网络空间安全动态(202425期)
编者按:网安动向热讯,本期有七点值得关注:一是三部门联合印发《加快构建新型电力系统行动方案(2024—2027年)》;二是德国联邦政府以所谓对德国联邦测绘局进行网络入侵为由公开对中方进行无端指责;三是美CISA发布新的联邦政府《软件采购指南》,旨在提高软件采购过程中的安全保障和透明度;四是美网络司令部部署战备状态管理系统,旨在提升联合网络指挥控制能力;五是美国家反情报与安全中心发布《2024国家反情报战略》;六是欧盟《人工智能法案》正式生效,是全球首部全面监管人工智能的法规;七是英NCSC发布主动网络防御2.0计划,以帮助政府部门和企业应对新兴网络威胁。
网安事件聚焦,本期有两点建议关注:一是勒索软件攻击事件频发,涉及多个国家地区的多个行业。本期介绍:巴黎奥运会比赛场馆遭勒索软件攻击;移动设备管理公司Mobile Guardian遭黑客攻击,上万台设备上的数据被远程擦除;印度银行业发生重大勒索攻击事件,近300家银行业务瘫痪;白银生产商Fresnillo公司遭网络攻击,导致部分IT系统和数据被非法访问;国际知名电子制造服务商因勒索攻击停运两周,损失超1.2亿元;美大型血液中心OneBlood遭勒索攻击,数百家医院启动血液短缺应急程序。二是大规模数据泄露事件层出不穷,给政府机构和公民个人均带来重大安全隐患。本期介绍:一家名为Jerico Pictures Inc.的公共数据业务公司泄露近30亿个人数据;500万行阿根廷公民信息在暗网被售卖;美医疗保健公司HealthEquity 430万用户个人信息及健康信息遭泄露。
网安风险警示,本期有六点建议关注:一是工信部:关于防范勒索病毒Play新变种的风险提示;二是开源分析与可视化平台Kibana存在任意代码执行漏洞;三是电子邮件客户端Roundcube Webmail存在多个XSS高危漏洞;四是电子商务平台Apache OFBiz存在代码执行漏洞;五是软件包Setuptools中存在一个命令注入漏洞;六是Google Chrome ANGLE存在越界内存访问漏洞。
一、网安动向热讯
(一)三部门联合印发《加快构建新型电力系统行动方案(2024—2027年)》
8月6日消息,国家发展改革委、国家能源局和国家数据局三部门联合印发《加快构建新型电力系统行动方案(2024—2027年)》。《行动方案》提出,2024—2027年重点开展9项专项行动:一是电力系统稳定保障行动;二是大规模高比例新能源外送攻坚行动;三是配电网高质量发展行动;四是智慧化调度体系建设行动;五是新能源系统友好性能提升行动;六是新一代煤电升级行动;七是电力系统调节能力优化行动;八是电动汽车充电设施网络拓展行动;九是需求侧协同能力提升行动。(信息来源:国家能源局)
(二)德国联邦政府以所谓对德国联邦测绘局进行网络入侵为由公开对中方进行无端指责
8月1日消息,德国联邦政府以所谓对德国联邦测绘局进行网络入侵为由公开对中方进行无端指责,中方对此予以坚决驳回,并已向德方提出严正交涉。中方坚决反对操弄网络安全问题,炒作所谓涉华网络威胁,敦促德方停止借网络安全问题搞反华政治操弄和舆论抹黑。网络攻击是世界各国面临的共同威胁,中国也是网络攻击的受害者。中方坚决反对并依法打击各种形式的黑客攻击,不允许任何国家或个人在中国境内或利用中国基础设施从事网络攻击等非法活动。(信息来源:光明网)
(三)美CISA发布新的联邦政府《软件采购指南》,旨在提高软件采购过程中的安全保障和透明度
8月1日消息,美CISA发布新的联邦政府《软件采购指南》。该指南的核心是将安全原则贯穿整个软件生命周期,从设计、开发到部署和运营使用。指南中包含了治理控制问题,以确保供应商维护内部和第三方组件的来源数据,并采取其他关键安全措施。控制问题包括要求供应商提供CISA安全软件开发声明表格,并进行日志和补丁管理,以保持联邦软件供应链的完整性。供应商还需详细说明具体实施的安全设计原则和行业标准,用于漏洞扫描和管理。该指南专注于安全需求元素,提供了针对机构人员的建议,与承担企业风险者以及候选供应商进行相关讨论,以便做出更好的、基于风险的信息决策,从而提升网络安全透明度。(信息来源:美CISA网站)
