网络空间安全动态(202427期)
编者按:网安动向热讯,本期有七点值得关注:一是中央网信办、工信部两部门印发《全国重点城市IPv6流量提升专项行动工作方案》;二是美NIST正式发布首批3项后量子加密标准;三是美拟立法推动联邦政府网络安全漏洞全面消减工程,旨在加强联邦承包商的漏洞披露规则;四是美陆军拟获取新版可部署防御性网络作战系统套件;五是英国家网络安全中心计划建立全国网络欺诈证据库,旨在增强网络防御能力;六是越南《数据法草案》和《数字技术产业法草案》公开征求意见;七是日本将成立国防创新技术研究所,以应对网络战威胁。
网安事件聚焦,本期有两点建议关注:一是地缘政治风险加剧,对网络安全领域造成严重影响。本期介绍:伊朗遭迄今最大规模网络攻击,银行系统大面积瘫痪;英国一核设施曝严重网络安全失误,已对国家安全造成威胁;美半导体制造商微芯科技遭网络攻击,部分业务受影响;捷克移动用户遭PWA网络钓鱼攻击;华盛顿时报遭Rhysida勒索软件攻击。二是勒索软件攻击导致的数据泄露,给企业和民众带来巨大安全风险隐患。本期介绍:智利1000万公民个人信息遭泄露,影响全国半数人口;美俄勒冈州动物园售票服务系统遭黑客攻击,11.8万用户信息被盗;美菲营利性医疗保健组织遭勒索软件攻击,超10万名患者和社区成员数据泄露;物理安全公司ADT 3万多名客户数据遭黑客窃取;美知名建筑公司遭勒索软件攻击,1.3万名客户数据被窃取;国内某上市公司疑遭勒索攻击,2.3TB数据遭窃取。
网安风险警示,本期有八点建议关注:一是工信部:关于防范Windows Server远程桌面授权服务远程代码执行超危漏洞的风险提示;二是AMD曝出超级权限漏洞,数亿设备面临威胁;三是Windows TCP/IP IPv6组件中存在远程代码执行漏洞;四是美CISA警告SolarWinds Web Help Desk漏洞被积极利用;五是美CISA警告Jenkins CLI路径遍历漏洞疑遭利用;六是开源系统Apache DolphinScheduler存在远程代码执行漏洞;七是自托管平台GitHub Enterprise Server存在身份验证绕过漏洞;八是WPS Office两个严重漏洞遭利用,影响2亿用户办公套件。
一、网安动向热讯
(一)中央网信办、工信部印发《全国重点城市IPv6流量提升专项行动工作方案》
8月21日消息,中央网信办、工业和信息化部印发《全国重点城市IPv6流量提升专项行动工作方案》,组织开展全国重点城市IPv6流量提升专项行动,覆盖北京市、天津市等8个重点城市。《工作方案》要求完整、准确、全面贯彻新发展理念,加快构建新发展格局,着力推动高质量发展,以提升固定网络IPv6流量为主攻方向,着力提升IPv6端到端贯通水平和服务质量,拓展IPv6应用广度深度,加快突破网络、平台、终端、应用等关键环节难点堵点,持续完善产业生态,增强内生发展动力,促进互联网全面向IPv6演进升级,为网络强国建设提供有力支撑。(信息来源:网信中国)
(二)美NIST正式发布首批3项后量子加密标准
8月19日消息,美商务部国家标准与技术研究院(NIST)正式发布全球首批三个后量子加密标准(PQC),即一种通过加密实现安全通信的算法以及两种用于“数字签名”的算法,后两种算法可以防止黑客冒充已知用户或设备。这3个后量子加密标准有望在全球范围内使用,以保障互联网通信免受量子计算机攻击。这三项新标准包含加密算法的计算机代码、如何实施这些算法的说明及其预期用途等。美商务部副部长唐-格雷夫斯表示:量子计算的进步,在重申美国作为全球技术强国的地位和推动未来经济安全方面发挥着至关重要的作用。NIST正在提供宝贵的专业知识,为量子挑战开发创新的解决方案,包括后量子加密技术等安全措施。(信息来源:中国科学报)
(三)美拟立法推动联邦政府网络安全漏洞全面消减工程,旨在加强联邦承包商的漏洞披露规则
8月16日消息,美两党宣布联合推出一项立法提案—2024年《联邦承包商网络安全漏洞消减法案》,旨在加强联邦承包商的漏洞披露规则。新法案要求美联邦承包商遵守NIST制定的漏洞披露政策,并落实正式的漏洞报告接收、评估和管理流程,从而减少已知的安全漏洞。新法案还要求美国防部长监督《国防联邦采购条例补充》合同要求的更新工作,国防承包商要实施类似政策。新法案将确保美联邦承包商及联邦机构遵守国家指南,更好地保护美关键基础设施和敏感数据免受潜在攻击。(信息来源:安全内参)
