网络空间安全动态(202417期)
编者按:网安动向热讯,本期有七点值得关注:一是全球数字经济大会数字安全高层论坛暨北京网络安全大会战略峰会在京召开;二是国家能源局印发《电力网络安全事件应急预案》,有效预防安全事件的危害和影响;三是《网络安全标准实践指南-敏感个人信息识别指南(征求意见稿)》公开征求意见;四是美国防部发布零信任覆盖政策指南;五是美网络司令部利用新权限加速实施联合网络作战架构;六是北约公布认知战2024年最新研究项目,涉及网络、太空、建模仿真、人工智能等领域;七是波兰政府将投资7.6亿美元用于网络防御。
网安事件聚焦,本期有两点建议关注:一是网络攻击事件频发,涉及政府机构、医疗、金融和媒体等多个领域。本期介绍:乌克兰对俄政府机构发起大规模DDoS攻击;黑客组织通过DM攻击多个品牌和名人的TikTok账户;英病理实验室供应商遭勒索软件攻击,伦敦多家医院被迫取消手术;国际奢侈品拍卖行佳士得遭网络攻击,影响8400名香港客户;新型V3B网络钓鱼工具包瞄准54家欧洲银行客户。二是恶意软件已成为网络安全一大祸患,攻击者利用其发动勒索攻击、盗窃数据等大规模攻击活动频发。本期介绍:云存储巨头Snowflake遭黑客攻击,导致165家知名企业发生大规模数据泄露,数以亿计个人受影响;Telegram上泄露的3.61亿个账户已被添加在HIBP中;安徽某单位信息中心一台服务器遭入侵,致3.54亿条个人信息被盗;中国跨境电商Pandabuy 1700万条用户数据遭泄露;《纽约时报》源代码和数据遭泄露。
安风险警示,本期有六点建议关注:一是工信部:关于防范CatDDoS黑客团伙网络攻击的风险提示;二是Apache OFBiz路径遍历漏洞安全风险通告;三是PHP CGI Windows平台存在远程代码执行漏洞;四是Progress Telerik Report Server存在身份验证绕过漏洞;五是企业级内容协作工具Atlassian Confluence存在高危漏洞可导致代码执行;六是Zyxel NAS设备存在远程代码执行漏洞。
一、网安动向热讯
(一)全球数字经济大会数字安全高层论坛暨北京网络安全大会战略峰会在京召开
6月5日消息,以“AI驱动安全”为主题的2024全球数字经济大会数字安全高层论坛暨北京网络安全大会战略峰会在北京国家会议中心开幕。本次大会历时两天,邀请了来自10多个国家和地区的上百位专家学者、10多个行业领域的200多家企业代表,分享人工智能发展的研究、实践或建议,并就AI驱动安全在数据、能源、金融、交通、制造等领域的情况展开广泛讨论,预计吸引6000余人参会。本次大会将举办两场峰会,20多场分论坛,包括网络安全人才发展与合作论坛、第五届金融业网络安全论坛、第六届智慧能源网络安全论坛等,围绕数据要素与新质生产力、人才培养、关基行业网络安全建设等议题进行深度研讨,同时在云原生、威胁情报、融合安全等领域发布新技术、新产品、新方案,开展网络安全发展成果共享。(信息来源:安全内参)
(二)国家能源局印发《电力网络安全事件应急预案》,有效预防安全事件的危害和影响
6月7日消息,国家能源局印发《电力网络安全事件应急预案》,旨在完善电力网络安全事件应对工作机制,有效预防、及时控制和最大限度消除电力网络安全事件带来的危害和影响,保障电力系统安全稳定运行和电力可靠供应。本预案所指电力网络安全事件是指由计算机病毒或网络攻击、网络侵入等危害网络安全行为导致的,对电力网络和信息系统造成危害,可能影响电力系统安全稳定运行或影响电力正常供应的事件。电力网络安全事件预警等级分为四级:由高到低依次用红色、橙色、黄色和蓝色表示,分别对应发生或可能发生特别重大、重大、较大和一般电力网络安全事件。本预案自印发之日起施行。(信息来源:国家能源局)
(三)《网络安全标准实践指南-敏感个人信息识别指南(征求意见稿)》公开征求意见
6月11日,全国网络安全标准化技术委员就《网络安全标准实践指南—敏感个人信息识别指南(征求意见稿)》公开征求意见。该指南提出了敏感个人信息识别方法,给出了常见敏感个人信息类别和示例,可用于各组织识别敏感个人信息范围,也可为敏感个人信息处理、出境和保护工作提供参考。常见敏感个人信息包括:生物识别信息;宗教信仰信息;特定身份信息;医疗健康信息;金融账户信息;行踪轨迹信息;不满十四周岁未成年人的个人信息以及其他敏感个人信息。(信息来源:全国网安标委会网站)
