网络空间安全动态(202434期)
编者按:网安动向热讯,本期有八点值得关注:一是中共中央办公厅、国务院办公厅印发《关于加快公共数据资源开发利用的意见》;二是国家发展改革委就《公共数据资源登记管理暂行办法(公开征求意见稿)》公开征求意见;三是国家数据局发布《公共数据资源授权运营实施规范(试行)》(公开征求意见稿);四是我国网络安全机构发布专题报告,进一步揭露美国炒作“伏特台风”行动计划的真相;五是美国防部发布其网络安全成熟度模型认证计划的最终规则;六是美海军发布新版“海军网络防御指挥”系统;七是欧盟发布《数据治理法案》实施指导文件。
网安事件聚焦,本期有两点建议关注:一是全球范围内网络安全威胁的快速增长,尤其是针对关键信息基础设施、大型跨国公司为主的高价值目标。本期介绍:伊朗政府部门和核设施遭受大规模网络攻击;蔓灵花组织启用全新特马MiyaRat,国内用户成为首要目标;日本电子巨头卡西欧证实遭勒索软件攻击;科技巨头思科公司系统疑遭黑客入侵;广东省教育厅短信平台遭入侵。二是数据泄露涉及多个行业,成为威胁信息安全、企业信誉及个人隐私的重大隐患。本期介绍:互联网档案馆遭受数据泄露和DDoS攻击的双重打击;万豪酒店因数据泄露被责令整改并处罚5200万美元;游戏开发商Game Freak数百GB内部敏感数据遭泄露;某医疗科技企业因数据泄露被上海网信部门处罚。
网安风险警示,本期有五点建议关注:一是Firefox浏览器存在释放后重引用漏洞;二是Fortinet多款产品中存在格式字符串漏洞;三是GitLab存在严重漏洞,可能导致任意CI/CD管道执行;四是GitHub Enterprise Server存在身份验证绕过漏洞;五是企业级报表管理工具Telerik Report Server存在多个高危漏洞。
一、网安动向热讯
(一)中共中央办公厅、国务院办公厅印发《关于加快公共数据资源开发利用的意见》
10月10日消息,中共中央办公厅、国务院办公厅印发《关于加快公共数据资源开发利用的意见》。《意见》聚焦破除公共数据流通使用的体制性障碍、机制性梗阻,统筹发展和安全,兼顾效率和公平,从扩大资源供给、规范授权运营、鼓励应用创新、营造良好环境、强化组织保障等方面提出了17项具体措施。根据《意见》,国家在数据资源开发利用的总体目标分为两个阶段:到2025年,公共数据资源开发利用制度规则初步建立,资源供给规模和质量明显提升,数据产品和服务不断丰富,重点行业、地区公共数据资源开发利用取得明显成效,培育一批数据要素型企业,公共数据资源要素作用初步显现。到2030年,公共数据资源开发利用制度规则更加成熟,资源开发利用体系全面建成,数据流通使用合规高效,公共数据在赋能实体经济、扩大消费需求、拓展投资空间、提升治理能力中的要素作用充分发挥。(信息来源:新华社)
(二)国家发展改革委就《公共数据资源登记管理暂行办法(公开征求意见稿)》公开征求意见
10月12日,国家发展改革委就《公共数据资源登记管理暂行办法(公开征求意见稿)》公开征求意见,此次公开征求意见的时间为2024年10月12日至11月11日。征求意见稿中提到,国家数据局加强公共数据资源登记管理,推进登记服务标准化,依托登记信息和政务数据目录,建立健全公共数据资源目录。建设国家公共数据资源登记平台,实现与各省级公共数据资源登记平台对接,推动登记信息互联互通。在全国范围内实现电子凭证“一证一码”,支撑登记信息的查询和共享。省级数据主管部门应加强集约化建设,统筹开展本辖区公共数据资源登记平台使用管理工作,强化数据共享、应用服务和安全保障。电子凭证原则上有效期三年,自发证之日起计算。对公共数据产品和服务登记,根据授权文件运营期限不超过三年的,凭证有效期以实际运营期限为准。(信息来源:国家发展改革委网站)
(三)国家数据局发布《公共数据资源授权运营实施规范(试行)》(公开征求意见稿)