(四)美陆军拟获取新版可部署防御性网络作战系统套件
8月17日消息,美陆军授予Sealing Technologies公司价值958万美元的合同,以获取新版“可部署防御性网络作战系统—模块化”(DDS-M)套件。DDS-M套件是一种具有专用计算和存储资源的可部署套件,为美陆军网络司令部网络保护旅提供作战能力,以快速评估和应对意外和动态的网络威胁。该套件由三个耐用的存储箱和一个背包组成,并设计为可在商用飞机的头顶行李舱内运输;采用了模块化构建概念,使得网络保护团队可根据需求进行定制,以快速响应网络安全漏洞或其他网络战事件。(信息来源:奇安网情局)
(五)英国家网络安全中心计划建立全国网络欺诈证据库,旨在增强网络防御能力
8月20日消息,英国家网络安全中心(NCSC)举办重要会议,讨论如何利用网络欺骗技术加强网络防御,核心目的是建立一个全国范围的网络欺骗证据库,以支持其主动网络防御2.0战略。NCSC计划在英国互联网上部署5000个低交互和高交互网络欺骗解决方案实例,内部网络中部署2万个实例,云环境中部署20万个资产以及200万个令牌。这些部署将应对关于网络欺骗技术在发现潜在威胁和影响攻击者的有效性问题。此次会议汇集了国际政府合作伙伴、英国政府官员和行业领袖。(信息来源:英NCSC网站)
(六)越南《数据法草案》和《数字技术产业法草案》公开征求意见
8月15日消息,越南就《数据法草案》和《数字技术产业法草案》公开征求意见。上述草案旨在解决数据和数字技术领域的各种问题,可能对各行业产生重大影响。《数据法草案》的预期生效日期为2026年1月1日,不设过渡期。该草案是越南成为数字国家并加强数据保护与安全战略的一部分,以应对网络安全和信息安全事件。关键条款包括数据经济监管;数据处理活动的明确定义;跨境数据传输的严格监管;政府对数据的访问;合规与执行。《数字技术产业法草案》目前尚未确定具体生效日期,预计将于2024年10月提交越南国会,并于2025年6月颁布。(信息来源:清华大学智能法治研究院)
(七)日本将成立国防创新技术研究所,以应对网络战威胁
8月16日消息,日本防卫省将于2024年10月成立一个专注于网络战领域的国防创新技术研究所,以加强网络防御态势、开发创新的网络战技术,旨在应对即将到来和持续变化的网络威胁。该机构将由日本政府机构、私营公司等100余名员工构成,其中包括网络战、人工智能和机器人技术方面的专家。该机构有四项基本职责:一是加强与其他国家的国防装备和技术合作;二是在日益严峻的安全环境中确保技术优势;三是保障和加强国防生产和技术基础;四是基于国防装备高科技化、复杂化等的采办改革。(信息来源:防务快讯)
二、网安事件聚焦
(八)伊朗遭迄今最大规模网络攻击,银行系统大面积瘫痪
8月15日消息,伊朗央行和该国多家银行遭大规模网络攻击,导致伊朗银行系统大面积中断。初步评估表明,这可能是针对伊朗国家基础设施的最大网络攻击之一,黑客窃取了伊朗最大银行及其他银行账户持有人的信息以及数百万伊朗民众的银行详细信息和信用卡详细信息等。攻击发生后,伊朗当地民众称已经无法交易,ATM取款机显示错误信息。伊朗当局正在调查网络攻击并努力恢复银行业务。此次攻击事件可能引发民众对伊朗关键基础设施脆弱性的担忧。(信息来源:安全内参)
(九)英国一核设施曝严重网络安全失误,已对国家安全造成威胁
8月14日消息,英国最危险的核设施之一的塞拉菲尔德公司承认,因一系列网络安全失误可能对国家安全构成威胁。塞拉菲尔德是一个庞大的核废料堆场,储存着核武器制造及几十年来核电站发电产生的废料,隶属于核退役管理局,拥有约1.1万名员工。伦敦威斯敏斯特地方法院获悉,该大型核废料堆场中,75%的计算机服务器都易受网络攻击,有可能威胁国家安全的信息被暴露了长达四年之久。同时,该核废料场的外部承包商在无人监督的情况下能够将U盘插入其计算机系统。目前,塞拉菲尔德因一系列信息技术安全违规行为面临指控。(信息来源:安全内参)
(十)美半导体制造商微芯科技遭网络攻击,部分业务受影响
