网络空间安全动态（202435期）

       编者按：网安动向热讯，本期有七点值得关注：一是我国首个自主可控操作系统—华为原生鸿蒙操作系统正式发布；二是国家数据局《可信数据空间发展行动计划(2024—2028年)》公开征求意见；三是美司法部拟制定新规以阻止特定国家取得美国民众数据；四是美商务部工业和安全局发布三项规则，更新航天产品出口管制规定；五是美特别检察官办公室发布人工智能使用新政策；六是欧盟发布NIS2指令首个关于关键实体和网络安全实施规定；七是新加坡网络安全局发布《AI系统安全指南》。

      网安事件聚焦，本期有两点建议关注：一是APT组织攻击、新型僵尸网络攻击以及勒索软件攻击事件层出不穷，对全球关键基础设施、政府机构、企业组织等造成重大安全威胁。本期介绍：新兴僵尸网络Gorill对全球发起大规模DDoS攻击；APT组织SideWinder针对中东和非洲的多个知名实体和战略基础设施发动攻击；新兴网络攻击者Crypt Ghouls针对俄罗斯发起勒索软件攻击；黑客利用虚假的ESET电子邮件针对以色列发起网络钓鱼攻击；美保险公司Globe Life遭勒索攻击影响大量客户。二是数据泄露事件频发，无论是涉及国家政要的个人信息还是企业高价值信息，均会引发民众对信息安全的担忧。本期介绍：意大利最大银行集团员工非法获取包括该国总理在内的知名人士客户账户信息；美加州健康中心网络数据遭大规模泄露，影响约47万名患者；日本科技巨头Nidec确认遭勒索软件攻击后数据泄露；互联网档案馆再次因访问令牌被盗而遭入侵。

      网安风险警示，本期有五点建议关注：一是跨主机集群的开源容器调度平台Kubernetes Image Builder存在默认凭证漏洞；二是IT资产管理软件SolarWinds Web Help Desk存在反序列化远程代码执行漏洞；三是开源搜索服务器Apache Solr存在一个身份验证绕过漏洞；四是VMware HCX平台存在严重远程代码执行漏洞；五是Java应用程序框架Spring Framework存在路径遍历漏洞。

     一、网安动向热讯

      (一）我国首个自主可控操作系统—华为原生鸿蒙操作系统正式发布

      10月22日，我国首个国产移动操作系统—华为原生鸿蒙操作系统正式发布，这也是继苹果iOS和安卓系统后，全球第三大移动操作系统。此次发布的原生鸿蒙，实现了系统底座的全部自研，系统的流畅度、性能、安全特性等提升显著，也实现了国产操作系统的自主可控。在续航时间、安全和隐私保护等方面均属于行业前列。据了解，目前已有超过15000个鸿蒙原生应用和元服务上架，覆盖18个行业，通用办公应用覆盖全国3800多万家企业。同时，原生鸿蒙实现了手机、平板、汽车座舱等多设备、多场景的互联互通。目前，支持鸿蒙系统的设备数量已超过10亿，注册开发者675万。同时，华为已经和全国超过300所高校展开了合作，进一步加快技术研发和迭代速度。（信息来源：央视新闻）

      （二）国家数据局《可信数据空间发展行动计划(2024—2028年)》公开征求意见

      10月18日，国家数据局就《可信数据空间发展行动计划（2024—2028年）》面向社会公开征求意见。《计划》提出，到2028年，可信数据空间标准体系、技术体系、生态体系、安全体系等取得突破，建成100个以上可信数据空间，形成一批数据空间解决方案和最佳实践，基本建成广泛互联、资源集聚、生态繁荣、价值共创、治理有序的可信数据空间网络，各领域数据开发开放和流通使用水平显著提升，初步形成与我国经济社会发展水平相适应的数据生态体系。此次征求意见的时间为2024年10月18日至10月27日。（信息来源：国家数据局）

