网络空间安全动态(202433期)
编者按:网安动向热讯,本期有七点值得关注:一是李强签署国务院令 公布《网络数据安全管理条例》;二是国家发展改革委、国家数据局等部门联合印发《国家数据标准体系建设指南》;三是我国工业互联网安全领域首批国家标准发布,明年1月正式实施;四是《网络安全技术 办公设备安全规范》等9项网络安全国家标准获批发布;五是美众议院通过《人工智能事件报告和安全增强法案》;六是美网络和信息技术研究与发展部就网络物理系统韧性征求公众意见;七是五眼联盟发布检测网络攻击活动的联合指南;八是乌克兰国防部建立新的网络事件应急响应中心。
网安事件聚焦,本期有两点建议关注:一是地缘冲突频发,网络安全领域已成为现代战争的重要战场。本期介绍:黎巴嫩贝鲁特国际机场控制塔台疑遭以色列网络攻击;俄罗斯国家媒体巨头VGTRK遭严重网络攻击后瘫痪,亲乌黑客组织宣称对此次攻击负责。二是关键基础设施仍是网络攻击的主要目标。本期介绍:美最大水务公司遭网络攻击致部分系统关闭,上千万人无法处理账单;金融服务、互联网和电信行业遭大规模DDoS攻击;科威特卫生部遭网络攻击致多家医院系统瘫痪;美医疗保健提供商遭勒索软件攻击致服务受阻;美汇款公司速汇金遭黑客攻击,其客户个人信息和交易数据被窃取;南昌市某企业IP疑被黑客远程控制并滥用。
网安风险警示,本期有四点建议关注:一是美CISA就Zimbra邮件服务器严重漏洞发布安全警报;二是英伟达容器工具包NVIDIA Container Toolkit存在高危漏洞;三是思科研究人员在OpenPLC中发现5个安全漏洞;四是CUPS打印系统组件中存在多个安全漏洞。
一、网安动向热讯
(一)李强签署国务院令 公布《网络数据安全管理条例》
9月30日,国务院总理李强日前签署国务院令,公布《网络数据安全管理条例》,自2025年1月1日起施行。《条例》共9章64条,主要规定了以下内容。一是提出网络数据安全管理总体要求和一般规定。明确鼓励网络数据在各行业、各领域的创新应用,对网络数据实行分类分级保护,积极参与网络数据安全相关国际规则和标准的制定,加强行业自律,禁止非法网络数据处理活动。二是细化个人信息保护规定。明确处理个人信息的规则和应当遵守的具体规定。要求网络数据处理者提供便捷的支持个人行使权利的方法和途径,不得设置不合理条件限制个人的合理请求。三是完善重要数据安全制度。明确制定重要数据目录职责要求,规定网络数据处理者识别、申报重要数据义务。明确重要数据风险评估具体要求。四是优化网络数据跨境安全管理规定。明确网络数据处理者可以向境外提供个人信息的条件,规定可以按照缔结或者参加的国际条约、协定向境外提供个人信息。五是明确网络平台服务提供者义务。规定网络平台服务提供者、第三方产品和服务提供者等主体的网络数据安全保护要求。(信息来源:新华社)
(二)国家发展改革委、国家数据局等部门联合印发《国家数据标准体系建设指南》
10月8日消息,国家发展改革委、国家数据局、中央网信办、工业和信息化部、财政部、国家标准委联合印发《国家数据标准体系建设指南》。《建设指南》深入贯彻落实习近平总书记关于数据发展和安全的重要论述精神,以数据“供得出、流得动、用得好、保安全”为指引,从基础通用、数据基础设施、数据资源、数据技术、数据流通、融合应用、安全保障等7个部分,加快构建数据标准体系,全面指导数据标准化工作开展,为制修订数据领域相关标准提供了重要指引。《建设指南》提出计划到2026年底,基本建成国家数据标准体系,围绕数据流通利用基础设施、数据管理、数据服务、训练数据集、公共数据授权运营、数据确权、数据资源定价、企业数据范式交易等方面,制修订30多项数据领域基础通用国家标准,形成一批标准应用示范案例,建成标准验证和应用服务平台,培育一批具备数据管理能力评估、数据评价、数据服务能力评估、公共数据授权运营绩效评估等能力的第三方标准化服务机构。(信息来源:国家数据局)
