网络空间安全动态(202419期)
编者按:网安动向热讯,本期有七点值得关注:一是《网络安全技术 关键信息基础设施安全保护能力指标体系》等2项国家标准公开征求意见;《网络安全标准实践指南—一键停止收集车外数据指引(征求意见稿)》公开征求意见;二是美政府再次发布限制美国人对中国AI技术和产品投资的禁令;三是美宣布封禁俄罗斯杀毒软件公司卡巴斯基的产品在美国市场销售;四是美国会通过2024国防授权法案,帮助美政府加速使用近期的量子技术;五是美能源部发布供应链网络安全原则,确保能源设备和技术不受网络攻击;六是美国、新西兰和加拿大联合发布《现代网络访问安全方法》指南,增强企业网络安全能力;七是G7国家同意建立有关运营技术的集体网络安全框架,以应对针对全球能源系统的持续性网络攻击。
网安事件聚焦,本期有两点建议关注:一是大规模网络攻击持续,涉及美国、欧洲、印尼和中国等国家和地区的多个行业领域。本期介绍:美联储疑遭勒索软件攻击33TB敏感数据被窃取;印尼国家数据中心遭勒索攻击致边检等服务中断,超210个政府机构被波及;疑似Kimsuky以美军工企业招聘为饵攻击欧洲地区;黑客组织利用SquidLoader恶意软件攻击中国用户;CDK Global遭大规模网络攻击致系统中断,数千家美汽车经销商受影响。二是数据泄露事件层出不穷,IT、医疗、教育行业成数据泄露重灾区。本期介绍:苹果公司和大型计算机公司AMD疑遭网络攻击,产品源代码被泄露;黑客组织Qilin公布伦敦医院被盗血液化验数据和400G个人敏感信息;美第二大公立学校系统泄露数百万条学生数据;香港中文大学专业进修学院网上学习平台遭黑客入侵,致2万多名师生信息泄露;美铁路客运巨头Amtrak旅客数据遭泄露。
网安风险警示,本期有六点建议关注:一是工信部:关于防范利用PHP远程代码执行漏洞实施网络攻击的风险提示;二是数据中心管理软件VMware vCenter Server存在多个堆溢出漏洞;三是Phoenix UEFI严重漏洞可能影响数百种PC和服务器型号;四是美CISA提醒组织机构修复RAD SecFlow-2工业交换机中的路径遍历漏洞;五是Ollama AI基础设施平台存在严重RCE漏洞;六是研究人员发现Apache Kafka UI存在远程代码执行漏洞。
一、网安动向热讯
(一)《网络安全技术 关键信息基础设施安全保护能力指标体系》等2项国家标准公开征求意见
6月20日消息,全国网络安全标准化技术委员会归口的《网络安全技术 关键信息基础设施安全保护能力指标体系》和《数据安全技术 数据安全和个人信息保护社会责任指南》国家标准意见稿发布并公开征求意见。《网络安全技术 关键信息基础设施安全保护能力指标体系》第7章为数据安全防护,从数据分级分类、数据处理活动、数据责任、数据跨境等方面构建了安全框架。《数据安全技术 数据安全和个人信息保护社会责任指南》适用于处理数据的组织、评价数据处理组织履行数据安全和个人信息保护社会责任程度的第三方机构,旨在为组织理解数据安全和个人信息保护社会责任及实施相关活动提供指南。(信息来源:全国网安标委网站)
(二)《网络安全标准实践指南—一键停止收集车外数据指引(征求意见稿)》公开征求意见
6月21日,为促进车外数据安全的收集与使用,指导汽车数据安全相关单位探索便捷的停止收集车外数据方法,全国网络安全标准化技术委员会秘书处组织编制《网络安全标准实践指南—一键停止收集车外数据指引(征求意见稿)》,并公开征求意见。车外数据指通过车载摄像头、雷达等传感器从汽车外部环境中收集的包括道路、建筑、地形、交通参与者和机动车车牌等信息,以及这些数据经过处理后生成的信息。《指引》适用于汽车制造企业以及相关零部件或服务提供商设计、开发、制造具有车外数据收集功能的汽车,不适用于主驾无人的高级别自动驾驶汽车。《指引》明确提出停止收集车外数据流程,通过设定按键便捷地使车外数据收集装置处于关闭状态。(信息来源:全国网安标委网站)