10月12日,为认真贯彻落实《中共中央办公厅 国务院办公厅关于加快公共数据资源开发利用的意见》等文件要求,规范公共数据资源授权运营,国家数据局会同有关部门研究起草了《公共数据资源授权运营实施规范(试行)》(公开征求意见稿),现向社会公开征求意见。征求意见稿提出,开展授权运营活动,不得滥用行政权力或市场支配地位排除、限制竞争,不得利用数据和算法、技术、资本优势等从事垄断行为。运营机构应依法依规在授权范围内开展业务,不得直接或间接参与授权范围内已交付的公共数据产品和服务再开发。鼓励其他经营主体对运营机构交付的公共数据产品和服务再开发,融合多源数据,提升数据产品和服务价值,繁荣数据产业发展生态。(信息来源:澎湃新闻)
(四)我国网络安全机构发布专题报告,进一步揭露美国炒作“伏特台风”行动计划的真相
10月14日,我国网络安全机构第三次发布专题报告,进一步公开美国政府机构和“五眼联盟”国家针对中国和德国等其他国家,以及全球互联网用户实施网络间谍窃听、窃密活动,并掌握了美政府机构通过各种手段嫁祸他国的相关证据,另外还有他们采取“供应链”攻击,在互联网设备产品中植入后门等事实,彻底揭穿所谓“伏特台风”这场由美联邦政府自导自演的政治闹剧。报告显示,美情报机构专门研发了掩盖自身恶意网络攻击行为、嫁祸他国的隐身“工具包”,代号“大理石”,通过冒充其他国家的身份在全球实施网络攻击窃密活动,然后将这些行为栽赃给被冒充的非美国“盟友”的国家;美国牢牢把持全球最重要的大西洋海底光缆和太平洋海底光缆等互联网“关键节点”,先后建立了7个国家级的全流量监听站,实现对全球互联网用户的无差别监听;美国家安全局的内部文件显示,中国境内的主要城市几乎都在其网络秘密入侵行动范围内,大量的互联网资产已遭入侵,其中包括西北工业大学和武汉市地震监测中心所在地区。(信息来源:环球时报)
(五)美国防部发布其网络安全成熟度模型认证计划的最终规则
10月12日消息,美国防部(DOD)发布其网络安全成熟度模型认证(CMMC)计划的最终规则。该规则与美联邦采购法规第52.204-21和美国家标准与技术研究院特别出版物(SP)800-171修订版2和-172中描述的网络安全要求保持一致。根据最终规则,DoD允许企业自评估其合规性,FCI的基本保护需满足CMMC 1级的自评估,CUI的一般保护需满足第三方评估或CMMC 2级的自评估,某些需更高级别保护的CUI则需满足美国防工业基地网络安全评估中心主导的CMMC 3级评估。(信息来源:美国防部网站)
(六)美CISA网络安全咨询委员会批准四份报告草案,以增强应对网络威胁的能力
10月15日,美网络安全与基础设施安全局(CISA)的网络安全咨询委员会(CSAC)批准了四份旨在增强国家网络韧性、提升公众意识和加强全球数字生态系统安全的报告草案。报告涉及加强基础设施韧性、促进安全设计软件开发、提高公众意识和保护开源软件供应链等关键问题。报告指出,关键基础设施和政府机构普遍未准备好应对国家间冲突导致的竞争环境,且第三方风险可能加剧攻击的规模和严重性。CSAC建议CISA的联合网络防御协作组织与行业风险管理机构合作,以协助美联邦机构改善韧性与应急响应计划,鼓励采用安全设计原则,并在开源软件安全消费方面采取结构性变革。(信息来源:TechMonitor网)
(七)美海军发布新版“海军网络防御指挥”系统
10月15日消息,美海军发布新版“海军网络防御指挥”(NCCD)系统,旨在为指挥官提供可操作的见解,帮助其了解影响所控制系统和指定关键任务的网络漏洞和风险。该版本的主要功能之一是引入了“可操作网络风险指数”,该指数对网络风险进行了更细致的分析,帮助指挥官确定可以控制或影响的风险以及必须接受的风险;帮助决策者管理各个平台上的网络安全态势;对其他行业人员提供指导。(信息来源:奇安网情局)
(八)欧盟理事会宣布通过《网络弹性法案》
