网络空间安全动态(202421期)
编者按:网安动向热讯,本期有七点值得关注:一是2024京津冀信息通信领域网络安全实战攻防演练圆满举办;二是美发布《空军零信任战略》,旨在使空军和太空军可以使用零信任概念进行未来作战;三是英政府发布工控网络事件响应实践指南;四是欧盟和日本关于跨境数据流动的协议正式生效;五是日本防卫省发布《网络人才综合战略》,以培养网络领域人才;六是葡语国家数据保护网络启动,促进国际数据跨境传输;七是澳大利亚政府与亚马逊达成协议,将绝密数据转移云端。
网安事件聚焦,本期有三点建议关注:一是俄罗斯政府实施迄今最大规模的非法VPN清剿行动,苹果公司已从其俄罗斯区苹果应用商店下架多达25款VPN应用;二是美大型银行遭勒索攻击致系统关闭,客户无法访问账户或交易。三是数据泄露愈演愈烈。本期主要介绍:近100亿条密码汇编集合RockYou2024遭泄露,可能是迄今为止最大的密码汇编泄露事件;芝加哥罗伯特卢瑞儿童医院遭勒索软件攻击致600GB数据失窃;美国家安全局1.4GB机密数据遭泄露;哥伦比亚政府机构海量数据在暗网被出售;加拿大多伦多公车局遭攻击,2.5万名员工个人信息被泄露。
网安风险警示,本期有六点建议关注:一是开源应用程序依赖性管理工具CocoaPods存在满分漏洞,影响数百万个macOS与iOS程序;二是开源服务软件GeoServer存在远程代码执行漏洞;三是微软在Rockwell PanelView Plus设备中发现两个严重漏洞;四是文件服务器软件Rejetto HTTP File Server模板注入漏洞遭在野利用;五是机器数据管理平台Splunk Enterprise存在任意文件读取漏洞;六是黑客组织利用Microsoft MSHTML漏洞传播MerkSpy间谍软件工具。
一、网安动向热讯
(一)2024京津冀信息通信领域网络安全实战攻防演练圆满举办
7月5日消息,京津冀三地通信管理局在雄安新区组织开展了2024京津冀信息通信领域网络安全实战攻防演练。此次演练是在实网环境下,对网络攻击渗透、安全风险感知、监测预警、应急响应、追踪溯源等核心能力的一次系统检验,也是在实战对抗中,帮助行业各单位发现自身短板,对各单位网络安全人才队伍的一次实践锻炼,旨在促进网络安全和数据安全技术交流、经验共享、行业共建,加强行业网络和数据安全能力体系建设,提升网络安全技术水平和防护能力。此次演练首次加入了供应链企业,是对关键信息基础设施供应链安全风险应对的有效检验,也是对信息通信领域网络安全风险隐患治理的积极探索和实践。此次演练为期7天,由部属单位、基础电信企业专业公司、增值电信企业及安全公司16支攻击队伍和京津冀基础电信企业、增值电信企业及供应链企业29支防守队伍参加。(信息来源:北京通信业)
(二)国家数据局今年将陆续推出8项制度文件
7月3日消息,国家数据局局长刘烈宏在2024全球数字经济大会上表示,国家数据局今年将陆续推出数据产权、数据流通、收益分配、安全治理、公共数据开发利用、企业数据开发利用、数字经济高质量发展、数据基础设施建设指引等8项制度文件。国家数据局将加大政策供给,推动我国海量数据优势转化为国家竞争新优势,促进高质量发展,助力中国式现代化建设。(信息来源:中国政府网)
(三)美发布《空军零信任战略》,旨在使空军和太空军可以使用零信任概念进行未来作战
7月5日消息,美发布《空军零信任战略》,旨在使空军和太空军可以使用零信任概念进行未来作战。该战略主要关注以下领域:一是强调将空军多数系统迁移到云基础设施的重要性;二是计划部署微分段能力,使用下一代网关安全堆栈替代联合区域安全堆栈;三是建立节点安全性,预计采用微软防护者和“更新链接”功能进行实施;四是在零信任达到基本技术成熟度后,推进可操作的企业级基于云的身份、凭证和访问管理解决方案;五是确定中级技术成熟度目标,即通过多重身份验证的自动化管理、云原生管理、控制和访问、基本数据保护、细化的属性、策略和基于风险的访问控制;六是强调文化转变的重要性,并呼吁整个空军的领导层在战略层面协作完成过渡。(信息来源:DefenseScoop网)
