网络空间安全动态(202428期)
编者按:网安动向热讯,本期有九点值得关注:一是《中共中央办公厅 国务院办公厅关于完善市场准入制度的意见》正式对外公布;二是中央网信办等十部门秘书局(办公厅、综合司)联合印发《数字化绿色化协同转型发展实施指南》;三是工信部、国家标准委联合印发《物联网标准体系建设指南(2024版)》;四是中国信通院启动“数据匿名化标准”试点单位征集工作;五是美联邦航空管理局发布《人工智能安全保障路线图》;六是美NIST发布第二版《数字身份指南》公开草案;推出《应用5G网络安全和隐私功能》白皮书系列;七是澳大利亚成立新网络司令部;发布《政府负责任地使用人工智能政策》;八是澳大利亚、美国等多国网络安全机构联合发布《事件日志与威胁检测最佳实践指南》;九是新加坡CSA更新《OT网络安全总体规划》。
网安件聚焦,本期有两点建议关注:一是全球网络安全威胁态势依然严峻,网络攻击事件从未间断。本期介绍:游戏平台Steam遭大规模DDoS攻击;美油田服务公司Halliburton遭网络攻击;麦当劳官方Instagram账号遭入侵,发布加密货币虚假广告;二是数据泄露对企业声誉、业务往来、信用评级和现金流等造成严重影响。本期介绍:马来西亚国家基建公司Prasarana证实内网遭攻击导致资料外泄;丰田公司240 GB数据遭泄露;优步因数据跨境问题被罚2.9亿欧元;加拿大机场停车服务公司Park’N Fly发生数据泄露,影响约100万客户。
网安风险警示,本期有七点建议关注:一是工信部:关于防范SharpRhino恶意软件的风险提示;二是工信部:关于防范新型ValleyRAT恶意软件的风险提示;三是WordPress捐赠插件GiveWP存在满分漏洞;四是WordPress插件WPML存在严重漏洞,影响100万个网站;五是Litespeed Cache插件中存在未经身份验证的权限提升漏洞;六是移动安全框架MobSF存在严重安全漏洞;七是Google Chrome V8存在类型混淆漏洞。
一、网安动向热讯
(一)《中共中央办公厅 国务院办公厅关于完善市场准入制度的意见》正式对外公布
8月21日,《中共中央办公厅 国务院办公厅关于完善市场准入制度的意见》(以下简称《意见》)正式对外公布。这份《意见》是中央层面首次专门就市场准入制度建设出台的政策文件,针对新业态新领域的市场准入环境作出专门部署,其中提到,聚焦航天、航空、人工智能、自主可信计算、信息安全等新业态新领域,按照标准引领、场景开放、市场推动、产业聚集、体系升级的原则和路径,分领域制定优化市场环境实施方案,推动生产要素创新性配置,提高准入效率。(信息来源:中国政府网)
(二)中央网信办等十部门秘书局(办公厅、综合司)联合印发《数字化绿色化协同转型发展实施指南》
8月24日,中央网信办等十部门秘书局(办公厅、综合司)联合印发《数字化绿色化协同转型发展实施指南》。该指南从创新引领、协同推进、开放合作、务求实效等四个方面,明确了推进数字化绿色化协同转型发展(以下简称“双化协同”)工作的基本原则。按照“323”总体框架进行布局,明确了各地区政府和相关部门,行业协会、高校和科研院所,相关行业企业等双化协同三类实施主体,为各类主体推进双化协同工作提供指引和参考;明确了推动数字产业绿色低碳发展、加快数字技术赋能行业绿色化转型等双化协同两大发力方向;明确了数字化绿色化基础能力、数字化绿色化融合技术体系、数字化绿色化融合产业体系等双化协同融合创新三方面布局。(信息来源:网信中国)
(三)工信部、国家标准委联合印发《物联网标准体系建设指南(2024版)》