(三)美政府再次发布限制美国人对中国AI技术和产品投资的禁令
6月21日,美财政部提出禁止美国人对中国芯片和AI等领域进行投资的新计划。计划规定,禁止美国人参与涉及某些对美国家安全构成特别严重威胁的技术和产品的交易;要求美国人向财政部通报涉及某些技术和产品的其他交易;禁止某些终端用途的AI交易等。美财政部表示,其提议的新规将限制对“下一代军事、情报、监视或网络能力”至关重要技术的境外投资。该计划的最终实施细则将于今年8月4日之后发布。(信息来源:安全内参)
(四)美宣布封禁俄罗斯杀毒软件公司卡巴斯基的产品在美国市场销售
6月20日,美商务部工业与安全局宣布一项政令,将禁止俄罗斯网络安全企业卡巴斯基的反病毒软件在美国市场销售。禁令划定范围不仅涉及卡巴斯基母公司,其它附属公司、子公司等都处于禁令范围内。禁售措施将于9月29日生效,生效后该公司的软件产品不但不可以在美国市场销售,包括在用软件的升级、转售以及产品授权也都会被禁止。零售商如违反相关规定将面临罚款。卡巴斯基否认与俄罗斯政府存在某种关系,表示未从事威胁美国国家安全的活动。(信息来源:路透社)
(五)美国会通过2024国防授权法案,帮助美政府加速使用近期的量子技术
6月24日消息,美国会通过2024国防授权法案(NDAA),其中包含多项推动五角大楼使用正在开发的、可能具有破坏性的量子计算能力来支持新兴的美国家安全任务的条款。主要包括以下几个方面:增加对分布式量子网络测试平台的资金支持,该平台将帮助验证量子网络的可行性;要求美空军研究实验室开发具有较高稳定性和可扩展性的下一代离子阱量子计算机;要求美国防部建立一个新的试点项目,专门针对有望在两年或更短时间内开发和部署的量子计算能力。NDAA将帮助美政府加速使用近期的量子技术。(信息来源:安全内参)
(六)美能源部发布供应链网络安全原则,确保能源设备和技术不受网络攻击
6月18日消息,美能源部发布供应链网络安全原则,确保能源设备和技术不受网络攻击。该原则由美能源部网络安全、能源安全和应急响应办公室(CESER)制定,整合了爱达荷国家实验室的研究结果,包括10项专门针对供应商的供应链网络安全原则,以及一套针对最终用户的10项原则。美能源部表示,GE Vernova、施耐德电气、日立能源、施魏策尔工程实验室、罗克韦尔自动化、西门子能源、霍尼韦尔等公司均已认可该原则,并将加强安全措施。(信息来源:美能源部网站)
(七)美国、新西兰和加拿大联合发布《现代网络访问安全方法》指南,增强企业网络安全能力
6月18日,美网络安全与基础设施安全局(CISA)、美联邦调查局、新西兰政府通信安全局、新西兰计算机应急响应小组以及加拿大网络安全中心共同发布名为《现代网络访问安全方法》指南,敦促各种规模的企业采用安全服务边缘和安全访问服务边缘等现代安全解决方案,提高网络活动可见性,进一步增强企业网络安全能力。该指南还计划帮助企业和组织更好地了解与传统远程访问和VPN相关的漏洞与威胁。(信息来源:全球技术地图)
(八)G7国家同意建立有关运营技术的集体网络安全框架,以应对针对全球能源系统的持续性网络攻击
6月18日消息,G7国家在意大利举行的七国集团峰会上宣布,同意围绕制造商和运营商的运营技术建立集体网络安全框架,以应对针对全球能源系统的持续性网络攻击。美国家安全顾问沙利文强调,随着数字清洁能源技术的整合,必须确保其网络安全以防止服务中断。G7领导人在声明中承诺提高能源行业的韧性和安全性,鼓励制造更安全的产品,探索建立网络安全产品互认计划。(信息来源:美白宫网站)
(九)美印举行第二次关键和新兴技术合作倡议会议,确定下一阶段合作愿景
6月19日消息,美印在新德里举行第二次关键和新兴技术合作倡议会议,确定下一阶段合作愿景。双方将围绕优先关键和新兴技术领域的突破性成就开展合作,重点关注联合生产、联合开发和研发机会,包括创新生态系统;民用和国防航天技术合作;深化国防创新与工业合作;5G、6G技术;生物技术与生物制造;半导体供应链;建立21世纪清洁能源和关键矿产伙伴关系;寻求量子、AI、高性能计算等。(信息来源:美白宫网站)
