网络空间安全动态(202422期)
编者按:网安动向热讯,本期有七点值得关注:一是工信部、中央网信办联合印发《关于开展“网络去NAT”专项工作 进一步深化IPv6部署应用的通知》;网安标委就国家标准《数据安全技术 个人信息保护合规审计要求(征求意见稿)》征求意见;二是2024年网络安全等级保护工作会议在京召开;三是美参议院军事委员会正式提出《2025财年国防授权法案》,推动军事网络和人工智能计划;四是美白宫公布2026财年预算网络安全投资重点;五是美海军陆战队发布新的人工智能战略;六是《欧盟官方公报》正式印发《欧洲人工智能法》的最终文本;七是北约宣布将建立首个综合网络防御中心;北约发布新版《人工智能战略》。
网安事件聚焦,本期有两点建议关注:一是处理敏感信息的组织和机构更易遭到网络攻击。本期介绍:美知名信用合作社Patelco遭勒索攻击,近50万用户无法正常访问账户;澳门特别行政区多个网站疑遭黑客攻击导致瘫痪;韩国国家警察厅遭非法入侵,黑客以4000美元出售访问权限;南非矿业巨头遭网络攻击,被迫隔离IT系统;二是数据窃取与数据泄露渠道、手段更加多样,安全风险持续加大。本期介绍:美电信运营商AT&T公司确认数据泄露,涉及几乎所有手机客户;美法律支持服务公司Rapid Legal数据库未加密,3864万条记录曝光;迪士尼内部Slack协作平台遭黑客入侵,1.2TB敏感数据泄露。
网安风险警示,本期有七点建议关注:一是Java Web应用程序框架Apache Wicket中存在远程代码执行漏洞;二是开源项目GitLab存在身份认证绕过漏洞;三是应用程序交付控制器Citrix NetScaler产品中存在严重漏洞;四是业务转型平台ServiceNow存在输入验证不当漏洞;五是微软办公软件套装组件Outlook存在远程代码执行漏洞;六是远程用户拨号认证系统RADIUS协议中存在漏洞,多机构呼吁紧急关注;七是苹果公司警告98个国家的iPhone用户防范雇佣间谍软件攻击。
一、网安动向热讯
(一)工信部、中央网信办联合印发《关于开展“网络去NAT”专项工作 进一步深化IPv6部署应用的通知》
7月10日消息,工业和信息化部办公厅、中央网信办秘书局联合印发《关于开展“网络去NAT”专项工作 进一步深化IPv6部署应用的通知》(以下简称《通知》),旨在向全社会释放我国加快向IPv6演进升级的明确信号,凝聚网络、应用、终端等产业各方合力,加速提升IPv6规模部署和应用水平。《通知》部署了五方面工作任务:一是细化工作方案,有序实现网络升级;二是紧抓关键环节,持续拓宽IPv6通路;三是深化应用改造,主动引导流量迁移;四是强化运行维护,确保网络安全稳定;五是加强督促评测,促进工作实效落地。(信息来源:工信微报)
(二)网安标委就国家标准《数据安全技术 个人信息保护合规审计要求(征求意见稿)》征求意见
7月12日消息,全国网络安全标准化技术委员会就国家标准《数据安全技术 个人信息保护合规审计要求(征求意见稿)》公开征求意见。该文件提出了个人信息保护合规审计原则,规定了个人信息保护合规审计的实施要求。适用于个人信息处理者开展个人信息保护合规审计工作,也可为相关机构对个人信息处理活动进行个人信息保护合规审计提供参考。意见征求截至2024年9月11日。(信息来源:全国网安标委)
(三)2024年网络安全等级保护工作会议在京召开
7月11日消息,国家网络安全等级保护工作协调小组在京组织召开2024年网络安全等级保护工作会议,总结近年来全国网络安全等级保护工作开展情况,分析当前网络安全工作面临的新形势新挑战,研究部署深化落实网络安全等级保护、关键信息基础设施安全保护、数据安全保护制度的重点举措。会议指出,各部门、各单位要以“法治化、规范化、实战化”理念推动网络安全等级保护工作走深走实,一体化推进网络安全等级保护、关键信息基础设施安全保护和数据安全保护工作,全面提升国家关键信息基础设施、重要网络和数据安全保护能力。(信息来源:国家网络安全通报中心)
