网络空间安全动态（202438期）

       编者按：网安动向热讯，本期有八点值得关注：一是国家密码管理局发布《商用密码检测机构（商用密码应用安全性评估业务）目录》；二是美政府发布《联邦零信任数据安全指南》；三是美要求台积电停供中国大陆7纳米AI芯片；四是美政府向五大半导体设备公司索要中国客户详细信息；五是美运输安全管理局发布拟议规则，要求建立管道和铁路网络风险管理计划；六是欧盟网络安全局发布NIS 2指令技术指南强化网络安全；七是德国起草新法律以保护网络安全漏洞研究人员；八是澳大利亚将46项资产增列为国家关键基础设施。

      网安事件聚焦，本期有两点建议关注：一是网络攻击使政府部门和石油工业等领域受到直接影响。本期介绍：韩国防部官网遭DDoS攻击；美德克萨斯州油田供应商Newpark Resources遭勒索软件攻击；美华盛顿州法院系统遭网络攻击后瘫痪。二是全球重大网络安全事件频发，数据泄露、黑客攻击等网络攻击威胁加剧。本期介绍：乌克兰政府官员称谷歌地图泄露了该国军事系统部署情况；亚马逊、汇丰等25家跨国企业数据遭黑客泄露；Hot Topic等三家零售企业3.5亿条数据被公开出售；加拿大零售商SelectBlinds 20万用户数据遭泄露；诺基亚源代码等敏感数据疑遭泄露。

      网安风险警示，本期有五点建议关注：一是思科URWB接入点存在远程接管漏洞；二是美CISA发布警告称，Palo Alto迁移工具Expedition存在高危漏洞且正被积极利用；三是端点管理解决方案Ivanti Endpoint Manager中存在SQL注入漏洞；四是HPE科技公司无线接入点产品Aruba Networking Access Points存在命令注入漏洞；五是黑客利用Winos4.0框架通过虚假游戏程序攻击中国地区的Windows用户。

      一、网安动向热讯

      （一）国家密码管理局发布《商用密码检测机构（商用密码应用安全性评估业务）目录》

      11月11日，国家密码管理局公告（49号）发布《商用密码检测机构（商用密码应用安全性评估业务）目录》（共112家机构取得资质），并规定即日起，商用密码应用安全性评估试点工作正式结束，未取得商用密码检测机构（商用密码应用安全性评估业务）资质的机构不得面向社会开展商用密码应用安全性评估业务。（信息来源：国家密码管理局）

      （二）美政府发布《联邦零信任数据安全指南》

      11月7日消息，美政府发布《联邦零信任数据安全指南》。该指南由美联邦首席数据官委员会和首席信息安全官委员会牵头制定，旨在加强数据安全实践，重点关注数据保护。该指南是美白宫管理与预算办公室2022年发布的《推动美国政府走向零信任网络安全原则》（M-22-09）的关键成果，为系统所有者和管理员、网络安全工程师和数据管理员等目标受众提供了详细的零信任原则，包含了五阶段的零信任安全路线图，阐述了数据保护措施以及数据识别、定义和分类技术，重点强调了网络安全威胁、数据存储故障等相关安全风险，并提供了数据实践的最佳建议。（信息来源：安全内参）

      （三）美要求台积电停供中国大陆7纳米AI芯片

      11月10日消息，美商务部致函台积电，要求从11日开始停止向中国大陆客户供应7纳米及更先进工艺的AI芯片。该出口限制措施主要针对用于人工智能加速器以及图形处理单元（GPU）的芯片，手机、汽车和通信的芯片不受影响。美商务部此封信函允许美绕过相关规则制定过程，迅速对特定公司实施新的许可要求。目前台积电已通知受影响客户，从11日起暂停相关芯片发货。（信息来源：路透社）

      （四）美政府向五大半导体设备公司索要中国客户详细信息

      11月11日消息，美众议院中国问题特别委员会向荷兰阿斯麦、日本东京电子、美国应用材料、美国泛林集团及美国科磊等半导体设备公司发出信函，要求上述公司在12月1日前提交有关数据，包括按收入计算的中国最大客户名单、提交给美商务部的出口许可证申请清单、出口到中国的设备数量以及新的或扩展的离岸生产计划。该委员会强调，此类信息对于评估中国获取芯片制造技术的规模，以及这些技术如何助力中国建立芯片生产基地至关重要。（信息来源：路透社）

