网络空间安全动态(202429期)
编者按:网安动向热讯,本期有七点值得关注:一是国务院审议通过《网络数据安全管理条例(草案)》;二是中欧数据跨境流动交流机制正式建立并举行第一次会议;三是工信部等十一部门联合发文推动新型信息基础设施协调发展;四是美CISA和FBI针对网络钓鱼技术联合发布指南;五是美加州通过有争议的人工智能训练数据透明度法案;六是韩政府发布《韩国国家网络安全基本计划》;七是澳大利亚举行网络安全运动会。
网安事件聚焦,本期有三点建议关注:一是俄罗斯对乌克兰关键基础设施进行军事冲突以来最大规模空袭,乌关基设施瘫痪,水电网中断近12小时;二是研究人员发现攻击者利用云服务作为攻击平台,针对中国公务人员开展大规模网络钓鱼活动;三是数以亿计的数据泄露事件时有发生,保护用户个人信息安全刻不容缓,本期介绍:俄罗斯社交媒体和网络服务商3.9亿用户个人信息疑遭泄露;美数据经纪公司超1.7亿条敏感信息在互联网公开暴露;知名现场服务管理平台ServiceBridge因数据库配置错误导致2.68TB敏感数据泄露;智能手机地理定位追踪服务Tracelo遭黑客攻击,超140万用户个人信息被泄露;软件解决方案商Connexure遭勒索软件攻击,导致约95万名用户数据泄露;美综合服务提供商CBIZ遭攻击,3.6万名客户信息被泄露;加拿大多伦多教育局确认学生信息遭LockBit勒索组织盗取。
网安风险警示,本期有五点建议关注:一是工信部:关于防范FreeBSD OpenSSH远程代码执行高危漏洞的风险提示;二是研究人员发现Windows TCP/IP存在远程代码执行漏洞;三是企业网络监控和管理解决方案WhatsUp Gold存在严重缺陷,导致系统面临全面攻击;四是国际网络宽带系统及解决方案供应商Zyxel AP设备存在命令注入漏洞;五是微软警告称APT组织Citrine Sleet利用Chrome 0day部署FudModule rootkit。
一、网安动向热讯
(一)国务院审议通过《网络数据安全管理条例(草案)》
8月30日消息,李强主持召开国务院常务会议,审议通过《《网络数据安全管理条例(草案)》。会议指出,要对网络数据实行分类分级保护,明确各类主体责任,落实网络数据安全保障措施。要厘清安全边界,保障数据依法有序自由流动,为促进数字经济高质量发展、推动科技创新和产业创新营造良好环境。(信息来源:新华社)
(二)中欧数据跨境流动交流机制正式建立并举行第一次会议
8月28日消息,中欧数据跨境流动交流机制第一次会议以视频方式举行。中国国家互联网信息办公室副主任王京涛和欧盟委员会贸易总司总司长萨宾·韦恩德出席开幕式并致辞,正式宣布建立中欧数据跨境流动交流机制。会议就双方企业关于数据跨境流动的具体问题以及数据跨境流动监管框架进行了坦诚、深入、富有建设性的交流。中欧数据跨境流动交流机制由中国国家互联网信息办公室和欧盟委员会贸易总司牵头,通过召开会议等方式交流相关政策和实践,促进中欧数据跨境流动。(信息来源:中国网信网)
(三)工信部等十一部门联合发文推动新型信息基础设施协调发展
9月5日消息,工业和信息化部、中央网信办等十一部门联合印发通知,部署推动新型信息基础设施协调发展。《通知》结合新型信息基础设施的技术发展趋势和经济社会发展需求,以促进协调发展为目标,以推动新型信息基础设施跨区域、跨网络、跨行业协同建设为重点方向,提出了“1统筹6协调”等7方面主要工作,即全国统筹布局、跨区域协调、跨网络协调、跨行业协调,发展与绿色协调、发展与安全协调、跨部门政策协调等。(信息来源:工信部网站)
(四)工信部公开征求对《电子认证服务管理办法(征求意见稿)》的意见
9月2日消息,工业和信息化部修订了《电子认证服务管理办法》,现予以公示,进一步听取社会各界意见。工业和信息化部在修订说明中指出,《办法》框架调整后的结构为:第一章是总则,第二章是资质认定,第三章是行为规范,第四章是监督管理,第五章是投诉举报,第六章是跨境互认,第七章是法律责任,第八章是附则。主要修订情况包括:明确行政监管范围;提升数字证书认证机构业务能力;压实数字证书认证机构责任义务;完善行政监管机制;规范行政处罚措施;合理设定退出机制;明确证书跨境互认核准。(信息来源:工信部网站)