(四)美参议院军事委员会正式提出《2025财年国防授权法案》,推动军事网络和人工智能计划
7月15日消息,美参议院军事委员会正式提出《2025财年国防授权法案》,将授权9199亿美元用于军事和其他国防优先事项,包括网络安全举措和涉及新兴技术的项目。法案要求建立试点计划,以优化用于美国防部设施的人工智能软件,并要求采取行动来改善军事供应链安全;要求美国防高级研究计划局启动一项量子扩展计划,以扩大国防量子计算能力的发展;要求在美国防部内强化专属网络情报能力,以支持对网络威胁行为者的行动进行调查,并要求美国防部制定网络安全战略,以管理联合作战云能力和其他多云环境;指示美国防部发布指南,将运营技术纳入信息保障漏洞管理计划,旨在加强关键基础设施部门的网络安全态势,并确保关键任务系统的网络威胁韧性;要求美国会报告与国际盟友在网络安全领域的合作活动,包括缓解对海底电缆的网络威胁;资助一个网络安全大学联盟,并建立人工智能人为因素整合计划,旨在确定在作战和非作战环境中使用人工智能系统的研究差距;要求美国防部网络犯罪中心与国防工业基地共同进行网络桌面演习,以帮助确定网络能力和资源的差距;制定指南详细说明零信任战略如何应用于军事物联网硬件,包括无人机、传感器和通信设备等关键军事设备。(信息来源:BankInfosecurity网)
(五)美白宫公布2026财年预算网络安全投资重点
7月11日消息,美白宫公布2026财年“跨机构网络安全投资重点”备忘录,为美联邦机构对于拜登政府《国家网络安全战略》五大支柱中应优先考虑的事项提供指导:一是指导各机构分配资源以保护关键基础设施。美白宫呼吁各机构优先考虑IT系统的现代化,继续向完全成熟的零信任架构过渡;二是呼吁各机构优先考虑打击网络犯罪和击败对手,优先考虑分配合理资源调查网络犯罪,瓦解威胁行为者,拆除勒索软件基础设施,打击滥用虚拟货币;三是呼吁各机构通过塑造市场力量推动网络安全性和韧性;四是呼吁各机构加强网络劳动力,为后量子时代做准备;五是呼吁各机构支持“国内外公共和私营部门合作伙伴之间的长期战略合作”必要性,以重新平衡和提高工业控制系统和运营技术全球供应链的透明度、安全性和韧性。(信息来源:中国信息安全)
(六)美国会拟立法简化网络安全法规
7月10日消息,118届美联邦国会参议院国土安全和政府事务委员会对《美国联邦网络安全监管简化法案》(法案S.4630)进行了二读审议,计划成立一个跨机构委员会统筹网络安全管理,主要目标是简化美境内的网络安全监管制度;减少监管负担,提高监管效率;促进网络安全要求的协调,以更好地应对网络威胁;提高网络安全标准透明度和一致性。重点解决关键基础设施相关部门实施的碎片化网络安全法规状况。如该法案被签署成法律,该委员会将负责简化美网络安全法规体系。(信息来源:清华大学智能法治研究院)
(七)美NSA发布《通过自动化和编排支柱推进零信任成熟度》,强调动态安全响应的重要性
7月12日消息,美国家安全局(NSA)发布《通过自动化和编排支柱推进零信任成熟度》,该文件是美国防部零信任框架最后一支柱(共七大支柱)的网络安全信息表,为包括国防部在内的网络所有者提供实施零信任网络安全措施的指导。文件指出,零信任框架通过实施动态信任策略来保护数据和服务,而自动化和编排是实现快速、大规模安全响应的关键。文件建议组织应采用自动化和编排方法处理关键功能和访问控制的重复性、劳动密集型和可预测任务;采用先进的算法和分析增强关键功能;协调安全运营和事件响应时,借助自动化措施提高检测、响应和缓解威胁的能力。(信息来源:ExecutiveGOV网)
(八)美海军陆战队发布新的人工智能战略