      （五）美运输安全管理局发布拟议规则，要求建立管道和铁路网络风险管理计划

      11月8日消息，美运输安全管理局（TSA）发布《加强地面网络风险管理》拟议规则，旨在加强对地面交通系统的安全性保护，特别是针对铁路、管道和其他关键运输基础设施的保护。拟议规则主要内容包括：一是要求相关实体制定和实施网络安全计划；二是要求各企业必须加强对关键资产的保护，特别是涉及运输控制系统、信息技术基础设施和工业控制系统的安全防护；三是要求企业提升供应链安全性；四是要求企业加强事件报告和信息共享，在发生网络安全事件时，必须在24小时内向TSA报告；五是明确企业必须遵守的法规实施与合规要求。TSA将向交通行业、技术供应商、学术界以及其他利益相关方收集反馈。利益相关方在2025年2月5日之前对拟议规则制定提出反馈意见。（信息来源：CyberScoop网）

      （六）欧盟网络安全局发布NIS 2指令技术指南强化网络安全

      11月7日，欧盟网络安全局（ENISA）宣布制定技术指南，以帮助欧盟成员国和相关实体实施《网络与信息系统安全指令》（NIS 2指令）中规定的网络安全风险管理措施的技术和方法要求。NIS 2指令是新的欧盟范围内网络安全立法，旨在提升整个欧洲的网络安全水平，特别是增强欧盟关键行业的韧性。ENISA制定的技术指南包括非约束性建议、证据示例和提示，适用于DNS服务提供商、云计算服务提供商等多个子行业领域。指南还提供了一个映射表，将要求与欧洲和国际标准或框架相关联，帮助实体整合多个标准或框架以保持合规性。ENISA强调了建立风险管理框架、事件处理政策、业务连续性和灾难恢复计划的重要性。目前，该指南公开向业界征求意见。（信息来源：中国信息安全）

      （七）俄罗斯计划建立自己的IP路由保护系统

      11月6日消息，俄罗斯联邦通信、信息技术和大众传媒监督局（Roskomnadzor）正致力于开发本国的互联网基础设施，以验证IP地址路由，涉及资源公钥基础设施（RPKI）协议。该协议旨在提供保护，防止自治IP地址系统的路由被拦截。俄罗斯计划到2035年，建立一个替代的互联网基础设施，实现独立核算和路由规则的形成，其中包括开发路由验证服务。目前全球有五个地区互联网注册机构负责RPKI协议的运营。此外，Roskomnadzor计划在未来五年内拨款近590亿卢布，用于更新封锁互联网资源的系统，包括反威胁技术手段的现代化。（信息来源：元战略）

      （八）德国起草新法律以保护网络安全漏洞研究人员

      11月6日消息，德国联邦司法部起草一项新法律，旨在为发现并向供应商报告安全漏洞的研究人员提供法律保护，确保在合法边界内进行安全研究的人员，免于承担刑事责任或面临起诉风险。此外，针对严重的数据间谍行为和数据拦截行为，尤其是针对关键基础设施的攻击，该草案提出了更严厉的惩罚措施，严重违法行为可处以3个月至5年的监禁。该草案目前已送交德国各联邦州和相关协会审议，征求意见截止日期为12月13日。（信息来源：BleepingComputer网）

      （九）澳大利亚将46项资产增列为国家关键基础设施

      11月6日消息，澳大利亚网络和基础设施安全中心宣布新增46项关键基础设施资产为国家重要系统，以提升国家关键基础设施网络韧性。目前，被列为澳大利亚国家重要系统的基础设施总数已超过200个，涵盖能源、通信、运输、金融服务、食品和杂货以及数据存储或处理等行业。澳政府对这些资产的所有者和运营者施加了一系列网络安全义务，包括制定事件响应计划、进行网络安全演习、评估以识别和修复漏洞，并向澳信号局提供系统信息等。（信息来源：IndustrialCyber网）

      （十）澳大利亚拟立法禁止16岁以下未成年人使用社交媒体

      11月8日消息，澳总理称政府将推动立法禁止16岁以下未成年人使用社交媒体，即使获得家长同意也不能使用，平台一旦违规将可能面临巨额罚款。相关法案将于本周提交至澳地方机构负责人，11月底提交至澳议会，如获通过，新法将在12个月后生效。相关社交媒体平台要在一年的宽限期内进行调整以确保落实。（信息来源：光明网）

      （十一）联合国安理会举行勒索软件问题公开会

      11月9日消息，联合国安理会举行勒索软件问题公开会，关注国际网络犯罪集团对全球各地医疗机构进行攻击和勒索。世界卫生组织总干事谭德塞等作通报表示，针对医院和其他医疗设施的勒索软件和其他网络攻击不仅涉及安全和保密问题，对国际安全也构成潜在威胁。在防止针对医疗系统的勒索软件和其他网络攻击问题上，开展国际合作至关重要。中方指出，中方坚持以联合国为主渠道，在广泛、平等参与基础上，制定各方普遍接受的网络空间国际规则；坚持通过双多边合作打击网络犯罪和网络恐怖主义；加大对发展中国家维护网络安全能力建设的援助，补齐全球网络安全短板，不让任何一个国家掉队，不让任何一处网络空间成为法外之地。（信息来源：央视财经）