(五)网安标委就《数据安全技术二手电子产品信息清除技术要求》等3项国标征求意见
8月30日,全国网络安全标准化技术委员会归口的《数据安全技术 二手电子产品信息清除技术要求》等3项国家标准现已形成标准征求意见稿,并向社会公开征求意见。该文件规定了二手电子产品信息清除各个环节应遵循的技术要求,适用于电子产品厂商开发并设置信息清除功能,也适用于二手电子产品经销者在回收二手电子产品环节清除电子产品信息。二手电子产品指已进入消费领域,仍保持全部或者部分使用价值的电子产品,包括二手手机、平板电脑、笔记本电脑、可穿戴设备、智能家居产品等具有数据存储空间的电子产品,及独立的存储介质。(信息来源:全国网络安全标准化技术委员会)
(六)网安标委就《网络安全技术网络安全第7部分:网络虚拟化安全》公开征求意见
9月1日消息,全国网络安全标准化技术委员会归口的国家标准《网络安全技术 网络安全 第7部分:网络虚拟化安全》现已形成标准征求意见稿,并向社会公开征求意见。本标准旨在识别网络虚拟化安全风险并为网络虚拟化的安全实施提供指引,目标在于为组织虚拟化安全的全面定义和实施提供帮助,适用于为负责实施和维护提供安全虚拟化环境所需的技术控制人员。该标准主要技术内容包括:安全威胁、安全要求、安全控制以及安全设计和考虑。(信息来源:全国网络安全标准化技术委员会)
(七)2024年国家网络安全宣传周将在全国范围举行
9月2日,2024年国家网络安全宣传周新闻发布会在北京举行,中央网信办网络安全协调局局长高林在会上宣布,2024年国家网络安全宣传周活动继续以“网络安全为人民,网络安全靠人民”为主题,于9月9日至15日在全国范围举行,开幕式等重要活动在广东省广州市举行。2024年国家网络安全宣传周期间,将举办开幕式、网络安全技术高峰论坛主论坛暨粤港澳大湾区网络安全大会、网络安全博览会暨网络安全产品和服务供需洽谈会等重要活动。此外,各联合举办部门还将举行校园日、电信日等系列主题日活动,以及网络安全进社区、进农村、进企业、进机关、进校园、进军营、进家庭等宣传普及活动。(信息来源:人民日报)
(八)美CISA和FBI针对网络钓鱼技术联合发布指南
8月28日消息,美网络安全与基础设施安全局(CISA)与美联邦调查局(FBI)联合发布一份指南,详细揭露了恶意黑客使用的网络钓鱼技术,并提供了防御措施。美CISA和FBI建议实施多因素认证、使用DMARC验证电子邮件真实性、部署电子邮件过滤器和应用程序白名单、定期更新软件,并采用DNS过滤等措施来防范。对于中小型企业,报告特别强调了用户培训的重要性,建议实施定期的反网络钓鱼培训和意识计划。此外,各组织应制定网络钓鱼事件的书面响应计划,并及时向美CISA和FBI报告网络钓鱼企图,以协助追踪和减轻新威胁。(信息来源:Cybersecuritynews网)
(九)美CISA推出新的网络事件报告平台
8月31日消息,美CISA推出一个新的网络事件报告平台。该平台具有增强报告安全功能以及新的协作功能,并且允许用户与美CISA进行非正式讨论。此外,用户可提交关于事件、网络钓鱼尝试、恶意软件和漏洞的报告。当提交报告时,美CISA要求用户能够提供有关受影响实体、事件描述、漏洞、策略、影响、技术指标和缓解步骤的详细信息。(信息来源:MeriTalk网)
(十)美加州通过有争议的人工智能训练数据透明度法案
8月29日消息,美加州立法机构通过了具有争议的《加州人工智能透明度法案》,该法案将提交给州长加文·纽瑟姆签署,但其尚未对此法案表态。该法案要求人工智能公司公开其训练模型的关键信息,如数据来源、数据类型和数据处理方式等,这对保护数据隐私、防止数据滥用具有重要意义,也有助于公众更好理解人工智能技术。但业界担心,过于严格的透明度要求可能会对企业的商业机密和技术创新产生不利影响。(信息来源:路透社)
(十一)韩政府发布《韩国国家网络安全基本计划》
