网络空间安全动态（202424期）

       编者按：网安动向热讯，本期有七点值得关注：一是公安部、国家网信办就《国家网络身份认证公共服务管理办法（征求意见稿）》公开征求意见；二是国家发改委向社会公开征求《电力监控系统安全防护规定》（公开征求意见稿）意见；三是自然资源部印发《关于加强智能网联汽车有关测绘地理信息安全管理的通知》；四是美政府发布关键和新兴技术国家标准战略实施路线图；五是欧盟委员会发布GDPR第二份实施报告；六是美国、欧盟和英国就人工智能竞争问题发表联合声明；七是欧盟与新加坡完成双边数字贸易协定谈判。

       网安事件聚焦，本期有两点建议关注：一是频繁的网络攻击事件再次凸显了提升网络安全的重要性及防范勒索病毒攻击的必要性。本期介绍：俄罗斯银行业遭大规模网络攻击；阿联酋一家金融机构遭长达六天的DDoS攻击；克罗地亚圣杰罗尼姆机场遭勒索攻击，航班大面积延误取消；美洛杉矶高等法院遭勒索软件攻击，下属36个法院IT系统服务中断；二是对于管理着大量客户、员工和终端用户数据的组织机构而言，数据保护是一大难题。本期介绍：韩国防情报指挥部机密信息遭泄露；美政府主要IT服务提供商Leidos被盗文件遭泄露；墨西哥ERP软件提供商ClickBalance云泄露超7亿条记录；CrowdStrike约2.5亿条IoC数据遭窃取。

       网安风险警示，本期有五点建议关注：一是开源容器引擎Docker Engine的AuthZ插件存在满分漏洞；二是云原生企业自动化平台Automation Anywhere Automation 360存在服务器端请求伪造漏洞；三是Acronis网络基础设施产品存在严重安全漏洞；四是Telerik Report Server存在远程代码执行漏洞；五是Chrome Dawn组件中存在严重安全漏洞。

       一、网安动向热讯

       （一）公安部、国家网信办就《国家网络身份认证公共服务管理办法（征求意见稿）》公开征求意见

       7月26日消息，公安部、国家互联网信息办公室发布了《国家网络身份认证公共服务管理办法（征求意见稿）》，旨在建成国家网络身份认证公共服务平台，形成国家网络身份认证公共服务能力，为社会公众统一签发“网号”“网证”，提供以法定身份证件信息为基础的真实身份登记、核验服务，达到方便人民群众使用、保护个人信息安全、推进网络可信身份战略的目标。征求意见稿明确使用“网号”“网证”进行网络身份认证方式，并对“网号”“网证”的申领条件、公共服务的使用场景、法定身份证件范围、数据和个人信息安全保护义务等基础性事项作出规定。征求意见稿明确公共服务平台采集个人信息的“最小化和必要性原则”，明确公共服务平台处理用户个人信息时的解释告知、数据保护等义务，充分保障用户知情权、选择权、删除权等个人信息相关权利。（信息来源：新华社）

       （二）国家发改委向社会公开征求《电力监控系统安全防护规定》（公开征求意见稿）意见

       7月25日，为完善电力监控系统网络安全技术防护体系，提升电力监控系统安全防护水平，国家发展改革委组织修订了《电力监控系统安全防护规定》（中华人民共和国国家发展改革委员会2014年第14号令），形成《电力监控系统安全防护规定》（公开征求意见稿），现向社会公开征求意见。意见稿明确指出电力监控系统安全防护应当落实国家网络安全等级保护制度和关键信息基础设施安全保护制度，坚持“安全分区、网络专用、横向隔离、纵向认证”结构安全原则，强化安全免疫、态势感知、动态评估和备用应急措施，构建持续发展完善的防护体系。此次公开征求意见的时间为7月25日至8月24日。（信息来源：中国电力新闻网）

       （三）自然资源部印发《关于加强智能网联汽车有关测绘地理信息安全管理的通知》

       7月31日消息，自然资源部印发《关于加强智能网联汽车有关测绘地理信息安全管理的通知》（以下简称《通知》)，旨在维护测绘地理信息安全，促进智能网联汽车发展。《通知》提出，要加强地理信息数据全流程监管，确保智能网联汽车采集、收集的用于导航相关活动以及地图制作、更新的地理信息数据，直接传输至具备导航电子地图制作测绘资质的单位管理，其他单位或个人不得接触。地理信息数据必须存储于境内，所使用的存储设备、网络和云服务等必须符合国家有关安全和保密要求。申请向境外提供地理信息数据的，必须严格履行对外提供审批或地图审核程序，并落实数据出境安全评估等有关规定。（信息来源：中国经济网）