(四)美国防部发布零信任覆盖政策指南
6月4日消息,美国防部发布零信任覆盖文件,作为零信任战略的路线图和实施指南,帮助美国防部实现拜登签署的2021年行政命令中设定的目标。美国防部负责网络安全的副首席信息官兼首席信息安全官大卫·麦克欧恩称:“零信任覆盖是国防部工具箱中的另一个工具,通过提供明确指导,确定可促进特定的零信任活动和结果的具体控制措施,从而支持各部门执行。”零信任覆盖文件中包含的信息,将首次对美国防部在整个国防部门中实施零信任的方式进行标准化,规定实施零信任控制的分阶段方法,并为系统架构师和授权官员开发零信任差距分析。(信息来源:美国防部网站)
(五)美网络司令部利用新权限加速实施联合网络作战架构
6月7日消息,美网络司令部正在利用美国会和国防部授予的新权限,加速“联合网络作战架构”(JCWA)的实施以及JCWA各系统间集成和互操作。JCWA目前设有六个项目办公室,分别为美国陆军的“持续网络训练环境”项目办公室和“联合通用访问计划”项目办公室;美国空军的“统一平台”项目办公室和“联合网络指挥控制”项目办公室;美国网络司令部的“传感器”项目办公室;由美国陆军和网络司令部联合运营的“联合开发环境”项目办公室。美国会已授权网络司令部于2027年建立JCWA项目执行办公室,新的项目办公室将由所有六名项目管理官组成。美网络司令部计划将陆军和空军的部分软件工厂整合到JCWA中,并通过新的项目执行办公室实施监督。(信息来源:安全内参)
(六)美参议员提出一项立法,拟在白宫成立网络安全监管协调委员会
6月5日消息,美参议院国土安全和政府事务委员会主席加里·彼得斯计划提出一项立法,拟在白宫成立网络安全监管协调委员会。美国家网络总监办公室将领导该委员会,负责协调联邦网络安全法规。白宫正在建立试点互惠框架,协调关键基础设施行业的网络安全监管。美政府希望建立一种全面的监管协调政策框架,以避免重复或矛盾的网络安全法规,减少成本并提高网络安全水平。拟成立的网络安全监管协调委员会将负责相关事项,促进跨部门框架的协调和互惠。(信息来源:MeriTalk网)
(七)北约公布认知战2024年最新研究项目,涉及网络、太空、建模仿真、人工智能等领域
6月4日消息,北约科技组织(NATO STO)发布《2024年协作研究计划》报告,该组织核心产品包括近350项研究活动,涉及网络、太空、建模仿真、人工智能等领域。该组织今年的研究活动将在7个科技委员会组织下开展:一是应用车辆技术小组:自主军事地面系统机动性评估方法和工具等。二是人类要素与医学小组:信息环境中作战安全性和敏感性影响、未来安全环境中的道德挑战—领导者指南、认知战的缓解和应对等。三是信息与系统技术小组:信息战行动中的数据隐藏、针对国家人口错误信息的对策探索等。四是建模与仿真小组:数字孪生联合互操作性和标准化倡议、建模仿真中人的行为与决策表现等。五是系统分析与研究小组:新兴技术对北约作战优势的伦理法律和道德影响—“ELM树”、多域作战兵器推演、在信息环境中捍卫民主等。六是系统概念与集成小组:实现多域作战的系统和概念挑战、复杂自主系统信任障碍、挑战和量化以及可能的人工智能加速等。七是传感器与电子技术小组:认知雷达、人工智能/机器学习和认知雷达等。(信息来源:安全内参)
(八)波兰政府将投资7.6亿美元用于网络防御
6月7日消息,波兰数字部长克日什托夫·加夫科夫斯基称,波兰将投入7.6亿美元加强对俄罗斯持续网络攻击的防御。新的网络防御计划旨在提高该国关键基础设施和政府服务的弹性。此前,黑客组织在波兰国家通讯社PAP的新闻推送中发布了一篇关于军事动员的虚假文章,加夫科夫斯基表示,有迹象表明俄罗斯支持的黑客对此次攻击负责。俄罗斯驻华沙大使馆表示,对针对人民行动党的袭击毫不知情,并驳斥了有关莫斯科试图破坏波兰(北约成员国和前苏联集团国家)稳定的指控。(信息来源:E安全)
(九)Meta公司因使用个人数据训练AI模型收到欧盟11起投诉