9月1日,韩政府发布《韩国国家网络安全基本计划》,该计划是韩政府2024年2月1日公布的《韩国国家网络安全战略》的后续措施,包括落实该战略五大战略任务的具体实施措施。具体包括:加强进攻性网络防御活动;建立全球网络空间合作框架;增强国家关键基础设施的网络弹性;确保关键新兴技术的竞争优势;强化操作实施基础。该计划共计包含100项行动任务,其中包括积极应对和遏制在网络空间传播深度造假等虚假信息意图的“进攻性网络防御”强化战略。出于安全原因,韩国政府并未披露行动计划的全部细节。(信息来源:奇安网情局)
(十二)澳大利亚举行网络安全运动会
9月1日消息,澳大利亚政府于9月2日至30日在新南威尔士大学举办网络安全运动会,该活动由专注于网络安全教育和专业发展的著名网络SECedu组织,旨在培养未来的网络安全专家。此次网络安全运动会将通过模拟现实世界挑战,如密码学、网络安全和识别网络漏洞,来提升学生的创新、协作和技术技能。该活动吸引了包括新南威尔士大学、堪培拉理工学院、伊迪斯科文大学等多所大学的学生参与。(信息来源:中国信息安全)
二、网安事件聚焦
(十三)俄导弹袭击致使乌克兰关基设施瘫痪,水电网中断近12小时
8月29日消息,俄罗斯向乌克兰目标发射导弹袭击,主要针对关键基础设施,包括水电站、能源设施和地下天然气储存库等,导致乌克兰大范围停电,包括基辅等城市在内的电力及自来水供应中断近12小时,移动运营商基础设施只能依靠基站的电池和发电机工作。根据互联网监控服务NetBlocks报告称,乌克兰全国互联网连接率维持在正常水平的71%左右,在被俄罗斯控制的克里米亚地区,塞瓦斯托波尔市的互联网连接崩溃。(信息来源:安全内参)
(十四)研究人员发现一起针对中国公务人员的大规模网络钓鱼活动
9月4日消息,研究人员披露了一起针对中文用户的隐蔽活动,攻击者通过钓鱼邮件发送Cobalt Strike有效载荷,邮件中包含压缩的Zip文件,标题为“20240739人员名单信息.zip”,点击该文件会解压出一个名为“违规远程控制软件人员名单.docx.lnk”的文件链接,意为“违反远程控制软件规定的人员名单”。研究人员指出,所有在此次攻击中使用的IP地址均托管在中国某大型云服务平台上,包括其云对象存储服务,据此推测,攻击者可能利用云服务作为攻击平台,在政府和企业网络中长期潜伏,目标很可能是特定的中国政府部门公务人员。研究人员建议政府部门和企业必须加强网络安全防护,提高对钓鱼邮件和恶意软件的警惕,以保护敏感信息和网络安全。(信息来源:安全内参)
(十五)俄罗斯社交媒体和网络服务商3.9亿用户个人信息疑遭泄露
9月3日消息,俄罗斯最大社交媒体和网络服务商VK(VKontakte)发生大规模数据泄露,暴露了3.9亿用户的个人信息,包括姓名、性别、身份证号码、个人资料图片、国籍以及所在地区等,遭泄露的数据仅需少量BreachForums论坛积分就可直接获取。根据Similarweb的数据,VK每月吸引约11亿访客,全球访问量排名第23位。该平台的主要用户为俄罗斯人,占总流量的89%。VK于2006年上线,2021年12月被俄罗斯国有企业接管。(信息来源:Hackread)
(十六)美数据经纪公司超1.7亿条敏感信息在互联网公开暴露
9月2日消息,研究人员发现超1.7亿条敏感个人信息在互联网上公开暴露,数据内容详尽,包括姓名、联系方式、教育背景及工作经历等。此次泄露的数据集标有“PDL”标识,指向美旧金山数据经纪公司People Data Labs(PDL),该公司声称拥有15亿个人档案数据库,服务于企业营销、销售及招聘等领域。尽管数据泄露源头尚未明确,但Elasticsearch服务器未设密码的严重安全漏洞成为焦点,该配置极易被攻击者利用并迅速窃取数据,对个人隐私构成重大威胁。(信息来源:BleepingComputer网)
(十七)知名现场服务管理平台ServiceBridge因数据库配置错误导致2.68TB敏感数据泄露
9月1日消息,总部位于芝加哥的知名现场服务管理平台ServiceBridge因严重数据库配置错误导致超过3100万条记录、总计2.68TB的敏感数据泄露,包括用户姓名、电话号码、电子邮件地址、部分信用卡信息及HIPAA规定的个人健康信息。该数据库无需任何安全认证即可访问,且数据跨度长达十年,涉及多个行业的企业和个人,包括学校、宗教机构、连锁餐厅及医疗服务提供者等。此次泄露的数据规模庞大且敏感度高,可能被用于发票欺诈、身份盗窃等不法行为,给企业财务安全和用户个人安全带来风险。(信息来源:Hackread网)
