网络空间安全动态（202418期）

      编者按：网安动向热讯，本期有七点值得关注：一是国家网信办等四部门公布《网络暴力信息治理规定》；国家网信办发布《第六批深度合成服务算法备案信息》；二是香港个人资料私隐专员公署发布《人工智能：个人资料保障模范框架》；三是美国防部设立网络学术参与办公室；四是美CISA举办首次人工智能网络安全桌面演习；五是美众议院提出《2024年国际人工智能研究伙伴关系法案》，推动国际城市间人工智能研究合作；六是美乌签署十年双边安全协议，支持乌网络安全和关键基础设施保护；七是日本通过《智能手机特定软件竞争促进法》，限制互联网巨头在手机软件市场中的垄断行为。

      网安事件聚焦，本期有两点建议关注：一是欧洲议会选举期间是网络攻击事件的高发期，DDoS攻击仍是主要网络攻击手段。本期介绍：美多个城市遭勒索软件攻击，市政府被迫关闭IT系统；欧洲议会选举之际，欧盟多个政党遭DDoS攻击；乌克兰IT军队攻击俄罗斯2024圣彼得堡国际经济论坛；越南国家邮政遭勒索软件攻击致服务瘫痪；去中心化借贷平台UwU Lend接连遭两次黑客攻击，损失约2000万美元；二是以窃取敏感数据为目标的勒索软件攻击对全球的政企机构、相关行业和个人构成重大威胁。本期介绍：美国多特大学遭勒索软件攻击，3TB数据缓存被盗；澳大利亚维多利亚赛马俱乐部遭勒索软件攻击，超100GB数据被发布至暗网；美中央证券公司遭勒索软件攻击，42.8GB敏感数据被窃取；包含北约49000名成员和合作伙伴信息的数据库被黑客出售；英国健身俱乐部Total Fitness数据遭泄露，大量私人照片曝光。

      网安风险警示，本期有五点建议关注：一是自动化发布解决方案Adobe FrameMaker Publishing Server存在多个漏洞；二是中国台湾华硕公司7款路由器存在认证绕过漏洞；三是中国混合生物识别访问系统供应商ZkTeco产品中存在24个漏洞；四是Windows操作系统Wi-Fi驱动程序存在高危漏洞，影响Windows所有版本；五是微软官方发布多个安全漏洞的公告。

      一、网安动向热讯

      （一）国家网信办等四部门公布《网络暴力信息治理规定》

      6月14日，国家互联网信息办公室联合公安部、文化和旅游部、国家广播电视总局公布《网络暴力信息治理规定》，自2024年8月1日起施行。该规定从明确网络信息内容管理主体责任、建立健全预防预警机制、规范网络暴力信息和账号处置、强化用户权益保护、加强监督管理、明确法律责任等方面，为加强网络暴力信息治理提供有力支撑。规定明确，网络暴力信息治理坚持源头防范、防控结合、标本兼治、协同共治的原则，建立网络暴力信息监督管理机制，鼓励网络相关行业组织加强行业自律。（信息来源：网信中国）

      （二）国家网信办发布《第六批深度合成服务算法备案信息》

      6月13日消息，国家互联网信息办公室发布《第六批深度合成服务算法备案信息》。本次共有492个算法通过备案，包括北京快手、支付宝、阿里云、喜马拉雅、腾讯等应用产品，涵盖多个领域，从视频合成到智能助理，再到电商图像合成，展示了深度合成技术的广泛应用。《互联网信息服务深度合成管理规定》第十九条明确规定，具有舆论属性或者社会动员能力的深度合成服务提供者，应当按照《互联网信息服务算法推荐管理规定》履行备案和变更、注销备案手续。深度合成服务技术支持者应当参照履行备案和变更、注销备案手续。（信息来源：网信中国）

      （三）香港个人资料私隐专员公署发布《人工智能：个人资料保障模范框架》

      6月13日消息，香港个人资料私隐专员公署发布《人工智能（AI）：个人资料保障模范框架》（以下简称《模范框架》），提供国际认可及切实可行AI管治建议和最佳行事常规，以协助机构在采购、实施及使用AI（包括生成式AI）系统时遵从香港《个人资料（私隐）条例》的相关规定，保障个人资料隐私安全。《模范框架》涵盖四大范畴建议措施，包括制定AI策略及管治架构；进行风险评估及人为监督；实行AI模型的定制与AI系统的实施及管理；促进与参与者的沟通及交流。《模范框架》强调应根据AI系统使用的风险，决定人为监督的程度。（信息来源：安全内参）