8月21日消息,美半导体制造商微芯科技Microchip遭网络攻击,其信息技术系统被检测到存在潜在可疑活动,随后确认系统遭未经授权访问。微芯科技公司迅速采取行动,隔离受影响服务器系统,并关闭了可能受波及的其他系统,同时聘请网络安全专家全面评估事件的严重程度及影响范围。此次攻击导致微芯科技部分制造设施的运营效率降至正常水平以下,直接影响该公司按时履行客户订单的能力。此次攻击事件的具体原因、芯片制造业务受干扰的详细程度以及是否涉及勒索等情况仍待进一步调查确认。(信息来源:Theregister网)
(十一)捷克移动用户遭PWA网络钓鱼攻击
8月20日消息,斯洛伐克网络安全公司ESET报告称,捷克共和国移动用户面临一种新型且复杂的网络钓鱼攻击,黑客利用渐进式Web应用程序(PWA)技术,针对包括捷克的CSOB银行、匈牙利的OTP银行及格鲁吉亚的TBC银行等发起攻击,窃取用户银行账户凭证。黑客通过自动语音电话、短信及社交媒体恶意广告散布钓鱼链接,诱导用户点击并安装模仿的银行应用程序PWA或Android上的WebAPK,这些应用复制了真实银行应用的界面,一旦用户在应用中输入银行凭证,信息便会被泄露至黑客控制的命令与控制服务器或Telegram群聊中。ESET公司目前已监测到多波类似攻击活动。(信息来源:TheHackerNews网)
(十二)华盛顿时报遭Rhysida勒索软件攻击
8月15日消息,Rhysida勒索软件组织正在网上拍卖《华盛顿时报》的“独家”数据,标价为5比特币,拍卖倒计时为7天。《华盛顿时报》被视为美国五大保守派媒体之一,每月在线访客超过300万,每天纸质读者超过5万。尽管Rhysida未具体说明从《纽约时报》服务器窃取的数据量,但提供了所谓的样本作为此次攻击的“证据”,包括公司文件,银行对账单、员工文件、驾照和社会保障卡的复印件等。《华盛顿时报》暂未就此事做出回应。(信息来源:安全威胁纵横)
(十三)智利1000万公民个人信息遭泄露,影响全国半数人口
8月16日消息,Cybernews研究团队发现智利最大的养老金和社会保障基金Caja Los Andes发生大规模数据泄露事件。泄露数据包括个人姓名、出生日期、电话号码、家庭住址以及信用额度等,影响1000万智利公民。Caja Los Andes是智利最大的家庭津贴补偿基金(CCAF),为公民提供健康保险、养老基金、贷款和抵押贷款。该公司拥有近3000名员工,超400万会员。此次数据泄露事件源于该组织的Apache Cassandra数据库缺乏身份验证,任何人都可访问存储在该数据库上的公民个人数据,客户面临身份被盗和网络钓鱼攻击风险。Cybernews已通报Caja Los Andes并确认泄露已得到控制。(信息来源:安全威胁纵横)
(十四)美俄勒冈州动物园售票服务系统遭黑客攻击,11.8万用户信息被盗
8月19日消息,美俄勒冈州动物园售票服务系统遭黑客攻击,约11.8万名用户的个人信息和支付卡数据被盗,包括姓名、支付卡号、CVV安全码及到期日期等,被盗数据涉及在2023年12月20日至2024年6月26日期间在线购票的用户。该动物园发现数据泄露后立即停用了受影响系统,并建立了新的安全购票平台。调查发现此次泄露是由于第三方供应商交易被攻击者重定向所致,动物园已向可能受影响用户发送通知信息,并为其提供一年的免费信用监控和身份保护服务。(信息来源:SecurityWeek网)
(十五)美菲营利性医疗保健组织遭勒索软件攻击,超10万名患者和社区成员数据泄露
8月19日消息,美非营利性医疗保健组织Jewish Home Lifecare声称遭勒索软件攻击,超10万名患者及社区成员数据被泄露。该保健组织向受影响客户发送信息称,其网络在1月7日遭攻击,黑客可能已获取包括个人身份信息、金融账户详情、医疗记录在内的敏感信息,为确保受害者安全,将提供免费的信用监控服务。勒索软件组织BlackCat声称攻击了Jewish Home Lifecare并获取临床研究、财务及员工客户数据,甚至涉及捐赠资金滥用的证据。目前未有证据表明被盗信息遭滥用。(信息来源:SecurityWeek网)
(十六)物理安全公司ADT 3万多名客户数据遭黑客窃取