(十八)智能手机地理定位追踪服务Tracelo遭黑客攻击,超140万用户个人信息被泄露
9月2日,智能手机地理定位追踪服务Tracelo遭黑客攻击,超140万用户个人信息被窃取并在暗网出售。被泄露的数据包括用户姓名、电话号码、物理地址、电子邮件、电话运营商、国家/城市和时区、每条记录的唯一标识符以及大量客户的Google ID号等。一名使用化名“Satanic”的黑客声称已攻破Tracelo并成功提取了264MB的数据,其中包括三个CSV文件。受影响用户可能面临网络钓鱼和语音钓鱼诈骗风险,研究人员建议用户警惕来历不明的邮件和电话,避免泄露更多个人信息。(信息来源:Hackread网)
(十九)软件解决方案商Connexure遭勒索软件攻击导致约95万名用户数据泄露
8月29日消息,亚特兰大软件解决方案商Connexure向约95万名用户发送数据泄露通知,告知其个人数据可能在今年4月10日发生的BlackSuit勒索软件攻击中被泄露。勒索攻击导致包括加州蓝盾会员在内的用户数据被盗且被加密,遭泄露的信息包括姓名、出生日期、社会安全号码及保险索赔详情等。勒索软件组织BlackSuit已在暗网公布部分被盗数据截图,如商业合同、员工护照、家庭细节及财务数据等。Connexure承诺将为受影响用户提供12个月免费信用监控服务。(信息来源:BleepingComputer网)
(二十)美综合服务提供商CBIZ遭攻击,3.6万名客户信息被泄露
9月2日,美综合性服务提供商CBIZ与保险服务公司披露一起严重的数据泄露事件,称攻击者利用CBIZ网页中的安全漏洞,于6月2日至21日期间潜入其系统并窃取了包括姓名、联系方式、社会安全号码、出生/死亡日期、退休人员健康信息及福利计划信息在内的客户数据,涉及3.6万名客户个人敏感信息被未经授权访问。CBIZ作为美国领先的综合性服务提供商,业务范围涵盖会计税务、保险、商业咨询及人力资源等多个领域,在美国拥有120个办事处及6700名员工。CBIZ在发现遭入侵后立即展开调查,暂未发现数据遭滥用情况,将为客户提供为期两年的信用监控和身份盗窃保护服务,并建议客户采取额外措施以降低潜在风险。(信息来源:BleepingComputer网)
(二十一)加拿大多伦多教育局确认学生信息遭LockBit勒索组织盗取
9月2日消息,加拿大多伦多教育局(TDSB)证实勒索软件组织LockBit盗取其学生信息,包括姓名、出生日期、学校名称、年级、学校邮箱及学生ID等。TDSB网络安全团队称,调查尚未发现被盗数据泄露或公开曝光,表示学生可能面临的安全风险较低。LockBit勒索软件组织宣称对此次数据泄露事件负责,其发布的公告并未说明被盗数据的具体数量,但设定了13天期限,要求TDSB支付相应赎金。TDSB是加拿大最大、最多元化的教育机构,管理着582所学校,约有23.5万名学生。TDSB表示已采取多项安全措施,并与执法部门协作进行调查。(信息来源:安全威胁纵横)
三、网安风险警示
(二十二)工信部:关于防范FreeBSD OpenSSH远程代码执行高危漏洞的风险提示
8月28日,工业和信息化部网络安全威胁和漏洞信息共享平台发布《关于防范FreeBSD OpenSSH远程代码执行高危漏洞的风险提示》,指出操作系统FreeBSD中的OpenSSH工具存在远程代码执行漏洞,可被恶意利用实施网络攻击。FreeBSD是一个开源的类UNIX操作系统,由于其使用的OpenSSH存在竞争条件缺陷,未经身份验证的攻击者能够利用该漏洞以root权限执行远程代码。目前,FreeBSD官方已发布安全更新,建议用户及时升级版本。(信息来源:网络安全威胁和漏洞信息共享平台)
(二十三)研究人员发现Windows TCP/IP存在远程代码执行漏洞