6月6日,Meta Platforms收到11起投诉,原因是该公司拟议的更改将使其在未经同意的情况下使用个人数据来训练其人工智能模型,可能违反了欧盟的隐私规则。隐私权倡导组织NOYB已就涉嫌违反欧盟《通用数据保护条例》对Meta和其他大型科技公司提出投诉,该条例可能会对违规行为处以高达公司全球总营业额4%的罚款。NOYB称Meta隐私政策最近的修改将于6月26日生效,可能允许其将更多的个人帖子、私人图片或在线数据用于训练其AI技术,敦促奥地利、比利时、法国、德国等国家隐私监管机构立即采取行动。(信息来源:C114通信网)
二、网安事件聚集
(十)乌克兰对俄政府机构发起大规模DDoS攻击
6月5日,乌克兰国防部情报总局的网络专家对俄政府机构和大公司进行大规模分布式拒绝服务(DDoS)攻击,致俄国防部、财政部、内政部、司法部、工业和能源部、信息技术部等多个政府机构以及部分私营部门工作瘫痪。截至6月5日11时,俄联邦税务局网站和服务出现故障,储蓄银行和阿尔法银行的服务也无法使用。俄罗斯尚未就此事进行回应。(信息来源:央视新闻客户端)
(十一)黑客组织通过DM攻击多个品牌和名人的TikTok账户
6月5日消息,短视频应用TikTok表示,该公司已采取措施阻止针对多个品牌和名人账户的网络攻击,目前正与受影响账户的所有者合作,以在必要时恢复访问权限并保护其账户。导致此次攻击的原因是TikTok平台存在一个新零日漏洞,攻击者可利用该漏洞一键劫持高级账户,除打开聊天之外,无需下载、点击或任何形式的回复。成功利用该漏洞的攻击者可访问和修改用户的TikTok个人资料和敏感信息,导致未经授权的私人视频曝光,还可能滥用该漏洞代表用户发送消息和上传视频。TikTok仍在调查,目前无法就其规模或复杂程度发表评论。(信息来源:路通社)
(十二)英病理实验室供应商遭勒索软件攻击,伦敦多家医院被迫取消手术
6月5日,英病理实验室Synnovis的供应商辛诺维斯公司遭勒索软件攻击,导致公共医疗服务系统下的国王学院医院、盖氏与圣托马斯医院以及伦敦东南部多家初级医疗机构服务中断,伦敦多家医院被迫推迟或取消手术,只关注紧急病例。目前受影响医院无法访问Synnovis的服务器,导致输血和相关医院的管理非常困难或根本无法运行。Synnovis负责人表示,目前网络安全专家正在评估该攻击事件及其对伦敦医疗服务的影响,但未提供更多细节。(信息来源:SecurityAffairs网)
(十三)国际奢侈品拍卖行佳士得遭网络攻击,影响8400名香港客户
6月5日,国际奢侈品拍卖行佳士得5月初疑遭网络攻击,约8400名香港客户受影响。勒索软件组织RansomHub在暗网发帖称,曾入侵佳士得拍卖行官方网站,并从中窃取至少50万名佳士得重要客户敏感信息,包括姓名、电话、护照号码和电邮地址等。由于佳士得未能在要求日期前支付赎金,RansomHub已将部分用户数据样本公开至暗网。佳士得发现有第三方未经授权访问其部分网络,并下载部分客户个人数据,但无证据显示任何财务或交易纪录外泄。香港个人资料私隐专员公署建议佳士得尽快通知受影响客户,并就此事展开审查。(信息来源:CN-SEC中文网)
(十四)新型V3B网络钓鱼工具包瞄准54家欧洲银行客户
6月4日,研究人员发现攻击者在Telegram上推广一种名为V3B的新型网络钓鱼工具包,目前该工具包的目标是爱尔兰、荷兰、芬兰和意大利等国的54家主要金融机构的客户。V3B在自定义CMS上使用高度混淆的JavaScript代码来逃避反网络钓鱼和搜索引擎机器人的检测并防止研究人员的攻击,同时包含芬兰语、法语、意大利语、波兰语和德语等多种语言的专业翻译页面,以增强网络钓鱼攻击的有效性,使攻击者能够在多国开展活动。研究人员称,Telegram频道已拥有超1250名成员,表明新网络钓鱼即服务平台在网络犯罪领域迅速获得关注。(信息来源:BleepingComputer网)
(十五)云存储巨头Snowflake遭黑客攻击,导致165家知名企业发生大规模数据泄露,数以亿计个人受影响