(三)我国工业互联网安全领域首批国家标准发布,明年1月正式实施
10月9日消息,国家市场监督管理总局(国家标准化管理委员会)发布2024年第22号中国国家标准公告,《工业互联网企业网络安全第1部分:应用工业互联网的工业企业防护要求》《工业互联网企业网络安全第2部分:平台企业防护要求》《工业互联网企业网络安全第3部分:标识解析企业防护要求》3项工业互联网企业网络安全系列国家标准经批准,将于2025年1月1日正式实施。本次发布的3项国家标准是我国工业互联网安全领域的首批国家标准,是我国实施工业互联网安全分类分级工作的创新成果与经验总结,其发布实施对全国范围规模化推广工业互联网安全分类分级管理工作、综合提升工业互联网企业安全防护能力、支撑制造业数字化转型和高质量发展具有重要意义。(信息来源:证券时报)
(四)《网络安全技术 办公设备安全规范》等9项网络安全国家标准获批发布
10月9日消息,根据国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2024年第22号),全国网络安全标准化技术委员会归口的9项国家标准正式发布。具体清单如下:《网络安全技术 实体鉴别 第2部分:采用鉴别式加密的机制》《网络安全技术 消息鉴别码 第2部分:采用专门设计的杂凑函数的机制》《网络安全技术 杂凑函数 第1部分:总则》《网络安全技术 杂凑函数 第2部分:采用分组密码的杂凑函数》《网络安全技术 杂凑函数 第3部分:专门设计的杂凑函数》《网络安全技术 网络和终端隔离产品技术规范》《网络安全技术 信息安全控制》《网络安全技术 办公设备安全规范》《网络安全技术 智能门锁网络安全技术规范》。(信息来源:全国网安标委)
(五)美众议院通过《人工智能事件报告和安全增强法案》
9月26日,美众议院科学、空间与技术委员会批准《人工智能事件报告和安全增强法案》,要求美国家标准与技术研究院(NIST)将人工智能系统纳入国家漏洞数据库。该两党法案要求NIST更新国家漏洞数据库,以反映人工智能系统的漏洞,并研究自愿报告人工智能安全事件的必要性。该法案还要求NIST与美网络安全与基础设施安全局(CISA)等利益相关者合作,为人工智能安全事件建立通用定义、术语和标准化报告规则。(信息来源:Meritalk网)
(六)美网络和信息技术研究与发展部就网络物理系统韧性征求公众意见
9月30日消息,美网络和信息技术研究与发展部(NITRD)正在征求公众意见,以指导其正在制定的一项计划,该计划旨在形成与地方、区域或国家系统的网络物理韧性相关的全政府研发方法。征求意见稿引用了美国总统科技顾问委员会的《网络物理韧性战略:加强数字世界的关键基础设施》报告。该报告将物理网络系统定义为依靠计算技术进行感知、分析、跟踪、控制、连接、协调和人机交互的技术。NITRD将在10月26日之前接受公众意见回复。(信息来源:ExcutiveGov网)
(七)五眼联盟发布检测网络攻击活动的联合指南
9月29日消息,五眼联盟发布检测网络攻击活动的联合指南,旨在帮助组织检测和缓解针对活动目录的网络攻击威胁。该指南概述了六项原则,其中一项原则强调了供应链的安全性,建议设备和软件供应商应着眼于扩大OT网络的内部分割与隔离,确保其与互联网及IT网络的连接安全,特别是与外部组织的连接。该指南指出,活动目录易受攻击,原因包括默认设置宽松、权限关系复杂、支持旧协议以及缺乏诊断安全问题的工具。攻击者通过这些弱点控制企业网络,可能导致大规模的恢复和补救工作。为减轻入侵风险,相关组织机构应确保特权访问,并采用分层模型,如采用微软的企业访问模型,可增加攻击者使用复杂技术的难度,提高攻击者暴露的可能性。(信息来源:SecurityWeek网)