(四)美陆军就统一网络运营项目向业界征求意见
7月3日消息,美陆军指挥、控制和通信战术项目执行办公室(PEO C3T)发布一份新的信息征询书草案,征求业界对PEO C3T的统一网络运营(UNO)项目的反馈意见。UNO是美陆军网络现代化计划的重要组成部分,它将战术网络和企业网络统一为一个单一的网络。该文件指出,UNO提供了一套美国国防部信息网络作战软件应用程序,这些应用程序基于标准并具有互操作性,可在集成企业网络和集成战术网络间共享。(信息来源:MeriTalk网)
(五)英政府发布工控网络事件响应实践指南
7月8日消息,英政府可信互联网络-物理系统研究所(RITICS)发布名为《OT/ICS网络事件响应计划应考虑的因素》实践指南,概述了公司为避免嵌入式技术受到攻击应采取的建议和最佳实践,旨在帮助全球各地的公司更好地保护操作技术(OT)和工业控制系统(ICS)硬件。该指南主要从准备、检测、分类、采取响应行动、跟踪和报告、利益相关者参与、吸取教训七个方面展开,并着重说明了OT环境事件响应相比IT环境的区别。(信息来源:安全内参)
(六)欧盟和日本关于跨境数据流动的协议正式生效
7月1日,欧盟委员会宣布,《欧盟-日本关于跨境数据流动的协议》正式生效,该协议同时被纳入《欧盟-日本经济伙伴关系协定》,其条款将促进双方的业务发展,并反映出对数字保护主义的反对信号。《欧盟-日本经济伙伴关系协定》中有关数据跨境流动的条款主要强调双方要确保以电子方式进行跨境数据传输,且不能采取禁止或限制缔约双方进行数据跨境的相关措施,包括对计算机设备位置的要求;数据存储或处理本地化;将跨境数据传输与计算机设备、数据本地化要求相联系;数据跨境传输前获得该方的批准等。该协议将为活跃在金融服务、运输、机械和电子商务等大多数行业的公司带来益处。(信息来源:赛博研究院)
(七)日本防卫省发布《网络人才综合战略》,以培养网络领域人才
7月2日,日本防卫省发布《网络人才综合战略》,以确保和培养网络领域人才。该战略提出设立新的任用制度,构建内部培养和外部引进并重的人才体制。为培养网络专业部队的指挥官,战略明确规定,针对2025财年起招募的人员,将在陆上自卫队新设网络专业考试类别,设立高级自卫官任用制度,其将作为网络战专家。战略还提出将放宽从事网络相关业务的自卫官和预备自卫官的体检要求,以便于在政府机关和民间企业交叉任职的“旋转门”制度;针对预备自卫官,技能领域也将从系统防护变更为网络,并优化相关招募工作。日本政府明确在2027财年将自卫队网络专业人才扩编至4000人,网络相关业务的体制内人员扩增至2万人。(信息来源:国防科技要闻)
(八)日本防卫省发布《人工智能利用推进基本方针》
7月4日消息,日本防卫省发布《人工智能利用推进基本方针》。该方针是日本防卫省关于人工智能技术应用的首份基本政策文件,提出将重点推进人工智能技术在七大领域的灵活应用,以降低自卫队人力成本,具体包括:目标探测与识别、海量信息收集和分析、辅助指挥决策、提升后勤支援效率、无人机指挥控制、提升网络安全能力、提升事务性工作效率。该方针还明确表示,日本将不开展无需人为干预、完全自主的致命性自主武器系统研发活动。(信息来源:参考消息)
(九)葡语国家数据保护网络启动,促进国际数据跨境传输
7月4日消息,巴西、葡萄牙、安哥拉、佛得角和圣多美及普林西比的数据保护机构代表在葡萄牙里斯本举行的会议上签署声明,共同启动“葡语国家数据保护网络(RLPD)”的创建程序。RLPD的主要目标包括:成立成员之间的合作机制;创建一个关于数据保护的知识交流永久论坛;遵循国际工具,以在尊重基本权利的前提下实现国际数据跨境传输。此次声明的签署标志着葡语国家数据保护网络创建过程正式启动,预计将在2024年10月前形成第一份草案,首次会议预计将在2025年4月举行。(信息来源:安全内参)