      二、网安事件聚焦

      （十二）韩国防部官网遭DDoS攻击

      11月6日，韩国防部官网遭分布式拒绝服务（DDoS）攻击，韩军方立刻启动DDoS应对模式。目前韩国防部官网已恢复正常，但部分连接速度缓慢或连接暂时中断的情况反复出现。韩军方官员表示，已屏蔽发起攻击的IP地址，并展开调查。同日，韩联合参谋本部官网也出现连接不稳定情况，韩网络作战司令部正就该官网是否遭DDoS攻击进行调查。（信息来源：韩联社）

      （十三）美德克萨斯州油田供应商Newpark Resources遭勒索软件攻击

      11月9日消息，美德克萨斯州油田供应商Newpark Resources遭勒索软件攻击，导致关键系统中断和业务应用程序访问受限。Newpark Resources迅速启动内部网络安全响应计划，并聘请专家展开调查。该公司已向美证券交易委员会提交文件，披露了攻击事件，并说明未经授权的第三方已获得了其内部部分信息系统访问权限。Newpark Resources表示，由于预先制定了停机程序，其制造和现场运营基本保持正常运转，目前正在评估攻击的潜在财务影响。（信息来源：TheCyberExpress网）

      （十四）美华盛顿州法院系统遭网络攻击后瘫痪

      11月6日消息，美华盛顿州法院系统自检测到“未经授权活动”以来，一直处于瘫痪状态，所有州法院的司法信息系统、网站和相关服务均受持续影响。一些市级和地区法院正在提供有限服务，但部分电子法庭记录搜索和判决、罚款余额信息暂时不可用。基本的法院职能和诉讼程序预计将如期进行，客户服务柜台开放，但访客需提前确认服务可用性。目前，该法院行政办公室已采取行动，确保关键系统安全并努力恢复服务。（信息来源：BleepingComputer网）

      （十五）乌克兰政府官员称谷歌地图泄露了该国军事系统部署情况

      11月6日消息，乌克兰国家安全与国防委员会下属的“反虚假信息中心”负责人在社交媒体Telegram上发文称，谷歌地图发布的定位点最新图像泄露了乌克兰军事系统的部署情况，俄罗斯用户已在积极传播这些图片。该负责人表示，已联系谷歌要求尽快解决上述问题。在经过民众反映后，谷歌表示，已联系乌军方，将解决乌军事系统位置图像问题。（信息来源：环球网）

      （十六）亚马逊、汇丰等25家跨国企业数据遭黑客泄露

      11月12日消息，网络安全公司HudsonRock发现，黑客Nam3L3ss公开发布了数百万条数据，包括亚马逊、汇丰、联想、惠普、麦当劳等25家跨国企业员工的详细信息，如姓名、邮箱地址、电话号码、成本中心代码和组织结构等。其中亚马逊记录数量最多，超280万条。被盗数据可追溯至2023年5月，似乎与MOVEit零日漏洞被攻击有关，勒索软件组织Clop曾利用MOVEit Transfer软件的一个关键漏洞，窃取了大量敏感数据，但目前无法确认黑客Nam3L3ss是否与Clop有关。（信息来源：Infostealers网）

      （十七）Hot Topic等三家零售企业3.5亿条数据被公开出售

      11月12日消息，以色列网络安全公司Hudson Rock发现一个据称包含3.5亿条Hot Topic顾客个人和支付数据的庞大数据库，在暗网被公开出售。名为Satanic的黑客组织发布了该订单，并声称数据库包括用户个人详细信息，如姓名、出生日期、电子邮件地址、交易信息、信用卡信息、发票信息等。研究人员对数据样本进行分析发现主要来源于Hot Topic、Torrid和BoxLunch三家零售企业，都由快时尚集团Hot Topic创立并运营。截止目前，Hot Topic并未公开承认数据泄露，但如果被确认，将是零售行业历史上最大泄露事件之一。（信息来源：FreeBuf网）

      （十八）加拿大零售商SelectBlinds 20万用户数据遭泄露

      11月6日消息，加拿大零售商SelectBlinds披露一起数据泄露事件，黑客通过在其公司网站植入恶意软件，获取了超过20万客户的信用卡信息和个人数据。SelectBlinds调查显示，该恶意软件自今年1月7日起便已潜伏在该公司网站。该恶意软件允许黑客获取用户在网站结账页面输入的登录信息、姓名、支付卡数据、电子邮件、地址和电话号码等敏感数据。目前，SelectBlinds已删除恶意软件并实施安全措施。（信息来源：TheRecord网）