7月11日,美海军陆战队发布新的人工智能战略,旨在指导其在各个方面(从后勤到战场)整合这项技术。战略提出五大目标:一是全面了解可由人工智能提供解决方案的特定任务问题;二是提高部队各级人员在建立、支持和维护人工智能系统及相关技术方面的专业技能;三是改善基础设施并制定和发布标准,以实现可靠、快速和有效的人工智能解决方案;四是建立人工智能政策、管理和沟通渠道,确保人工智能技术的部署符合负责任的人工智能准则;五是加强与国防部其他部门、国际盟友、工业界和学术界合作,加速美海军陆战队人工智能技术创新和应用。(信息来源:DefenseScoop网)
(九)《欧盟官方公报》正式印发《欧洲人工智能法》的最终文本
7月12日,《欧盟官方公报》正式印发《欧洲人工智能法》的最终文本。该法案旨在建立一个统一的法律框架来规范欧盟内人工智能系统的开发、投放市场、投入使用及应用。法案共计13章、113条,将于8月1日开始分步骤生效。主要内容包括:人工智能系统监管的基本原则以及市场投放使用的统一规则、禁止的人工智能行为以及监管排除适用的对象、高风险人工智能的运营要求及运营商义务、人工智能系统的透明度规则、通用人工智能统一监管规则、关于人工智能市场监督治理和执法的规则、促进创新与发展的规则等。(信息来源:网络法前研)
(十)北约宣布将建立首个综合网络防御中心
7月11日消息,北约发表声明,宣布将建立综合网络防御中心,以更好地防范日益复杂的网络威胁。北约声明表示,该中心将加强对北约和盟军网络的保护,并将网络空间作为作战域;将向北约军事指挥官通报网络空间中可能存在的威胁和漏洞,包括支持军事活动所必需的私有民用关键基础设施;将汇集北约组织、盟国的民事和军事人员以及业界专家;将利用先进技术提高北约在网络空间的态势感知能力,并增强集体的应变能力和防御能力;将遵循北约盟国的共同价值观和国际义务,推行基于规范、可预测和安全的网络空间方法。该中心计划于2028年或之前全面投入运营。(信息来源:安全内参)
(十一)北约发布新版《人工智能战略》
7月11日消息,北约发布新版《人工智能战略》,旨在以安全和负责任的方式在北约内部加速人工智能技术应用。该战略以2021年发布的首版《人工智能战略》为基础,考虑了生成式人工智能和人工智能赋能型信息工具等人工智能技术的最新进展。新版战略确定了若干优先事项,具体包括:推进北约《负责任使用原则》的实施;提高北约联盟人工智能系统之间的互操作性;推进人工智能与其他新兴颠覆性技术的结合;通过与盟国工业和学术界、北约国防创新加速器、北约创新基金等合作伙伴更紧密的合作,扩充北约的人工智能生态系统。该战略还首次将人工智能驱动的虚假信息、信息行动和基于性别的暴力列入社会和国家需要关注的问题。此外,北约将努力防止人工智能被敌对势力利用。(信息来源:国防科技要闻)
二、网安事件聚焦
(十二)美知名信用合作社Patelco遭勒索攻击,近50万用户无法正常访问账户
7月11日消息,美知名信用社Patelco发表声明,证实公司遭遇严重勒索攻击,攻击导致其网上银行、移动应用、支票兑现等系统与业务中断,近50万用户无法正常访问账户。由于个人信息可能在攻击中被窃取和非法利用,信用社正面临多起法律诉讼。Patelco在全美拥有37个分行、3万多台ATM,为近50万会员提供金融服务,资产规模约为100亿美元。目前,该信用社正与专业机构合作,努力恢复服务。(信息来源:CBSNews网)
(十三)澳门特别行政区多个网站疑遭黑客攻击导致瘫痪
7月12日消息,澳门特别行政区政府安全官员表示,包括保安司司长办公室、治安警察局、消防处和保安部队事务局及保安部队高等学校在内的多个网站疑遭黑客分布式拒绝服务攻击,导致服务瘫痪。事件发生后,澳门当局与电信运营商开展应急处理,迅速恢复受影响服务。目前,澳门警方已展开调查,此次攻击事件背后的黑客组织及其动机尚不明确。(信息来源:澳门晚报)
(十四)韩国国家警察厅遭非法入侵,黑客以4000美元出售访问权限