(四)美网络司令部部署战备状态管理系统,旨在提升联合网络指挥控制能力
8月2日消息,美网络司令部披露了一套战备状态管理系统,支持全域网络作战,为指挥官提供可视化的仪表板和指标。该系统由洛克希德·马丁公司提供,可近乎实时地显示人员、团队、设备和基础设施相关指标,允许指挥官跟踪任务对齐、部队使用情况、训练人员、任务人员以及人员的各种技能。战备状态管理是联合网络指挥控制计划的一部分,该计划旨在提升态势感知、优化战斗管理,以及提供美网络部队的战备水平信息。(信息来源:DefenseScoop网)
(五)美国家反情报与安全中心发布《2024国家反情报战略》
8月1日消息,美国家情报总监办公室下属的国家反情报与安全中心(NCSC)发布《2024国家反情报战略》,为美联邦政府和反情报部门(CI)提供战略方向,应对外国情报威胁,并使CI优先事项与国家安全战略保持一致。2024战略包括三大支柱:超越和限制外商投资企业、保护美国战略优势以及投资未来。每个支柱具体的战略目标为:第一支柱的目标为发现、了解和预测外国情报威胁以及打击外国情报网络活动;第二支柱的目标为保护个人免遭外国情报攻击和收集、保障关键技术和美经济安全、降低美关键供应链的风险等目标;第三支柱要求美政府建立反间谍能力、韧性和伙伴关系。NCSC主任表示,国家反间谍战略旨在推动整个CI界的行动、整合和资源,以维护美国的战略优势并超越外国情报机构。(信息来源:全球技术地图)
(六)欧盟《人工智能法案》正式生效,是全球首部全面监管人工智能的法规
8月1日,欧盟《人工智能法案》正式生效,是全球首部全面监管人工智能的法规。该法案规定,聊天机器人等人工智能系统必须明确告知用户他们在与机器互动,人工智能技术提供商必须确保合成的音频、视频、文本和图像内容能够被检测为人工智能生成的内容。此外,该法案规定,禁止使用被认为对用户基本权利构成明显威胁的人工智能系统。如果企业涉足“禁止”领域,则被处以3500万欧元或全球年销售总额7%的罚款,以二者之中的更高金额为准进行处罚。欧盟成员国需在2025年8月2日之前指定各自国家市场监督和法案适用的主管部门。欧盟的人工智能办公室将是该法案在欧盟层面实施的关键机构。(信息来源:安全内参)
(七)英NCSC发布主动网络防御2.0计划,以帮助政府部门和企业应对新兴网络威胁
8月6日消息,英国家网络安全中心(NCSC)发布主动网络防御(Active Cyber Defence,ACD)2.0计划,以帮助政府部门和企业应对新兴网络威胁。ACD 2.0将引入更先进的网络安全工具和服务,填补商业市场空白。NCSC计划重新评估现有工具和服务,并在必要时将其管理权转交给私营部门,目标是在3年内实现大部分服务的成功转移。ACD计划最初于2017年启动,提供四个方面的免费服务:即自查与预警、威胁检测、防护和防御以及提供支持多种ACD服务的通用平台。(信息来源:UKAuthority网)
(八)英NCSC将出台《网络安全与弹性法案》,以保护关键基础设施
8月2日消息,英NCSC将出台《网络安全与弹性法案》,旨在加强英国关键基础设施的保护,以应对日益严峻的网络威胁。该法案将扩大监管机构的职权范围,强化基础并增加报告要求,以更好地了解网络威胁。此外,该法案还将对传统的监管框架进行更新,以覆盖更多数字服务和供应链,填补国家防御空白。(信息来源:中国信息安全)
(九)美国与新加坡举行第二次关键和新兴技术对话
