网络空间安全动态（202430期）

      编者按：网安动向热讯，本期有八点值得关注：一是民政部等五部门联合公布《个人求助网络服务平台管理办法》；二是三项智能网联汽车强制性国家标准正式发布；三是国家互联网信息办公室与澳门特别行政区政府经济财政司签署《关于促进粤港澳大湾区数据跨境流动的合作备忘录》；四是国家密码管理局组织制定的《电子政务电子认证服务管理办法》（国家密码管理局令第4号）正式公布；五是全国网络安全标准化技术委员会发布《人工智能安全治理框架》1.0版；六是美ONCD发布《加强互联网路由安全路线图》；七是美BIS宣布对量子计算等先进技术实施出口管制；八是美国、英国、欧盟等多方共同签署《人工智能与人权、民主和法治框架公约》。

      网安事件聚焦，在互联网时代，组织机构信息泄露的途径主要有外部黑客攻击、内部员工泄密、第三方平台泄密三种常见情况。本期介绍：美国西雅图Highline公立学区遭网络攻击，上万名学生被迫停课2天；法国跨国IT服务巨头Capgemini遭黑客入侵，20GB敏感数据被泄露；英国伦敦查尔斯·达尔文学校遭勒索软件攻击停课近一周；加拿大电子支付网关Slim CD遭黑客入侵，近170万用户信用卡及个人数据泄露；美人工智能医疗公司Confidant Health泄露5.3 TB患者敏感信息；快手核心数据遭员工泄露，导致公司股价下跌；Elasticsearch服务器由于错误配置导致76.2万名中国车主信息泄露。

      网安风险警示，本期有五点建议关注：一是开源的类UNIX操作系统FreeBSD中存在满分漏洞；二是开源分析与可视化平台Kibana存在任意代码执行漏洞；三是电子商务平台Apache OFBiz存在服务端请求伪造漏洞；四是Veeam Backup & Replication中存在远程代码执行漏洞；五是软件许可管理工具Cisco Smart License Utility存在严重漏洞。

      一、网安动向热讯

       （一）民政部等五部门联合公布《个人求助网络服务平台管理办法》

       9月5日，民政部、国家网信办、工业和信息化部、公安部、金融监管总局联合公布《个人求助网络服务平台管理办法》，自公布之日起施行。《办法》从个人求助网络服务平台、求助人、信息发布人等多个角度进行了规定。其中，个人求助网络服务平台，应当经民政部指定；未经指定，任何组织或者个人不得以个人求助网络服务平台的名义开展活动，不得从事求助信息发布和捐助资金归集、管理、拨付等个人求助网络服务。申请指定为个人求助网络服务平台必须满足网络安全保护等级不低于三级，并取得公安机关出具的信息系统安全管理保护备案证明。（信息来源：民政部网站）

       （二）三项智能网联汽车强制性国家标准正式发布

       9月5日消息，工业和信息化部组织制定的三项强制性国家标准由国家市场监督管理总局、国家标准化管理委员会批准发布，将于2026年1月1日起开始实施。其中，GB 44495—2024《汽车整车信息安全技术要求》规定了汽车信息安全管理体系要求，以及外部连接安全、通信安全、软件升级安全、数据安全等方面的技术要求和试验方法；GB 44496—2024《汽车软件升级通用技术要求》为规范车企软件升级行为、保障消费者权益和落实软件升级监管政策奠定标准基础；GB 44497—2024《智能网联汽车 自动驾驶数据记录系统》将为事故责任认定及原因分析提供技术支撑。（信息来源：新华网）

       （三）国家互联网信息办公室与澳门特别行政区政府经济财政司签署《关于促进粤港澳大湾区数据跨境流动的合作备忘录》

       9月9日，在2024年国家网络安全宣传周网络安全技术高峰论坛主论坛期间，国家互联网信息办公室与澳门特别行政区政府经济财政司签署《关于促进粤港澳大湾区数据跨境流动的合作备忘录》，以促进内地与澳门数据跨境安全有序流动，推动粤港澳大湾区高质量发展。在合作备忘录的基础上，澳门特区政府将与内地推出粤港澳大湾区个人信息跨境标准合同互认措施，促进数据资源有序流动和开发利用，降低企业在处理数据跨境时的合规成本。（信息来源：澳门经济与科技发展局）

      （四）《粤港澳大湾区（内地、澳门）个人信息跨境流动标准合同实施指引》正式公布

       9月10日，《粤港澳大湾区（内地、澳门）个人信息跨境流动标准合同实施指引》正式公布，该实施指引由国家互联网信息办公室、澳门特别行政区政府经济及科技发展局和澳门特别行政区政府个人资料保护局共同制定。粤港澳大湾区个人信息处理者及接收方可以按照本实施指引要求，通过订立标准合同的方式进行粤港澳大湾区内内地和澳门之间的个人信息跨境流动。标准合同应当严格按照本实施指引附件订立，合同生效后方可开展个人信息跨境流动。（信息来源：粤港澳大湾区门户网）