8月27日消息,工业和信息化部、国家标准化管理委员会印发《物联网标准体系建设指南(2024版)》(以下简称《指南》),提出到2025年,新制定物联网领域国家标准和行业标准30项以上,引导社会团体制定先进团体标准,加强标准宣贯和实施推广,参与制定国际标准10项以上,引领物联网产业高质量发展的标准体系加快形成。根据《指南》,物联网标准体系包括基础标准、技术标准、建设运维标准和应用标准4个部分。其中,技术标准包括感知技术、网络与通信技术、数据处理技术、融合技术、射频与电磁兼容技术、边缘计算技术、物联网操作系统、数字孪生技术等标准。(信息来源:工信微报)
(四)中国信通院启动“数据匿名化标准”试点单位征集工作
8月22日,中国信息通信研究院宣布,联合阿里巴巴等企业凝聚行业共识,共同研制数据匿名化标准,并组织开展匿名化标准试点工作,现面向行业征集首批标准试点单位。试点目标为通过评估匿名化数据交易流通场景的重标识风险,确定匿名化措施的有效性,帮助数据流通主体克服安全合规焦虑,推动匿名化数据流通交易场景的落地,进一步释放企业数据价值。试点对象方面,数据提供方或数据接收方的企业、组织、机构等均可报名参加试点工作,试点单位需提供具体的匿名化数据流通交易场景用于评估,包括交易的匿名化数据集的必要信息,以及数据提供方、数据接收方的必要信息等。(信息来源:中国信通院CAICT)
(五)美联邦航空管理局发布《人工智能安全保障路线图》
8月22日消息,美联邦航空管理局发布《人工智能安全保障路线图》,概述了美航空安全监管机构在航空领域安全整合新型人工智能的方法。该路线图包含7项指导原则:在航空生态系统内开展工作;关注安全保障和安全提升;避免拟人化;区分已学完的和学习中的人工智能;采取渐进式方案,在航空领域逐步应用人工智能;利用现有的安全体系,从低风险应用开始积累使用经验;利用行业共识标准,促进全球监管协调,适应技术变革。(信息来源:国防科技要闻)
(六)美NIST发布第二版《数字身份指南》公开草案
8月21日,美国家标准与技术研究院(NIST)发布第二版《数字身份指南》公开草案(NIST SP 800-63-4.2),旨在为数字身份管理提供指导,使用户通过各类身份证明方式均能够安全直接地访问在线服务,实现可访问性与安全性的平衡。该指南介绍了数字身份的概念和组成部分,强调了身份管理的重要性,以及如何通过多因素身份验证提高安全性;提供了不同类型的身份验证方法,并对每种方法的安全性、适用场景和潜在风险进行了分析;提出了如何进行身份验证过程中的隐私保护、如何确保用户数据的安全性等一系列联合身份管理要求;提出了相关的风险管理策略;提供了详细的技术操作指南。(信息来源:数据法律资讯)
(七)美NIST推出《应用5G网络安全和隐私功能》白皮书系列
8月22日消息,美NIST国家网络安全卓越中心(NCCoE)推出《应用5G网络安全和隐私功能》白皮书系列。首批出版物为《应用5G网络安全和隐私功能:白皮书系列介绍》《使用订阅隐藏标识符(SUCI)保护用户标识符》,前者概述了5G系统中特定的网络安全技术或隐私支持功能的信息、指南、推荐做法和研究结果;后者介绍了SUCI如何为网络用户提供安全和隐私保护。该系列面向商业移动网络运营商、潜在私有5G网络运营商以及使用和管理5G技术、网络安全和隐私项目经理,帮助其识别、了解、评估和减轻5G网络的风险。NCCoE鼓励5G网络运营商在其系统上启用SUCI以增强用户保护。(信息来源:美NIST网站)
(八)澳大利亚成立新网络司令部
8月26日消息,澳大利亚国防部在联合能力小组基础上成立新网络司令部,对澳大利亚网络作战力量进行整合,重点服务认知战和电子战,瞄准网络空间和电磁频谱领域能力建设。该司令部将设在澳大利亚信号局内,与网信空间作战部门、太空司令部等机构共同运行,发挥态势感知、作战指挥、技术培训等作用,强化了澳军在网络作战任务中的指挥权,将对网络作战力量进行集中统一管理,明晰太空和网络领域职责划分,促进澳大利亚国防部数字化转型。(信息来源:中国国防报)
(九)澳大利亚发布《政府负责任地使用人工智能政策》
