网络空间安全动态(202437期)
编者按:网安动向热讯,本期有七点值得关注:一是金砖国家领导人第十六次会晤《喀山宣言》鼓励人工智能国际合作;二是工信部、财政部、国家数据局联合部署建设新材料大数据中心;三是工信部印发《工业和信息化领域数据安全事件应急预案(试行)》;四是13项网络安全国家标准自11月1日起实施;五是拜登政府发布简报总结人工智能总统令一年来的重要成就;六是美网络安全与基础设施安全局发布首个国际网络安全战略计划;七是加拿大、西班牙、英国等16国数据保护机构发布关于数据抓取的联合声明。
网安事件聚焦,本期有两点建议关注:一是勒索软件攻击依然猖獗,对关键基础设施、军事、金融、政府、医疗机构等均造成严重影响。本期介绍:美知名军工芯片厂商因勒索攻击损失超1.5亿元;墨西哥大型机场集团疑遭勒索攻击,旗下13个机场紧急切换备用系统;德国大型药品批发商遭勒索攻击,超6000家药房供应受影响;洛杉矶市住房管理局遭Cactus勒索软件组织攻击。二是因攻击导致的数据泄露事件高发频发,窃取关键行业的高价值数据成为攻击者的重点目标。本期介绍:秘鲁知名银行Inerbank遭勒索攻击,超300万用户数据被泄露;施耐德电气遭黑客入侵,40GB数据被盗;法国劳工部遭网络攻击导致就业帮扶人员数据泄露。
网安风险警示,本期有五点建议关注:一是美CISA警告称SharePoint RCE漏洞已遭利用;二是开源深度学习框架PyTorch存在反序列化漏洞;三是可访问控制框架Spring Security中存在授权绕过漏洞;四是开源框架Ollama AI被曝存在多个安全漏洞;五是Google Chrome Serial释放后重用漏洞。
一、网安动向热讯
( 一)金砖国家领导人第十六次会晤《喀山宣言》鼓励人工智能国际合作
10月31日消息,金砖国家领导人在俄罗斯联邦喀山举行金砖国家领导人第十六次会晤。成员国在现场发表《喀山宣言》,鼓励在人工智能领域开展国际合作。宣言指出,包括人工智能快速发展在内的快速技术变革有可能为全球社会经济发展带来新机遇。各成员国鼓励开展更多人工智能国际讨论,支持联合国在全球人工智能治理中发挥重要作用,期待金砖国家合作帮助发展中国家加强人工智能能力建设,鼓励就人工智能议题开展磋商。(信息来源:中国日报)
(二)工信部、财政部、国家数据局联合部署建设新材料大数据中心
10月30日,工业和信息化部、财政部、国家数据局联合印发《新材料大数据中心总体建设方案》,计划到2027年,搭建形成“1+N”(1个中心主平台、N个数据资源节点)的新材料大数据中心架构体系,形成30个以上数据资源节点、30项以上材料大数据算法软件和工具、20种以上典型关键材料和产品的数据赋能应用示范;到2035年,新材料大数据中心体系全面建成并稳定运行,数据规模进入国际第一梯队。《建设方案》明确了新材料大数据中心的定位、主要功能,以及大数据技术应用生态等三个方面的建设任务。(信息来源:工业和信息化部网站)
(三)工信部印发《工业和信息化领域数据安全事件应急预案(试行)》
10月31日,工业和信息化部印发《工业和信息化领域数据安全事件应急预案(试行)》。《应急预案》作为工业和信息化领域数据安全事件处置工作的指导性政策文件,重点明确了以下八方面内容:一是界定《应急预案》适用范围,明确了数据安全事件以及事件分级的相关概念定义;二是明确了工业和信息化领域数据安全应急处置工作的组织体系,规定了领导机构、办事机构、地方行业监管部门、数据处理者、应急支撑机构等单位的构成及职责;三是明确了开展数据安全风险监测预警工作的具体流程和要求;四是明确了不同级别数据安全事件应急处置工作的具体流程和要求;五是规定了重大及以上数据安全事件应急工作结束后,地方行业监管部门和数据处理者的具体工作要求;六是提出预防保护、应急演练、宣传培训、手段建设、重大活动期间保障共五项预防措施;七是提出落实责任、奖惩问责、经费保障、工作协同、物资保障、国际合作、保密管理共七项保障措施;八是规定了应急预案修订原则和排除条款等要求。(信息来源:网络安全管理局)
