网络空间安全动态（202426期）

       编者按：网安动向热讯，本期有七点值得关注：一是全国网安标委就《网络安全标准实践指南—互联网平台停服数据处理安全要求（征求意见稿）》公开征求意见；发布《数据安全技术 数据接口安全风险监测方法》征求意见稿；二是财政部印发《会计信息化工作规范》；三是美CISA和FBI发布《安全需求指南：软件客户如何推动安全技术生态系统发展》；四是美SAFECOM发布《采用公共安全云计算的注意事项》；五是澳大利亚国防部发布《国防数据战略2.0》；六是美澳签署《关于打击外国政府信息操纵的谅解备忘录》；七是联合国网络犯罪问题特设委员会通过《联合国打击网络犯罪公约》。

      网安事件聚焦，本期有两点建议关注：一是频繁的网络攻击事件进一步凸显了提升网络安全的重要性和必要性。本期介绍：国内大量家用路由器遭DNS劫持；乌克兰政府设备遭大规模网络钓鱼攻击；区块链基础设施协议Nexera遭黑客攻击；特朗普与马斯克直播访谈期间，社交媒体平台X遭大规模DDoS攻击；二是数据泄露不仅导致企业业务损失，事后的客户和第三方响应成本也会不断增加。本期介绍：加纳软件公司Nerasolgh 30万行数据遭泄露；波兰反兴奋剂机构遭攻击，超5万份机密文件被泄露。

      网安风险警示，本期有八点建议关注：一是工信部：关于防范利用亿赛通电子文档安全管理系统高危漏洞实施网络攻击的风险提示；二是开源监控系统Zabbix存在高危漏洞；三是思科旧版IP电话存在多个远程代码执行零日漏洞；四是Windows远程桌面许可管理服务存在高危远程代码执行漏洞；五是Python Web框架Django存在SQL注入漏洞；六是Chrome、Firefox和Safari等主流网络浏览器中存在零日漏洞；七是Windows 10和Windows 11系统的公共日志文件系统驱动程序中存在严重漏洞；八是太阳能管理平台Solarman和Deye存在高危漏洞，可导致全球范围停电。

       一、网安动向热讯

       （一）全国网安标委就《网络安全标准实践指南—互联网平台停服数据处理安全要求（征求意见稿）》公开征求意见

       8月8日消息，全国网络安全标准化技术委员会秘书处发布《网络安全标准实践指南—互联网平台停服数据处理安全要求（征求意见稿）》，现面向社会公开征求意见。该指南给出了互联网平台停服数据处理的基本要求，以及重要数据处理的要求，旨在规范互联网平台停服数据处理活动，保障数据安全，促进数据依法合理有效利用，保护个人、组织的合法权益，维护国家安全和公共利益，可用于指导互联网平台数据处理者开展数据安全保护工作，也可为主管监管部门实施安全监管或安全评估提供参考。（信息来源：中国信息安全）

       （二）全国网安标委发布《数据安全技术 数据接口安全风险监测方法》征求意见稿

       8月8日消息，全国网络安全标准化技术委员会秘书处发布《数据安全技术 数据接口安全风险监测方法》征求意见稿征求意见的通知。该文件立足于组织面临的数据接口安全风险的实际情况，分析风险场景及成因，提取监测数据特征，结合当前监测技术实现，提出数据接口场景下的监测方法。明确了数据接口的定义，并从数据接口各方角色及关系抽象概括形成了数据接口的各项基础要素，基于基础要素，提出了数据接口风险监测方法的整体框架，并分别对框架中的监测方式、监测原则、监测流程展开描述。（信息来源：全国网安标委网站）

       （三）财政部印发《会计信息化工作规范》

       8月7日，财政部印发《会计信息化工作规范》，该文件共六章50条，从会计信息化建设、会计数据处理和应用、会计信息化安全、会计信息化监督等方面作出规定。其中，在会计数据处理和应用方面提出，鼓励单位开展会计数据治理，探索会计数据要素应用场景，以安全合规为前提，促进会计数据要素的流通使用，实现会计数据要素价值。在会计信息化安全方面提出，要求单位统筹考虑会计信息化的系统安全、网络安全、涉密安全、跨境安全等，强化会计数据在生成、传输、存储等环节的安全风险防范。（信息来源：安全内参）