7月11日,黑客IntelBroker在暗网上声称,已成功入侵韩国国家警察厅(KNPA),并公开出售对该机构的非法访问权限(访问类型:行政门户、用户数据库、中央指挥面板),要价4000美元,仅限门罗币交易。目前,该声明尚未得到KNPA证实。KNPA在2019至2023年间遭受了超20000次的黑客攻击尝试,这些尝试主要试图窃取存储在KNPA数据库中的个人信息,韩国会议员多次强调加强KNPA网络安全措施的重要性。(信息来源:TheCyberExpress网)
(十五)南非矿业巨头遭网络攻击,被迫隔离IT系统
7月12日消息,南非矿业巨头Sibanye-Stillwater披露公司遭网络攻击,导致其全球IT系统运营中断,但其核心采矿和加工活动基本未受影响。该公司迅速隔离了受影响的IT系统,并聘请外部网络安全专家进行调查。Sibanye-Stillwater是一家跨国采矿和金属加工集团,总部位于约翰内斯堡,在五大洲拥有多元化的采矿和加工业务、项目和投资。目前,该公司尚未收到任何赎金要求,也未发现网络攻击的幕后黑手。(信息来源:安全内参)
(十六)美电信运营商AT&T公司确认数据泄露,涉及几乎所有手机客户
7月12日,美电信运营商AT&T表示,公司发生数据泄露事件,黑客入侵了第三方云平台,窃取了大量客户数据,包含蜂窝网络和固定电话客户的电话号码,以及2022年5月1日至10月31日期间几乎所有手机客户(约1.1亿)的通话和短信记录,少量客户在2023年1月2日后产生的新记录。该公司表示,被盗数据不包含通话或短信内容,但客户的电话号码、与之交互的电话号码、发送短信对象号码和通话时长等敏感信息均被泄露。泄露的数据中还包含了基站识别号码,可能导致用户的地理位置被精确定位。目前,美执法部门已介入调查。(信息来源:环球网)
(十七)美法律支持服务公司Rapid Legal数据库未加密,3864万条记录曝光
7月11日消息,网络安全研究人员发现美加利福尼亚州法律支持服务公司Rapid Legal数据库未采取密码保护和其他安全验证措施,可被公开访问。该数据库数据总量约为38TB,共有3864万条记录。可访问信息包括法院文件、服务协议和支付信息(其中包括部分信用卡详细信息和个人身份信息)等。调查发现了另一存储库Legal Connect的引用和链接中包含89745条记录,大小为249.9 GB。Legal Connect担任后端技术提供商,Rapid Legal则提供备案服务。目前,上述数据库已受到保护。(信息来源:DailyDarkWeb网)
(十八)迪士尼内部Slack协作平台遭黑客入侵,1.2TB敏感数据泄露
7月14日消息,黑客组织NullBulge在Breach Forums论坛发帖宣布,入侵了迪士尼的内部Slack协作平台,并泄露1.2TB敏感数据,此举旨在保护艺术家的权利并确保其作品得到公平的补偿。黑客声称,转存了近10000个频道、Slack工作区内交换的消息和文件、未发布的项目、原始图像及代码、部分登录信息、内部API和网页链接等。目前,迪士尼尚未对此公开回应。(信息来源:IT之家)
三、网安风险警示
(十九)Java Web应用程序框架Apache Wicket中存在远程代码执行漏洞
7月15日,Apache Wicket中存在远程代码执行漏洞CVE-2024-36522(CVSS评分9.8),在未经适当验证的情况下处理来自不可信来源的输入时,Apache Wicket的wicket-core软件包中XSLTResourceStream.java的默认配置容易受到XSLT注入攻击,可能导致远程攻击者在服务器端执行任意代码。Apache Wicket是一个功能强大、灵活易用且开源的Java Web应用程序框架,具有面向组件的开发模型、类型安全性、强大的状态管理机制和丰富的组件库等特点。目前该漏洞已修复,建议用户尽快升级版本。(信息来源:启明星辰)
(二十)开源项目GitLab存在身份认证绕过漏洞