二、网安事件聚焦
(十)美联储疑遭勒索软件攻击,33TB敏感数据被窃取
6月25日消息,美联邦储备系统的名字出现在勒索软件组织LockBit3.0的数据泄露网站受害者清单中,LockBit组织声称于6月23日入侵美联储系统,窃取了33TB的金融信息,包含美金融业的秘密。LockBit给出的赎金支付截止日期为UTC时间6月25日晚8点半。LockBit3.0是近年来最危险和多产的勒索软件组织,曾攻击过中国工商银行和波音公司等大型组织。截至目前,美联储尚未公开确认此次入侵事件,也未提供有关响应工作的详细信息。鉴于该机构的重要性,预计包括美CISA和美联邦调查局(FBI)在内的美联邦机构将积极参与解决该问题。(信息来源:安全内参)
(十一)印尼国家数据中心遭勒索攻击致边检等服务中断,超210个政府机构被波及
6月25日消息,印度尼西亚国家数据中心遭Lockbit勒索软件变种攻击,超210家中央和地方政府机构被波及,其中移民边检服务受影响最严重,服务中断约3天。攻击者向印尼国家数据数据中心索要800万美元赎金。印尼通信部部长表示,目前正在恢复国家数据中心的服务,数字取证调查工作正在进行中,尚未找到更多细节,也未透露政府是否支付赎金。(信息来源:安全内参)
(十二)疑似Kimsuky以美军工企业招聘为饵攻击欧洲地区
6月20日消息,奇安信威胁情报中心发现一批以美军工企业招聘为诱饵的攻击样本。攻击者使用的诱饵内容包括:通用动力陆地系统招聘系统安全经理,工作地德国柏林;洛克希德马丁招聘服务工程师,工作地德国不来梅;洛克希德马丁招聘自动化工程师,工作地德国柏林。攻击者采用不同方式植入同一种木马,该木马与Kimsuky历史攻击样本具有高度相似的代码特征。研究人员称此次针对欧洲军工行业人员的攻击活动可能与Kimsuky组织有关,该组织于2013年被公开披露,通常使用社会工程学、鱼叉邮件、水坑攻击等手段投递恶意软件,拥有针对Windows和Android平台的攻击武器。该组织疑似具有东北亚国家背景,主要攻击目标为韩国,涉及国防、教育、能源、政府、医疗以及智囊团等,以窃取机密信息为主。(信息来源:奇安信威胁情报中心)
(十三)黑客组织利用SquidLoader恶意软件攻击中国用户
6月21日消息,美网络安全公司LevelBlue发布报告,称一款名为SquidLoader的新型高度规避检测的恶意软件攻击中国用户。黑客设置一系列名为“华为工业级路由器的产品介绍及客户成功案例”、“黄河水利职业技术学院简章”等钓鱼文档吸引不知情的受害者,一旦受害者打开文档,隐藏的可执行文件便会自动向黑客设置的远程服务器上的URL发出Get HTTPS请求,并自动部署SquidLoader恶意软件。SquidLoader于今年4月下旬首次被观察到。安全公司警告用户谨慎下载任何文档文件,以防止设备中关键内容外泄。(信息来源:IT之家)
(十四)CDK Global遭大规模网络攻击致系统中断,数千家美汽车经销商受影响
6月21日消息,美汽车经销商软件SaaS厂商CDK Global遭大规模网络攻击。为防止攻击蔓延,该公司被迫关闭IT系统、电话和应用程序,从而导致使用CDK平台跟踪和订购汽车零部件、销售新车、提供融资的汽车经销商服务中断。CDK Global是为汽车行业客户提供综合性SaaS平台,涵盖汽车经销店运营的各个方面,在北美有超过1.5万家汽车经销店,在美国各地拥有数千名员工。CDK发布声明称,目前已恢复CDK电话、DMS和Digital Retail,Unify和DMS登录均已可用,事件仍在调查中。(信息来源:安全内参)
(十五)苹果公司和大型计算机公司AMD疑遭网络攻击,产品源代码被泄露