8月1日消息,美国与新加坡举行第二次关键和新兴技术对话,本次对话涉及人工智能、数字经济、生物技术、关键基础设施和技术供应链、国防创新、量子信息科学核技术等六个方面。其中人工智能合作主要包括:同意将生成式人工智能纳入双方治理和风险管控框架内;双方在人工智能测试和评估方面开展合作,探索红队指南和基准一致性;加强国际标准合作;加强人工智能安全科学合作;探索双方科研机构在人工智能领域合作项目;计划面向东南亚第三国开展官员人工智能能力培训。(信息来源:安全内参)
二、网安事件聚焦
(十)巴黎奥运会比赛场馆遭勒索软件攻击
8月7日消息,巴黎检察官办公室表示,法国国家博物馆IT系统遭勒索软件攻击,该网络包括大约40个博物馆,其中包括用于举办击剑和跆拳道比赛的巴黎大皇宫。检察官办公室表示目前尚未发现奥运会赛事安排受影响。自奥运会开始以来,针对法国关键基础设施的其他攻击还包括开幕式当天对该国铁路网络发动“精心策划的纵火”攻击,以及几天后对该国光纤网络的“重大破坏”行动,这两起事件仍在调查中。法国总理表示,奥运期间法国已阻止68起网络攻击。(信息来源:安全内参)
(十一)移动设备管理公司Mobile Guardian遭黑客攻击,上万台设备上的数据被远程擦除
8月7日消息,总部位于英国的移动设备管理(MDM)公司Mobile Guardian遭黑客攻击,导致上万台设备上的数据被远程擦除。Mobile Guardian表示,8月4日检测到黑客未经授权访问注册在其平台上的大量iOS和Chrome OS设备,将这些设备从MDM平台中注销并远程抹除了设备中的数据,事件影响北美、欧洲和新加坡的多个客户。为控制事态并防止进一步破坏,该公司紧急关闭服务器。此次攻击动机和被擦除数据的设备数量均尚未明确。Mobile Guardian表示,目前没有证据表明攻击者获取了用户数据。但根据部分受影响用户的反馈,被擦除的设备规模可能将数以万计。(信息来源:安全内参)
(十二)印度银行业发生重大勒索攻击事件,近300家银行业务瘫痪
8月2日消息,印度银行业发生一起重大勒索软件攻击事件,导致近300家小型银行陷入运营混乱。该事件是印度银行的第三方技术服务提供商C-Edge Technologies遭勒索攻击所致,直接影响这些银行的支付及客户服务系统,银行客户无法进行包括ATM机存取款以及统一支付接口在内的支付交易。C-Edge Technologies由印度国家银行与塔塔咨询服务公司合资成立,旨在为印度的银行和金融机构提供包括核心银行解决方案、支付网关、网络安全服务以及数据分析等服务。印度国家支付公司NPCI确认该事件,称攻击者使用复杂的勒索软件变种RansomEXX v2.0,专门针对大型组织索取高额赎金,在发现攻击后,NPCI迅速将C-Edge Technologies从其支付系统中切断,以防止对更广泛的支付系统造成更大影响。(信息来源:安全内参)
(十三)白银生产商Fresnillo公司遭网络攻击,导致部分IT系统和数据被非法访问
8月2日消息,全球最大白银生产商之一Fresnillo公司遭网络攻击,导致部分IT系统和数据被非法访问。Fresnillo在发现攻击后立即启动应急响应措施以控制数据泄露,并与外部专家合作调查和评估事件影响。Fresnillo强调,此次网络攻击并未影响其生产运营,预计也不会对财务或物质层面产生影响,目前所有业务部门运营正常。Fresnillo在墨西哥运营着八个矿山,拥有四个高级勘探项目以及一些长期勘探项目,并在墨西哥、秘鲁和智利拥有采矿特许权和勘探项目。(信息来源:FreeBuf网)
(十四)国际知名电子制造服务商因勒索攻击停运两周,损失超1.2亿元
8月6日消息,国际知名电子制造服务提供商Keytronic披露,因5月份发生的一次勒索软件攻击导致该公司停运两周,损失超1700万美元(约合人民币1.2亿元),攻击者在入侵期间还从其系统中窃取了个人信息。Keytronic在美国、墨西哥、中国和越南均设有工厂,攻击对其墨西哥和美国工厂造成干扰,影响了支持机器人操作和公司功能的业务应用程序。Black Basta勒索软件组织声称对此事负责,并泄露了从该公司系统中窃取的所有数据。Black Basta于2022年4月首次出现,已入侵数百个组织。(信息来源:安全内参)