      （三）国家数据局就《数据领域名词解释》公开征求意见

      10月21日消息，国家数据局就《数据领域名词解释》向社会公开征求意见。数据领域名词包括：1.数据。2.原始数据。3.数据资源。4.数据要素。5.数据产品。6.数据资产。7.数据要素市场化配置。8.数据处理。9.数据处理者。10.受托数据处理者。11.数据流通。12.数据交易。13.数据交互。14.数据治理。15.数据安全。16.公共数据。17.数字产业化。18.产业数字化。19.数字经济高质量发展。20.数字消费。21.产业互联网。22.城市全域数字化转型。23.“东数西算”工程。24.高速数据网。25.全国一体化算力网。26.元数据。27.结构化数据。28.半结构化数据。29.非结构化数据。30.数据分析。31.数据挖掘。32.数据可视化。33.数据仓库。34.数据湖。35.湖仓一体。36.隐私计算。37.多方安全计算。38.联邦学习。39.可信执行环境。40.密态计算。41.区块链。此次征求意见的时间为2024年10月21日至11月20日。（信息来源：国家数据局）

      （四）美司法部拟制定新规以阻止特定国家取得美国民众数据

      10月22日消息，美司法部拟制定新规，以阻止联邦政府及民众个人数据转移至包括中国在内的若干敌对国家。除中国外，其他被纳入禁制名单的国家还有俄罗斯、伊朗、委内瑞拉、古巴及朝鲜。根据新规定，任何企业不可把超过100名美国民众的人类基因组数据或超过10000名美国民众的个人健康、财务数据转输至特定国家，以及禁止通过超过1000台美国设备传送美国民众的精确地理定位数据。美司法部将对违反上述规定的人士与机构判处民事与刑事处罚。（信息来源：路透社）

      （五）美商务部工业和安全局发布三项规则，更新航天产品出口管制规定

      10月17日，美商务部工业和安全局（BIS）发布一项最终规则、一项临时最终规则和一项拟议规则，以更新BIS对太空相关产品和技术的出口管制。最终规则中，BIS取消了对出口到澳大利亚、加拿大和英国的部分涉及遥感或太空物流、组装或维修航天器的物品的许可要求；临时最终规定中，BIS取消向全球40多个盟国伙伴出口某些航天器部件的许可要求；在拟议规则中，将某些不再提供关键军事或情报优势的太空相关国防物品的管辖权从美国务院维护的美国军火清单转移到商业管制清单。（信息来源：美商务部网站）

      （六）美特别检察官办公室发布人工智能使用新政策

      10月21日消息，美特别检察官办公室（OSC）发布一项新政策，旨在指导内部人工智能的管理与使用。该政策包括一份人工智能清单和审查流程，以确保新工具的安全使用。新政策设立了首席人工智能官职位，监督OSC在人工智能领域的实践，并成立工作组以识别和修正非法使用人工智能的行为。为增强公众信任，OSC将保存人工智能清单供机构审查，并推出相关网站提供透明的信息。新政策还承认人工智能将在政府项目中产生影响，帮助提升OSC的能力与效率。（信息来源：全球技术地图）

      （七）欧盟发布NIS2指令首个关于关键实体和网络安全实施规定

      10月20日消息，欧盟依据《关于在欧盟全境实现高度统一网络安全措施的指令》（NIS2指令）发布了关于关键实体和网络安全的首个实施规定。该实施规定详细说明欧盟网络安全风险管理措施，将适用于提供数字服务的特定类别的公司，例如云计算服务提供商、数据中心服务提供商、在线市场、在线搜索引擎、社交网络平台等。对于每一类服务提供商，实施规定界定了事件的具体情形。该实施规定将适时在欧盟官方公报公布，并于20天后生效。（信息来源:欧盟官网）