6月11日消息,谷歌旗下威胁情报公司Mandiant云存储巨头Snowflake遭黑客攻击,导致包括网络安全巨头Cylance、票务巨头Ticketmaster、桑坦德集团、汽车零配件巨头Advance Auto Parts等在内的全球超165家知名企业发生大规模数据泄露,且数量还在不断增长,数以亿计个人受影响。Mandiant表示,黑客组织利用信息窃取恶意软件获取的凭据,对未启用多因素认证的Snowflake账户和未对不受信任位置访问设置限制的Snowflake客户实施大规模攻击。Mandiant称,攻击者是其长期跟踪的专注于敲诈勒索的黑客组织UNC5537,成员主要来自北美,但包括至少一名土耳其黑客。Snowflake表示,正与Mandiant合作调查该事件,并要求客户实施多因素认证。(信息来源:安全内参)
(十六)Telegram上泄露的3.61亿个账户已被添加在HIBP中
6月4日消息,Telegram上泄露的3.61亿个账户已被添加在HIBP中,允许任何人核查自身账户是否被盗。新增的3.61亿个电子邮件地址来自密码窃取恶意软件、凭证填充攻击和数据泄露所窃取的凭证。研究人员发现被盗数据以两种形式泄露:即用户名和密码组合(通过凭证填充攻击或数据泄露窃取)的泄露;用户名和密码以及与之相关的URL(通过密码窃取恶意软件窃取)和原始cookies(通过密码窃取恶意软件窃取)形式的泄露。除电子邮件地址外,泄露数据还包括密码和数据相关的网站信息。安全研究人员建议感染了信息窃取恶意软件的用户立刻重置浏览器密码管理器中保存的每个账户的密码,以及使用相同凭证的任何其他网站的密码。(信息来源:安全威胁纵横)
(十七)安徽某单位信息中心一台服务器遭入侵,致3.54亿条个人信息被盗
6月4日消息,安徽省某单位信息中心在2023年6月29日向公安机关报案,称单位一台服务器遭攻击,近20台服务器“沦陷”,3.54亿条个人信息被盗。经多方侦查,成功将实施此次网络攻击的丘某抓获。丘某以自己的电脑为网络攻击发起点,利用黑客工具在互联网上全网扫描存在漏洞的服务器并实施攻击,非法窃取数据库内包括姓名、身份证号、联系电话、不动产信息等内容的公民个人信息3.54亿余条。丘某因侵犯公民个人信息罪被判处有期徒刑四年六个月,并处罚金2万元。(信息来源:检察日报)
(十八)中国跨境电商Pandabuy 1700万条用户数据遭泄露
6月7日消息,黑客组织在数据泄露论坛以4万美元的价格出售包含1700万条用户数据的中国跨境电商平台Pandabuy的完整数据库,这是该电商平台遭遇的第二次勒索。Pandabuy是一个帮助全球用户从中国主要电商平台(如天猫、淘宝、京东)购买商品并进行国际配送的一站式跨境电商服务平台。Pandabuy的首次数据泄露发生在3月31日,黑客组织Sanggiero声称利用Pandabuy API的多个漏洞窃取300万条数据,包括用户姓名、电话、邮箱、登录IP、住址及订单详情等,并将数据提交给了数据泄露通知服务Have I Been Pwned(HIBP)。根据公开信息显示,Pandabuy已承认向黑客支付(部分)赎金,并确认修复漏洞,但仍可能面临调查和严重处罚。(信息来源:BleepingComputer网)
(十九)《纽约时报》源代码和数据遭泄露
6月9日,《纽约时报》证实其内部源代码和数据于今年1月从该公司的GitHub存储库中被盗后在4chan留言板上泄露,被盗数据包含一个273GB压缩包的资源种子,总共360万个文件。攻击者使用暴露的GitHub令牌访问了该公司的存储库并窃取其中6223个文件夹的完整列表,文件夹名称显示被盗信息种类繁多,包括IT文档、基础架构工具和源代码等。《纽约时报》在声明中称,数据泄露的原因是一个基于云的第三方代码平台的凭证被曝光,目前已采取应对措施,其内部企业系统和运营未受影响。(信息来源:BleepingComputer网)
三、网安风险警示
(二十)工信部:关于防范CatDDoS黑客团伙网络攻击的风险提示
6月11日消息,工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)监测发现,CatDDoS黑客团伙利用知名厂商网络产品安全漏洞传播恶意样本,在全球范围内实施DDoS攻击。CatDDoS是僵尸网络Mirai的新变种,最早出现在2023年8月,其利用阿帕奇、思科、普联等知名厂商网络产品安全漏洞实施攻击,并不断扩大DDoS攻击范围,攻击对象涉及云服务提供商、科研教育机构和公共管理部门等多个行业。建议相关单位和用户立即组织排查,升级系统和软件,同时加强网络流量监测、实施重要数据备份、完善应急响应机制等措施防范网络攻击风险。(信息来源:网络安全威胁和漏洞信息共享平台)