10月14日消息,欧盟理事会宣布通过《网络弹性法案》(CRA),旨在为物联网设备引入新的网络安全标准。该法案要求带有数字元素的产品在开发、生产和销售过程中符合网络安全要求,确保联网设备如相机、冰箱、电视和玩具在整个生命周期内受到保护。CRA的目标是填补现有的安全差距,使欧盟各国的网络安全立法更加一致。所有带有数字组件的产品将贴有CE标志,表明符合高安全、健康和环保标准。下一步,《网络弹性法案》需经欧盟理事会主席和欧洲议会议长签署,并在欧盟官方公报上公布20天后生效。(信息来源:欧盟委员会网站)
(九)欧盟发布《数据治理法案》实施指导文件
10月11日消息,在《数据治理法案》(DGA)实施一年之际,欧盟委员会发布DGA实施指导文件,旨在帮助利益相关者更好地理解DGA的内容。该文件系统地梳理了DGA的各项条款,并提出几个方面的关键解读:一是明确指出DGA不削弱《通用数据保护条例》(GDPR)及《电子隐私条例》的规定,当DGA规则与二者发生冲突时,后者优先适用;二是详细阐述了数据再利用的具体条件及公共部门与数据使用者的各自责任,强调禁止重新识别数据主体,并明确了通知义务及在数据泄露或未经授权使用非个人数据时的应对措施;三是倡导采用先进技术手段,在保障隐私的前提下实现数据价值的最大化;四是指出个人数据的跨境传输仍应满足GDPR规定。对于非个人数据,则允许在满足特定条件的基础上进行跨境传输。(信息来源:欧盟委员会网站)
二、网安事件聚焦
(十)伊朗政府部门和核设施遭大规模网络攻击
10月14日消息,伊朗遭大规模网络攻击,伊朗最高网络安全委员会前秘书菲鲁扎巴迪表示,此次网络攻击影响了伊朗政府内部的关键部门,包括司法、立法和行政部门,大量重要信息也被窃取。伊朗的核设施以及燃料分配、市政服务、交通和港口的关键网络也成为攻击目标。目前尚无关于此次网络攻击的细节和造成损失的报告。有关媒体分析,此次网络攻击可能是以色列对伊朗本月初导弹袭击的报复,加剧了两国间持续的紧张局势。(信息来源:安全内参)
(十一)蔓灵花组织启用全新特马MiyaRat,我国用户成为首要目标
10月15日消息,APT组织蔓灵花最近启用了一个名为“特马MiyaRat”的新恶意工具,主要目标是中国用户。MiyaRat是一种远程访问木马,允许攻击者控制受感染的系统,窃取敏感数据,进行持久性监控,甚至执行文件传输或命令操作。蔓灵花组织以其复杂的APT攻击活动闻名,主要针对政府、军事、科研和关键基础设施。MiyaRat的具体攻击手法包括使用鱼叉式钓鱼邮件、恶意软件伪装等方式感染目标设备,并通过命令控制服务器进行数据窃取和命令执行。近期的攻击集中在中国和巴基斯坦的政府机构和重要企业。(信息来源:奇安信威胁情报中心)
(十二)日本电子巨头卡西欧证实遭勒索软件攻击
10月15日消息,日本电子巨头卡西欧证实遭勒索软件攻击,黑客访问了卡西欧员工、承包商、业务合作伙伴以及求职者的个人信息,同时窃取了包括发票、人力资源文件及公司部分技术信息在内的敏感数据,还访问了部分客户的相关信息。卡西欧排除了信用卡信息泄露的可能,表示其Casio ID和ClassPad服务未受此次攻击影响。勒索软件组织Underground在暗网上声称对此次攻击负责,并发布了部分窃取数据样本。(信息来源:安全圈)
(十三)科技巨头思科公司系统疑遭黑客入侵
10月15日消息,黑客Intel Broker在Breach Forums发帖,声称入侵了科技巨头思科公司的系统,并窃取了大量敏感信息。Intel Broker列出了大量在此次入侵中窃取的数据,包括AT&T、英国电信、美国银行、澳大利亚国民银行、微软等公司的源代码、硬编码凭证、证书和密钥、机密文件、API令牌和存储桶等。思科表示,正对此事件展开调查以确保客户数据安全。(信息来源:HackRead网)
(十四)广东省教育厅短信平台遭入侵