8月21日消息,澳大利亚发布《政府负责任地使用人工智能政策》,将于9月1日生效,旨在统一澳大利亚各政府机构的人工智能使用方法。该政策的核心目标之一是将澳大利亚政府定位为人工智能使用的典范,遵循更高的道德行为标准。透明度是该政策关注的另一关键方面,各政府机构必须在六个月内发布人工智能透明度声明,详细说明其人工智能采用方法及为保护公众所采取的措施,必须在政策生效后的90天内指定实施的负责官员。(信息来源:清华大学智能法治研究院)
(十)澳大利亚、美国等多国网络安全机构联合发布《事件日志与威胁检测最佳实践指南》
8月22日消息,澳大利亚、美国等多国网络安全机构联合发布《事件日志与威胁检测最佳实践指南》,旨在帮助组织建立强大的事件日志记录基线,以应对恶意网络威胁的增长。该指南围绕企业批准的事件记录策略、集中式事件日志访问和关联、安全存储和事件日志完整性、相关威胁的检测策略四大部分展开,呼吁组织机构强化网络监控以更好地检测关键软件配置更改和其他可能导致恶意活动或潜在安全漏洞的修改;并敦促云环境高级信息技术决策者和技术运营商记录所有控制平面操作;建议配置控制平面日志以捕获任何管理更改、身份验证事件及读写活动。(信息来源:BankInfoSecurity网)
(十一)新加坡CSA更新《OT网络安全总体规划》
8月20日,新加坡网络安全局(CSA)更新《OT网络安全总体规划》,旨在提升新加坡关键和非关键信息基础设施的网络安全能力,以应对OT网络环境中不断升级的威胁。该规划概述了人员、流程和技术三个领域的关键举措,包括培养网络安全人才、优化信息共享流程以及强化供应链安全管理等。与2019年首版规划相比,2024年版更加强调应对新兴技术如边缘计算和物联网带来的威胁,并表示采用部署安全原则对于保护OT系统的整个生命周期管理至关重要。(信息来源:新加坡CSA网站)
二、网安事件聚焦
(十二)游戏平台Steam遭大规模DDoS攻击
8月24日,游戏平台Steam突然崩溃,国内外众多玩家反馈无法登录平台。Steam中国区代理完美世界竞技平台随后发布公告称该平台遭大规模DDoS攻击。据奇安信XLab实验室披露,有近60个僵尸网络主控发起了此次攻击,攻击指令一夜暴涨了2万多倍,对Steam全球网站轮番攻击,涉及13个国家和地区的107个Steam服务器IP。综合本次DDoS攻击的攻击指令暴涨、僵尸网络规模极大、攻击者火力之猛等特征,奇安信推测此次攻击幕后有着严密的组织和周密的行动计划,以及明确的攻击目标。(信息来源:奇安信集团)
(十三)美油田服务公司Halliburton遭网络攻击
8月22日消息,美油田服务公司Halliburton遭网络攻击,影响了Halliburton位于休斯敦北部园区的业务运营及部分全球连接网络,该园区员工被要求不要连接内部网络。Halliburton是一家全球领先的油田服务公司,在全球70多个国家运营,客户遍及能源行业的多个领域。Halliburton尚未披露此次攻击具体细节,其发言人表示,公司已意识到影响特定系统的问题,正与外部专家合作评估和修复未经授权的活动。(信息来源:CyberSecurityNews网)
(十四)麦当劳官方Instagram账号遭入侵,发布加密货币虚假广告
8月22日消息,黑客入侵了麦当劳官方Instagram账号,利用该账号发布了关于Grimace Meme币的虚假广告,鼓励用户通过Pump.fun网站投资以麦当劳紫色吉祥物名字命名的Grimace代币。黑客声称用户只要投资较少资金即可获得丰厚回报。在虚假帖子发布后30分钟内,Grimace币的市值飙升至2000万美元,随后暴跌至100万美元以下。根据区块链分析服务Bubblemaps数据显示,黑客早已抢购了Grimace代币总流通供应量的75%,待代币价格飙升后抛售持有代币,导致Grimace代币价值暴跌,在此过程中获利约70万美元。事件发生后,麦当劳迅速采取措施重新控制账号。(信息来源:Cybernews网)