       （四）美CISA和FBI发布《安全需求指南：软件客户如何推动安全技术生态系统发展》

       8月8日，美网络安全与基础设施安全局（CISA）与联邦调查局（FBI）发布《安全需求指南：软件客户如何推动安全技术生态系统发展》，旨在帮助组织机构采购安全的技术产品，推动软件制造商采取行动将安全设计作为核心考虑。该指南为采购软件的组织机构提供了评估产品安全性的方法和资源，建议将产品安全考虑纳入采购生命周期各阶段：采购前了解软件制造商的产品安全策略；采购期间将产品安全要求体现在合同中；采购后持续评估产品安全成果。CISA强调，客户应通过采购决策推动软件制造商承诺和落实安全设计，软件制造商应在日志管理、第三方服务和漏洞报告等关键领域保持透明性和及时性。（信息来源：美CISA网站）

      （五）美SAFECOM发布《采用公共安全云计算的注意事项》

       8月8日消息，美CISA公共安全通信项目SAFECOM发布《采用公共安全云计算的注意事项》，旨在帮助公共安全从业人员确定计划使用的云解决方案的范围和要求。该文件概述了实施基于云解决方案的关键建议，包括确保不间断的服务、技术互操作性以及用户的定制体验；建议云服务必须符合安全性、验证和韧性标准；强调基于云的技术解决方案必须满足用户特定任务要求。（信息来源：美CISA网站）

       （六）美ONCD发布《2023年开源软件安全信息请求总结报告》

       8月9日，美国家网络总监办公室（ONCD）发布2023年开源软件（OSS）安全信息请求（针对需优先考虑的领域征求公众建议）总结报告。该报告整合了从OSS社区收到的反馈，提出美联邦政府应优先考虑五个领域，包括保障OSS基础；维护OSS社区和治理；保障OSS生态系统的激励措施；研究和开发以及国际合作。根据反馈，公众认为美政府需要采取行动以提高OSS生态系统安全性，包括增加内存安全编程语言的采用；资助开发新的开源工具和库；研究人工智能的使用；分享全球软件供应链中的已知漏洞；投资培养人才等。（信息来源：美白宫网站）

       （七）澳大利亚国防部发布《国防数据战略2.0》

       8月8日消息，澳大利亚国防部发布《国防数据战略2.0 －数据时代的决策优势》，该战略响应澳政府2024年国防战略和综合投资计划，旨在以数据为中心改善国防部工作模式，利用数据加强战备工作，提升决策效率，实现决策优势。该战略提出6项举措：一是提升国防数据治理能力，实现灵活、可扩展和网络化的数据治理和管理；二是通过一体化国防能力系统，解决联合部队的数据需求；三是优化能力投资和资源分配决策；四是以更快速度为作战人员提供高质量数据；五是提高国防数据的安全性和完整性，提升数据保护和共享能力；六是加强国防部数据文化和数据素养，加速数据搜索和使用技术的创新和开发。（信息来源：中国信息安全）

       （八）美澳签署《关于打击外国政府信息操纵的谅解备忘录》

       8月8日消息，美国务卿安东尼·布林肯与澳大利亚外交部长黄英贤在华盛顿签署《关于打击外国政府信息操纵的谅解备忘录》，旨在有效地共同打击错误信息和虚假信息。布林肯强调，该谅解备忘录将促进两国扩大信息共享，采取互补措施以应对印太地区威胁，并增强数字生态系统的信息完整性。黄英贤表示，这份备忘录有助于共同应对外国干涉等风险和挑战。（信息来源：Cyberdaily.au网）

       （九）联合国网络犯罪问题特设委员会通过《联合国打击网络犯罪公约》

       8月8日，联合国网络犯罪问题特设委员会投票一致通过《联合国打击网络犯罪公约》，首次建立了全球层面的网络犯罪和数据访问法律框架，旨在更有效地预防和打击网络犯罪。该公约分为九章，包括总则、刑事定罪、管辖权、程序措施和执法、国际合作、预防措施、技术援助和信息交流、实施机制、最后条款。该公约将被提交至联合国大会进行投票。（信息来源：清华大学智能法研究院）

      二、网安事件聚焦

       （十）国内大量家用路由器遭DNS劫持

       8月9日消息，腾讯云DNSPod监测到国内大量家用路由器的DNS解析配置被篡改，影响正常的网站和App访问。该情况于今年5月开始出现，于8月5日集中爆发达到峰值，经测试确认，截至8月7日，导致本次故障大规模爆发的域名在异常DNS服务器上已恢复，但受TTL及客户端本地缓存的影响，客户端的恢复时间会有一定的滞后性。腾讯云提供了自查路由器DNS被修改的方法，建议受影响用户升级家用路由器固件，并修改DNS服务器以确保能够正常解析。（信息来源：IT之家）