(二十一)Apache OFBiz路径遍历漏洞安全风险通告
6月8日消息,奇安信CERT监测到Apache OFBiz路径遍历漏洞CVE-2024-36104(CVSS评分9.8)在互联网上公开,未经授权的攻击者可通过构造恶意请求绕过认证,进而访问系统中的敏感接口,造成任意代码执行。Apache OFBiz是著名电子商务平台,提供创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。鉴于该漏洞影响范围较大,建议用户及时做好自查及防护。(信息来源:奇安信CERT)
(二十二)PHP CGI Windows存在远程代码执行漏洞
6月7日,启明星辰VSRC监测到PHP发布安全更新,修复了PHP CGI Windows平台远程代码执行漏洞CVE-2024-4577(CVSS评分9.8)。由于PHP语言在设计时忽略了Windows系统内部对字符编码转换的Best-Fit特性,当PHP运行在Window平台且使用了如繁体中文(代码页950)、简体中文(代码页936)和日文(代码页932)等语系时,攻击者可构造恶意请求绕过保护,通过参数注入等攻击在目标PHP服务器上远程执行代码。该漏洞影响安装于Windows系统上的PHP版本。PHP是一门通用开源脚本语言,主要适用于Web开发领域。目前该漏洞已被修复,建议受影响用户尽快升级。(信息来源:启明星辰)
(二十三)Progress Telerik Report Server存在身份验证绕过漏洞
6月5日,启明星辰VSRC监测到Progress Telerik Report Server身份验证绕过漏洞CVE-2024-4358(CVSS评分9.8)的技术细节及PoC在网上公开,攻击者可组合利用CVE-2024-4358和反序列化漏洞CVE-2024-1800实现远程代码执行。由于缺少对当前安装步骤的验证,未经授权的远程攻击者可利用CVE-2024-4358绕过身份验证访问Telerik Report Server受限功能,并创建管理员账户。Progress Software的Telerik Report Server是一款功能强大的报表服务器解决方案,具备全面的报告管理功能,可帮助组织创建、部署、交付和管理报告。目前上述漏洞已修复,建议受影响用户升级版本。(信息来源:启明星辰)
(二十四)企业级内容协作工具Atlassian Confluence存在高危漏洞可导致代码执行
6月5日消息,绿盟科技CERT监测到Atlassian发布安全公告,修复了Confluence Data Center and Server中的远程代码执行漏洞CVE-2024-21683(CVSS评分8.3)。经过身份验证的攻击者可通过构造恶意请求实现远程代码执行,对目标系统机密性、完整性、可用性产生较大影响。Atlassian Confluence是由Atlassian开发的企业级的内容协作工具,为团队成员创建、分享和合作文档提供了一个中央枢纽,让团队可在一个共享工作区创建、分享和合作文档。该工具可以集成到Atlassian的其他产品中,包括Jira,Trello,Stride等。上述漏洞已被修复,建议用户及时更新。(信息来源:绿盟科技CERT)
(二十五)Zyxel NAS设备存在远程代码执行漏洞
6月6日消息,启明星辰VSRC监测到Zyxel修复了NAS设备中的多个漏洞,其中最严重的三个漏洞为CVE-2024-29972、CVE-2024-29973和CVE-2024-29974,未经身份验证的攻击者可利用上述漏洞,通过发送恶意设计的HTTP请求执行某些系统命令,或通过将恶意设计的配置文件上传到易受攻击的设备导致执行任意代码,还可能导致经过身份验证且具有管理员权限的本地攻击者以root用户身份在易受攻击的设备上执行某些系统命令,从而获得设备管理员访问权限。Zyxel已发布补丁,建议用户尽快升级。(信息来源:启明星辰)