       （五）国家密码管理局组织制定的《电子政务电子认证服务管理办法》（国家密码管理局令第4号）正式公布

       9月10日消息，国家密码管理局组织制定的《电子政务电子认证服务管理办法》（国家密码管理局令第4号）正式公布。《办法》所称电子政务电子认证服务，是指采用商用密码技术为政务活动提供电子签名认证服务，保证电子签名的真实性和可靠性的活动。《办法》要求，在我国从事电子政务电子认证服务的机构，应当经国家密码管理局认定，依法取得电子政务电子认证服务机构资质。国家密码管理局对全国电子政务电子认证服务活动实施监督管理。该办法自11月1日起施行。（信息来源：国家密码管理局网站）

       （六）全国网络安全标准化技术委员会发布《人工智能安全治理框架》1.0版

       9月9日，全国网络安全标准化技术委员会发布《人工智能安全治理框架》1.0版。框架主要由人工智能安全治理原则、人工智能安全治理框架构成、人工智能安全风险分类、技术应对措施、综合治理措施、人工智能安全开发应用指引六部分构成。该框架是贯彻《全球人工智能治理倡议》提出的分级分类、敏捷治理、共治共享等理念的细化深化，紧密结合人工智能技术特性，从内生、应用两个维度分析人工智能风险，从模型、数据、系统以及网络、现实、认知、伦理等角度，提出相应技术应对和综合治理措施，以推动政府、国际组织、企业、科研院所、民间组织和公民个人等各方，就人工智能安全治理达成共识。（信息来源：全国网安标委）

      （七）4项工业互联网平台国家标准正式发布实施

       9月9日消息，国家市场监督管理总局（国家标准化管理委员会）发布2024年第17号中国国家标准公告，批准《工业互联网平台 监测分析指南》（GB/T 44280-2024）、《工业互联网平台 解决方案分类方法》（GB/T 44281-2024）、《工业互联网平台 服务商评价方法》（GB/T 44405-2024）、《工业互联网平台 质量管理要求》（GB/T 44282-2024）4项工业互联网平台国家标准正式发布。本批发布的4项工业互联网平台国家标准从供给侧和需求侧两端入手，为工业互联网平台各相关方科学开展“建能力”“选平台”工作提供方法指导，可增强工业互联网平台产业供给能力，助力平台在垂直行业的落地深耕，服务制造业高质量发展。（信息来源：工信微报）

       （八）美ONCD发布《加强互联网路由安全路线图》

       9月4日消息，美国家网络总监办公室（ONCD）发布《加强互联网路由安全路线图》，呼吁美联邦政府与能够提供安全互联网路由技术的公司合作，验证进入机构网络的数据是否合法。该路线图主要针对网络黑客利用边界网关协议漏洞发动劫持攻击，通过破坏路由路径接管互联网地址组的问题，建议采用资源公钥基础设施系统作为提高互联网路由安全性的解决方案。ONCD要求网络服务提供商监控各自网络数据状态，制定网络安全风险管理计划；责成政府合作伙伴采用最新的互联网路由安全技术对其互联网连接实施专门的过滤技术。（信息来源：美白宫网站）

       （九）美BIS宣布对量子计算等先进技术实施出口管制

       9月5日消息，美商务部工业和安全局（BIS）宣布与国际合作伙伴达成共识，对量子计算、半导体制造和其他先进技术实施控制，强化出口管制。具体物项包括：量子计算项目；先进半导体制造设备；全环绕栅极场效应晶体管技术；增材制造项目。此外，BIS新增了实施出口管制许可例外，以便各国实施等效的管制措施时无需再提交许可证申请。（信息来源：光子盒）

      （十）美国、英国、欧盟等多方共同签署《人工智能与人权、民主和法治框架公约》

       9月6日消息，欧洲委员会在立陶宛首都维尔纽斯举行司法部长会议，美国、英国、欧盟等多方共同签署《人工智能与人权、民主和法治框架公约》。该公约被称为首部具有法律约束力的国际人工智能条约，涵盖了人工智能系统整个生命周期的法律框架，46个欧洲委员会成员国、欧盟以及11个非成员国参与商讨并起草了该公约。该公约面向全球各国开放签署，要求签署国对人工智能系统造成的任何有害以及歧视性后果负责，并要求此类系统输出尊重平等和隐私权。（信息来源：央视财经）