(十五)美大型血液中心OneBlood遭勒索攻击,数百家医院启动血液短缺应急程序
8月1日消息,美大型血液中心OneBlood因遭勒索软件攻击致部分系统关闭,其运营能力受影响。OneBlood公司表示,为维持运营已实施了手动流程和程序,但需要耗费时间,还会影响库存可用性,已要求250多家接受其服务的医院启动关键的血液短缺程序,并在一段时间内保持该状态。OneBlood向阿拉巴马州、南卡罗来纳州、佛罗里达州、佐治亚州和北卡罗来纳州的数百家医院提供血液及其他医疗物资。OneBlood目前正与网络安全专家合作解决该事件。(信息来源:安全内参)
(十六)一家名为Jerico Pictures Inc.的公共数据业务公司泄露近30亿个人数据
8月5日消息,黑客组织在暗网论坛泄露了一家名为Jerico Pictures Inc.公共数据业务公司近30亿个人数据,并以350万美元价格出售。Jerico Pictures Inc.公司因负责国家公共数据业务,如果确认被售卖数据属实,此次数据泄露可能是有史以来影响人数最多的一次。部分遭泄露的信息包括用户姓名、社会安全号码、地址、亲属信息等。目前尚不清楚泄露事件的具体发生时间和方式。Jerico Pictures Inc.公司仍未向受影响的个人发出通知或警告。(信息来源:安全内参)
(十七)500万行阿根廷公民信息在暗网被售卖
8月1日消息,500万行阿根廷公民信息在暗网被售卖,售价为350美元。黑客声称此次泄露的数据为阿根廷公民的个人信息,主要包含姓名、出生日期(大约40%的行有此数据)、身份证号码、电话号码、邮箱等。据悉,在2021年阿根廷全国人口身份证信息就曾遭黑客盗取并对外兜售,对公民个人信息安全和国家安全造成恶劣影响。(信息来源:安全威胁纵横)
(十八)美医疗保健公司HealthEquity 430万用户个人信息及健康信息遭泄露
8月1日消息,美医疗保健公司HealthEquity 430万用户个人信息及健康信息遭泄露,主要包括其管理的账户和福利的注册信息,以及用户的个人信息(姓名、地址、电话号码、员工ID、雇主、受抚养人信息和支付卡信息)等。HealthEquity表示,攻击者入侵了有权访问在线存储库的供应商账户并获取了存储信息,存储在HealthEquity核心系统之外的非结构化数据存储库中部分受保护的健康信息和个人身份信息存在未经授权访问和潜在泄露的风险。HealthEquity在发现遭攻击后立即采取行动,包括禁用所有可能受到损害的供应商账户并终止所有活动会话、阻止与攻击者活动相关的所有IP地址,并为受影响供应商重置密码。(信息来源:安全威胁纵横)
三、网安风险警示
(十九)工信部:关于防范勒索病毒Play新变种的风险提示
8月1日消息,工信部网络安全威胁和漏洞信息共享平台监测发现针对Linux的勒索病毒Play新变种,攻击对象主要为VMware ESXi虚拟化环境,攻击目标包括制造、建筑业、IT、金融和房地产等行业。Play勒索病毒又名Balloonfly和PlayCrypt,于2022年6月被首次发现,其以双重勒索而闻名,在未满足赎金要求时非法公开或出售受害组织数据,遭受其勒索的组织已超过300家。该新变种在成功启动后,将扫描并关闭受攻击环境中发现的所有虚拟机,而后加密文件(如虚拟机磁盘、配置和元数据文件),并在每个文件末尾添加.PLAY扩展名,同时在虚拟机的根目录中投放一张赎金条,显示在ESXi客户端的登录门户和虚拟机重启后的控制台中。建议相关单位和用户立即组织排查,防范网络攻击风险。(信息来源:网络安全威胁和漏洞信息共享平台)
(二十)开源分析与可视化平台Kibana存在任意代码执行漏洞
