网络空间安全动态(202431期)
编者按:网安动向热讯,本期有八点值得关注:一是国家金监总局印发《关于加强银行业保险业移动互联网应用程序管理的通知》;二是《网络安全标准实践指南—敏感个人信息识别指南》发布;三是《关键信息基础设施网络及信息系统作业可信与安全白皮书》发布;四是美CISA发布联邦网络安全运营统一计划;五是英政府将数据中心列为“关键国家基础设施”以加强保护;六是俄罗斯拟立法绕过外国技术封锁;七是澳大利亚政府拟定新法律以打击数字虚假信息;八是韩国与北约合作举办国际性“2024年联盟力量”网络演习。
网安事件聚焦,一是网络攻击事件频发,其攻击手段和方式不断翻新。本期介绍:黎巴嫩多地发生传呼机爆炸事件致2000多人伤亡,黎政府指认“以色列网络攻击”;伊朗黑客组织APT34对伊拉克政府发起恶意软件攻击;美西雅图港遭Rhysida勒索软件攻击致航班延误;全球超130万台安卓电视流媒体盒遭Vo1d后门恶意软件攻击。二是近年来,窃取大型网络安全公司的高价值数据成为攻击者的重要目标。本期介绍:网络安全巨头Fortinet 440 GB数据遭黑客窃取;美半导体供应商微芯Microchip员工数据和加密密码遭泄露;美医疗巨头因泄露13.4万名患者和员工数据遭集体诉讼,面临6500万美元赔偿;南昌市某学校超4000条学生个人信息遭泄露。
网安风险警示,本期有五点建议关注:一是工信部:关于防范新型勒索病毒Cicada3301的风险提示;二是端点管理解决方案Ivanti Endpoint Manager存在反序列化远程代码执行漏洞;三是开放式一体化平台GitLab存在身份认证绕过漏洞;四是Ruby-SAML库被曝存在满分漏洞;五是核心管理组件VMware vCenter Server存在堆溢出漏洞。
一、网安动向热讯
(一)国家金监总局印发《关于加强银行业保险业移动互联网应用程序管理的通知》
9月14日消息,金融监管总局印发《关于加强银行业保险业移动互联网应用程序管理的通知》。《通知》从四方面提出18条工作要求。一是加强统筹管理,要求金融机构明确移动应用管理牵头部门、建立移动应用台账、完善准入退出机制、控制移动应用数量;二是加强全生命周期管理,要求金融机构规范移动应用的需求分析、设计开发、测试验证、上架发布、监控运行等环节,强化移动应用与运行环境的兼容性、适配性管理;三是落实风险管理责任,要求金融机构落实移动应用备案、网络安全、数据安全、外包管理、业务连续性及个人信息保护等监管要求;四是加强监督管理,要求金融监管总局各级派出机构加强移动应用监管工作。(信息来源:国家金融监督管理总局)
(二)《网络安全标准实践指南—敏感个人信息识别指南》发布
9月19日消息,全国网络安全标准化技术委员会秘书处组织发布《网络安全标准实践指南—敏感个人信息识别指南》,旨在围绕网络安全法律法规政策、标准、网络安全热点和事件等主题,宣传网络安全相关标准及知识,提供标准化实践指引。本《实践指南》给出了敏感个人信息识别规则以及常见敏感个人信息类别和示例,可用于指导各组织识别敏感个人信息,也可为敏感个人信息处理和保护工作提供参考。(信息来源:全国网络安全标准化技术委员会)
(三)《关键信息基础设施网络及信息系统作业可信与安全白皮书》发布
9月13日消息,由中国信息安全测评中心指导,华为技术有限公司联合中国移动通信集团有限公司等行业单位专家共同编撰的《关键信息基础设施网络及信息系统作业可信与安全白皮书》正式发布。该白皮书以关键信息基础设施网络及信息系统的作业为切入点,结合大量的实践经验,创新性提出作业可信与安全的基本概念和作业可信与安全管理模型,并定义了透明、可追溯、符合预期三个基本特征。白皮书以通信领域网络及信息系统的典型作业场景为例,拆解分析作业的全过程和关键要素,抽象出人员、授权、流程/规则、账号、工具/平台、软硬件、方案、接入、操作、数据和网元等要素,参考系统工程方法和控制模型,形成了作业可信与安全管理模型。网络及信息系统的相关方围绕关键要素开展管理。(信息来源:中国信息安全)