     （八）新加坡网络安全局发布《AI系统安全指南》

      10月15日，新加坡网络安全局（CSA）制定并发布了《AI系统安全指南》及其配套指南，以帮助系统所有者在AI的整个生命周期内保护AI。上述指南将有助于保护AI系统免受供应链攻击等传统网络安全风险和对抗性机器学习等新风险的影响，以确保技术的安全性。指南分为五个阶段，涵盖了AI生命周期的各个环节，包括开发、运营和维护，甚至是数据和模型的终止处理。（信息来源：安全内参）

      （九）俄罗斯推出PT Rules开源项目以提升网络安全能力

      10月21日消息，俄罗斯网络安全公司Positive Technologies（PT）推出名为PT Rules的开源项目以提升网络安全能力。PT安全中心的专家通过该项目积极分享其专业知识，推动网络安全技术发展。此外，PT安全中心团队发布了用于检测网络犯罪分子中流行的新漏洞和工具的规则，以及用于检测Active Directory目录服务边界内移动的签名。为及时更新规则，专家建议使用suricata-update实用程序，并包含ptrules/open存储库。（信息来源：元战略）

      二、网安事件聚焦

      （十）新兴僵尸网络Gorill对全球发起大规模DDoS攻击

      10月20日，网络安全研究人员称一个新的Gorilla僵尸网络利用Mirai源代码和先进技术，自9月起针对100多个国家的超30万个目标（涉及关键基础设施、政府网站、电信、银行和游戏平台等）发起DDoS攻击，对全球构成严重威胁。Gorilla Botnet通过感染物联网设备，使目标系统充斥大量流量，导致用户无法访问。同时使用加密技术隐藏关键数据，支持各种CPU架构，利用分布式C&C网络管理运营，并提供多种DDoS攻击方法。此外Gorilla Botnet还采用Keksec黑客组织常用的加密算法，因此难以被检测和分析。研究人员建议各组织尽快采取措施加强网络安全防护。（信息来源：HackRead网）

      （十一）APT组织SideWinder针对中东和非洲的多个知名实体和战略基础设施发动攻击

      10月19日消息，一个名为SideWinder的疑似与印度有关联的APT组织近期对中东和非洲的多个知名实体和战略基础设施发动攻击。攻击目标包括孟加拉国、吉布提等多个国家的政府和军事实体、物流、基础设施和电信公司、金融机构等。SideWinder使用多阶段感染链传递了一个名为StealerBot的后开发工具包，通过鱼叉式网络钓鱼电子邮件，执行一系列下载程序，最终部署恶意软件，从而收集系统信息、下载其他有效负载，并通过后门加载模块植入StealerBot用于间谍活动，其攻击覆盖范围不断扩大。（信息来源:TheHackerNews网）

      （十二）新兴网络攻击者Crypt Ghouls针对俄罗斯发起勒索软件攻击

      10月19日，俄罗斯网络安全供应商卡巴斯基称，一个名为Crypt Ghouls的攻击者对俄罗斯政府、企业以及矿业、能源、金融和零售等多个行业发起一系列网络攻击，其主要目的是利用勒索软件来破坏企业运营并谋取经济利益。卡巴斯基指出，攻击者通过利用承包商的登录凭证，通过VPN连接到内部系统，试图利用信任关系躲避监控。攻击过程中使用了多种工具进行网络侦察、收集身份验证数据、提取受害者凭证，并最终加密系统数据，还在会话消息服务中留下勒索信和联系链接。（信息来源：TheHackerNews网）

      （十三）黑客利用虚假的ESET电子邮件针对以色列发起网络钓鱼攻击

      10月19日消息，安全研究员称黑客突破了网络安全公司ESET的防御系统，针对以色列组织内的网络安全人员发起网络钓鱼攻击。黑客假借ESET公司发送恶意电子邮件，警告收件人面临国家支持的黑客攻击，并诱导用户下载名为“ESET Unleashed”的程序，该程序实则是包含擦除器恶意软件的ZIP文件，旨在擦除受感染设备上的数据。ESET否认其基础设施遭入侵。目前尚不清楚具体攻击者，但攻击者使用的策略与亲巴勒斯坦组织Handala相似。（信息来源：HackRead网）