(四)13项网络安全国家标准自11月1日起实施
11月1日起,《网络安全技术 信息技术安全评估准则》等13项网络安全国家标准开始实施,其中,《网络安全技术 信息技术安全评估准则 第1-5部分》《网络安全技术 信息技术安全评估方法》等6项推荐性国家标准,是对软件、硬件、固件形式的IT产品及其组合进行安全测评的基础标准,为产品消费者、开发者、评估者提供了基本的安全功能和保障组件,将为我国具有安全功能IT产品的开发、评估以及采购过程提供指导。(信息来源:国家市场监督管理总局网站)
(五)拜登政府发布简报总结人工智能总统令一年来的重要成就
10月30日,拜登政府发布简报宣布在过去一年中,联邦机构已按时完成该行政命令的所有要求,总计超过100项。主要成就包括:使用《国防生产法》要求人工智能系统开发者向政府报告安全信息;美人工智能安全研究所开始预部署测试新人工智能模型;发布管理生成式人工智能风险的框架;发布首个人工智能国家安全备忘录;开发核酸合成筛查框架以防止人工智能滥用于生物材料;启动人工智能数据中心基础设施任务小组;识别减少人工智能生成内容风险的措施;打击人工智能生成的图像性虐待;成立人工智能安全与安全委员会;试点人工智能保护政府软件系统。(信息来源:美白宫网站)
(六)美网络安全与基础设施安全局发布首个国际网络安全战略计划
10月30日,美网络安全与基础设施安全局(CISA)发布该机构首个国际战略计划,旨在加强国际合作以应对关键基础设施的网络威胁,共同提升网络安全的整体韧性。鉴于网络风险的复杂性和地理分散性,该战略文件强调了与国际合作伙伴迅速共享威胁信息的重要性。新计划设定了三个主要目标:一是增强美依赖的外国基础设施的韧性,通过识别关键系统及其脆弱性来制定风险管理策略;二是加强综合网络防御,与合作伙伴共同推进全球网络安全标准和实践,建立双边和多边的计算机安全事件应急响应小组,提升可操作信息交换能力;三是统一国际活动的机构协调,建立治理结构以明确国际优先事项,提高CISA员工的技能,使其能够有效参与国际事务。(信息来源:美CISA网站)
(七)美能源部与商务部签署人工智能合作备忘录
11月1日,美能源部与商务部签署一份谅解备忘录,旨在通过合作开展先进人工智能模型和系统的安全研究,从而增强了公共安全水平。该备忘录将重点评估人工智能对关键基础设施、能源安全和国家安全的影响,尤其是化学和生物风险的评估。根据备忘录,双方计划共同开发人工智能模型评估指南,研究人工智能系统的能力和局限性,并研发风险缓解工具。备忘录有效期为五年,允许双方在此期间共享人工智能相关信息,促进研究和评估,确保国家安全优先事项的保护。(信息来源:美商务部网站)
(八)美国防部发布《国防工业战略实施计划》
10月30日消息,美国防部发布《国防工业战略实施计划》(NDIS-IP),介绍了国防部落实2024年1月发布的《国防工业战略》中提出的四大战略重点的实施计划,概述了国防部为实现国防工业基础现代化将采取的六项举措。具体包括:印太威慑倡议;生产和供应链计划;盟国和合作伙伴工业合作倡议;通过灵活途径实现新能力的计划;能力和基础设施现代化计划;知识产权和数据分析计划。NDIS-IP还规定每项实施举措的主要责任、估计资源、关键指标和不作为风险。(信息来源:美国防部网站)