6月20日消息,黑客组织IntelBroker在暗网发布三个苹果内网工具的源代码(AppleConnect-SSO、Apple-HWE-Confluence-Advanced、AppleMacroPlugin)和大型计算机公司AMD的员工信息、客户数据库、财务文件以及源代码等机密信息。黑客组织还分享了被盗AMD数据的凭证截图,但尚未透露数据的售价和获取方式。黑客组织IntelBroker除攻击500强知名企业外,还经常将政府和执法机构作为目标。AMD表示正在与执法部门合作调查该事件。(信息来源:BleepingComputer网)
(十六)黑客组织Qilin公布伦敦医院被盗血液化验数据和400G个人敏感信息
6月21日,黑客组织Qilin在其暗网共享了从英国国家医疗服务系统(NHS)血液检测公司Synnovis窃取的血液化验数据和400GB的个人敏感信息。该组织声称,如不支付赎金将公布被盗数据。公布的数据样本包括病人姓名、出生日期、NHS编号和血液测试描述,以及一些涉及医院、全科医生服务机构和Synnovis之间的财务账目电子表格,目前尚不清楚数据中是否包括化验结果。NHS表示,已获悉黑客组织发布数据,将继续与Synnovis、国家网络安全中心合作,尽快确定遭公布文件的内容。(信息来源:安全客)
(十七)美第二大公立学校系统泄露数百万条学生数据
6月24日消息,黑客组织“撒旦云”泄露了美第二大公立学校系统洛杉矶联合学区(LAUSD)数百万学生及教职工个人信息数据,涉及2416万条学生信息和5.5万条教职工信息,研究人员对数据去重分析后,提炼出195万条有效记录,包括学生姓名、出生日期、身份证号码、电话号码、电子邮件地址、家庭住址、学校名称、是否有移民身份等,教职工信息还涉及供职状况、就业经历、职位信息等。LAUSD承认发生数据泄露事件,原因是第三方供应商将被盗数据存储在Snowflake上,目前正在与美CISA、FBI及其供应商合作调查该事件。(信息来源:彭博社)
(十八)香港中文大学专业进修学院网上学习平台遭黑客入侵,致2万多名师生信息泄露
6月19日消息,香港中文大学(CUSCS)称其专业进修学院网上学习平台Moodle遭黑客入侵,20870名学生、教职员工和校友个人信息遭泄露,包括姓名、电子邮件地址和学号等。遭泄露数据疑似在暗网BreachForums被售卖。Moodle是一个开源课程管理系统,允许教育工作者为学校、学院和工作场所的在线项目创建个性化学习环境,可用于创建带有在线课程的自定义网站,并允许使用社区插件。CUSCS表示,事故发生后已停用相关账户并重置密码,学习平台已迁离相关服务器。(信息来源:安全内参)
(十九)美铁路客运巨头Amtrak旅客数据遭泄露
6月20日消息,美国家客运铁路公司(Amtrak)披露一起数据泄露事件,其用户账户信息遭第三方未经授权访问。Amtrak表示此次泄露信息含有大量个人数据,包括姓名、出生日期、联系方式、Amtrak Guest Rewards账户号码、支付详情(如部分信用卡号码和有效期)、礼品卡信息(如卡号和PIN码)以及用户的交易和旅行信息等。Amtrak及时采取防护措施,表示已将用户Amtrak Guest Rewards账户的电子邮件地址更改回用户档案中的电子邮件地址,但未详细说明受影响乘客人数。(信息来源:安全内参)
三、网安风险警示
(二十)工信部:关于防范利用PHP远程代码执行漏洞实施网络攻击的风险提示
6月19日消息,工业和信息化部网络安全威胁和漏洞信息共享平台监测发现,PHP在Windows操作系统上以CGI模式安装运行时存在远程代码执行漏洞,可被恶意利用实施网络攻击。PHP是一款开源的服务器端脚本语言,用于创建动态交互式网站。未经身份认证的攻击者可使用特定的字符序列绕过防护,通过参数注入的方式在目标服务器上远程执行代码,获取敏感信息或造成服务器崩溃。受影响版本包括:PHP 8.3至8.3.8之前版本、PHP 8.2至8.2.20之前版本、PHP 8.1至8.1.29之前版本。目前,PHP官方已发布安全更新,建议相关单位和用户立即升级至最新安全版本,或采取关闭PHP CGI功能,防范网络攻击风险。(信息来源:网络安全威胁和漏洞信息共享平台)