(八)美国与波兰加强网络安全和新兴技术合作
9月30日消息,美国土安全部(DHS)与波兰数字事务部签署一份谅解备忘录,深化在网络安全和新兴技术领域的合作,尤其是在网络政策和战略、安全设计工作、信息共享、事故响应、人力资本开发和新兴技术等领域的交流。美DHS各实体,包括美CISA,战略、政策和计划办公室以及科学技术局,将与波兰数字事务部及其国家研究所共同推进此次合作。(信息来源: 美国土安全部网站)
(九)俄罗斯推进“触觉互联网”超高速网络建设
10月8日消息,俄罗斯计划建设超低延迟(约1毫秒)的骨干通信网络,以支持远程医疗、工业设施管理、虚拟现实和增强现实等“触觉互联网”应用。该项目已被纳入俄罗斯政府批准的《到2035年电信业发展战略》中。触觉互联网不仅可以传输音频和视频数据,还可实时传输触觉感受,这对于需要即时反馈的应用场景极为关键。(信息来源:元战略)
(十)乌克兰国防部建立新的网络事件应急响应中心
10月7日,乌克兰国防部宣布建立新的网络事件应急响应中心,重点是保卫该国军事和通信网络,对网络事件提供全天候监控和响应。该中心主要任务包括:响应网络事件和网络攻击并消除其后果;采取措施保护乌克兰国防部的信息和通信系统;实施和使用网络安全事件管理系统并共享网络威胁信息;与乌克兰其他军事和民间网络机构合作执行联合任务;组织开展网络安全领域实践培训;与北约和其他防务领域机构在网络空间安全和联合防御网络威胁方面开展合作;帮助改善乌克兰网络安全状况并确保对网络事件做出适当反应。(信息来源:奇安网情局)
(十一)加拿大建立武装部队网络司令部以整合军事网络能力
9月26日,加拿大正式宣布成立加拿大武装部队网络司令部,从而将武装部队的网络能力整合为一个统一的专门实体,提高军队应对网络领域威胁的准备程度。该司令部将成为加拿大国防部和武装部队网络行动的唯一管理机构,负责网络部队的维持、管理和发展,通过集中资源来推进与行动、人员、政策和能力相关的网络空间现有活动。具体包括信号情报和联合电子战,能够执行和支持一系列网络任务;除对保卫加拿大和推进其利益至关重要外,还将帮助国防团队履行北约承诺以及加拿大印度—太平洋战略的网络和防御部分;将支持加拿大武装部队过渡到全域战场。(信息来源:奇安网情局)
(十二)加纳发布国家网络安全政策以应对数字化转型中的网络威胁
10月7日消息,加纳在阿克拉启动了国家网络安全政策和战略(NCPS),这是加纳应对快速数字化过程中日益严峻的网络安全威胁的重要举措。加纳通信和数字化部长强调,修订后的政策旨在保护国家的数字基础设施,并为未来五年内的数字成就提供保障。NCPS建立在法律、技术、组织、能力建设和合作五大支柱上,旨在增强信息与通信技术生态系统的信心和安全性,并与国际电信联盟的全球网络安全议程相一致。(信息来源:元战略)
二、网安事件聚焦
(十三)黎巴嫩贝鲁特国际机场控制塔台疑遭以色列网络攻击
9月30日消息,黎巴嫩贝鲁特国际机场控制塔台疑遭以色列网络攻击,导致一架伊朗民航班机未能降落,被迫返回德黑兰。黎巴嫩交通部长阿里·哈米向黎巴嫩媒体《An-Nahar》透露,以色列国防军拦截了贝鲁特机场控制塔的无线电通信,并威胁称,如果这架伊朗飞机降落,将攻击机场基础设施。以色列军方声称,贝鲁特国际机场被用作向真主党输送武器的入口,但黎巴嫩当局对此予以否认,强调机场是完全用于民用的基础设施。(信息来源:安全内参)
(十四)俄罗斯国家媒体巨头VGTRK遭严重网络攻击后瘫痪,亲乌黑客组织宣称对此次攻击负责