(十)美国和斯洛文尼亚联合举行亚得里亚海区域安全网络合作演习
7月5日消息,美国欧洲司令部与斯洛文尼亚武装部队和国防部网络安全中心合作,于6月24日至7月4日在斯洛文尼亚举行“2024年亚得里亚海区域安全网络合作演习”。此次演习是斯洛文尼亚迄今为止规模最大的一次演习,汇集了来自斯洛文尼亚、克罗地亚、科索沃和美国的约100名武装部队成员和网络安全专家。演习设置了红蓝两个团队,其中红队负责进攻性安全;道德性攻击;利用漏洞;渗透测试;黑盒测试;社会工程;网络应用扫描。蓝队负责防御性安全;基础设施防护;破坏控制;事件响应;操作安全;威胁搜索;数据取证。此次演习采用了一系列逼真场景,使参演人员能够测试其解决复杂安全挑战的技能,并获得对未来网络安全领域任务至关重要的新知识和宝贵经验。(信息来源:奇安网情局)
(十一)澳大利亚政府与亚马逊达成协议,将绝密数据转移云端
7月4日消息,澳大利亚政府与亚马逊公司(AWS)达成一份价值20亿澳元的协议。根据协议,AWS将在澳大利亚各地建造三座绝密数据中心,用于存储主要来自澳大利亚国防和情报机构的绝密信息。新建中心将实现分布式与专用的云服务,提高数据任务韧性。澳大利亚政府表示,此举将提高其网络能力,并加深与美国的互操作能力。同时,还将增强澳大利亚国防的应变能力和国防军的作战能力,并为其提供多达2000个工作岗位。(信息来源:路透社)
(十二)巴西禁止Meta公司使用该国数据训练人工智能模型
7月3日消息,巴西数据保护局发布禁令,要求美Meta公司不得使用来自巴西的数据来训练其人工智能模型。巴西数据保护局在声明中表示,该禁令属于“预防性措施”,理由是“受影响数据主体的基本权利,面临蒙受严重且难以弥补损失的风险”。声明指出,Meta公司未向用户提供充分信息,让其了解个人数据被用于训练生成式人工智能的潜在后果;同时设置障碍,令用户无法拒绝数据的处理。如Meta公司不遵守禁令,将面临巴方每天5万雷亚尔(约合人民币6.5万元)的罚款。(信息来源:央视财经)
二、网安事件聚焦
(十三)俄罗斯开展史上最大规模非法VPN清剿行动
7月9日消息,俄罗斯政府实施了迄今最大规模的非法VPN清剿行动,苹果公司已从其俄罗斯区苹果应用商店下架多达25款VPN应用。俄罗斯电信监管机构Roskomnadzor称,此举针对可以访问俄罗斯境内被标记为非法内容的多个应用程序,其中包括知名VPN服务商NordVPN、ProtonVPN、Red Shield VPN、Planet VPN、Hidemy.NameVPN、Le VPN和PIA VPN。苹果公司在发送给部分受影响的VPN供应商的电子邮件中表示:“根据Roskomnadzor的要求,您的应用程序将从俄罗斯App Store中移除,原因是其包含俄罗斯法律禁止的非法内容。”(信息来源:BleepingComputer网)
(十四)美大型银行遭勒索攻击致系统关闭,客户无法访问账户或交易
7月4日消息,美大型银行机构Patelco声称遭勒索软件攻击,为控制事件影响,该机构关闭了多个面向客户的银行系统。Patelco是美最大的信用合作社之一,资产超90亿美元,为40多万名客户提供包括支票和储蓄账户、贷款、信用卡、投资和保险计划等服务。Patelco表示,核心系统已通过网络安全专家检查,客户资金安全不存在问题,但网银、移动应用和呼叫中心服务、转账、直接存款、余额查询和支付等电子交易等仍不可用。截至目前,还未有勒索软件组织声称对Patelco的攻击负责。(信息来源:安全内参)
(十五)近100亿条密码汇编集合RockYou2024遭泄露