10月12日,广东省教育厅发布声明称,发现有不法分子入侵其短信平台,以“广东省教育厅”名义向师生和家长发送包含非法链接的短信。广东省教育厅已第一时间向公安机关报案,并配合开展调查。请广大师生和家长提高警惕,切勿点击短信中的非法链接,避免个人信息泄露或遭受财产损失。据有关工作人员表示,目前整个短信平台已移交公安部门的技术团队,结果以公安机关的调查为准。广东省教育厅的其他网站未受影响。(信息来源:顶端新闻)
(十五)互联网档案馆遭数据泄露和DDoS攻击双重打击
10月11日消息,互联网档案馆网站遭黑客攻击,包含3100万条用户身份验证数据库被盗。攻击发生后,用户访问archive.org时会跳出弹窗,告知用户数据已托管在HIBP上。HIBP是由安全专家Troy Hunt创建的数据泄露通知服务。Troy Hunt证实,9天前收到黑客提供的6.4GB SQL文件,包含了互联网档案馆的用户数据(包括邮箱地址、用户名、bcrypt加密密码以及其他内部信息)。互联网档案馆还遭受了一次由BlackMeta黑客组织发起的DDoS攻击,导致archive.org和openlibrary.org两大网站暂时下线。互联网档案馆创立于1996年,是全球最大的数字存档平台之一,保存和提供网络历史、书籍、音频、视频等多种形式的数字内容。(信息来源:BleepingComputer网)
(十六)万豪酒店因数据泄露被责令整改并处罚5200万美元
10月14日消息,美联邦贸易委员会(FTC)要求国际酒店品牌万豪及其子公司喜达屋酒店及度假村集团实施强有力的信息安全计划,以解决对数据泄露事件的指控。据悉,2014年至2020年期间,万豪和喜达屋的安全故障导致至少三起数据泄露事件,黑客获取了数亿消费者的护照信息、出生日期、支付卡号、电子邮件地址等。作为与FTC和解协议的一部分,万豪被命令采取措施更好地保护客户个人信息,并让客户对其数据有更多的控制权。根据另一项和解协议,万豪同意向美国49个州和哥伦比亚特区支付5200万美元罚款,以解决类似的数据安全指控。(信息来源:数据法盟)
(十七)游戏开发商Game Freak数百GB内部敏感数据遭泄露
10月15日消息,《宝可梦》系列游戏开发商Game Freak数百GB内部敏感数据遭泄露。据多方报道,此次泄露数据源自8月的一次未经授权第三方访问服务器,不仅涉及公司员工的个人信息(有2606名员工和承包商的姓名和联系方式已被泄露),还包括多款《宝可梦》游戏的源代码、第十代宝可梦游戏的相关信息以及任天堂Switch 2的代号等敏感数据。Game Freak已发布公告确认该事件,并向受影响员工和社会公众致歉。(信息来源:HackRead网)
(十八)某医疗科技企业因数据泄露被上海网信部门处罚
10月14日消息,上海市网信办接到线索,反映属地某医疗科技公司所属系统存在网络安全漏洞,致使系统大量个人信息数据发生泄露并被境外IP访问窃取。经调查核实,涉事医疗科技公司为民营医疗机构,主要从事医疗领域教育培训的技术开发服务,涉事系统为该企业内部生产测试系统,部署于云服务平台,系统数据库内存储大量个人信息数据,包含姓名、单位名称、所属省市、所在乡镇/街道、手机号(已采取加密措施)等。该系统未采取有效网络安全防护措施,存在未授权访问漏洞,网络和数据安全管理制度不完善,网络日志留存不足6个月等情况,造成数据泄露。针对以上违法情况,上海市网信办依据相关法律法规对该医疗科技公司给予警告,并处以罚款。(信息来源:网信上海)
三、网安风险警示
(十九)Firefox浏览器存在释放后重引用漏洞
10月15日,Mozilla发布紧急安全更新,修复了Firefox浏览器中的一个释放后重引用漏洞CVE-2024-9680(CVSS评分9.8)。该漏洞是位于Animation时间线中的一个释放后使用漏洞。当被释放的内存仍由程序所使用时就会发生这类漏洞,可导致攻击者将恶意数据添加到内存区域,进行代码执行操作。Firefox浏览器是一款由Mozilla基金会与开放源代码社区共同开发的免费开源跨平台浏览器,Animation时间线是Firefox浏览器Animation API的组成部分,用于控制和同步网页上的动画。鉴于该漏洞已遭活跃利用,建议用户尽快升级至最新版本。(信息来源:代码卫士)