7月11日消息,奇安信CERT监测到官方修复GitLab身份认证绕过漏洞CVE-2024-6385(CVSS评分9.6),攻击者可在某些情况下以其他用户的身份触发pipeline,从而造成身份验证绕过。GitLab是一款用于仓库管理的开源项目,它提供了一整套工具来帮助开发团队进行项目管理、代码托管、持续集成/持续部署、监控等功能。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。(信息来源:奇安信CERT)
(二十一)应用程序交付控制器Citrix NetScaler产品中存在严重漏洞
7月10日消息,Cloud Software Group公司发布一份重要安全公告,警告用户其广泛使用的Citrix NetScaler产品中发现严重漏洞CVE-2024-6235(CVSS评分9.4)和CVE-2024-6236(CVSS评分7.1),可能允许未经授权访问敏感信息,甚至导致拒绝服务攻击。NetScaler Console、SVM和Agent的多个版本均易受上述漏洞影响。Citrix NetScaler是一种应用程序交付控制器,以物理设备或虚拟设备的形式提供,旨在优化所有Web应用程序、基于云的服务、虚拟桌面、企业业务应用程序及移动服务的交付。目前,Citrix已修复上述漏洞,建议用户立即更新NetScaler版本。(信息来源:TheCyberExpress网)
(二十二)业务转型平台ServiceNow存在输入验证不当漏洞
7月10日消息,业务转型平台ServiceNow的Jelly模板和Glide表达式由于输入验证不严格,存在注入漏洞CVE-2024-4879(CVSS评分9.3)和CVE-2024-5217(CVSS评分9.2)。上述漏洞可被未经身份验证的攻击者通过构造恶意请求利用,在ServiceNow中远程执行代码。ServiceNow通过平台上的各个模块,可被用于人力资源和员工管理、自动化工作流程或作为知识库等用途。目前上述漏洞技术细节与PoC已在互联网上公开,鉴于该漏洞影响范围较大,建议用户尽快做好自查及防护。(信息来源:CN-SEC中文网)
(二十三)微软办公软件套装组件Outlook存在远程代码执行漏洞
7月12日消息,安全研究人员发现一个影响大部分Outlook版本的零点击远程代码执行漏洞CVE-2024-38021(CVSS评分8.8)。鉴于该漏洞的零点击特性(对于受信任的发件人而言)和缺乏身份验证要求,微软公司将其严重性评级定为“重要”。攻击者可利用该漏洞获得未经授权的访问、执行任意代码,并在无需任何用户交互的情况下造成重大损害。Outlook是微软办公软件套装的组件之一,可用来收发电子邮件、管理联系人信息、记日记、安排日程、分配任务。目前,微软已发布安全补丁,敦促用户尽快安装。(信息来源:安全圈)
(二十四)远程用户拨号认证系统RADIUS协议中存在漏洞,多机构呼吁紧急关注
7月10日,CERT、InkBridge Networks等多个安全机构呼吁紧急关注RADIUS协议中发现的一个已有三十年的漏洞CVE-2024-3596(被称为Blast-RADIUS)。攻击者可利用该漏洞发动MitM攻击,在特定情况下绕过完整性检查。研究人员称,RADIUS协议允许某些访问请求无需完整性或身份验证检查,因此,攻击者可在不被发现的情况下修改数据包,强制用户进行身份验证,并向该用户授权。RADIUS是一种客户端/服务器协议,可为连接和使用网络服务的用户提供集中式身份验证、授权和记账管理。研究人员建议网络运营商采取升级RADIUS服务器等措施加强防护。(信息来源:FreeBuf网)
(二十五)苹果公司警告98个国家的iPhone用户防范雇佣间谍软件攻击
7月11日消息,苹果公司向98个国家的iPhone用户发出通知,警告他们可能面临雇佣间谍软件攻击,这是苹果今年第二次发出此类警报。目前尚不清楚攻击涉及哪种间谍软件,以及攻击数量。但雇佣间谍软件攻击通常涉及关键人物、社会活动人士,通常通过零点击攻击(受害者完全无法察觉)。苹果公司敦促用户更新Apple设备,并在账户中使用多因素身份验证。(信息来源:IT之家)