7月5日消息,黑客组织“ObamaCare”在论坛上发布一个密码汇编文件—RockYou2024.txt,该文件包含了近100亿条唯一明文密码,可能是迄今为止最大的密码汇编泄露事件。资讯平台Cybernews的研究人员将RockYou2024泄露事件中的密码与数据进行交叉对照发现,遭泄露的数据集中包含了各种个人用户在线账户的密码,以及全球用户的真实密码汇编,可能对倾向于重复使用密码的用户和企业构成严重威胁。研究人员建议用户加强个人信息保护。(信息来源:安全威胁纵横)
(十六)芝加哥罗伯特卢瑞儿童医院遭勒索软件攻击致600GB数据失窃
7月1日消息,芝加哥罗伯特卢瑞儿童医院声称遭勒索软件攻击,并向数10万名客户发送通知,告知其个人和健康信息遭泄露,包括姓名、出生日期、驾照号码、社会保险号、电子邮件地址、健康索赔信息以及医疗和处方信息等。调查发现黑客组织在今年1月26日至31日攻击了该儿童医院系统,导致医疗记录访问受限、患者门户网站中断以及通信受阻。Rhysida勒索软件组织声称对此事负责,并表示已将窃取到的600GB数据在其网站出售。该医院表示将免费为受影响用户提供24个月的身份和欺诈保护服务。(信息来源:安全威胁纵横)
(十七)美国家安全局1.4GB机密数据遭泄露
7月9日消息,Cyber Press公司研究人员称,黑客组织Gostingr在某著名数据泄露论坛上发布了美国家安全局(NSA)1.4GB数据,包括内部通信、机密数据以及NSA员工的个人数据等。研究人员在调查中发现被称为“rFDY.txt”的被泄露文件包含姓名、个人手机号码、办公室电话和邮件等,部分被泄露的数据中还包括多个实体,如政府、军队和五角大楼多名政府官员的邮件地址。Gostingr声称数据来自Acuity公司的泄露事件,该公司与美政府及其盟友合作密切。研究人员已通知美政府和NSA,目前尚未收到回复。(信息来源:代码卫士)
(十八)哥伦比亚政府机构海量数据在暗网被出售
7月8日消息,哥伦比亚政府机构的数据库以及对该数据库的访问权限在暗网论坛被出售。遭泄露的数据包括用户ID、电话号码、电子邮件、PDF发票和用户文档等。根据黑客发布的帖子显示,遭泄露的数据库行数超过150万行,总计数据量大小为4655380条。黑客以1100美元的价格出售数据库,以2200美元的价格出售数据库以及数据访问权限。(信息来源:安全威胁纵横)
(十九)加拿大多伦多公车局遭攻击,2.5万名员工个人信息被泄露
7月4日消息,加拿大安大略省信息和隐私委员会(OIPC)披露一起数据泄露事件,称多伦多公车局(TTC)网络系统因未做好防范措施,导致2021年2.5万名员工个人信息被泄露,包括姓名、地址和社会安全号码等。该事件还摧毁了多个面向乘客的系统,包括TTC旅行计划应用程式、TTC网站和Wheel-Trans服务线上预订网站。OIPC建议TTC调整其网络安全政策,包括对敏感信息的网络系统进行分段管理、采用端点保护工具、启用加密手段以及定期检查网络钓鱼恶意行为等。(信息来源:FreeBuf网)
三、网安风险警示
(二十)开源应用程序依赖性管理工具CocoaPods存在满分漏洞,影响数百万个macOS与iOS程序
7月3日消息,以色列安全公司E.V.A Information Security披露,用于苹果平台的开源应用程序依赖性管理工具CocoaPods存在三个严重漏洞,分别为CVE-2024-38366(CVSS评分10)、CVE-2024-38368(CVSS评分9.3)和CVE-2024-38367(CVSS评分8.2),上述漏洞均与验证服务器Trunk有关,允许未经授权的恶意攻击者认领pod组件,并将恶意代码插入许多受欢迎的iOS和macOS应用程序中,从而破坏受害者的会话,甚至取得Trunk服务器与基础设施的最高访问权限。CocoaPods广泛应用在苹果的Swift与Objective-C项目中,目前有超过300万个移动程序用来管理10万个函数库。上述漏洞已被修复。(信息来源:HackerNews网)
