及铁路工人的面部扫描图像、指纹、签名等敏感生物特征识别信息,以及出生证明、照片、电子邮件地址、就业申请、毕业证书、资格证书等重要个人敏感信息也在泄露之列。此次遭泄露数据属于印度两家科技公司ThoughtGreen Technologies和Timing Technologies,上述公司均提供应用开发、射频识别和生物特征验证服务。目前尚不清楚该数据库的托管服务器归属。研究人员指出,被泄露数据可能已在Telegram上公开出售,可能给数百万人带来安全威胁。(信息来源:HackRead网)
(十九)计算机硬件制造商酷冷至尊50万名会员信息遭泄露
5月31日消息,黑客组织Ghostr声称入侵知名电脑硬件制造商酷冷至尊公司网站,下载了包含Fanzone信息在内的大量数据库,窃取了103GB数据。被盗数据不仅包括公司层面的主企业、供应商、销售、保修、库存和人力资源信息等,还涉及50万Fanzone会员的个人敏感信息,包括姓名、出生日期、电话、电子邮件地址以及未加密的信用卡信息。Fanzone网站是酷冷至尊用于会员注册产品保修、提交退货授权请求、联系支持人员和注册新闻更新的平台。该公司已发布声明证实其遭网络攻击,目前已通知用户尽快采取相应措施。(信息来源:IT之家)
三、网安风险警示
(二十)苹果Wi-Fi定位系统漏洞可监控全球数亿台设备
5月31日消息,安全研究人员披露苹果设备Wi-Fi定位系统(WPS)存在严重漏洞,可用于大规模监控全球用户(非苹果设备用户也会被监控)。研究人员通过对苹果WPS提供的数据进行了系统的实证评估,发现这些数据涵盖了数亿台设备,并且允许监控Wi-Fi接入点和其他设备的移动情况,甚至利用这一漏洞追踪了俄乌冲突区域的军事设备移动情况。研究人员指出,任何拥有技术能力的人都可通过类似方法,监控个人或群体的行动轨迹,目前已将事件报告给苹果公司。(信息来源:安全内参)
(二十一)网络安全厂商Fortinet安全信息和事件管理解决方案FortiSIEM中存在严重RCE漏洞
5月29日消息,网络安全厂商Fortinet安全信息和事件管理解决方案FortiSIEM中存在RCE漏洞CVE-2024-23108和CVE-2023-34992(CVSS评分均为10.0),其技术细节及PoC已在互联网公开,Fortinet FortiSIEM多个版本受影响。未经身份验证的攻击者可利用上述漏洞通过恶意设计的API请求在易受攻击的FortiSIEM设备上以root身份远程执行命令。FortiSIEM提供日志收集、关联、自动响应和补救功能。目前上述漏洞已修复,建议用户更新版本。(信息来源:启明星辰)
(二十二)TP-Link游戏路由器存在满分漏洞
5月29日消息,TP-Link Archer C5400X游戏路由器被曝存在高危漏洞CVE-2024-5035(CVSS评分10.0),未经身份认证的远程攻击者可通过发送特制请求,在受影响的设备上执行任意命令。该漏洞影响TP-Link Archer C5400X游戏路由器固件1_1.1.6及之前所有版本。目前,官方已修复漏洞,建议用户尽快升级版本。(信息来源:FreeBuf网)
(二十三)网络安全厂商Palo Alto Networks 防火墙软件PAN-OS存在命令注入漏洞
5月31日,绿盟科技CERT监测到Palo Alto Networks防火墙软件PAN-OS中存在的命令注入漏洞CVE-2024-3400(CVSS评分10.0),由于PAN-OS中配置的GlobalProtect网关或GlobalProtect门户对用户的输入过滤不严,未经身份验证的攻击者可构造特制数据包在防火墙上以root权限执行任意代码。目前该漏洞PoC已公开,且遭在野利用。PAN-OS是运行Palo Alto Networks下一代防火墙的软件,通过利用PAN-OS本机内置的关键技术(App-ID、Content-ID、设备ID和用户ID),可在任何时间、任何地点完全了解和控制所有用户和设备中正在使用的应用程序。(信息来源:绿盟科技CERT)
(二十四)网络安全解决方案供应商Check Point安全网关文件读取漏洞遭在野利用
5月30日消息,网络安全解决方案供应商Check Point安全网关文件读取漏洞CVE-2024-24919(CVSS评分7.5)遭在野利用。远程攻击者可通过构造恶意请求读取服务器上的任意文件,造成敏感信息泄露。Check Point表示,近期多家网络安全供应商的VPN解决方案遭入侵,其正密切监控未经授权访问Check Point客户VPN的尝试,并已识别出少量使用旧VPN本地账户的登录,而这些账户只使用密码身份验证方法。Check Point建议客户选择更安全的用户认证方法,或从安全管理服务器数据库中删除易受攻击的本地账户,并发布了漏洞的热修复程序。Check Point安全网关是Check Point Software提供的一系列网络安全解决方案,包括下一代防火墙、数据中心安全网关和AI驱动的量子网关,旨在为企业提供针对复杂网络威胁的先进防护。(信息来源:BleepingComputer网)