       （十一）乌克兰政府设备遭大规模网络钓鱼攻击

       8月12日，乌克兰计算机应急响应小组（CERT-UA）发现一起针对乌克兰政府的大规模网络钓鱼活动。攻击者冒充乌克兰国家安全局（SSU），通过电子邮件传播恶意软件。邮件附带名为“Document.zip”的下载链接，用户点击后会下载并运行MSI文件，从而激活名为ANONVNC的恶意软件，导致攻击者能够未经授权访问设备。目前，CERT-UA已确认乌克兰中央和地方政府100多台设备受影响，已采取措施缓解威胁，并敦促政府部门提高警惕，报告一切可疑活动。（信息来源：DarkReading网）

       （十二）区块链基础设施协议Nexera遭黑客攻击

       8月9日消息，加密安全公司Cyvers披露，区块链基础设施协议Nexera遭黑客攻击。黑客通过获取Nexera的代理合同控制权执行提款功能，窃取了4700万个NXRA代币（价值约176万美元），并将部分代币转换为以太坊，部分转移至BNB Chain。事件发生后，Nexera平台暂停了NXRA代币合约并停止了去中心化交易所的交易，同时冻结了攻击者钱包中剩余的3250万NXRA代币。此次攻击造成NXRA代币约40%的价值下跌。（信息来源：CyberExpress网）

      （十三）特朗普与马斯克直播访谈期间，社交媒体平台X遭大规模DDoS攻击

       8月13日消息，社交媒体平台X所有者马斯克表示，在与美共和党总统候选人特朗普预定的现场采访期间，其平台遭到大规模DDoS攻击。按照原计划，美东时间12日晚8时，马斯克将对特朗普进行一次连麦直播访谈，并在X平台上通过马斯克和特朗普的个人账号进行现场直播。然而，当直播开始时，用户却无法访问两人直播间。奇安信XLab实验室的大网威胁感知系统于第一时间捕获了本次攻击活动。该平台数据显示，来自英国、德国、加拿大的4个僵尸网络主控，以及最近非常活跃的代理打击组织，还有传统的反射攻击组织发动至少34波DDoS攻击，攻击时长50分钟，导致访谈中断40分钟。（信息来源：奇安信集团）

       （十四）加纳软件公司Nerasolgh 30万行数据遭泄露

       8月10日消息，匿名黑客在BreachForums论坛上称，决定惩罚加纳软件公司Nerasolgh，因该公司与Omni Bank和M-Files公司合作但未能履行数据保护承诺。黑客泄露了该公司30万行客户和员工数据，包括姓名、电子邮件、密码、地址、经纬度、银行信息等。Nerasolgh是一家提供定制化商业效率软件解决方案的科技公司。黑客警告Nerasolgh公司应加大投资数据保护力度，否则将面临更严重后果。（信息来源：DarkWebInformer网）

       （十五）波兰反兴奋剂机构遭攻击，超5万份机密文件被泄露

       8月13日消息，波兰反兴奋剂机构（POLADA）遭黑客攻击，导致POLADA网站瘫痪，超5万份机密文件被泄露，包括波兰运动员的医疗记录和检测历史等敏感信息，部分运动员的姓名、家庭住址、电子邮件和电话号码已在网上公布。黑客组织Beregini声称对此负责。目前，POLADA正与警方、数据保护办公室等合作调查，并已通知受影响运动员。（信息来源：TheRecord网）

       三、网安风险警示

       （十六）工信部：关于防范利用亿赛通电子文档安全管理系统高危漏洞实施网络攻击的风险提示

       8月9日，工业和信息化部网络安全威胁和漏洞信息共享平台（NVDB）监测发现，亿赛通电子文档安全管理系统存在高危漏洞，可被攻击者利用获取服务器控制权限，进而实施网络攻击。亿赛通电子文档安全管理系统（简称CDG）是一款电子文档加解密产品，未升级至最新版本的CDG 820及之前版本系列、新一代CDG系列都可能受影响。目前，亿赛通官方已发布安全漏洞修复补丁，建议用户及时更新。（信息来源：NVDB网站）

       （十七）开源监控系统Zabbix存在高危漏洞

       8月13日消息，安全研究人员披露了存在于开源监控系统Zabbix中的高危漏洞CVE-2024-22116（CVSS评分9.9）。由于脚本参数缺乏默认转义，具有受限权限的攻击者可利用“监视主机”部分中的脚本执行功能，通过Ping脚本执行任意代码，从而威胁整个基础设施。Zabbix是一种被广泛应用的企业级监控解决方案，用于监控IT基础设施的各种性能指标和状态。该漏洞影响Zabbix 6.4.0 - 6.4.15、7.0.0alpha1 - 7.0.0rc2版本。目前，官方已发布修复版本，建议用户尽快更新。（信息来源：CVE网站）