(四)美CISA发布联邦网络安全运营统一计划
9月19日消息,美网络安全与基础设施安全局(CISA)发布了一项新计划,旨在协调整个联邦政府的集体运营防御能力,并降低100多个联邦民事行政部门机构的网络安全风险。该计划分为五个优先领域,包括资产管理、脆弱性管理、可防御的架构、网络供应链风险管理和事件检测和响应。(信息来源:美CISA网站)
(五)美网络司令部公布网络作战人工智能路线图
9月11日消息,美网络司令部计划与政策副主管迈克尔·克拉克公布了将人工智能融入军事网络行动的五年路线图。该路线图旨在提高分析能力、扩大行动规模并增强对抗对手的能力,使美网络司令部处于技术创新和网络防御的前沿。该路线图概述了安全、对抗性后勤和国防等任务领域的100多项活动;提出要加强与业界合作、开发可持续技术以及设计一支满足未来需求的部队,侧重于与美国家安全局合作,以提高计算和人工智能能力;将采用分阶段方式,首先推出60多个试点项目和26项整合人工智能的新举措。(信息来源:奇安网情局)
(六)美白宫宣布成立人工智能数据中心基础设施特别工作组
9月13日消息,美白宫宣布成立一个新的人工智能数据中心基础设施特别工作组,以协调政府各部门的政策。白宫表示,该工作组将与人工智能基础设施领导者合作,并规划人工智能数据中心开发的优先次序,以反映这些项目对美国国家安全和经济利益的重要性。此外,新的特别工作组还将在近期工作的基础上,确定需要采取立法行动的领域,以支持人工智能数据中心的发展。(信息来源:MeriTalk网站)
(七)美商务部推出新举措加强供应链韧性
9月14日消息,美商务部宣布了一系列措施,旨在提升对供应链风险的分析和应对能力。其中包括推出SCALE诊断工具,该工具通过一系列指标帮助评估美国经济的供应链风险。此外,美国际贸易管理局计划举办竞赛,以开发新数据或分析工具,进一步扩展SCALE工具的风险指标,并计划在2025年进行两次行业供应链桌面演习。同时,美商务部还与七个行业协会和学术机构建立了战略合作伙伴关系,共同推动供应链的韧性和创新。(信息来源:MeriTalk网站)
(八)英政府将数据中心列为“关键国家基础设施”以加强保护
9月12日消息,英政府宣布将数据中心正式列为关键国家基础设施。此举旨在为支撑国家通信的服务器和IT系统提供额外保护,防范网络攻击,确保国家信息安全。英政府指出,将数据中心列为关键国家基础设施后,它们将与水、能源等基础设施享有同等地位。英科技部长彼得·凯尔表示,将数据中心纳入关键国家基础设施制度有助于政府更好地协调与合作,共同防范网络犯罪分子和应对突发事件,该举措将进一步提升英国网络安全水平。(信息来源:路透社)
(九)俄罗斯拟立法绕过外国技术封锁
9月13日消息,俄罗斯参议员安德烈·库特波夫和尤里·费多罗夫向国家杜马提交一项法案,该法案旨在通过司法手段强制颁发许可证,允许俄罗斯企业使用已离开俄罗斯市场的外国公司的专利和发明。法案提出,若专利持有人与对俄不友好的国家有关联,或单方面拒绝履行许可协议,俄罗斯公司可申请强制许可使用相关专利,但需支付补偿。法案还指出,根据俄罗斯联邦民法典第1362条,若专利在规定时间内未使用或使用不足,利害关系方也有权申请强制许可。(信息来源:新浪科技)
(十)澳大利亚政府拟定新法律以打击数字虚假信息