(二十一)数据中心管理软件VMware vCenter Server存在多个堆溢出漏洞
6月18日消息,奇安信CERT监测到VMware修复VMware vCenter Server堆溢出漏洞CVE-2024-37079和CVE-2024-37080,CVSS评分均为9.8。具有vCenter Server网络访问权限的远程攻击者可通过发送特制的网络数据包在DCERPC协议实施过程中触发上述漏洞,从而导致远程代码执行。VMware vCenter Server是VMware公司提供的一款关键的数据中心管理软件,提供了vSphere虚拟基础架构的集中式管理,被IT管理人员用于简化日常任务,并降低管理虚拟基础架构的复杂性。目前,官方已修复上述漏洞,建议用户及时更新。(信息来源:奇安信CERT)
(二十二)Phoenix UEFI严重漏洞可能影响数百种PC和服务器型号
6月21日消息,研究人员发现Phoenix科技的SecureCore UEFI固件解决方案中存在一个严重漏洞CVE-2024-0762,数百种使用英特尔处理器的PC和服务器型号可能受影响。本地攻击者可利用该漏洞来提升权限,并在UEFI固件中执行任意代码。该漏洞与可信平台模块配置中的不安全变量有关。存在漏洞的SecureCore UEFI固件运行在联想、宏基、戴尔和惠普等电脑制造商使用的多款英特尔移动、台式机和服务器处理器上。UEFI固件是现代设备上最有价值的代码之一,任何代码被攻破都可能让攻击者完全控制设备并驻留在设备上。Phoenix已修复该漏洞,设备制造商也开始将补丁部署到其产品中。(信息来源:HackerNews网)
(二十三)美CISA提醒组织机构修复RAD SecFlow-2工业交换机中的路径遍历漏洞
6月20日消息,美CISA发布工业控制系统(ICS)安全公告,称以色列网络设备制造商RAD Data Communications生产的老旧工业交换机中存在一个高危漏洞CVE-20199-6268。CISA称,未经身份认证的攻击者可利用该漏洞创建构造请求,从操作系统中获取任意文件,可对ICS和其它OT系统造成严重风险。CISA表示受影响产品用于全球通信行业。由于SecFlow-2产品已达生命周期,厂商建议用户将设备升级至更新版本。(信息来源:代码卫士)
(二十四)Ollama AI基础设施平台存在严重RCE漏洞
6月25日消息,研究人员发现开源AI基础设施平台Ollama中存在的一个远程代码执行漏洞CVE-2024-37032(CVSS评分9.1),由于Ollama缺乏相关认证,攻击者可利用公开可访问的服务器窃取或篡改AI模型并攻陷自我托管的AI引用服务器,最终导致远程代码执行,影响现代AI基础设施。Ollama是用于在Windows、Linux和macOS设备上进行本地封装、部署以及运行大语言模型的服务。Wiz公司表示已发现1000多个Ollama实例在没有任何防护的情况下托管大量AI模型。该漏洞已在版本0.1.34中修复,建议用户及时更新。(信息来源:代码卫士)
(二十五)研究人员发现Apache Kafka UI存在远程代码执行漏洞
6月24日消息,奇安信CERT监测到官方修复Apache Kafka UI远程代码执行漏洞CVE-2024-32030(CVSS评分8.1)。攻击者可以利用JMX的RMI协议进行反序列化攻击,导致Kafka UI执行远程代码。目前该漏洞技术细节与EXP已在互联网上公开。Kafka UI是用于Apache Kafka Management的开源Web UI,允许用户通过指定网络地址和端口连接到不同的Kafka代理,还提供通过连接到其JMX端口来监控Kafka代理性能的功能。鉴于该漏洞影响范围较大,建议用户尽快做好自查及防护。(信息来源:奇安信CERT)