       （十一）澳DISR发布《自愿性人工智能安全标准》

       9月5日，澳大利亚工业、科学和资源部（DISR）发布《自愿性人工智能安全标准》，旨在帮助组织建立一套统一的实践，以确保安全和负责任地开发和部署人工智能系统。该标准提出10个自愿防护措施，包括整个供应链的透明度和问责制要求，解释了人工智能系统的开发人员和部署人员必须采取哪些措施来遵守防护机制，适用于人工智能供应链中的所有组织。该标准指出，自愿护栏是组织改进其人工智能实践并确保遵守未来潜在法规的准备措施，可帮助组织从人工智能中受益，同时减轻人工智能可能对组织、人员构成的风险。（信息来源：澳DISR网站）

       二、网安事件聚焦

       （十二）美国西雅图Highline公立学区遭网络攻击，上万名学生被迫停课2天

       9月10日消息，美国西雅图Highline公立学区的技术系统遭网络攻击，导致学区内所有学校在周一和周二暂时关闭，影响17000多名学生。Highline学区负责为西雅图南部社区的35所学校提供服务，其发布声明称，已检测到技术系统中存在未经授权的活动，并立即隔离了关键系统，正与第三方以及州和联邦合作伙伴配合完成系统的恢复与测试工作，目前尚未发现个人信息遭泄露。（信息来源：安全内参）

      （十三）法国跨国IT服务巨头Capgemini遭黑客入侵，20GB敏感数据被泄露

       9月10日消息，黑客组织grep声称入侵了法国跨国IT服务巨头Capgemini，并在暗网上发布了20GB敏感数据。黑客称虽然可以访问更多数据，但仅选择泄露最大和最敏感的文件，包括Capgemini数据库、源代码、私钥、凭证、API密钥及员工信息等。Capgemini成立于1967年，是一家全球领先的IT咨询公司，年营收接近300亿美元，LinkedIn上有近700万粉丝。目前Capgemini尚未公开确认此泄露事件。（信息来源：DailyDarkWeb网）

      （十四）英国伦敦查尔斯·达尔文学校遭勒索软件攻击停课近一周

       9月11日消息，英国伦敦南部高中查尔斯·达尔文学校遭勒索软件攻击，导致本周前半段停课，约1300名学生学业受到影响。该校校长向家长发布告知信称，学校遭勒索软件攻击，近三周内学校网络、邮箱和其他系统都无法使用，家长与学生可通过学习平台Satchel One耐心等待通知，切勿相信任何邮件和链接等。目前，学校正与一家网络安全公司合作进行取证调查，在调查结束之前，无法提供有关数据泄露的更多细节。（信息来源：安全内参）

       （十五）加拿大电子支付网关Slim CD遭黑客入侵，近170万用户信用卡及个人数据泄露

       9月10日，加拿大电子支付网关Slim CD披露了一起数据泄露事件，近170万用户信用卡及个人敏感信息遭泄露。该公司表示，今年6月15日首次在系统中检测到可疑活动，调查发现黑客自2023年8月17日起就已进入其网络，并于2024年6月14日至15日期间查看或获取了信用卡信息。泄露信息包括用户姓名、地址、信用卡号码及有效期。Slim CD是一家支付处理解决方案提供商，使企业能够通过基于网络的终端、移动或桌面应用程序访问电子和卡支付。Slim CD表示已采取措施加强安全体系以防范类似事件。（信息来源：BleepingComputer网）

       （十六）美人工智能医疗公司Confidant Health泄露5.3 TB患者敏感信息

       9月7日消息，研究人员发现美人工智能医疗公司Confidant Health的一个未加密数据库暴露在互联网上，其中包含超12万个文件（约5.3TB）和170多万条活动日志，内容涵盖患者心理治疗过程的音频和视频记录、心理健康评估报告、医疗记录以及个人档案等。Confidant Health是一家位于德克萨斯州的人工智能平台，为康涅狄格州、佛罗里达州、新罕布什尔州、德克萨斯州和弗吉尼亚州的居民提供心理健康和成瘾治疗服务。Confidant Health回应称，公司在接到通知后不到一小时内修复数据库，只有不到1%的文件在短时间内可被公开访问，目前未发现恶意行为者访问患者记录的证据。（信息来源：Hackread网）

      （十七）快手核心数据遭员工泄露，导致公司股价下跌

       9月6日消息，据报道，快手公司一名投资发展部员工自2024年2月起，利用职务便利，多次查询下载公司业务数据，并通过接受访谈和出售相关报告的方式泄露公司的核心数据和规划打法等机密，致使公司股价下跌，其获利超70万元。快手发布处罚通报，决定对该员工采取包括解除劳动合同、全员实名通报等一系列严厉措施，同时保留进一步追究其法律责任的权利。（信息来源：北京新闻）