      （十八）思科旧版IP电话存在多个远程代码执行零日漏洞

       8月12日消息，思科称已达生命周期的Small Business SPA 300和SPA500系列IP电话中存在多个远程代码执行零日漏洞。其中CVE-2024-20450、CVE-2024-20452和CVE-2024-20454（CVSS评分均为9.8）允许未经身份验证的远程攻击者通过向目标设备发送特别构建的HTTP请求，以root权限在底层操作系统上执行任意命令。另两个漏洞CVE-2024-20451和CVE-2024-20453（CVSS评分均为7.5）可导致恶意数据包在受影响的设备上引发拒绝服务。思科表示，上述两款设备不会获得安全更新，建议用户尽快将设备替换至更新的受支持机型。（信息来源：代码卫士）

       （十九）Windows远程桌面许可管理服务存在高危远程代码执行漏洞

       8月9日消息，微软披露最新远程代码执行漏洞CVE-2024-38077（CVSS评分9.8），影响Windows Server 2000到Windows Server 2025所有版本。该漏洞存在于Windows远程桌面许可管理服务（RDL）中，攻击者无需任何权限即可实现远程代码执行，获取服务器最高权限。RDL服务不是默认安装，但很多管理员会手工开启，若该漏洞被APT组织利用，可能波及全球使用微软服务器的用户。目前，微软官方已发布修复方案，建议用户尽快做好自查及防护。（信息来源：奇安信CERT）

      （二十）Python Web框架Django存在SQL注入漏洞

       8月11日消息，Django项目发布安全公告，修复了Django中的一个SQL注入漏洞CVE-2024-42005（CVSS评分9.8），影响Django多个版本。当使用QuerySet.values()或values_list()方法从数据库中提取数据，并且模型中包含JSONField字段类型时，攻击者可通过传递特制JSON对象键作为参数（*args）执行SQL注入攻击，进而访问、修改或删除数据库中的数据。Django是一个基于Python的开源Web应用框架。鉴于该漏洞危害较大，建议用户尽快更新版本。（信息来源：启明星辰）

       （二十一）Chrome、Firefox和Safari等主流网络浏览器中存在零日漏洞

       8月11日消息，网络安全公司Oligo Security披露了一个影响所有主流网络浏览器（包括Chrome、Firefox和Safari等）的零日漏洞“0.0.0.0 Day”。攻击者可在macOS和Linux发行版本上（Windows系统版本不受影响），利用该漏洞让公共网站访问本地网络服务，并可能通过使用0.0.0.0地址执行任意代码。研究人员发现已有黑客利用该漏洞发起攻击，建议浏览器供应商尽快修复漏洞。（信息来源：FreeBuf网）

       （二十二）Windows 10和Windows 11系统的公共日志文件系统驱动程序中存在严重漏洞

       8月13日消息，网络安全公司Fortra发现Windows 10和Windows 11系统的公共日志文件系统驱动程序中存在严重漏洞CVE-2024-6768。攻击者可利用该漏洞，通过构造特定的.BLF文件，诱导系统产生无法恢复的错误，从而触发蓝屏死机现象。研究人员称，这是一种需要物理接触目标系统的本地攻击方式，即使安装了最新安全补丁的Windows 10和Windows 11系统也无法完全避免蓝屏死机。目前，微软尚未发布针对该漏洞的补丁，建议用户加强物理安全防护，减少系统被物理接触的风险。（信息来源：DarkReading网）

       （二十三）太阳能管理平台Solarman和Deye存在高危漏洞，可导致全球范围停电

       8月8日消息，网络安全公司Bitdefender披露了主要光伏电站管理平台Solarman和太阳能逆变器平台Deye的安全漏洞。Solarman平台管理着全球数百万个光伏装置，其API架构存在各种攻击风险，包括账户完全接管、跨平台令牌重用和数据过度暴露等；Deye平台连接到Solarman基础设施，存在硬编码凭证、信息泄露和授权令牌生成缺陷等。上述漏洞一旦遭利用，攻击者可能会控制逆变器设置，从而导致全球范围内的停电和电力分配中断。目前，供应商已采取修复措施。研究人员敦促用户尽快升级软件版本，以保障Solarman和Deye平台安全。（信息来源：安全内参）