(九)加拿大、西班牙、英国等16国数据保护机构发布关于数据抓取的联合声明
11月6日消息,来自加拿大、西班牙、英国等16国的数据保护机构共同就数据抓取及隐私保障发布《关于数据抓取和隐私保护的总结声明》,旨在为社交媒体公司确保其用户的个人信息免受非法抓取提供具体指导和帮助。本总结声明是以2023年8月24日发布的《关于数据抓取与隐私保护的初始联合声明》为基础的后续声明。两份声明都涉及以自动从网络提取个人数据的形式进行的数据抓取,并未涉及搜索引擎的索引,也未涉及非个人信息的抓取。总结声明指出,虽没有更好措施能够完全保证防止所有非法抓取行为(因为复杂的低容量抓取行为常常与用户活动难以区分),但通过多层次和动态的安全措施组合,可有效防止大规模抓取行为所造成的危害。(信息来源:数据信任与治理)
(十)“五眼联盟”发布初创企业《安全创新》指南
11月2日消息,“五眼联盟”发布《安全创新》指南,旨在保护新兴科技公司、研究人员和投资者免受日益严重的安全威胁,并为保护其知识产权及促进创新提供框架支持。该指南针对商业竞争对手和网络犯罪分子带来的威胁,提供了一系列建议措施,包括识别外部和内部威胁、创建安全环境、将安全融入产品设计、建立安全合作伙伴关系以及安全拓展新市场。指南强调了建立强大安全文化的重要性,并鼓励初创企业实施全面的安全管理措施,如员工入职前的背景筛查、制定清晰的安全政策,并倡导主动上报安全问题。此外,指南还为英国家网络安全中心以及其他五眼联盟成员提供了免费工具、培训和框架以支持公司实施这些安全实践。(信息来源:加拿大政府网站)
(十一)菲律宾海军举行“网络防御”年度网络战演习
10月28日至11月4日,菲海军举行“网络防御”年度网络战演习。本届演习由菲海军独立承办,目的是在军种范围内对网络部队筹建情况进行检验。演习分为网络攻防对抗和“网络夺旗”演练两个阶段,主要围绕重要港口设施防卫,开展网络威胁侦察、溯源和防御反击行动。网络攻防对抗阶段主要采取“红蓝对抗”形式,由筹建中的海军网络作战大队和另一支网络防御大队展开攻防演练。菲国防部此前宣布,将在美国支持下筹建网络司令部,拟在2026年前正式运行,下辖网络任务大队、电子战和信息大队、通信系统大队、网络卓越中心和多支网络作战大队等,总人数近1300人。(信息来源:中国信息安全)
二、网安事件聚焦
(十二)美知名军工芯片厂商因勒索攻击损失超1.5亿元
11月7日消息,美知名军工半导体厂商微芯科技(Microchip)发布最新财报披露,因近期遭勒索软件攻击,公司已产生2140万美元(约合人民币1.53亿元)的相关费用。微芯科技8月初发现其网络系统中出现可疑活动,并直接导致公司部分制造设施生产中断。勒索软件组织Play随后宣称对此次攻击负责,表示已窃取微芯科技内部4GB大小的压缩文件数据,包括个人信息、客户文件以及与预算、工资、会计、合同、税务和财务等。微芯科技确认,勒索组织已从其系统中窃取数据,其中包括员工的联系方式和密码哈希值。(信息来源:安全内参)
(十三)墨西哥大型机场集团疑遭勒索攻击,旗下13个机场紧急切换备用系统
11月1日消息,墨西哥中北部机场集团(OMA)宣布,因遭勒索软件攻击,旗下13个机场紧急切换备用系统,以维持墨西哥中部和北部机场的正常运营。网络攻击影响超10天,导致各机场航班信息大屏瘫痪。OMA集团运营着包括蒙特雷在内的多个墨西哥主要城市机场,今年的旅客运输量已超过1900万人次。RansomHub组织曾宣称对此次攻击负责,并威胁如不支付赎金,将公开3TB的被盗数据。OMA发表声明称其IT团队正与外部网安专家合作调查此事件,并确保系统得到充分保障。(信息来源:安全内参)