      （十四）美保险公司Globe Life遭勒索攻击影响大量客户

10月18日消息，美保险公司Globe Life表示，其遭身份不明的攻击者勒索，攻击者声称如不支付赎金，将公开窃取的数据。今年6月13日，该公司在评估与访问权限及用户身份管理相关的潜在漏洞时，发现其系统遭入侵，黑客可能通过攻破其门户网站，窃取了消费者和保单持有人的数据访问权限，包括姓名、电话号码、电子邮件地址、社会安全号码、健康相关数据以及保单信息等。Globe Life成立于1900年，是美国最大的寿险和健康保险提供商之一，市值高达120亿美元，总收入超过53亿美元。Globe表示此次数据泄露事件不会对其财务产生影响。（信息来源：安全内参）

      （十五）意大利最大银行集团员工非法获取包括该国总理在内的知名人士客户账户信息

      10月21日消息，意大利联合圣保罗银行因侵害意大利总理焦尔吉娅·梅洛尼等知名人士的银行账户安全公开致歉，该银行表示，其一名员工严重违反法律法规和内部程序，通过非法手段获取包括梅洛尼在内的数千名联合圣保罗银行客户的账户数据和信息。该行称已通知数据保护机构，并解雇涉事员工。梅洛尼接受采访时表示确有此事，要求司法部门调查此事及可能存在的阴谋。意大利联合圣保罗银行由意大利联合银行和意大利圣保罗银行合并组成，是意大利最大的银行集团。（信息来源：银行科技研究社）

     （十六）美加州健康中心网络数据遭大规模泄露，影响约47万名患者

      10月18日消息，加州健康中心网络Omni Family Health通知约47万名患者，称其个人信息在今年8月的一次网络攻击中被黑客窃取。遭泄露的信息包括患者姓名、出生日期、地址、社会安全号码、健康保险计划、医疗信息以及员工财务账户详细信息和有关家属、受益人的信息等。Omni为克恩县、金斯县、图莱里县和弗雷斯诺县提供医疗保健服务。Omni表示，目前暂未获悉有任何个人因该事件而成为欺诈受害者的指控，将为受影响的个人提供12个月的免费信用监控和身份保护服务。（信息来源：SecurityWeek网）

      （十七）日本科技巨头Nidec确认遭勒索软件攻击后数据泄露

      10月18日，日本科技巨头Nidec Corporation确认其在今年早些时候遭勒索软件攻击导致数据泄露。黑客通过获取有效的VPN账户凭证访问了涉及机密信息的服务器，共窃取了50694份文件，包括内部文件、商业伙伴来信、绿色采购相关文件、劳动安全与健康政策、商业文件和合同等，并将数据泄露至暗网。遭泄露的数据可能被用于更有针对性的网络钓鱼攻击。8BASE和Everest勒索软件组织声称对此次事件负责。Nidec承认遭泄露的数据来自其系统，但表示不会对其或其承包商造成直接财务损失，也未发现信息被未经授权使用的情况，目前已加强安全措施以降低此类风险。（信息来源：BleepingComputer网）

      （十八）互联网档案馆再次因访问令牌被盗而遭入侵

      10月20日，互联网档案馆再次遭入侵，原因是该互联网档案馆未正确轮换被盗的身份验证令牌。此次入侵使得攻击者能够访问自2018年以来发送至info@archive.org的80多万条支持票证，包括请求从Wayback Machine中删除页面时上传的个人身份证明附件。截止目前，还未有黑客组织表示对此次事件负责。安全专家猜测数据库现在可能正在数据泄露社区中交易，未来可能会在黑客论坛上被免费获取。（信息来源：BleepingComputer网）