      （四）美OMB发布《联邦风险和授权管理计划（FedRAMP）现代化》备忘录（M-24-15）

       7月29日消息，美白宫管理和预算办公室（OMB）发布《联邦风险和授权管理计划（FedRAMP）现代化》备忘录（M-24-15）。该备忘录将取代2011年备忘录，以应对云市场变化和各机构对多样化任务交付的需求，推动美联邦政府加速采用安全云服务。备忘录提出的FedRAMP新要求和关键变更包括：定义需要FedRAMP授权的云服务；修改FedRAMP授权流程；简化评估过程；持续监测更新；FedRAMP治理变化；行业考虑因素等。后续，美联邦各机构将根据备忘录中规定的时间继续推动FedRAMP有关工作。（信息来源：美白宫网站）

       （五）美政府发布关键和新兴技术国家标准战略实施路线图

       7月26日消息，美政府发布关键和新兴技术国家标准战略实施路线图，呼吁科技实体加大力度参与关键和新兴技术标准化。路线图明确了美政府实现关键和新兴技术标准战略目标应采取的步骤，建议短期内增加美政府标准化前技术的参与程度；评估标准补助金，消除国际参与者合作障碍；评估现有标准国际合作机制。为落实长期效果，路线图建议措施包括：加强美政府对标准的协调；加强与私营部门的标准协调；加强美政府与外国政府间的标准政策协调；激励美联邦机构参与标准化等。（信息来源：全球技术地图）

       （六）美NIST发布《双重用途基础模型滥用风险管理指南草案》（NIST AI 800-1）征求公众意见

       7月26日消息，美国家标准与技术研究院（NIST）发布《双重用途基础模型滥用风险管理指南草案》（NIST AI 800-1）征求公众意见。该草案针对NIST此前发布的AI风险管理框架进行了补充和扩展,为处理双重用途AI模型带来的特殊风险提供更具体的指导。该草案提出七个目标及其相关实践：包括预见潜在的滥用风险、制定管理滥用风险计划、管理模型被盗风险、衡量滥用风险、确保在部署基础模型前管理滥用风险、在部署后收集和响应有关滥用信息、提供关于滥用风险的适当透明度。此外，草案在附录中列出了针对基础模型滥用的示例性保障措施。（信息来源：美NIST网站）

       （七）欧盟委员会发布GDPR第二份实施报告

       7月31日消息，欧盟委员会发布关于《通用数据保护条例》（GDPR）第二份实施报告（首份实施报告于2020年6月发布）。新报告对2020年以来GDPR的实施进行了总体评估，评述了GDPR将个人置于数字化转型中心的众多举措以及未来工作的重点。报告主要内容包括GDPR的执行情况、成员国的实施情况、数据主体的权利、组织面临的机遇和挑战、GDPR对欧盟数字政策的影响、国际转移和全球合作等方面。报告指出，GDPR已成为欧盟数字转型的关键组成部分，其公平、安全和透明处理个人数据的基本原则支撑着所有涉及个人数据处理的欧盟政策。（信息来源：欧盟网站）

       （八）美国、欧盟和英国就人工智能竞争问题发表联合声明

       7月25日消息，美司法部、美联邦贸易委员会、欧盟委员会、英国竞争与市场管理局发布《关于生成式人工智能基础模型和人工智能产品竞争的联合声明》，强调了公平、开放和竞争性市场在开发和部署生成式人工智能方面的重要性。声明指出，人工智能具有巨大的变革潜力，但需要时刻警惕其潜在风险，公平交易、互操作性和公平选择三项原则将有助于促进人工智能竞争和创新。四家监管机构承诺，将在各自权责范围内保护人工智能生态系统竞争，确保人工智能的有效竞争，保护消费者权益。（信息来源：美联邦贸易委员会网站）

      （九）欧盟与新加坡完成双边数字贸易协定谈判

       7月26日消息，欧盟和新加坡完成历时约一年的双边数字贸易协定谈判。该协定针对欧盟与新加坡间的数字贸易规则，旨在简化跨境数据流动，为公司和消费者提供明确性和法律确定性，并强化双边数字市场的连通性。该协定加强了现有的欧盟－新加坡自2019年起的自由贸易协定，其中包括电子签名、消费者保护和垃圾邮件限制等规定；解决了数据访问和传输问题，特别是有关国家/地区的技术授权问题。后续欧盟和新加坡将按照各自程序，推动协定正式签署。（信息来源：欧盟委员会网站）