10月9日消息,俄罗斯国家媒体巨头VGTRK遭网络攻击,导致其在线广播服务中断。圣彼得堡新闻网站《Fontanka.ru》报道称,已确认部分互联网用户无法访问“俄罗斯1台”和“俄罗斯24台”的内容,但数字电视广播并未受影响。黑客成功摧毁了存储在服务器上的所有信息,包括备份,导致在线广播和内部服务中断。VGTRK管理着多个国家电视台,包括“俄罗斯1台”和“俄罗斯24台”,以及80多个地方电视和广播电台。亲乌克兰黑客组织Sudo rm-RF声称对此次事件负责。俄罗斯克里姆林宫发言人佩斯科夫表示,全俄国家电视和广播公司正在努力克服攻击带来的后果。(信息来源:网易新闻)
(十五)美最大水务公司遭网络攻击致部分系统关闭,上千万人无法处理账单
10月8日消息,美最大上市水务和污水处理公用事业公司遭网络攻击,导致部分系统被迫关闭。公司已向执法部门报告此事件,并聘请第三方网络安全专家进行联合调查。为应对此次攻击,该公司主动断开或停用某些系统,关闭在线客户门户服务MyWater,暂停计费服务。该公司发言人表示,系统恢复期间不会向客户收取滞纳金,并强调供水或废水设施及运营未受影响。美水务公司拥有6500多名员工,为14个州和18个军事基地的超过1400万人提供服务。截至目前,尚无任何勒索软件组织宣称对此次攻击负责。(信息来源:BleepingComputer网)
(十六)金融服务、互联网和电信行业遭大规模DDoS攻击
10月3日消息,金融服务、互联网和电信行业遭大规模DDoS攻击且持续一个月之久,峰值流量高达每秒3.8Tbps。攻击主要利用固定端口上的UDP,且源自全球各地,占比较大的数据来自于越南、俄罗斯、巴西、西班牙和美国等。此次攻击的目标是带宽饱和以及在线应用程序和设备的资源耗尽。高数据包速率攻击似乎源自多种类型的受感染设备,包括MikroTik设备、DVR和Web服务器,这些设备协同工作,向目标发送大量流量。高比特率攻击似乎源自大量受感染的华硕家用路由器。(信息来源:IT之家)
(十七)科威特卫生部遭网络攻击致多家医院系统瘫痪
9月30日消息,科威特卫生部遭网络攻击,导致该国多家医院的系统瘫痪,国家医疗应用Sahel也因此下线。该国卫生部通过科威特通讯社发布声明称,黑客未能攻入核心数据库,但为进行必要的安全更新,卫生部已暂时关闭部分系统。科威特人口超过400万,拥有约36家医院,其中20家为公立医院。声明强调,该国政府已通过备份数据,成功恢复了科威特癌症控制中心的系统,以及国家健康保险和外籍人员体检管理办公室的相关系统。目前,尚无任何勒索软件组织表示对此次攻击事件负责。(信息来源:安全内参)
(十八)美医疗保健提供商遭勒索软件攻击致服务受阻
10月1日,美德克萨斯州医疗保健提供商UMC Health System遭勒索软件攻击,导致其IT系统出现异常,部分科室关闭或只能提供延迟服务,其中放射科受影响尤为严重,UMC诊所无法打印医疗记录,部分患者被迫转移至其他地点。此次攻击可能涉及数据盗窃,数十万人的敏感医疗信息可能受影响。UMC正在调查此事件,并表示将及时提供相关信息。目前,尚未有勒索软件组织宣称对此次攻击负责。(信息来源:BleepingComputer网)
(十九)美汇款公司速汇金遭黑客攻击,其客户个人信息和交易数据被窃取
10月8日消息,美汇款公司速汇金证实,其客户个人信息和交易数据在9月份发生的一次网络攻击中被黑客窃取,包括姓名、出生日期、身份证号码、电话号码和电子邮件地址等,还包括部分客户的社会安全号、政府身份证明文件、驾照、水电费账单、银行账号、交易日期和金额,以及少数消费者的刑事调查信息(如欺诈)等。攻击导致该公司业务中断一周,网站和应用程序下线。速汇金每年为200多个国家和地区的5000多万人提供服务。速汇金表示,正努力恢复相关服务,但未透露受影响客户的具体情况。(信息来源:HackerNews网)