      （四）美国防部设立网络学术参与办公室

      6月14日消息，根据美《国防授权法案》第1531条规定，美国防部首席信息官办公室成立网络学术参与办公室（CAEO），作为美国防部与学术界开展网络相关活动的统一协调中心。由现任美国防部资源与分析部首席总监Mark Gorak兼任CAEO总监一职，其职责包括协调和资助部门学术参与计划；对网络教育工作的绩效进行持续分析；制定要求、政策和程序以收集数据，并评估学术参与项目绩效。（信息来源：美国防部网站）

      （五）美CISA举办首次人工智能网络安全桌面演习

      6月13日，美网络安全与基础设施安全局（CISA）与私营部门进行了联邦政府首次桌面演习，重点关注AI安全事件，主要目标包括：探索涉及AI系统网络事件信息共享机会；检验行业参与者在处理多阶段AI事件时的响应程序和最佳实践；确定在重大AI事件期间和之后行业和政府AI事件响应计划、信息共享和整体组织韧性方面需要改进的领域；评估跨部门政府合作伙伴、行业和国际参与者之间在涉及AI系统的网络事件方面的运营协作信息共享能力、需求和优先事项。15家私营机构和多个国际网络防御机构的50名AI专家参与此次演习。CISA将把演习中吸取的经验写入AI安全事件协作手册，为政府、行业和国际合作伙伴提供指导。（信息来源：美CISA网站）

      （六）美众议院提出《2024年国际人工智能研究伙伴关系法案》，推动国际城市间人工智能研究合作

      6月13日消息，美众议院提出《2024年国际人工智能研究伙伴关系法案》，旨在推动美国与外国城市建立伙伴关系，促进人工智能能力的开发。城市伙伴关系将涵盖公私部门，包括非营利组织和学术机构，重点关注经济合作和劳动力发展。该法案还规定，合作必须遵守出口管制，仅限于非国家安全领域的人工智能应用。合作城市需符合美国外交和国家安全利益，排除“受关注的外国国家”或从事不利于美国国家安全行为的城市。（信息来源：美众议院网站）

      （七）美NCCoE发布《水和废水行业的网络安全：构建架构》草案

      6月12日，美国家网络安全卓越中心（NCCoE）发布《水和废水行业的网络安全：构建架构》草案，旨在改善远程访问水和废水系统的网络安全问题。该草案重点描述远程访问安全架构，介绍了传统的本地远程访问参考体系结构和两个示例解决方案：一个用于大中型水和废水系统（WWS），另一个用于非常小到小型的WWS。此外，该草案还介绍了基于云的远程访问参考体系结构和示例解决方案，目前正在征求公众意见，反馈期将持续到7月15日。（信息来源：美NIST网站）

     （八）美乌签署十年双边安全协议，支持乌网络安全和关键基础设施保护

      6月13日，美国总统拜登与乌克兰总统泽连斯基签署了为期十年的双边安全协议。美国承诺在未来十年持续支持乌克兰，包括提供军事援助、武器装备开发、情报共享等。在网络安全和关键基础设施保护方面，美国承诺支持乌克兰加强网络防御，抵御俄罗斯、其他敌对国家和非国家行为者的恶意网络活动；并将协助乌克兰提高其关键基础设施特别是能源设施的网络韧性以抵御空袭，同时支持快速恢复被毁坏的基础设施。（信息来源：美白宫网站）

      （九）日本通过《智能手机特定软件竞争促进法》，限制互联网巨头在手机软件市场中的垄断行为

      6月14日消息，日本参议院全体会议通过了《智能手机特定软件竞争促进法》，旨在限制互联网巨头在手机软件市场中的垄断行为。该法案要求苹果和谷歌等平台开放其应用商店和支付系统，允许第三方应用商店和支付系统进入市场。如果企业存在违反行为，将支付其在日本国内营业额的20%作为罚金。这项罚金标准是日本反垄断法中处罚不当排挤其他从业单位行为标准的三倍以上。若存在反复多次违反的情况，罚金标准将提升至30%。该法案将在未来18个月内获得日本内阁批准后正式实施。（信息来源：安全内参）

     二、网安事件聚焦

      （十）美多个城市遭勒索软件攻击，市政府被迫关闭IT系统

      6月18日消息，美密歇根州的特拉弗斯市和纽约州的纽堡市同时遭大规模勒索软件攻击，当地政府被迫关闭城市IT系统，并向市民通知暂时无法处理税款、水费和许可证等方面的工作。同一周，美中西部最大城市之一克利夫兰市也遭遇勒索软件攻击，被迫关闭市政厅IT系统数天。上述城市的911、警察和消防等紧急服务未受攻击影响。其市政府正与执法部门和关键合作伙伴调查事件的性质和影响范围。（信息来源：FreeBuf网）