8月15日消息,物理安全公司ADT披露一起数据泄露事件,称未经授权的黑客非法访问其包含ADT客户订单信息的数据库,并非法获取超3万名客户信息,包括电话号码、电子邮件地址、用户ID及购买产品等,涉及超30812条记录和30400封电子邮件。ADT在发现数据泄露后迅速采取措施,终止了未经授权访问,并与网络安全专家合作进行调查。ADT是一家警报和物理安全系统提供商,在美国拥有13000多名专业人员和超过600万客户。ADT称此次事件不会对其运营或财务状况产生重大影响,目前调查仍在继续。(信息来源:安全威胁纵横)
(十七)美知名建筑公司遭勒索软件攻击,1.3万名客户数据被窃取
8月21日消息,美知名建筑设计公司CannonDesign向其1.3万名客户发送了数据遭泄露通知,称黑客组织在2023年初入侵并窃取了公司的网络数据,包括客户的姓名、地址、社会安全号码和驾驶执照号码等个人信息。Cannon Design未明确指出攻击者的身份,但其发言人表示此次攻击事件与Avos Locker勒索软件组织有关。Avos Locker勒索软件组织随后宣称对CannonDesign进行了攻击,并获取了5.7 TB的数据,包括公司和客户文件。目前尚未发现被盗信息遭滥用情况,为降低个人数据泄露风险,该公司将为受影响用户提供为期24个月的信用监控服务。(信息来源:安全内参)
(十八)国内某上市公司疑遭勒索攻击,2.3TB数据遭窃取
8月20日消息,国内某A股上市建筑公司某集团疑似发生大规模数据泄露。勒索软件组织The Ransom House Group在数据泄露论坛发帖称窃取了该公司2.3TB数据,并宣称如果未来2-3天内不支付赎金将公布数据。此次针对某集团的攻击事件未得到官方确认,也未公布具体被窃数据的种类和数量,但报道该事件的威胁情报平台预计可能涉及公司内部敏感信息。RansomHouse是近年来新兴的数据勒索组织之一,自2021年末开始活跃,主要通过复杂的网络渗透手段和钓鱼攻击来进入目标公司的网络,成功攻破后会迅速下载并窃取公司数据,随后勒索赎金。(信息来源:安全内参)
三、网安风险警示
(十九)工信部:关于防范Windows Server远程桌面授权服务远程代码执行超危漏洞的风险提示
8月16日消息,工业和信息化部网络安全威胁和漏洞信息共享平台监测发现,Windows Server远程桌面授权服务存在远程代码执行超危漏洞。Windows Server是由微软公司开发的服务器操作系统,其远程桌面授权服务用于管理和颁发远程桌面服务许可证。RDL服务开启情况下,未经身份认证的攻击者可利用该漏洞远程执行代码,获取服务器控制权限。受影响的型号和版本包括Windows Server 2008、2012、2016、2019、2022等。目前,微软官方已修复该漏洞并发布安全公告,建议用户立即更新。(信息来源:网络安全威胁和漏洞信息共享平台)
(二十)AMD曝出超级权限漏洞,数亿设备面临威胁
8月17日消息,安全公司IOActive的研究人员披露了AMD处理器的一个名为“Sinkclose”的难以修复的严重漏洞,该漏洞影响了自2006年以来发布的几乎所有AMD处理器,数以亿计的笔记本、台式机和服务器面临威胁。研究人员警告称,针对任何装有易受攻击的AMD芯片的设备,攻击者都可以用一种名为Bootkit的恶意软件感染计算机,一旦成功,攻击者就可完全控制受感染系统,甚至可能破坏系统的完整性。AMD决定不为一些较旧但仍很流行的处理器提供补丁。(信息来源:AMD官网)
(二十一)Windows TCP/IP IPv6组件中存在远程代码执行漏洞
8月15日消息,奇安信CERT监测到微软发布安全更新修复Windows TCP/IP IPv6远程代码执行漏洞CVE-2024-38063(CVSS评分9.8)。未经身份验证的远程攻击者可通过发送特制的IPv6数据包到目标Windows系统,导致目标蓝屏崩溃,精心构造请求理论上存在远程代码执行的可能性。该漏洞影响了所有受IPv6支持的Windows版本。Windows TCP/IP组件是Windows操作系统的核心网络功能之一,负责实现网络通信协议,使得计算机能够在网络上进行数据传输和通信。鉴于该漏洞影响范围较大,建议用户尽快安装补丁。(信息来源:奇安信CERT)