      （十九）诺基亚源代码等敏感数据疑遭泄露

      11月6日消息，黑客IntelBroker在论坛上以2000美元的价格出售电信巨头诺基亚的敏感内部数据。黑客使用默认凭据访问了诺基亚第三方供应商的SonarQube服务器，下载了客户Python项目，成功窃取了包括诺基亚项目在内的SSH密钥、源代码、RSA密钥、Bitbucket登录信息、SMTP账户、webhook和硬编码凭据等关键数据。诺基亚发言人表示，公司正对此事展开调查，目前尚未发现任何证据显示其系统或数据受影响，将继续密切监控事态发展。（信息来源：BleepingComputer网）

      三、网安风险警示

      （二十）思科URWB接入点存在远程接管漏洞

      11月6日，思科发布安全更新，解决了影响其超可靠无线回程（URWB）接入点的严重安全漏洞CVE-2024-20418（CVSS评分10.0），该漏洞允许未经身份验证的远程攻击者提升权限执行命令。受影响的产品包括Catalyst IW9165D、Catalyst IW9167E重型接入点、Catalyst IW9165E坚固耐用的接入点和无线客户端。该漏洞源于对基于Web的管理界面输入验证不足，攻击者可利用该漏洞在受影响设备的底层操作系统上以root权限执行任意命令。思科建议用户立即更新至17.15.1版本。（信息来源：代码卫士）

      （二十一）美CISA发布警告称，Palo Alto迁移工具Expedition存在高危漏洞且正被积极利用

      11月7日，美网络安全与基础设施安全局（CISA）发布警告，称Palo Alto Networks的Expedition工具存在缺少身份验证漏洞CVE-2024-5910（CVSS评分9.3）。该漏洞允许攻击者接管管理员账户，从而访问配置密钥和凭证，目前正被积极利用。Expedition是一款Palo Alto迁移工具，可让安全团队将Checkpoint、Cisco和其他供应商的防火墙配置转换为Palo Alto Networks操作系统（PAN-OS)。该漏洞在7月已被修复，但攻击者仍可远程利用它重置暴露在互联网上的Expedition服务器的应用程序管理员凭据。美CISA已将该漏洞添加到已知被利用漏洞目录中，要求美联邦机构在11月28日前修复该漏洞。（信息来源：数世咨询）

      （二十二）端点管理解决方案Ivanti Endpoint Manager中存在SQL注入漏洞

      11月6日，奇安信CERT监测到官方修复Ivanti Endpoint Manager SQL注入漏洞CVE-2024-50330（CVSS评分9.8）。该漏洞允许未经身份验证的攻击者执行远程代码，从而控制受影响系统，造成敏感信息泄露甚至获取系统权限。Ivanti Endpoint Manager是由Ivanti公司开发的一款综合性端点管理解决方案，帮助企业有效管理和保护网络中的端点设备。鉴于该漏洞影响范围较大，建议用户尽快做好自查及防护。（信息来源：奇安信CERT）

      （二十三）HPE科技公司无线接入点产品Aruba Networking Access Points存在命令注入漏洞

      11月8日消息，无线接入点产品HPE Aruba Networking Access Points中修复了命令注入漏洞CVE-2024-42509（CVSS评分9.8）。由于HPE Aruba Networking Access Points底层CLI服务中存在命令注入漏洞，未经身份验证的攻击者通过向PAPI（Aruba的接入点管理协议）UDP端口（8211）发送特制数据包导致远程命令执行，或在底层操作系统上以特权用户身份执行任意命令或代码。Access Points是HPE科技公司旗下Aruba Networking推出的一系列高性能无线接入点产品，旨在为企业提供稳定、高效、安全的无线网络连接，被广泛应用于企业、教育、商业等各种场景。目前官方已发布软件补丁，建议受影响用户尽快升级版本。（信息来源：启明星辰）

      （二十四）黑客利用Winos4.0框架通过虚假游戏程序攻击中国地区的Windows用户

      11月6日，研究人员发现一种被称为Winos4.0的恶意框架，专门针对中国地区的Windows用户，尤其是游戏玩家。该恶意框架通过伪装成游戏辅助应用的方式入侵目标设备，能够绕过常见的安全防护措施，实现持久化的远程控制能力和数据窃取功能，且具有强大的自我更新和演化特性。趋势科技和KnownSec 404团队此前已记录了使用该框架的活动，并观察到这些活动针对讲中文的用户，利用SEO策略、社交媒体和Telegram等消息传递平台来分发恶意软件。安全研究人员建议用户从可靠来源下载软件。（信息来源：E安全）