网络空间安全动态（202423期）

       编者按：网安动向热讯，本期有七点值得关注：一是《工业领域云安全实践指南》正式发布；二是美CISA发布关键基础设施韧性规划手册；三是英首次推出《网络安全和韧性法案》，强化国家网络防御；四是澳大利亚政府授权网络安全框架以强调全球OT/ICS合作；五是欧盟与乌克兰加强网络安全伙伴关系；六是俄拟开发国家级人工智能治理平台，并将其作为“数据经济”国家项目的一部分；七是美澳日海军联合举行“蓝色光谱”三边网络防御演习。

        网安事件聚焦，本期有三点建议关注：一是美信息安全巨头Crowdstrike因更新错误导致全球Windows大面积蓝屏死机，至少二十多个国家受波及。二是国家审计署：四部委所属7家单位利用政务数据违规牟利2.48亿元。三是勒索软件攻击持续，大规模数据泄露给国家和企业安全带来巨大安全隐患。本期介绍：美家具巨头遭勒索攻击致工厂关闭，业务受严重影响；智利超70%公民数据遭泄露，数据库在暗网被出售；全球最大游艇经销商MarineMax数据泄露事件影响超过12.3万人；黑客泄露论坛BreachForums 20万会员数据遭泄露；印度加密货币交易所WazirX遭黑客攻击，超2.3亿美元密币被盗。

        网安风险警示，本期有六点建议关注：一是服务管理平台Nacos Derby存在远程命令执行漏洞；二是思科修复安全电子邮件网关中的一个严重漏洞；三是美CISA警告GeoServer GeoTools软件中存在被积极利用的RCE漏洞；四是开源系统JumpServer存在多个高危后台漏洞；五是研究人员发现交通信号控制器存在安全漏洞，可远程篡改红绿灯时间；六是SAP AI 核心漏洞可能导致客户数据面临网络攻击风险。

       一、网安动向热讯

        （一）《工业领域云安全实践指南》正式发布

        7月23日，中国通信标准化协会云计算标准和开源推进委员会与西门子（中国）有限公司共同发布《工业领域云安全实践指南》。指南阐述数字化浪潮下工业上云时机已经来临，工业企业上云后将面临诸多类型的风险挑战，从治理、组织、技术、流程以及生态五个维度着手，提出工业领域云安全架构模型，为工业领域云计算环境组成对象提供全方位的安全保障，为业界面临相同安全风险挑战的企业提供指引。（信息来源：中国信通院CAICT）

       （二）美CISA发布关键基础设施韧性规划补充手册

        7月17日，美网络安全与基础设施安全局（CISA）发布基础设施韧性规划框架补充手册。该手册概述了韧性规划的关键行动，如建立事件响应小组、识别关键基础设施、制定缓解策略以及集成解决方案到现有协议中，为地方政府和私营部门如何提高国家关键基础设施的安全性和韧性提供了指导。补充手册主要内容包括基础设施韧性规划流程和桌面演习，旨在帮助公共和私营部门最大限度地减少网络攻击对其社区的影响，并降低关键服务中断的风险。（信息来源：美CISA网站）

        （三）美提出《医疗网络安全法案》以应对网络攻击

        7月16日，美参议员提出《医疗网络安全法案》，该法案旨在通过联邦合作和资源支持，加强医疗保健和公共卫生部门的网络安全，保护患者数据和医疗服务提供者，提升网络安全基础设施和响应能力。该法案提出，美CISA将与卫生与公众服务部（HHS）合作，共同提供网络威胁指标和防御措施资源，并设立专门的HHS联络处，以协调网络安全事件。美参议员强调，网络攻击严重威胁医疗系统，不仅影响患者数据安全，也影响医院运营，导致医疗费用的增加。（信息来源：安全内参）

        （四）美DARPA启动新计划应对人工智能风险

        7月12日，美国防部高级研究计划局（DARPA）推出“伦理、法律和社会影响”（ELSI）新项目。该项目旨在帮助DARPA的工作人员更谨慎、负责任的引入并应用颠覆性技术和新兴人工智能技术。DARPA强调该项目专注于新技术的伦理、法律和社会影响方面的关注，特别是对生成式人工智能和对抗能力可能带来的意外后果的担忧。DARPA正在通过ELSI帮助员工评估潜在的风险，以便在复杂的系统中做出明智的决策。（信息来源：全球技术地图）