       （十八）Elasticsearch服务器由于错误配置导致76.2万名中国车主信息泄露

       9月7日消息，Cybernews研究团队发现，一个托管在美国IP地址上的Elasticsearch服务器由于错误配置导致76.2万名中国车主的隐私信息泄露。遭泄露信息包括车主姓名、出生日期、身份证号码、车辆识别号码、汽车品牌和型号、发动机号码以及车辆颜色等。Elasticsearch服务器提供了强大的全文搜索和分析功能，广泛应用于各种场景。目前，该数据库的所有者身份仍然未知，受影响个人可能无法收到信息泄露的预警通知。（信息来源：CyberNews网）

      三、网安风险警示

       （十九）开源的类UNIX操作系统FreeBSD中存在满分漏洞

       9月10日，开源的类UNIX操作系统FreeBSD中存在漏洞CVE-2024-43102（CVSS评分10.0），影响FreeBSD多个版本。攻击者可通过执行UMTX_SHM_DESTROY子请求的恶意代码导致内核崩溃或进一步执行Use-After-Free攻击，从而可能导致代码执行或Capsicum沙箱逃逸。FreeBSD是开源自由的类UNIX操作系统，广泛应用于服务器、桌面系统和嵌入式系统等领域。目前该漏洞已修复，建议用户尽快升级版本。（信息来源：启明星辰）

       （二十）开源分析与可视化平台Kibana存在任意代码执行漏洞

       9月9日，开源数据可视化和分析平台Kibana存在两个严重任意代码执行漏洞CVE-2024-37288（CVSS评分9.9）和CVE-2024-37285（CVSS评分9.1）。CVE-2024-37288源于Amazon Bedrock Connector的YAML反序列化问题，可导致远程代码执行。CVE-2024-37285也与YAML反序列化有关，影响更广泛的用户，如果攻击者拥有特定的Elasticsearch索引权限和Kibana权限，则可利用该漏洞执行任意代码。Kibana允许用户搜索、查看、交互存放在Elasticsearch索引里的数据，并通过各种图表、地图等形式直观地展示数据，从而实现高级的数据分析与可视化。Elastic建议用户立即升级Kibana版本以修补漏洞。（信息来源：洞见网安）

       （二十一）电子商务平台Apache OFBiz存在服务端请求伪造漏洞

       9月10日消息，奇安信CERT监测到官方修复Apache OFBiz服务端请求伪造漏洞CVE-2024-45507（CVSS评分9.8），该漏洞是由于Apache OFBiz在从Groovy加载文件时对URL的验证不足，导致远程攻击者可通过服务器端请求伪造的方式向任意系统发起请求，并可能导致远程代码执行，完全控制受影响的系统，包括访问敏感数据、执行任意命令或进一步网络攻击。Apache OFBiz提供了创建基于最新J2EE/ XML规范和技术标准，构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。目前该漏洞技术细节与PoC已在互联网上公开，建议用户尽快做好自查及防护。（信息来源：奇安信CERT）

      （二十二）Veeam Backup & Replication中存在远程代码执行漏洞

       9月6日消息，Veeam公司发布多个产品的安全更新，修复了Veeam Backup & Replication、Service Provider Console和One中的18个安全漏洞。其中最严重的漏洞是存在于Veeam Backup & Replication中的远程代码执行漏洞CVE-2024-40711（CVSS评分9.8），无需身份验证即可被利用。Veeam是一家专注于现代数据保护的公司，Veeam Backup & Replication是一款由Veeam开发的全面数据保护和灾难恢复软件，可将数据备份、恢复到物理、虚拟和云环境中。Veeam建议用户尽快进行更新。（信息来源：安全客）

       （二十三）软件许可管理工具Cisco Smart License Utility存在严重漏洞

       9月5日，Cisco修复了Smart License Utility中的静态凭证后门漏洞CVE-2024-20439（CVSS评分9.8）和信息泄露漏洞CVE-2024-20440（CVSS评分9.8）。未经身份验证的远程攻击者可利用漏洞CVE-2024-20439登录受影响的系统，获取敏感信息并以管理权限执行恶意操作；也可通过向受影响的设备发送恶意HTTP请求利用漏洞CVE-2024-20440，从而获取包含敏感数据的日志文件。Cisco Smart License Utility是Cisco公司推出的一种软件许可管理工具，通过集中管理、实时监控、灵活性和成本效益等优势，帮助客户更好地管理软件资产。研究人员建议受影响用户尽快升级到最新版本。（信息来源：启明星辰）