(十五)马来西亚国家基建公司Prasarana证实内网遭攻击导致资料外泄
8月26日,马来西亚负责其国内轻快铁、吉隆坡单轨火车和捷运服务的国家基建公司Prasarana证实,其内部网络遭攻击导致系统资料外泄。根据网络威胁情报平台FalconFeeds.io称,黑客组织已窃取该公司316 GB数据并计划公布。Prasarana是一家由马来西亚政府控股的国有企业,是该国最大的公共交通公司之一。目前Prasarana已展开调查,并表示此次攻击未对铁路服务产生影响。(信息来源:TheStar网)
(十六)丰田公司240 GB数据遭泄露
8月22日消息,黑客组织ZeroSevenGroup声称入侵了丰田汽车美国分公司,并窃取了240 GB数据,其中包含丰田员工和客户的详细信息,以及合同和财务数据,并通过开源工具AD Recon收集了其他类型的数据。丰田公司确认了该事件的真实性,表示丰田汽车北美公司系统未遭破坏,数据是黑客从第三方实体窃取而来,但其未透露第三方实体信息。(信息来源:BleepingComputer网)
(十七)优步因数据跨境问题被罚2.9亿欧元
8月26日,荷兰数据保护局对网约车服务运营商优步公司处以2.9亿欧元(约合人民币23亿元)罚款,理由是优步公司在没有遵守隐私保护规则的情况下将欧洲出租车司机的数据传输到美国。该公司收集位置信息、照片、付款信息、身份证明信息等,甚至在某些情况下收集司机的犯罪记录和医疗数据。过去两年来,优步将这些数据传输至美国总部。荷兰数据保护局认为优步严重违反了欧盟《通用数据保护条例》,企业在将欧洲人的个人数据存储在欧盟之外时,必须采取额外措施以确保数据保护水平,而优步未能满足这些要求。(信息来源:央视财经)
(十八)加拿大机场停车服务公司Park’N Fly发生数据泄露,影响约100万客户
8月26日,加拿大机场停车服务公司Park’N Fly证实,未经授权的攻击者通过远程VPN入侵了其网络,约有100万客户文件被访问。攻击者可能获得的数据包括客户姓名、基本联系信息、Aeroplan和CAA编号。客户信用卡、支付信息以及密码因未存储在被泄露的服务器上因此不受影响。Park’N Fly表示,公司在发现该事件后立即展开调查,并已告知客户其个人信息可能遭泄露。(信息来源:GlobalNews网)
三、网安风险警示
(十九)工信部:关于防范SharpRhino恶意软件的风险提示
8月26日消息,工业和信息化部网络安全威胁与漏洞信息共享平台监测发现,黑客组织正利用SharpRhino新型远程访问木马实施网络攻击。SharpRhino利用数字签名的32位安装程序进行传播,内含自解压的加密7z存档及感染文件,该恶意软件在安装过程中会修改Windows注册表,释放“LogUpdate.bat”,实现在设备上执行PowerShell脚本,部署勒索病毒负载。根据监测,本轮SharpRhino恶意软件传播以部署冒充合法开源网络扫描工具网站的方式为主,攻击目标主要为IT从业人员,建议相关单位及用户立即排查,防范网络攻击风险。(信息来源:网络安全威胁与漏洞信息共享平台)
(二十)工信部:关于防范新型ValleyRAT恶意软件的风险提示
8月27日,工业和信息化部网络安全威胁与漏洞信息共享平台监测到新型ValleyRAT恶意软件,主要针对中文版Windows用户,特别是电子商务、金融、销售和管理相关用户。ValleyRAT是一种用C++编写的远程访问木马,疑似与APT组织Silver Fox相关联,该恶意软件侧重于以图形方式监视用户活动。攻击者发送伪装成金融或商业文档的诱饵,利用合法应用图标诱骗用户点击,一旦打开恶意软件会通过创建互斥锁和修改注册表来建立持久性,并用虚拟环境检查、混淆技术、禁用防病毒软件等手段绕过检测,与命令和控制服务器通信后,下载ValleyRAT核心载荷执行恶意活动。建议相关单位和用户谨慎下载运行来源不明的邮件或文档。(信息来源:网络安全威胁与漏洞信息共享平台)