        （五）英首次推出《网络安全和韧性法案》，强化国家网络防御

        7月19日，英政府计划提交《网络安全和韧性法案》，旨在加强国家网络防御能力，保护关键基础设施。法案将更新现有网络安全法规，扩大监管范围，提供更好的网络威胁数据，以应对网络威胁者对关键服务的攻击。此外，法案还将要求数字服务和供应链采取更严格的网络安全措施，增加企业的网络安全责任；要求遭受勒索软件攻击的公司进行强制报告。政府将提供资源，特别是对小型企业，以支持提升网络安全实践。（信息来源：Infosecurity Magazine网）

        （六）澳大利亚政府授权网络安全框架以强调全球OT/ICS合作

        7月15日，澳大利亚网络和基础设施安全中心将公布关键基础设施风险管理计划年度报告，并要求关键基础设施实体在2024年8月17日前实施网络安全框架。澳政府承诺将确保数字产品和服务的安全性、可靠性和适用性，并强调在运营技术（OT）和工业控制系统（ICS）的网络安全方面开展国际合作的重要性，以应对不断演变的威胁。此外，澳政府将继续考虑采取有针对性的措施来确保OT和ICS环境中使用设备的网络安全，并与国际伙伴合作共享方法和经验教训，以应对无国界的网络攻击，加强事件响应和有效恢复。（信息来源：安帝科技）

        （七）欧盟与乌克兰加强网络安全伙伴关系

        7月16日，欧盟与乌克兰在第三次网络对话中达成加强网络安全伙伴关系的共识。双方同意在态势感知、网络风险评估、网络危机管理、欧盟网络外交工具箱和网络制裁制度方面进行信息交流。乌克兰将努力使其立法与欧盟《网络与信息系统安全指令》（NIS 2）保持一致，以增强关键基础设施和供应链的网络韧性，并可能利用欧盟网络安全储备来获得网络安全专家队伍的支持。欧盟承诺通过“网络东部”计划（CyberEast）和“塔林机制”等继续支持乌克兰的网络防御。（信息来源：中国信息安全）

        （八）俄拟开发国家级人工智能治理平台，并将其作为“数据经济”国家项目的一部分

        7月17日消息，俄罗斯计划在2026年之前开发用于公共管理的数字人工智能平台，并将其作为“数据经济”国家项目的一部分。预计到2030年，将开发至少30个应用于公共管理和社会领域的人工智能解决方案，同时开发者将能够访问170个政府数据集。俄罗斯数字发展部仍在其国家项目框架内制定行动计划，以确保全面实施公共行政和关键经济部门数字化转型的所有优先举措。（信息来源：Securitylab网）

        （九）美澳日海军联合举行“蓝色光谱”三边网络防御演习

        7月17日，美国、澳大利亚和日本海军在悉尼举行首次联合信息战“蓝色光谱演习”。此次演习旨在同步三边网络作战战术、技术和流程，从而提高网络防御作战的互操作性。演习汇集了澳大利亚海军舰队网络部队、美国海军太平洋舰队第553网络保护团队以及日本海上自卫队通信司令部总部和通信安全大队。演习的重点在于通过海上作战技术事件响应，同步防御性网络战术、技术程序以及工作流程，强化三国海军的合作。澳军事官员表示，此次演习通过建立持久关系、分享专业知识并利用彼此优势提高了互操作性，为三边海上防御网络合作常态化奠定了基础。美国海军表示，通过深层次的信息战协调，三国可以扩大共享战场感知的范围和清晰度，确保三国海军能够联合应对任何紧急情况或危机。（信息来源：奇安网情局）

       二、网安事件聚焦

        （十）美信息安全巨头Crowdstrike因更新错误导致全球Windows大面积蓝屏死机，至少二十多个国家受波及

        7月20日消息，由于美信息安全巨头CrowdStrike推送的软件更新存在严重错误，全球使用他们软件的Windows电脑出现大面积蓝屏死机、设备无法重启，导致航班停飞、火车晚点、银行系统异常，全球至少二十多个国家受波及。CrowdStrike的核心产品包括基于云的Falcon平台及其多个模块，这些模块涵盖了端点保护、威胁情报、IT资产管理和恶意软件搜索等多个领域。该公司目前客户数超24000个，覆盖了全球大部分500强企业。导致此次系统崩溃的CSAgent.sys是CrowdStrike客户端一个核心驱动，驱动程序由于工作在内核态，一旦执行出现问题就会直接导致操作系统不可用，启动时加载驱动直接蓝屏。微软和CrowdStrike发布声明称，问题已成功定位，但预计完全恢复可能还需数天甚至数周时间。（信息来源：安全内参）