(二十二)美CISA警告SolarWinds Web Help Desk漏洞被积极利用
8月15日消息,美CISA通报一个名为CVE-2024-28986(CVSS评分9.8)的严重的反序列化漏洞,该漏洞存在于广泛部署的IT帮助台软件SolarWinds Web Help Desk中。攻击者可利用该漏洞在验证身份后执行任意代码。美CISA已将其纳入已知被利用漏洞目录,并要求联邦机构在9月5日前完成修复。SolarWinds已发布针对该漏洞的紧急修补程序(版本12.8.3),并建议所有Web Help Desk用户立即升级并应用补丁。(信息来源:Securityonline网)
(二十三)美CISA警告Jenkins CLI路径遍历漏洞疑遭利用
8月19日消息,美CISA已将Jenkins命令行界面(CLI)严重路径遍历漏洞CVE-2024-23897(CVSS评分9.8)纳入其已知利用漏洞目录。Jenkins是广受欢迎的开源自动化服务器,维护着全球数十万安装实例,用户超百万。攻击者可利用该漏洞通过CLI利用默认启用的文件内容扩展功能,读取Jenkins控制器上的任意文件,甚至可能执行远程代码,对系统安全构成重大威胁。该漏洞源于Jenkins对CLI命令参数的处理方式,特别是args4j库中的“expandAtFiles”功能,未能在较新版本中被有效禁用所致。拥有“Overall/Read”权限的攻击者能无限制地读取文件,包括可能存储敏感信息的加密密钥文件。研究人员称该漏洞可能已遭到大规模利用。美CISA要求联邦机构9月9日前修复该漏洞。(信息来源:SecurityAffairs网)
(二十四)开源系统Apache DolphinScheduler存在远程代码执行漏洞
8月20日,开源系统Apache DolphinScheduler中存在远程代码执行漏洞CVE-2024-43202(CVSS评分为9.8)。由于未有效限制反序列化的类以及对用户提供的YAML文件缺乏充分验证和过滤,攻击者可提供恶意YAML文件来触发反序列化漏洞,从而执行任意代码。Apache DolphinScheduler是一个分布式易扩展的可视化DAG工作流任务调度开源系统,适用于企业级场景,提供了一个可视化操作任务、工作流和全生命周期数据处理过程的解决方案。目前该漏洞已被修复,建议受影响用户升级到最新版本。(信息来源:启明星辰)
(二十五)自托管平台GitHub Enterprise Server存在身份验证绕过漏洞
8月21日消息,启明星辰集团VSRC监测到GitHub Enterprise Server中修复了一个身份验证绕过漏洞CVE-2024-6800(CVSS评分为9.5)。GitHub Enterprise Server多个版本受影响,当GHES配置为与特定的身份提供者(IdP)进行SAML SSO集成,并且这些IdP使用公开暴露的、已签名的联合元数据XML文件时,攻击者可伪造SAML响应在GHES上进行身份验证和授权,从而创建或获取具有站点管理员权限的用户账户。GitHub Enterprise Server(GHES)是一个用于企业内软件开发的自托管平台,团队可使用GitHub Enterprise Server通过Git版本控制、强大的API、生产力和协作工具以及集成来构建和发布软件。目前该漏洞已被修复,建议受影响用户尽快升级版本。(信息来源:启明星辰)
(二十六)WPS Office两个严重漏洞遭利用,影响2亿用户办公套件
8月18日消息,WPS Office被曝存在两个高危漏洞CVE-2024-7262和CVE-2024-7263(CVSS评分均为9.3)。上述漏洞均位于其promecefpluginhost.exe组件中,通过不充分的路径验证机制,使攻击者能够诱导用户打开特制电子表格文档,进而加载并执行任意Windows库。CVE-2024-7262允许远程代码执行,可能引发数据泄露、勒索软件攻击或系统深度入侵,影响12.2.0.13110至12.2.0.13489版本,且已被恶意利用。建议所有WPS Office用户立即升级至12.2.0.17153或更高版本。(信息来源:Securityonline网)