9月13日,澳大利亚政府拟定一项新法律以打击数字虚假信息。该项法律规定,如社交媒体公司未能采取措施管理数字通信平台上的错误信息和虚假信息对澳大利亚构成的风险,这些公司可能会被处以高达年收入5%的罚款。此外,该法律还将一些内容排除在外,包括专业新闻、可被合理视为恶搞或讽刺的内容以及出于任何学术、艺术、科学或宗教目的合理传播的内容。目前,该项立法尚未在澳大利亚议会通过。(信息来源:凤凰网科技)
(十一)韩国与北约合作举办国际性“2024年联盟力量”网络演习
9月15日消息,韩国于9月10日至12日在首尔会展中心举办了“2024年联盟力量演习”,旨在加强与北约和印太地区国家的网络安全合作。此次演习由韩国国家情报院主办,总体目标是培养面对潜在网络威胁的实际响应能力,旨在应对全球网络安全危机,重点关注盟国间的互助机制。北约合作网络防御卓越中心参与了演习的设置和组织,协助开发了演习场景、开场演习、演习系统和网络培训模型,包括电网系统、Web服务、数字取证和事件响应组件等。来自美国、意大利、日本和新加坡等24个国家的约70名网络安全专业人员参加了此次演习。(信息来源:奇安网情局)
二、网安事件聚焦
(十二)黎巴嫩多地发生传呼机爆炸事件致2000多人伤亡,黎政府指认“以色列网络攻击”
9月17日,黎巴嫩多地发生传呼机爆炸事件致2000多人伤亡。黎巴嫩公共卫生部公共卫生紧急行动中心发表紧急声明,要求所有民众立即弃用传呼机。黎巴嫩外交部将爆炸事件定性为“以色列网络攻击”,猜测某批寻呼机被以色列截获篡改,植入炸药后远程引爆,但未公布更多细节。自去年10月以来,黎巴嫩真主党与以色列一直处于相互攻击的局面,为规避以色列对电话的追踪和监控,真主党成员在过去几个月里改用寻呼机进行通讯。路透社报道称,被毁坏的寻呼机照片显示,其格式和背面的贴纸与中国台湾企业金阿波罗公司生产的AP924型号寻呼机一致,该机型采用的是可拆卸锂电池。爆炸具体原因尚未确定。(信息来源:路透社)
(十三)伊朗黑客组织APT34对伊拉克政府发起恶意软件攻击
9月14日消息,伊朗黑客组织APT34对伊拉克政府发起恶意软件攻击。此次攻击利用新恶意软件Veaty和Spearal,通过伪装文档和社会工程学手段渗透网络,主要针对伊拉克总理办公室及外交部等关键部门。APT34自2014年起在中东地区活跃,擅长网络钓鱼和定制后门攻击,包括自定义DNS隧道和基于被感染电子邮件的C2通道。攻击链通过欺骗性文件启动,执行PowerShell或Pyinstaller脚本,删除痕迹并部署恶意软件。以色列软件公司Check Point强调,此次攻击凸显了伊朗攻击者在地区内的持续和集中努力,以及在开发C2机制上的投入。(信息来源:TheHackerNews网)
(十四)美西雅图港遭Rhysida勒索软件攻击致航班延误
9月15日消息,美西雅图港确认其系统在过去三周内遭Rhysida勒索软件组织恶意攻击,迫使港口紧急隔离部分关键系统以遏制影响,直接干扰了西雅图-塔科马国际机场的航班预订与登机流程,导致航班延误。Rhysida成功渗透港口计算机系统,加密关键数据,导致包括行李处理、自助服务、Wi-Fi网络、信息显示等多个服务中断。尽管港口迅速响应,恢复了大部分系统,但官方网站、访客通行证服务等关键功能仍在修复中。Rhysida自5月活跃以来,已多次对全球多个领域发起攻击。(信息来源:BleepingComputer网)
(十五)全球超130万台安卓电视流媒体盒遭Vo1d后门恶意软件攻击