        （十一）国家审计署：四部委所属7家单位利用政务数据违规牟利2.48亿元

        7月16日消息，国家审计署6月底发布2024年第1号审计结果公告，其中“利用政务数据牟利成为新苗头”被列为重点问题之一，共涉及4个部门所属7家运维单位违规对外收费2.48亿元。具体包括：交通运输部2018年6月至2023年，所属2家单位下属企业利用4个信息系统政务数据违规收费1.45亿元。教育部2018年至2023年，所属2家单位违规利用3个信息系统政务数据收费5865.7万元。工业和信息化部2020年至2023年，所属2家单位利用5个信息系统政务数据违规收费2447.07万元。市场监管总局2019年12月至2023年，所属1家单位下属企业违规利用1个信息系统政务数据收费2024.55万元。（信息来源：安全内参）

       （十二）美家具巨头遭勒索攻击致工厂关闭，业务受严重影响

        7月18日消息，美巴西特家具公司遭勒索软件攻击，被迫关闭部分IT系统和制造设施。该公司声明称，黑客组织通过加密某些数据文件扰乱了公司的业务运营，迫使公司启动事件响应计划。目前，公司制造设施尚未恢复运营，但零售店和电子商务平台仍然开放，客户可以下单并购买现有商品。巴西特家具在美拥有近90家门店，是该国最大的家具制造商和销售商之一。截至目前，还未有勒索软件组织宣布对此次事件负责。（信息来源：安全内参）

       （十三）智利超70%公民数据遭泄露，数据库在暗网被出售

        7月24日消息，黑客宣称获取一份包含14603422名智利公民信息的综合数据库，以500美元的价格在暗网数据交易平台出售，并提供了一个包含数据类型的示例格式，如姓名、身份证号码、完整地址和地区等。智利2022年人口数量约为1960万，本次事件可能导致70%以上的公民数据遭泄露，引发智利公民对隐私和安全的担忧。（信息来源：安全威胁纵横）

        （十四）全球最大游艇经销商MarineMax数据泄露事件影响超过12.3万人

        7月18日消息，全球最大休闲船和游艇零售商MarineMax披露，3月10日遭网络攻击导致数据泄露，影响超12.3万人。Rhysida勒索软件组织声称窃取了该公司225 GB的敏感数据，并添加到其Tor泄露站点的受害者名单中。MarineMax在全球经营130多个网点，包括83个经销商和66个游艇码头及仓储设施。MarineMax称，攻击者入侵了部分系统，但系统中未存储敏感数据，并在发现遭攻击后立即采取措施控制事件，公司运营正常，受影响系统已得到补救。（信息来源：安全客）

        （十五）黑客泄露论坛BreachForums 20万会员数据遭泄露

        7月24日消息，知名黑客Emo泄露BreachForums v1黑客论坛20万私密会员信息。BreachForums是规模最大最知名的数据泄露平台之一，但该论坛并非单一实体，而是多个以数据收集者和攻击者社区为依托，进行数据交易、销售和泄露的论坛的统称。遭泄露数据包括美国会医疗保健提供商D.C.Health Link、RobinHood和通过暴露的API泄露的Twitter数据等，还包含论坛成员的用户ID、登录名、电子邮件地址、注册IP地址以及最后一次访问网站的IP地址等。Emo声称，泄露数据来自2022年11月的BreachForums数据库备份，是上传到Fitzpatrick的MEGA账户中的最后一个备份。（信息来源：BleepingComputer网）

        （十六）印度加密货币交易所WazirX遭黑客攻击，超2.3亿美元密币被盗

        7月18日，区块链安全公司Cyvers检测到印度加密货币交易所WazirX正在进行2.349亿美元的资金转移，并查出转出方为WazirX在以太坊网络上的Safe Multisig钱包。为保证剩余资产的安全，WazirX平台关闭了所有提款。Cyvers称WazirX Safe钱包可能已被潜在的恶意实体入侵。WazirX表示，团队正在调查该事件，尽管此前已采取措施保护客户资产，但攻击者似乎在盗窃发生前就已破坏了交易所的安全防护措施。（信息来源：财联社）