       二、网安事件聚焦

       （十）俄罗斯银行业遭大规模网络攻击

       7月29日消息，据《基辅邮报》报道，乌克兰网络特工自23日起对俄罗斯银行业发起大规模网络攻击。遭黑客入侵的俄罗斯银行包括Dom.RF、VTB银行、阿尔法银行、俄罗斯储蓄银行、俄罗斯农业银行、俄罗斯外贸银行、俄罗斯银行、天然气工业银行、Tinkoff银行和iBank。许多银行客户在尝试使用ATM时，借记卡和信用卡被立即冻结。此次攻击还冻结了俄罗斯的银行支付系统和移动应用程序，导致个人办公服务中断，公共交通支付受阻。《基辅邮报》称，黑客获得了俄罗斯主要银行数据库的访问权限。除此，黑客还破坏了俄罗斯移动和互联网服务提供商Beeline、MegaFon、Tele2和Rostelecom的服务，并针对在线聊天工具和俄罗斯主要社交网络发动攻击。（信息来源：SecurityAffairs网）

      （十一）阿联酋一家金融机构遭长达六天的DDoS攻击

       7月29日消息，黑客组织BlackMeta对阿联酋一家金融机构发起了长达六天的DDoS攻击，攻击强度平均每秒450万次请求，峰值达到每秒1470万次请求，攻击强度和持续时间创下纪录，使合法网络请求的比例降至0.12%。此次攻击虽尚未公布具体损失，但无疑对阿联酋的金融稳定构成了一次重大挑战。BlackMeta，又名SN_BlackMeta，曾声称对以色列，阿联酋和美国机构的攻击负责，该组织将其攻击定性为对巴勒斯坦人和穆斯林遭受不公正待遇的报复。（信息来源：DarkReading网）

      （十二）克罗地亚圣杰罗尼姆机场遭勒索攻击，航班大面积延误取消

       7月25日消息，克罗地亚圣杰罗尼姆机场遭Akira勒索团伙攻击，导致机场的IT基础设施完全关闭，航班运营陷入中断。由于航班发生大面积取消和延误，部分旅客被迫滞留机场，排队等待机场工作人员手动改签航班。圣杰罗尼姆机场是克罗地亚客流量最大的机场之一，年均接待超350万名游客。此次攻击事件发生时正值克罗地亚最繁忙的旅游旺季，航班中断或将给当地旅游经济带来压力。（信息来源：法新社）

      （十三）美洛杉矶高等法院遭勒索软件攻击，下属36个法院IT系统服务中断

       7月29日消息，美洛杉矶高等法院证实遭勒索软件攻击。攻击导致其内部案件管理系统、门户网站和核心系统一度崩溃，线上业务受严重影响。为阻断勒索病毒进一步传播，该法院中断了其下属36个法院的IT系统服务。由于业务系统关闭，该地区犯罪嫌疑人的押解、释放及儿童抚养听证会等事务安排均被延期。洛杉矶高等法院是美国最大的初审法院系统，为整个洛杉矶地区的1000万居民提供法律服务。目前，该法院线上系统已重新上线，但民事、遗嘱认证和交通案件等电子立案依旧无法现场处理。（信息来源：TheCyberExpress网）

       （十四）韩国防情报指挥部机密信息遭泄露

       7月27日消息，韩国防情报指挥部发生重大数据泄露事件，据当地媒体报道，包括指挥部海外特工名单在内的大量敏感资料被一名雇员私自拷贝到私人笔记本电脑上，而后被朝鲜黑客以网络攻击手段窃取。韩国防部周日对这一事件的真实性进行了确认。由于身份暴露，一些海外特工不得不停止活动返回韩国，这些特工不能重新部署，导致韩情报网络遭受重大挫折。目前韩军方已启动调查，但尚未对外公布具体细节。（信息来源：DAWN网）

       （十五）美政府主要IT服务提供商Leidos被盗文件遭泄露

       7月26日消息，黑客泄露了美政府主要IT服务提供商Leidos Holdings的内部文件，其两次在泄露论坛上发布部分样本文件，并出售所获的近7000个文件。Leidos近期发现了这一问题并展开调查，声称此次泄露事件未影响其网络和敏感客户数据，认为泄露文件是在2022年被窃取的，当时其使用的第三方供应商Diligent Corp系统遭黑客入侵。Leidos成立于2013年，2022财年成为美联邦最大的IT承包商，主要客户包括美国防部、国土安全部、NASA等。（信息来源：CNCERT国家工程研究中心）

      （十六）墨西哥ERP软件提供商ClickBalance云泄露超7亿条记录

       7月25日消息，安全研究人员发现墨西哥企业资源规划（ERP）软件提供商ClickBalance拥有的一个包含7.69亿条记录的云数据库未设置任何密码或安全认证，可被恶意行为者轻易访问。该数据库包含了访问令牌、API密钥、密钥、银行账号、税号和381224个电子邮件地址等敏感信息。目前尚不清楚该数据库已暴露多久，也不清楚是否有其他人访问过该数据库。在研究人员披露这一问题后，该数据库被限制了公共访问。（信息来源：安全内参）