9月15日消息,研究人员发现,攻击者利用新型Vo1d后门恶意软件,成功感染了全球超过130万台运行安卓系统的电视流媒体盒,受影响用户主要集中在巴西、摩洛哥等国。Vo1d恶意软件源自安卓开源项目,由谷歌主导,广泛应用于多种设备。Vo1d恶意软件通过篡改安卓的启动脚本(如install-recovery.sh、daemonsu等),实现在设备上的持久存在与自动启动,感染途径尚不明确。研究人员推测可能涉及操作系统漏洞的利用或非官方固件中的root权限漏洞,建议安卓用户定期检查并安装固件更新,同时避免使用来自非官方渠道的APK应用。(信息来源:BleepingComputer网)
(十六)网络安全巨头Fortinet 440 GB数据遭黑客窃取
9月13日消息,全球知名网络安全公司Fortinet确认其数据遭大规模泄露,黑客通过未经授权的方式访问了第三方云存储中的文件,亚太地区客户受影响。一名黑客自称通过攻破Fortinet的Microsoft SharePoint服务器,窃取了440 GB的数据,随后在黑客论坛上公布了存储这些数据的S3存储桶凭据。Fortinet是仅次于Palo Alto和CrowdStrike的全球第三大网络安全公司,其产品包括防火墙、路由器和VPN设备等关键安全设备。Fortinet已通知受影响客户并已采取安全措施。(信息来源:CyberDaily网)
(十七)美半导体供应商微芯Microchip员工数据和加密密码遭泄露
9月12日消息,美半导体供应商微芯Microchip已确认在8月遭网络攻击,多个制造设施的运营和履行订单能力受影响,公司被迫关闭部分系统。攻击者从其系统中窃取了部分员工数据和加密以及散列的密码,但尚未发现客户或供应商信息泄露的迹象。Microchip公司拥有来自多个行业领域的约12万名客户,包括工业、汽车、消费、航空航天和国防、通信和计算市场。勒索软件组织Play声称已从微芯片技术公司受损的系统中窃取大量信息,包括个人机密数据、客户文件、税收以及财务信息等,并泄露部分被盗数据作为勒索筹码。Microchip公司称,其关键IT系统现已恢复运营。(信息来源:金融界)
(十八)美医疗巨头因泄露13.4万名患者和员工数据遭集体诉讼,面临6500万美元赔偿
9月13日消息,美医疗巨头利哈伊谷健康公司(LVHN)将支付6500万美元和解金以了结其患者发起的集体诉讼。这些患者的数据遭勒索软件组织窃取并发布在互联网上,遭泄露的数据包括患者姓名、地址、社会安全号码、州ID信息、医疗记录、手术照片甚至裸露照片。LVHN是美宾夕法尼亚州最大的初级医疗集团之一,该公司于2023年2月6日发现其IT系统遭入侵,随后确认BlackCat勒索软件组织实施了此次攻击,并窃取13.4万名患者和员工的相关数据。由于LVHN拒绝向BlackCat支付赎金,攻击者将部分资料发布至互联网,引发客户集体诉讼。目前,LVHN已就此集体诉讼达成和解。(信息来源:安永信息)
(十九)南昌市某学校超4000条学生个人信息遭泄露
9月13日消息,据网信部门通报,南昌市某学校网站上发布的公示信息附件中含有大量学生姓名、身份证号等明文信息,存在个人信息泄露风险。调查发现,该学校未采取技术和其他必要措施,对公示附件中的学生名字、身份证号等4000多条个人信息未开展脱敏或去标识化处理,导致信息泄露。南昌市网信办依据相关法律法规,对该学校做出警告。(信息来源:网信南昌)
三、网安风险警示
(二十)工信部:关于防范新型勒索病毒Cicada3301的风险提示