8月28日消息,研究人员发现Windows TCP/IP存在远程代码执行漏洞CVE-2024-38063(CVSS评分为9.8),影响所有使用IPv6的Windows系统。未经身份验证的攻击者可通过向受影响的Windows计算机反复发送特制IPv6数据包来利用该漏洞,成功利用可能导致拒绝服务或远程代码执行。Windows TCP/IP是Windows操作系统中用于网络通信的核心协议栈,它遵循TCP和IP标准,其协议栈支持操作系统与其他计算机和网络设备(如路由器、服务器、客户端等)进行通信,是所有基于网络的操作和应用的基础。目前微软已发布安全更新,建议受影响用户尽快修复。(信息来源:启明星辰)
(二十四)企业网络监控和管理解决方案WhatsUp Gold存在严重缺陷,导致系统面临全面攻击
9月2日消息,Progress Software的企业网络监控和管理解决方案WhatsUp Gold中存在严重漏洞CVE-2024-4885(CVSS评分为9.8),允许远程、未经身份验证的攻击者在受影响的WhatsUp Gold实例上执行任意代码,可能使系统遭受全面攻击。WhatsUp Gold提供对设备、应用程序、服务器和流量的可视性,允许组织监控其云和本地基础设施,使其成为企业环境的关键组成部分。Censys表示目前已发现互联网上存在超过1200个WhatsUp Gold实例可访问。(信息来源:HackerNews网)
(二十五)国际网络宽带系统及解决方案供应商Zyxel AP设备存在命令注入漏洞
9月3日,启明星辰集团VSRC监测到Zyxel发布安全公告,修复了某些接入点(AP)和安全路由器设备中的OS命令注入漏洞CVE-2024-7261(CVSS评分为9.8)。由于Zyxel多款AP设备和安全路由器版本的CGI(通用网关接口)程序对host参数中的特殊元素(如某些字符或字符串)清理不当,可能导致未经身份验证的攻击者向易受攻击的设备发送恶意构造的cookie来执行操作系统命令,从而控制目标设备。目前,该漏洞已被修复,建议受影响用户尽快升级到相应补丁版本。(信息来源:启明星辰)
(二十六)网络监控软件WhatsUp Gold存在SQL注入漏洞
9月2日消息,美Progress Software公司开发的一款网络监控软件WhatsUp Gold存在SQL注入漏洞CVE-2024-6670(CVSS评分为9.8),其技术细节及PoC已在互联网上公开。由于在使用用户提供的字符串构建SQL查询前缺乏适当验证,可能导致SQL注入和身份验证绕过,未经身份验证的攻击者可利用该漏洞检索/重置用户密码,可能导致远程代码执行。WhatsUp Gold是美国Progress Software公司开发的一款网络监控软件,可监控整个网络基础设施。目前该漏洞已经修复建议受影响用户尽快升级到更高版本。(信息来源:启明星辰)
(二十七)开源软件平台Jenkins Remoting存在任意文件读取漏洞
9月2日消息,开源软件平台Jenkins Remoting存在一个任意文件读取漏洞CVE-2024-43044(CVSS评分为8.8),目前该漏洞的技术细节及PoC已公开。Jenkins多个版本受影响。由于ClassLoaderProxy#fetchJar方法未限制代理可以请求从控制器文件系统读取的路径,可能导致代理进程、以及拥有Agent/Connect权限的攻击者从Jenkins控制器文件系统读取任意文件(如凭证、配置文件等敏感信息),并可能进一步利用导致远程代码执行。Jenkins是一个开源的、提供持续集成服务的软件平台。Jenkins使用Remoting库实现控制器与代理之间的通信。(信息来源:奇安信CERT)
(二十八)微软警告称APT组织Citrine Sleet利用Chrome 0day部署FudModule rootkit
9月1日消息,与朝鲜有关联的APT组织Citrine Sleet利用新修复的Google Chrome零日漏洞CVE-2024-7971(CVSS评分8.8)成功部署FudModule rootkit,该漏洞允许攻击者在沙盒化的渲染器进程中执行远程代码。Citrine Sleet通过精心设计的钓鱼策略,诱使受害者访问其控制的恶意域名,进而触发该漏洞。微软建议,组织机构应部署具备全面网络攻击链可见性的安全解决方案,并加强操作环境配置,以有效检测和阻止此类高级威胁。(信息来源:安全客)