        三、网安风险警示

        （十七）服务管理平台Nacos Derby存在远程命令执行漏洞

        7月19日消息，奇安信CERT监测到官方修复Nacos Derby远程命令执行漏洞QVD-2024-26473 （CVSS评分9.8）。由于Alibaba Nacos部分版本中derby数据库默认可以未授权访问，恶意攻击者利用该漏洞可未授权执行SQL语句，最终导致任意代码执行。Nacos是一个功能强大的服务注册与发现、配置管理平台，为微服务架构和云原生应用提供重要的基础设施支持。目前该漏洞PoC已在互联网上公开，鉴于影响范围较大，建议客户尽快做好自查及防护。（信息来源：奇安信CERT）

        （十八）思科修复安全电子邮件网关中的一个严重漏洞

        7月22日消息，思科修复一个严重漏洞CVE-2024-20401（CVSS评分9.8），该漏洞可能允许未经身份验证的远程攻击者添加具有root权限的新用户并永久破坏安全电子邮件网关设备。该漏洞存在于思科安全电子邮件网关的内容扫描和消息过滤功能中，源于在启用文件分析和内容过滤器时对电子邮件附件的处理不当。攻击者可通过发送特制的电子邮件附件来利用该漏洞，从而替换文件系统上的任何文件，添加root用户、修改配置、执行任意代码或在受影响的设备上触发永久拒绝服务条件。（信息来源：HackerNews网）

        （十九）美CISA警告GeoServer GeoTools软件中存在被积极利用的RCE漏洞

        7月19日消息，美CISA警告称GeoServer GeoTools的一个严重远程代码执行漏洞CVE-2024-36401 （CVSS评分9.8）正在被攻击者积极利用，影响所有GeoServer实例。GeoServer是一个用Java编写的开源软件服务器，允许用户共享和编辑地理空间数据。该漏洞是由于不安全地将属性名称评估为XPath表达式所致。GeoTools库API在评估特征类型的属性/属性名称时，会以不安全的方式将其传递给commons-jxpath库，后者在评估XPath表达式时可执行任意代码。目前该漏洞已被修复。美CISA要求联邦机构在8月5日前为服务器打上补丁。（信息来源：Bleepingcomputer网）

        （二十）开源系统JumpServer存在多个高危后台漏洞

        7月19日消息，奇安信CERT监测到官方修复JumpServer 后台文件写入漏洞CVE-2024-40629和JumpServer后台文件读取漏洞CVE-2024-40628。攻击者可利用Ansible脚本读取或写入任意文件，从而导致Celery敏感信息泄露和远程代码执行。JumpServer是广受欢迎的开源堡垒机，是符合4A规范的专业运维安全审计系统，可帮助企业以更安全的方式管控和登录各种类型的资产。目前该漏洞技术细节与PoC已在互联网上公开，鉴于影响范围较大，建议客户尽快做好自查及防护。（信息来源：奇安信CERT）

        （二十一）研究人员发现交通信号控制器存在安全漏洞，可远程篡改红绿灯时间

        7月22日消息，网络安全公司Red Threat的研究人员Lemon发现一个型号为Intelight X-1的交通信号控制器中存在安全漏洞，允许任何人完全控制交通信号灯，恶意攻击者可利用该漏洞制造交通堵塞。Lemon表示，这是一个非常简单的易被利用的基础性漏洞，因设备暴露在互联网的网页界面，且没有认证机制。目前尚不清楚有多少易受攻击的Intelight设备可从互联网访问。研究人员已告知制造商，但其拒绝修复漏洞。（信息来源:HackerNews网）

        （二十二）SAP AI 核心漏洞可能导致客户数据面临网络攻击风险

        7月24日消息，Wiz公司的安全研究人员在负责开发和部署AI模型的SAP AI Core中发现了一系列严重漏洞，可导致攻击者访问敏感的客户数据、操纵AI模型，甚至发动大规模供应链攻击，导致数据被篡改和遭攻陷。这些漏洞被统称为SAPwned，可使未经授权访问客户的私有工件和对云环境（如亚马逊网络服务（AWS），Microsoft Azure和SAP HANA Cloud）的凭据成为可能，还可用于修改SAP内部容器注册表上的Docker映像、Google容器注册表上的SAP Docker映像以及SAP内部Artifactory服务器上托管的工件，从而导致对SAP AI Core服务的供应链攻击。SAP已证实并修复上述漏洞。（信息来源：安全客）