     三、网安风险警示

      （十九）跨主机集群的开源容器调度平台Kubernetes Image Builder存在默认凭证漏洞

      10月19日消息，Kubernetes发布安全公告，披露Kubernetes Image Builder v0.1.37 及之前的版本中通过Proxmox Provider构建的VM镜像中存在默认凭证漏洞CVE-2024-9486(CVSS评分9.8)，由于这些默认凭证未在镜像构建完成后被修改或禁用，导致未授权攻击者可利用这些默认凭证，通过SSH连接到使用受影响镜像的虚拟机，从而获得对目标节点的访问权限。Kubernetes是一个跨主机集群的开源容器调度平台，旨在自动化部署、扩展和管理容器化的应用程序。Kubernetes Image Builder是一款用于跨多个基础设施提供商构建Kubernetes虚拟机（VM）镜像的工具，支持多种提供者，使用户能够在不同环境中部署和管理虚拟机镜像。目前该漏洞已被修复，建议受影响用户尽快更新。（信息来源:安全客）

      （二十）IT资产管理软件SolarWinds Web Help Desk存在反序列化远程代码执行漏洞

      10月19日消息，启明星辰集团VSRC监测到SolarWinds发布安全更新，修复了SolarWinds Web Help Desk中的一个反序列化漏洞CVE-2024-28988（CVSS评分9.8）。未经身份验证的攻击者可利用该漏洞在受影响服务器上远程执行任意命令或代码，从而控制目标系统。SolarWinds Web Help Desk(WHD)是一款提供服务台和IT资产管理的软件，旨在帮助企业和组织简化IT服务管理流程。目前该漏洞已被修复，建议受影响用户重建设备，并禁用默认的builder账户。（信息来源:启明星辰）

      （二十一）开源搜索服务器Apache Solr存在一个身份验证绕过漏洞

      10月18日消息，Apache Solr发布安全公告，修复了Solr中的一个身份验证绕过漏洞CVE-2024-45216，官方评级为严重。Apache Solr实例使用PKIAuthenticationPlugin（该插件在使用Solr身份验证时默认启用）时存在身份验证绕过漏洞，攻击者可针对任何Solr API URL构造恶意路径来绕过Solr的认证机制，从而可能访问敏感数据或执行未授权操作。Apache Solr是一个开源搜索服务器，使用Java语言开发，主要基于HTTP和Apache Lucene实现。目前该漏洞已被修复，受影响用户可升级到Apache Solr 8.11.4、9.7.0或更高版本。（信息来源:盈基信息）

      （二十二）VMware HCX平台存在严重远程代码执行漏洞

      10月19日消息，VMware督促面向企业的HCX应用移动平台用户修复一个严重远程代码执行漏洞CVE-2024-38814(CVSS评分8.8)，该漏洞可导致具有非管理员权限的攻击者在HCX管理器上执行远程代码。VMware HCX是一款应用移动平台，旨在简化数据中心和云中的应用迁移、工作负载再均衡以及持续性业务。VMware公司表示该漏洞影响多个HCX版本，目前已发布可用补丁指南，建议用户尽快更新。（信息来源：代码卫士）

      （二十三）Java应用程序框架Spring Framework存在路径遍历漏洞

      10月18日消息，奇安信CERT监测到官方修复Spring Framework路径遍历漏洞CVE-2024-38819(CVSS评分7.5)，在SpringFramework受影响版本中，当应用程序使用WebMvc.fn或WebFlux.fn提供静态资源时容易受到路径遍历攻击。攻击者可编写恶意HTTP请求并获取目标系统上任何由Spring应用程序正在运行的进程访问的文件，从而导致信息泄露。Spring Framework是一个功能强大的Java应用程序框架，旨在提供高效且可扩展的开发环境。鉴于该漏洞影响范围较大，建议用户做好自查及防护。（信息来源：奇安信CERT）