      （十一）欧洲议会选举之际，欧盟多个政党遭DDoS攻击

      6月17日消息，欧洲议会选举已在荷兰正式启动，未来几天，欧盟其他26个国家也将开始选举。互联网公司Cloudflare报告指出，攻击者正针对欧洲各国政党发动大规模DDoS攻击，导致这些政党的网站陷入瘫痪，无法正常访问。目前网络安全人员已缓解至少三次针对荷兰选举网站及政党的DDoS攻击。黑客组织HackNeT声称对此次攻击负责，并表示还攻击了荷兰改革政治党和欧洲审计院。（信息来源：BleepingComputer网）

      （十二）乌克兰IT军队攻击俄罗斯2024圣彼得堡国际经济论坛

      6月14日消息，乌克兰IT军队声称对圣彼得堡国际经济论坛（SPIEF 2024）发动DDoS攻击，攻击持续四天（6月5日— 8日），强度高达每秒20万次恶意请求。乌克兰IT军队表示尽管攻击未造成预期破坏，但已引起广泛关注。此次网络攻击不仅影响了论坛本身，还影响了负责论坛网络安全的企业Solar SC及其在加强论坛数字基础设施方面的关键作用，波及俄罗斯、欧洲和英国。目前，SPIEF论坛组织者尚未发布官方声明。（信息来源：TheCyberExpress网）

      （十三）越南国家邮政遭勒索软件攻击致服务瘫痪

      6月14日消息，越南国家邮政遭勒索软件攻击，邮政和快递服务均受影响。越南国家邮政在发现攻击后立即联系国家安全机构，断开其IT系统以隔离漏洞，并称其旗下邮政金融、公共物流和货物分发服务未受影响。目前，越南国家邮政内部服务于客户和运营管理活动的IT系统已恢复运行，但尚未透露攻击细节。（信息来源：TheRecord网）

      （十四）去中心化借贷平台UwU Lend接连遭两次黑客攻击，损失约2000万美元

      6月14日消息，去中心化借贷平台UwU Lend接连遭两次黑客攻击，损失约2000万美元。黑客利用价格预言机的操控漏洞，通过闪电贷操纵sUSDE代币价格，反复进行质押和清算，最终窃取了大量资金。UwU Lend是从以太坊借贷协议AAVE v2的开源代码中分叉出来的平台，提供包括借贷和质押在内的多种服务。目前UwU Lend的开发团队已确认此次攻击，正采取措施追回资金。（信息来源：Odaily网）

      （十五）美国多特大学遭勒索软件攻击，3TB数据缓存被盗

      6月14日消息，美国多特大学遭勒索软件组织BianLian攻击，约3TB数据缓存被盗，大量敏感信息被泄露至网上，包括财务记录、人事档案、重要数据库、内部和外部电子邮件通信、事件日志及本地和国际学生的资料等。BianLian疑似主要针对数据库基础设施，而不对大学网站进行正面攻击。目前多特大学尚未回应。（信息来源：TheCyberExpress网）

     （十六）澳大利亚维多利亚赛马俱乐部遭勒索软件攻击，超100GB数据被发布至暗网

      6月15日消息，澳大利亚维多利亚赛马俱乐部（VRC）遭美杜莎勒索软件组织网络攻击。该组织已将VRC超100GB数据发布至暗网，并要求支付70万美元赎金以删除数据。美杜莎分享的样本文件包含财务信息、会员数据、客户发票和个人信息在内的敏感数据。VRC首席执行官证实俱乐部遭网络攻击，但未透露具体细节，并已通知澳大利亚网络安全中心展开调查。（信息来源：CyberDaily网）

      （十七）美中央证券公司遭勒索软件攻击，42.8GB敏感数据被窃取

      6月13日消息，勒索软件组织Underground Team声称对美中央证券公司发起网络攻击，成功窃取42.8GB敏感数据，包括历史报告、个人信件、员工及其亲属护照等机密信息。该勒索软件组织要求美中央证券公司支付近300万美元的赎金。目前，该公司网站仍无法访问。（信息来源：IT之家）

     （十八）包含北约49000名成员和合作伙伴信息的数据库被黑客出售

      6月16日消息，包含北约49000名成员和合作伙伴信息的数据库被黑客出售，要价10000门罗币。该数据库中的信息包括荷兰、土耳其、英国、美国、西班牙、意大利、格鲁吉亚、波兰、拉脱维亚、新加坡、墨西哥等国防部或政府机构的机密文件和技术报告。黑客共享的数据库样本包含详细个人信息（姓名、性别、国籍、电话号码、电子邮件地址、雇主和职位等）。（信息来源：DailyDarkWeb网）