9月18日消息,工业和信息化部网络安全威胁和漏洞信息共享平台监测到以Windows和Linux系统为攻击目标的新型勒索病毒Cicada3301,攻击对象主要为中小型企业,可能导致数据窃取和业务中断等安全风险。Cicada3301是一种用Rust编写的新型勒索病毒,其使用ChaCha20算法对文件加密,最早发现于6月。该勒索病毒通过网络钓鱼、漏洞利用、供应链攻击等方式渗透目标系统,并在后台静默运行,窃取敏感数据以实施双重勒索,并采取停止关键服务、删除快照、修改配置等方式增加恢复难度。建议相关单位和用户及时更新防病毒软件,以防范网络攻击风险。(信息来源:网络安全威胁和漏洞信息共享平台)
(二十一)端点管理解决方案Ivanti Endpoint Manager存在反序列化远程代码执行漏洞
9月13日消息,奇安信CERT监测到Ivanti Endpoint Manager反序列化远程代码执行漏洞CVE-2024-29847(CVSS评分为10.0)。该漏洞允许未经身份验证的攻击者执行远程代码,从而控制受影响系统,导致敏感信息泄露甚至获取系统权限等。Ivanti Endpoint Manager(EPM)是由Ivanti公司开发的一款综合性端点管理解决方案,帮助企业有效管理和保护网络中的端点设备,包括桌面、笔记本电脑、服务器、移动设备和虚拟环境等。鉴于该漏洞影响范围较大,建议用户尽快做好自查及防护。(信息来源:奇安信CERT)
(二十二)开放式一体化平台GitLab存在身份认证绕过漏洞
9月12日消息,奇安信CERT监测到官方修复GitLab身份认证绕过漏洞CVE-2024-6678(CVSS评分9.9),攻击者可在某些情况下以其他用户的身份触发pipeline,从而造成身份验证绕过。GitLab是一款用于仓库管理的开源项目,提供了一整套工具来帮助开发团队进行项目管理、代码托管、持续集成/持续部署(CI/CD)、监控以及更多功能。目前官方已更新版本,建议用户尽快升级。(信息来源:奇安信CERT)
(二十三)Ruby-SAML库被曝存在满分漏洞
9月12日消息,Ruby-SAML库作为实施SAML(安全断言标记语言)授权的重要工具被曝存在满分漏洞CVE-2024-45409(CVSS评分为10)。该漏洞存在于Ruby-SAML的多个版本中,因XPath选择器错误导致,使得SAML响应的签名验证失效。攻击者仅通过伪造或篡改包含任意数据的SAML响应,即可绕过身份验证机制,假冒任何用户身份登录系统,从而获取对敏感数据和关键系统的未授权访问权限。因众多组织依赖SAML身份验证来保障应用访问安全,该漏洞一旦遭利用,将可能导致用户数据泄露和企业资产受损。研究人员建议所有Ruby-SAML用户立即更新至最新版本。(信息来源:Securityonline网)
(二十四)核心管理组件VMware vCenter Server存在堆溢出漏洞
9月18日消息,启明星辰集团VSRC监测到Broadcom发布安全公告,修复了VMware vCenter Server中的一个堆溢出漏洞CVE-2024-38812)(CVSS评分9.8)。由于vCenter Server在DCE/RPC(分布式计算环境/远程过程调用)协议的实施过程中存在堆溢出漏洞,能够网络访问vCenter Server的攻击者可通过发送特制网络数据包来触发该漏洞,成功利用该漏洞可能导致远程代码执行。此外,vCenter Server中还修复了一个权限提升漏洞CVE-2024-38813(CVSS评分7.5),具有vCenter Server网络访问权限的攻击者可通过发送特制网络数据包触发该漏洞,从而将权限提升至root。vCenter Server是VMware vSphere虚拟化架构的核心管理组件,为ESXI主机和虚拟机提供管理服务,通过vCenter Server可以集中管理多台ESXI主机和虚拟机。目前上述漏洞已被修复,建议受影响用户尽快升级版本。(信息来源:启明星辰)