(二十)Fortinet多款产品中存在格式字符串漏洞
10月10日,Fortinet发布安全公告,修复了Fortinet多款产品中的格式字符串漏洞CVE-2024-23113(CVSS评分9.8),目前该漏洞的技术细节已公开,且已发现被利用。由于Fortinet FortiOS、FortiProxy、FortiPAM和FortiWeb等产品多个受影响版本中fgfmd守护进程接受外部控制的格式字符串作为参数,可能导致未经身份验证的远程攻击者通过特制请求在受影响设备中执行任意命令或代码。Fortinet FortiOS是美国Fortinet公司专用于FortiGate网络安全平台上的安全操作系统。Shadowserver扫描显示,已确定约87390个与潜在易受攻击的Fortinet设备相关的IP地址,其中美国受影响的设备数量最多,其次是日本和印度。(信息来源:奇安信CERT)
(二十一)GitLab存在严重漏洞,可能导致任意CI/CD管道执行
10月13日消息,GitLab发布社区版(CE)和企业版(EE)的安全更新,以解决8个安全漏洞,其中包括一个可能允许在任意分支上运行持续集成和持续交付(CI/CD)管道的关键漏洞CVE-2024-9164(CVSS评分9.6),攻击者可在某些情况下以任意用户身份触发Pipeline,可能导致权限提升或执行恶意操作。该漏洞影响从12.5到17.2.9、从17.3到17.3.5以及从17.4到17.4.2的所有GitLab EE版本。GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。目前,官方已发布安全更新,建议受影响用户升级到最新版。(信息来源:FreeBuf网)
(二十二)GitHub Enterprise Server存在身份验证绕过漏洞
10月14日,嘉诚安全监测到GitHub Enterprise Server(GHES)中修复了身份验证绕过漏洞CVE-2024-9487(CVSS评分9.5)。GHES的SAML单点登录(SSO)中的加密断言功能(可选功能,默认未启用)中存在不正确的加密签名验证漏洞,当目标实例启用了SAML SSO和加密断言功能时,能够直接网络访问目标GHES实例的攻击者可通过篡改/伪造签名的SAML响应或元数据文件,利用该漏洞绕过身份验证,执行未经授权的用户配置或访问目标实例。GHES是一个用于企业内软件开发的自托管平台,团队可使用其通过Git版本控制、强大的API、生产力和协作工具以及集成来构建和发布软件。鉴于该漏洞危害较大,建议用户尽快更新至安全版本。(信息来源:嘉诚安全)
(二十三)企业级报表管理工具Telerik Report Server存在多个高危漏洞
10月11日,Progress Software发布关键安全公告,披露Telerik Report Server在2024 Q3版本(10.2.24.924)前存在严重远程代码执行漏洞CVE-2024-8015(CVSS评分9.1)。该漏洞源自不安全的类型解析,允许攻击者通过对象注入执行任意代码。此外,Telerik Report Server中还存在多个高危漏洞:包括两个暴力破解漏洞CVE-2024-7292和CVE-2024-7293(CVSS评分均为7.5),可能使攻击者进行用户名和密码的暴力破解,从而未经授权访问系统;拒绝服务漏洞CVE-2024-7294(CVSS评分7.5)则可能导致攻击者通过HTTP DoS攻击耗尽服务器资源,影响系统可用性。Telerik Report Server是一款企业级报表管理工具,提供报表设计、生成、管理和分发功能,支持多种格式输出,简化数据可视化流程。目前上述漏洞均已修复,建议受影响用户尽快更新到最新版本。(信息来源:启明星辰)