8月7日消息,研究人员发现Kibana中存在一个任意代码执行漏洞CVE-2024-37287(CVSS评分为9.9),影响Kibana 8.14.2和7.17.23之前版本。攻击者可利用该漏洞访问Kibana中的机器学习和警报连接器功能,拥有内部机器学习索引写入权限的攻击者可触发原型污染漏洞,导致任意代码执行,从而造成数据泄露、系统崩溃,甚至接管受害者系统。Kibana是一个开源的分析与可视化平台,设计用于和Elasticsearch协作,它允许用户搜索、查看、交互存放在Elasticsearch索引里的数据,并通过各种图表、表格、地图等形式直观地展示数据,从而实现高级的数据分析与可视化。目前该漏洞已被修复,建议用户及时更新。(信息来源:启明星辰)
(二十一)电子邮件客户端Roundcube Webmail存在多个XSS高危漏洞
8月6日消息,奇安信CERT监测到官方修复Roundcube Webmail跨站脚本漏洞CVE-2024-42008和CVE-2024-42009,CVSS评分均为9.8。未经身份验证的攻击者可利用上述漏洞窃取电子邮件、联系人和密码等敏感信息。Roundcube Webmail是一个开源的基于Web的电子邮件客户端,使用户能够随时随地访问和处理电子邮件。鉴于之前的Roundcube Webmai漏洞曾多次被APT28、Winter Vivern等APT组织利用过,建议用户尽快更新。(信息来源:奇安信CERT)
(二十二)电子商务平台Apache OFBiz存在代码执行漏洞
8月6日消息,奇安信CERT监测到官方修复Apache OFBiz授权不当导致的代码执行漏洞CVE-2024-38856(CVSS评分9.1),该漏洞允许未经身份验证的攻击者绕过原有的安全机制执行代码。攻击者可利用该漏洞来执行恶意操作,包括但不限于获取敏感信息、修改数据或执行系统命令。Apache OFBiz是一个著名的电子商务平台,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。目前该漏洞技术细节与PoC已在互联网上公开,鉴于该漏洞影响范围较大,建议用户尽快做好自查及防护。(信息来源:奇安信CERT)
(二十三)软件包Setuptools中存在一个命令注入漏洞
8月1日,启明星辰VSRC监测到Setuptools 69.1.1及之前版本中的package_index模块的下载功能中存在一个命令注入漏洞CVE-2024-6345(CVSS评分为8.8),目前该漏洞的细节及PoC已公开。模块中的下载功能对于从指定URL检索和安装软件包至关重要,当URL由用户提供或从软件包索引服务器的HTML页面自动提取时,上述功能易受攻击。如攻击者控制URL,则可以利用该漏洞导致远程代码执行,成功在目标系统上执行任意命令。Setuptools是Python中常用的一个软件包,主要用于构建、打包和发布Python软件包。目前该漏洞已被修复,受影响用户可升级到Setuptools 70.0或更高版本。(信息来源:启明星辰)
(二十四)Google Chrome ANGLE存在越界内存访问漏洞
8月7日消息,研究人员发现Chrome使用的2D/3D图形渲染引擎ANGLE中存在越界内存访问漏洞CVE-2024-7532(CVSS评分8.8),攻击者可通过诱导用户打开恶意链接来利用该漏洞,从而在应用程序上下文中执行任意代码或导致浏览器崩溃。Chrome是一款由Google公司开发的免费的、快速的互联网浏览器软件,目标是为使用者提供稳定、安全、高效的网络浏览体验。ANGLE的目标是通过将OpenGL ES API调用转换为该平台可用的硬件支持API之一,让多个操作系统的用户能够无缝运行WebGL和其他OpenGL ES内容。鉴于该漏洞影响范围较大,建议用户尽快做好自查及防护。(信息来源:奇安信CERT)