     （十九）英国健身俱乐部Total Fitness数据遭泄露，大量私人照片曝光

      6月18日消息，网络安全研究人员发现，英国健身俱乐部Total Fitness数据库泄露约47万张图片，大量图片包含会员及其未成年子女的个人资料照片，部分图片还包含个人身份信息、护照、信用卡和水电费账单等。研究人员指出，可使用开源反向图像搜索工具轻松识别会员身份信息，将泄露图像与会员姓名进行匹配，在某些情况下甚至能找到更多个人数据。Total Fitness已关闭数据库，尚不清楚该数据库在未受密码保护情况下开放的时间以及是否被黑客访问。（信息来源：CyberNews网）

     三、网安风险警示

      （二十）自动化发布解决方案Adobe FrameMaker Publishing Server存在多个漏洞

      6月17日，Adobe FrameMaker Publishing Server中存在身份验证不当漏洞CVE-2024-30299（CVSS评分10.0）和信息泄露漏洞CVE-2024-30300（CVSS评分9.8），攻击者可利用上述漏洞在应用程序内实现未授权访问或提升权限，以获取敏感信息。Windows平台上的Adobe FrameMaker Publishing Server 2022.2及之前版本、2020 Update 3及之前版本均受影响。Adobe FrameMaker Publishing Server是Adobe公司提供的一款自动化发布解决方案，支持多格式内容发布及与内容管理系统的集成等。目前上述漏洞已修复，建议用户尽快升级版本。（信息来源：启明星辰）

      （二十一）中国台湾华硕公司7款路由器存在认证绕过漏洞

      6月17日消息，安全研究人员披露华硕七款路由器存在认证绕过漏洞CVE-2024-3080（CVSS评分9.8），允许未经身份验证的远程攻击者控制设备。受影响的路由器型号包括ZenWiFi AX XT8、ZenWiFi AX XT8 V2、RT-AX88U、RT-AX58U、RT-AX57、RT-AC86U和RT-AC68U。华硕产品线覆盖笔记本电脑、主板、显卡等全线3C产品。华硕建议用户尽快将设备更新到最新固件版本并禁用对管理面板的互联网访问、WAN远程访问、端口转发、DDNS、VPN服务器、DMZ和端口触发器。（信息来源：IT之家）

      （二十二）中国混合生物识别访问系统供应商ZkTeco产品中存在24个漏洞

      6月14日消息，卡巴斯基安全研究人员披露中国混合生物识别访问系统供应商ZkTeco产品中存在24个漏洞，并根据所需补丁对漏洞进行分组，具体为：CVE-2023-3938、CVE-2023-3939、CVE-2023-3940、CVE-2023-3941、CVE-2023-3942和CVE-2023-3943。黑客可利用上述漏洞获得未经授权访问权限、操纵设备、部署恶意软件并窃取生物识别数据等。ZkTeco是中国混合生物识别科技企业，业务涵盖各种安防和时间管理产品及方案，包括考勤、门禁、停车场管理、电梯控、视窗监控及智能锁等，广泛应用在智慧金融、交通、安防等领域。卡巴斯基已将发现漏洞和安全问题通知ZkTeco。（信息来源：DarkReading网）

      （二十三）Windows操作系统Wi-Fi驱动程序存在高危漏洞，影响Windows所有版本

      6月16日消息，微软披露远程代码执行漏洞CVE-2024-30078（CVSS评分8.8），该漏洞存在于Windows操作系统的Wi-Fi驱动程序中，影响Windows所有版本，允许攻击者在无需用户身份验证的情况下，通过Wi-Fi远程接管受害者设备。如攻击者接入目标设备所处网络，可在无需用户进行任何交互的情况下完成攻击。微软已发布安全更新，建议用户尽快安装补丁。（信息来源：美国家漏洞数据库）

      （二十四）微软官方发布多个安全漏洞的公告

      6月13日消息，微软官方发布多个安全漏洞的公告，其中微软产品本身漏洞49个，影响到微软产品的其他厂商漏洞2个，包括Microsoft Message Queuing资源管理错误漏洞CVE-2024-30080、Microsoft Windows Server资源管理错误漏洞CVE-2024-30062等。成功利用上述漏洞的攻击者可在目标系统上执行任意代码、获取用户数据、提升权限等。目前，微软官方已发布补丁，建议用户尽快采取修补。（信息来源：国家漏洞库CNNVD）