      （十七）CrowdStrike约2.5亿条IoC数据遭窃取

       7月31日消息，黑客USDoD声称窃取了网络安全公司CrowdStrike全部攻击指标（IoC）数据共约2.5亿条，并在Breach Forums上发布了其中10万条IoC数据作为样本。研究人员发现，泄露样本数据中的所有条目似乎都与攻击者SAMBASPIDER有关，其中包含与Mispadu恶意软件相关的多个IoC指标详细信息。针对USDoD的泄漏声明，CrowdStrike采取了谨慎的回应态度，并未完全否认黑客的说法。该公司表示，USDoD正在泄露的数据实际上已对客户免费开放。（信息来源：CyberSecurityNews网）

      三、网安风险警示

       （十八）开源容器引擎Docker Engine的AuthZ插件存在满分漏洞

       7月26日消息，Docker公司发布紧急安全公告，修复了位于Docker Engine某些版本中的AuthZ授权绕过漏洞CVE-2024-41110 （CVSS评分为10.0）。Docker称，依赖AuthZ授权插件检查请求和/或响应正文以做出访问控制决策的任何人，都可能受影响。攻击者可通过构造一个Content-Length为0的API请求来触发该漏洞，会导致Docker守护进程将没有正文的请求转发给AuthZ插件，AuthZ插件可能会错误地批准该请求。开源的容器引擎Docker Engine是Docker的核心组件，负责构建、运行和管理容器。Docker Engine的AuthZ插件用于实现Docker访问控制机制，可实现对Docker API的细粒度访问控制，增强Docker的安全性。（信息来源：代码卫士）

      （十九）云原生企业自动化平台Automation Anywhere Automation 360存在服务器端请求伪造漏洞

       7月29日，启明星辰集团VSRC监测到Automation Anywhere的Automation 360版本v21-v32的Web API组件中存在服务器端请求伪造漏洞CVE-2024-6922（CVSS评分9.8），未经身份验证即可访问Automation 360 Control Room HTTPS/HTTP服务的攻击者可利用该漏洞从服务器触发任意Web请求，可能导致内部敏感信息泄露或未授权访问等，目前该漏洞的细节及PoC已公开。Automation Anywhere Automation 360是AI驱动的全新一体化云原生企业自动化平台，通过提供全面的流程发现、数字化、自动化和优化功能，帮助企业实现智能自动化，提高生产效率。鉴于该漏洞已修复，建议用户尽快升级版本。（信息来源：启明星辰）

       （二十）Acronis网络基础设施产品存在严重安全漏洞

       7月30日消息，网络安全公司Acronis发出警告，其网络基础设施（ACI）产品的一个已修补关键安全漏洞CVE-2023-45249（CVSS评分为9.8）已在野外被利用。该漏洞允许攻击者利用默认密码远程执行任意代码，影响多个版本产品。ACI是一个多租户、超融合网络保护平台，为企业和服务提供商提供存储、计算和虚拟化功能。目前，CISA已将该漏洞添加到其已知被利用漏洞目录中，要求美联邦民事行政部门在8月19日前应用补丁。Acronis也敦促所有用户尽快更新可用补丁。（信息来源：TheHackerNews网）

      （二十一）Telerik Report Server存在远程代码执行漏洞

       7月26日消息，Telerik Report Server存在远程代码执行漏洞CVE-2024-6327（CVSS评分为9.9）。该漏洞源于不安全的反序列化问题，影响Telerik Report Server 2024 Q2（10.1.24.709）及之前版本，远程攻击者可通过向目标服务器发送特制数据来利用该漏洞，从而导致远程代码执行。Telerik Report Server是一款基于Web的应用程序，可帮助组织创建、部署、交付和管理报告。目前，Progress Software已修复该漏洞，敦促用户尽快更新部署。（信息来源：SecurityAffairs网）

      （二十二）Chrome Dawn组件中存在严重安全漏洞

       7月31日，Chrome浏览器发布紧急安全更新，修复了Chrome Dawn组件中的未初始化使用漏洞CVE-2024-6990（CVSS评分为8.8），由于在代码中使用了未初始化的变量或数据，攻击者可利用该漏洞导致程序崩溃、信息泄露、拒绝服务攻击或可能导致代码执行。此外，Chrome还修复了WebTransport中的越界读取漏洞CVE-2024-7255，成功利用该漏洞可能导致信息泄露、程序崩溃或数据损坏等；以及Chrome Dawn中的另一个数据验证不足漏洞CVE-2024-7256，该漏洞可能导致攻击者注入和执行恶意代码。Dawn是Chrome浏览器中用于实现WebGPU的一个关键组件，它为开发者提供了强大的图形处理能力和跨平台的兼容性。鉴于上述漏洞的严重性，Google敦促所有Chrome用户尽快更新浏览器。（信息来源：启明星辰）