(二十一)开源服务软件GeoServer存在远程代码执行漏洞
7月3日消息,奇安信CERT监测到官方修复GeoServer远程代码执行漏洞CVE-2024-36401(CVSS评分9.8),由于该系统不安全地将属性名称解析为XPath表达式,未经身份认证的远程攻击者可利用该漏洞在服务器上执行任意代码,从而获取服务器权限。GeoServer是一个开源的服务器软件,使用Java编写,主要功能是允许用户共享和编辑地理空间数据,支持使用开放标准来发布多种主流格式的空间数据。目前该漏洞技术细节与EXP已在互联网上公开,鉴于该漏洞影响范围较大,建议用户做好自查及防护。(信息来源:奇安信CERT)
(二十二)微软在Rockwell PanelView Plus设备中发现两个严重漏洞
7月4日消息,微软在Rockwell PanelView Plus设备中发现并披露两个严重漏洞。(1)远程代码执行漏洞CVE-2023-2071,CVSS评分为9.8,攻击者可利用设备中两个自定义类上传并执行恶意DLL,从而有效获得设备的远程控制权。(2)DoS漏洞CVE-2023-29464,CVSS评分8.2,未经身份认证的攻击者可远程利用该漏洞执行远程代码和发起DoS攻击,导致系统崩溃。PanelView Plus设备在工业自动化领域发挥着至关重要的作用,上述漏洞可能给受影响组织造成重大经济损失。(信息来源:FreeBuf网)
(二十三)文件服务器软件Rejetto HTTP File Server模板注入漏洞遭在野利用
7月8日消息,奇安信CERT监测到Rejetto HTTP File Server存在模板注入漏洞CVE-2024-23692(CVSS评分9.8),未经身份验证的攻击者可利用该漏洞,通过发送特制的HTTP请求在受影响系统上执行任意命令。HFS(HTTP File Server)是一个简单易用的文件服务器软件,用户可通过直观的Web界面来管理文件和目录的共享。目前该漏洞已遭在野利用,鉴于该漏洞EXP已广泛传播且利用成本极低,建议受影响用户尽快修复。(信息来源:奇安信CERT)
(二十四)机器数据管理平台Splunk Enterprise存在任意文件读取漏洞
7月8日消息,奇安信CERT监测到Splunk Enterprise任意文件读取漏洞CVE-2024-36991(CVSS评分7.5)在互联网上公开,在特定版本的Windows版Splunk Enterprise中,未经身份认证的攻击者可在/modules/messaging/接口通过目录穿越方式读取任意文件,造成用户信息泄露。Splunk Enterprise是一款强大的机器数据管理和分析平台,能实时收集、索引、搜索、分析和可视化来自各种数据源的日志和数据,帮助企业提升运营效率、增强安全性和优化业务决策。鉴于该漏洞影响范围较大,建议用户尽快更新。(信息来源:奇安信CERT)
(二十五)黑客组织利用Microsoft MSHTML漏洞传播MerkSpy间谍软件工具
7月4日消息,研究人员发现黑客组织利用Microsoft MSHTML中已修复的漏洞(CVE-2021-40444)传播名为MerkSpy的间谍软件监视工具,主要目标为加拿大、印度、波兰和美国。MerkSpy拥有秘密监视用户活动,获取敏感信息并将数据泄露上传到黑客控制的外部服务器的功能,同时还可在受感染系统上建立持久性,在系统启动时自动启动。攻击链的起点是一个Microsoft Word文档,表面看是包含软件工程师职位的描述,但打开该文件会触发漏洞利用,在无需任何用户交互的情况下导致远程代码执行。(信息来源:HackerNews网)