(十四)德国大型药品批发商遭勒索攻击,超6000家药房供应受影响
11月4日消息,德国巴伐利亚州的医药批发商AEP遭勒索软件攻击,黑客加密了该公司部分IT系统。AEP在发现遭攻击后迅速切断了所有外部连接,关闭了所有受影响IT系统。AEP是一家总部位于德国,负责向全德境内6000多家药房供应药品。AEP表示此次事件并未导致任何数据丢失,但尚未透露此次攻击者的身份。巴伐利亚州网络犯罪警察部门正在对此事件展开调查。(信息来源:安全内参)
(十五)洛杉矶市住房管理局遭Cactus勒索软件组织攻击
11月1日,洛杉矶市住房管理局(HACLA)承认遭Cactus勒索软件组织攻击。该勒索组织声称入侵了HACLA的IT系统,从受感染的网络中窃取了891 GB文件,包括个人身份信息、财务文件、高管和员工个人数据、客户个人信息、公司机密数据和通信等,并在其泄密网站发布部分敏感文件的截图作为凭证。HACLA是美国最大的公共住房管理局之一,为低收入家庭、儿童和老年人提供经济适用房和援助计划,负责管理超过32000套公共住房,年度预算超10亿美元。HACLA证实遭网络攻击,并表示已聘请外部专家进行调查。(信息来源:BleepingComputer网)
(十六)秘鲁知名银行Inerbank遭勒索攻击,超300万用户数据被泄露
10月31日消息,秘鲁知名银行Inerbank承认遭勒索组织攻击,攻击者入侵其IT系统并窃取用户数据。遭泄露的数据包括客户姓名、出生日期、电话号码、账户ID、信用卡信息及其他敏感信息等。研究人员发现一个昵称为“kzoldyck”的勒索组织在暗网售卖据称从秘鲁知名银行Inerbank系统中窃取的数据。该组织声称已掌握超300万客户的信息,并上传了3.7TB的数据样本(包含很多内部API凭证、LDAP、Azure)作为凭证。秘鲁国际银行目前拥有客户数量超500万,涉及保险、零售、房地产和金融领域。该银行称已采取安全措施来保障用户的金融和信息安全。(信息来源:FreeBuf网)
(十七)施耐德电气遭黑客入侵,40GB数据被盗
11月4日,施耐德电气内部位于隔离环境的JIRA服务器遭入侵,一个名为“Grep”黑客声称通过暴露凭证,从施耐德公司的JIRA服务器窃取40GB数据,抓取了40万行用户数据,其中包括75000个唯一电子邮件地址和姓名,以及大量敏感数据和员工与客户个人信息,并索要价值12.5万美元的“Baguettes”作为赎金。施耐德声明称,此次数据泄露事件涉及未经授权访问其位于隔离环境中的内部项目执行跟踪平台之一,但公司产品和服务未受影响,目前尚不清楚攻击者是否会继续泄露或出售被盗数据。(信息来源:BleepingComputer网)
(十八)法国劳工部遭网络攻击导致就业帮扶人员数据泄露
11月1日,法国劳工部宣布其“地方使团”网络使用的一家服务提供商疑遭网络攻击,该网络主要为16至25岁的年轻人提供就业和培训建议与支持。此次攻击可能导致就业帮扶人员数据泄露,包括姓名、出生日期、国籍、电话号码以及电子邮件地址等,银行详细信息和社会保障号等未受影响。目前,劳工部已向法国隐私监管机构CNIL和网络安全机构ANSSI报告此事件,并已采取多项措施解决问题。(信息来源:Therecord网)
三、网安风险警示
(十九)美CISA警告称SharePoint RCE漏洞已遭利用