(二十)南昌市某企业IP疑被黑客远程控制并滥用
9月30日消息,南昌市网信办在日常网络安全监测中发现,属地某企业所属IP疑似被黑客远程控制,频繁对外发起网络爆破攻击。经过立案调查、现场勘验、远程勘验(采样技术分析)、笔录问询等工作,查明该企业未履行网络安全保护义务,未对运营的网络及信息系统开展网络安全等级保护测评等相关工作,未采取防范计算机病毒和网络攻击等危害网络安全行为的技术措施;该企业未及时处置计算机病毒、网络攻击等安全风险,所属终端感染木马病毒,持续对外发起网络攻击,导致产生危害网络安全的后果。南昌市网信办依据相关法律法规,对该企业和直接负责人作出行政处罚。(信息来源:网信南昌)
三、网安风险警示
(二十一)美CISA就Zimbra邮件服务器严重漏洞发布安全警报
10月4日,美CISA已将Zimbra电子邮件服务器中的严重远程代码执行漏洞CVE-2024-45519(CVSS评分9.8)添加到其已知利用漏洞目录中,该漏洞针对Zimbra的postjournal服务,允许攻击者通过发送特制电子邮件利用系统,执行任意命令。该漏洞可能导致数据泄露、系统入侵或未经授权的访问等严重后果,已引起政府和关键基础设施部门的警惕。Zimbra已发布补丁修复该漏洞,建议系统管理人员立即更新。美CISA要求联邦机构和关键基础设施组织在10月24日前应用补丁或停止使用Zimbra的日志服务。(信息来源:Securityonline网)
(二十二)英伟达容器工具包NVIDIA Container Toolkit存在高危漏洞
9月29日消息,英伟达容器工具包NVIDIA Container Toolkit存在高危漏洞CVE-2024-0132(CVSS评分9.8),允许攻击者逃逸容器并获得主机系统的完全访问权限,从而执行命令或窃取敏感信息,影响所有依赖于该工具访问GPU资源的AI应用程序。根据Wiz Research报告,超35%的云环境面临利用该漏洞进行攻击的风险。英伟达已发布安全公告并提供修复补丁,建议用户采取更改默认密码、启用多因素认证、将人机界面置于防火墙后面等措施加强防范。(信息来源:IT之家)
(二十三)思科研究人员在OpenPLC中发现5个安全漏洞
9月29日消息,思科的Talos威胁情报部门披露了开源可编程逻辑控制器OpenPLC中存在5个安全漏洞(CVE-2024-34026、CVE-2024-36980、CVE-2024-36981、CVE-2024-39589和CVE-2024-39590),攻击者可通过发送特制的EtherNet/IP请求来利用上述漏洞。其中最严重的是基于堆栈的缓冲区溢出漏洞CVE-2024-34026(CVSS评分9.0),可被攻击者利用来触发DoS情况或执行远程代码。OpenPLC是一种开源可编程逻辑控制器(PLC),旨在为工业自动化提供低成本解决方案,广泛用于制造、能源和公用事业等行业的机器和流程自动化。上述漏洞已修复,建议用户尽快更新。(信息来源:SecurityAffairs网)
(二十四)CUPS打印系统组件中存在多个安全漏洞
9月30日消息,启明星辰集团VSRC监测到CUPS打印系统组件中存在多个安全漏洞(CVE-2024-47176、CVE-2024-47076、CVE-2024-47175、CVE-2024-47177)构成远程代码执行链。当启用cups-browsed守护程序时,未经身份验证的远程攻击者可构造恶意请求利用上述漏洞在目标系统上执行任意代码,目前部分漏洞细节及PoC已公开。CUPS是Unix/Linux系统中用于管理打印的重要工具,主要用于管理打印任务、打印请求和打印队列。研究人员建议用户及时更新系统上的CUPS包或限制端口仅可信地址访问。(信息来源:启明星辰)