(二十一)WordPress捐赠插件GiveWP存在满分漏洞
8月22日消息,研究人员发现WordPress广泛使用的捐赠插件GiveWP中存在PHP对象注入漏洞CVE-2024-5932(CVSS评分10.0),可能导致远程代码执行和未经授权的文件删除,影响超10万个网站。该漏洞源于对“give_title”参数的不安全反序列化处理,允许未经授权的攻击者注入PHP对象,插件内的POP链进一步允许攻击者能够远程执行代码,并删除任意文件。WordPress是使用PHP语言开发的博客平台,GiveWP是专门为接受捐赠而开发的插件。该漏洞影响GiveWP插件3.14.1之前的所有版本,目前,该漏洞已修复,建议用户尽快更新。(信息来源:TheHackerNews网)
(二十二)WordPress插件WPML存在严重漏洞,影响100万个网站
8月28日消息,研究人员发现WordPress WPML插件存在认证远程代码执行漏洞CVE-2024-6386(CVSS评分9.9),影响超100万个网站。由于WPML插件在渲染Twig模板时未能正确验证和清理输入,从而导致经过身份验证的攻击者有可能将恶意代码注入模板并在服务器上执行。通过利用此漏洞,攻击者可完全控制受感染站点,部署恶意工具并对系统发动进一步攻击。WPML作为WordPress多语言插件被广泛使用,使网站管理员能够无缝管理翻译和创建多语言内容。目前,官方已发布修复版本,建议用户尽快更新。(信息来源:SecurityOnline网)
(二十三)Litespeed Cache插件中存在未经身份验证的权限提升漏洞
8月24日消息,研究人员发现Litespeed Cache插件中存在未经身份验证的权限提升漏洞CVE-2024-28000(CVSS评分9.8),目前该漏洞的技术细节已公开且已遭利用。该漏洞源于LiteSpeed Cache 6.3.0.1及以上版本中用户模拟功能的弱哈希校验问题,未经身份验证的攻击者可通过向REST API的/wp/v2/users端点发送恶意POST请求迭代litespeed_hash并指定litespeed_role目标用户ID来利用该漏洞,成功利用可创建具有管理员级别权限的新用户账户,可能导致受影响的网站被接管、安装恶意插件或更改关键设置等。LiteSpeed Cache是一款在WordPress平台上广泛使用的缓存插件,拥有超过500万活跃安装。目前该漏洞已修复,建议用户尽快升级版本。(信息来源:启明星辰)
(二十四)移动安全框架MobSF存在严重安全漏洞
8月26日消息,研究人员发现移动安全框架MobSF存在严重安全漏洞CVE-2024-43399(CVSS评分9.8),所有MobSF版本均受影响。攻击者可利用该漏洞将文件提取到运行MobSF服务器上的任何所需位置,可能导致系统被入侵。MobSF是一款渗透测试、恶意软件分析和安全评估框架,可为Android、iOS和Windows Mobile平台上的移动应用程序提供静态和动态分析功能。官方已在4.0.7版本中修复该漏洞,建议用户尽快更新。(信息来源:CVEdetails网)
(二十五)Google Chrome V8存在类型混淆漏洞
8月22日消息,Google Chrome发布安全更新,修复了Chrome V8中的一个类型混淆漏洞CVE-2024-7971(CVSS评分8.8),目前该漏洞已遭在野利用。攻击者可通过诱导受害者访问恶意HTML页面来利用该漏洞,可能导致浏览器崩溃、信息泄露或执行任意代码。Google Chrome是一款网页浏览器,V8是由Google开源的一个高性能JavaScript引擎,被广泛应用于各种JavaScript执行环境。目前该漏洞已修复,建议用户尽快升级版本。(信息来源:启明星辰)