11月2日,美CISA警告称攻击者利用Microsoft SharePoint远程代码执行漏洞CVE-2024-38094(CVSS评分7.2)以获取对受害者网络的初始访问权限。该漏洞影响广泛使用的基于Web的SharePoint平台。攻击者通过未经授权访问易受攻击的SharePoint服务器并植入Webshell,进而在网络中横向移动,破坏具有域管理员权限的Microsoft Exchange服务账户,从而获得提升的访问权限,并安装Horoung Antivirus软件,造成安全防御冲突,禁用安全服务,削弱检测能力等。(信息来源:BleepingComputer网)
(二十)开源深度学习框架PyTorch存在反序列化漏洞
11月1日消息,启明星辰集团VSRC监测到PyTorch 2.4.1及之前版本的分布式RPC框架中存在一个反序列化漏洞CVE-2024-48063(CVSS评分9.8),目前该漏洞的利用细节及PoC已公开。由于RemoteModule在反序列化过程中没有适当地验证或清理输入数据,导致攻击者可通过客户端将包含恶意方法的RemoteModule实例序列化为数据,并通过RPC框架发送到服务器触发反序列化,从而可能导致在服务器上远程执行任意命令。PyTorch是一个开源的深度学习框架,广泛用于机器学习和人工智能领域。目前该漏洞已被修复,建议用户尽快升级。(信息来源:启明星辰)
(二十一)可访问控制框架Spring Security中存在授权绕过漏洞
11月1日消息,Spring Security中修复一个授权绕过漏洞CVE-2024-38821(CVSS评分9.1),目前该漏洞的技术细节及PoC已公开。Spring Security中存在授权绕过漏洞,当Spring WebFlux应用程序使用Spring的静态资源支持,并且在静态资源上应用了非permitAll的授权规则时,某些情况下可能导致授权绕过,未经身份验证的攻击者可构造恶意请求利用该漏洞绕过授权规则,从而未授权访问这些静态资源。Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。目前该漏洞已被修复,建议受影响用户尽快更新。(信息来源:代码卫士)
(二十二)开源框架Ollama AI被曝存在多个安全漏洞
11月4日,启明星辰集团VSRC监测到Ollama中被披露存在多个安全漏洞。分别为Ollama越界读取漏洞CVE-2024-39720(CVSS评分为8.2)、Ollama信息泄露漏洞CVE-2024-39722和CVE-2024-39719(CVSS评分均为7.5)以及Ollama拒绝服务漏洞CVE-2024-39721(CVSS评分为7.5)。攻击者利用上述漏洞可通过HTTP请求执行恶意操作,从而可能造成拒绝服务、信息泄露等,目前这些漏洞的技术细节已公开。Ollama是一个功能强大、易于使用且支持多种大型语言模型和机器学习框架的开源框架,为研究和开发人员提供便利。目前,部分漏洞已修复,建议用户尽快更新版本。(信息来源:启明星辰)
(二十三)Google Chrome Serial释放后重用漏洞
11月6日消息,Google Chrome发布安全更新,修复了Chrome中的两个释放后重用漏洞CVE-2024-10826和CVE-2024-10827,攻击者可能通过恶意设计的网页或脚本来诱导用户访问包含恶意代码的页面,从而在访问串行端口的过程中触发上述漏洞,成功利用可能导致浏览器崩溃、窃取数据甚至控制连接的设备、远程代码执行和沙箱逃逸等。Google Chrome是由Google公司开发的一款网页浏览器。在Chrome中,Serial组件是一个API接口,允许网站直接与连接在本地计算机上的串行设备(如Arduino、嵌入式开发板等)通信;Family Experiences组件可用于帮助家长管理孩子的在线活动和设备使用。目前该漏洞已被修复,建议受影响用户尽快更新。(信息来源:代码卫士)
