网络空间安全动态(202441期)
编者按:网安动向热讯,本期有七点值得关注:一是中共中央办公厅、国务院办公厅发布关于数字贸易改革创新发展的意见;二是中国人民银行等七部门正式印发《推动数字金融高质量发展行动方案》;三是国家能源局发布《电网安全风险管控办法》《关于加强电力安全治理以高水平安全保障新型电力系统高质量发展的意见》;四是美对华半导体实施新一轮打击,140家中国半导体及相关公司出口受限;五是美澳加等联合发布《针对通信基础设施的可见性增强和安全强化指南》;六是普京签署关于加强对非法收集和传播个人数据处罚的法律;七是联合国成立国际海底电缆韧性咨询机构。
网安事件聚焦,本期有两点建议关注:一是网络攻击行动日益常态化,涉及金融、通讯通信、教育等各领域。本期介绍:丹麦电信运营商TDC Net因软件更新导致大规模电信服务中断;乌干达央行遭网络攻击,据传被盗1680万美元;美国新泽西州霍博肯市遭勒索软件攻击;重庆某学校因未履行网络安全保护义务被处罚,电脑遭境外黑客远程控制并植入木马。二是数据泄露事件层出不穷,数据安全问题变得更加严峻。本期介绍:湖南省网信办对某信息技术公司未履行网络安全、数据安全保护义务作出行政处罚;意大利博洛尼亚足球俱乐部遭勒索软件攻击,200GB敏感数据泄露;韩电商巨头Coupang因数据泄露,被罚款约113万美元;英国防部约600个员工登录凭证在暗网上流传。
网安风险警示,本期有五点建议关注:一是开源监控系统Zabbix存在SQL注入漏洞;二是通用列式格式和多语言工具箱Apache Arrow的R语言组件中存在反序列化漏洞;三是开源文件共享网络应用程序ProjectSend存在身份认证绕过漏洞;四是全球工控巨头台湾研华科技Advantech EKI系列工业级Wi-Fi接入点存在20多个漏洞;五是微软修复四个安全漏洞,其中一个已遭在野利用。
一、网安动向热讯
(一)中共中央办公厅、国务院办公厅发布关于数字贸易改革创新发展的意见
11月28日,中共中央办公厅、国务院办公厅发布关于数字贸易改革创新发展的意见。意见指出,加快发展通信、物联网、云计算、人工智能、区块链、卫星导航等领域对外贸易;鼓励电商平台、经营者、配套服务商等各类主体做大做强,加快打造品牌;放宽数字领域市场准入,推动电信、互联网、文化等领域有序扩大开放;支持数字平台企业有序发展,在引领发展、创造就业、国际竞争中发挥积极作用等。主要目标是:到2029年,可数字化交付的服务贸易规模稳中有增,占我国服务贸易总额的比重提高到45%以上;数字贸易基础设施布局进一步完善,适应数字贸易发展的体制机制基本建立,数字领域对外开放水平大幅提高,与国际高标准经贸规则对接全面加强。到2035年,可数字化交付的服务贸易规模占我国服务贸易总额的比重提高到50%以上;有序、安全、高效的数字贸易治理体系全面建立,制度型开放水平全面提高。(信息来源:中国政府网)
(二)中国人民银行等七部门正式印发《推动数字金融高质量发展行动方案》
11月27日,中国人民银行、国家发展改革委、工业和信息化部等七部门联合印发《推动数字金融高质量发展行动方案》。《行动方案》指出了明确的工作目标:到2027年底,基本建成与数字经济发展高度适应的金融体系。金融机构数字化转型取得积极成效,数字化经营管理能力明显增强。形成数字金融和科技金融、绿色金融、普惠金融、养老金融协同发展的良好局面,数字化金融产品服务对重大战略、重点领域、薄弱环节的适配度和普惠性明显提升。数字金融治理体系基本形成,数字金融基础设施基本齐备,相关金融管理和配套制度机制进一步健全。(信息来源:国际金融报)
(三)国家能源局发布《电网安全风险管控办法》和《关于加强电力安全治理以高水平安全保障新型电力系统高质量发展的意见》
11月27日,国家能源局发布《电网安全风险管控办法》(以下简称《办法》)和《关于加强电力安全治理以高水平安全保障新型电力系统高质量发展的意见》(以下简称《意见》)。《办法》补充了电网安全风险管控范畴和责任主体,将新型并网主体纳入电网安全风险管控范畴,明确电网企业、发电企业、电力用户和其他并网主体的业主单位等风险相关方责任。同时考虑电力保供的重要性,将县域电网全停纳入四级风险进行管控。《意见》是国家层面首次专门就全方位加强电力系统运行安全治理出台的政策文件,涵盖了新型电力系统在安全治理、风险管控、应急响应等全方位要求,提出了22项工作举措。针对大电网、配电网、用电侧、发电侧提出相关要求和部署,强调应加强新型电力系统网络安全技术防护能力。(信息来源:国家能源局)
(四)国家数据局发布《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》征求意见稿
11月29日,国家数据局发布《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案(征求意见稿)》。《征求意见稿》提出,到2027年底,规则明晰、产业繁荣、多方协同的数据流通安全治理体系基本构建,企业数据、公共数据、个人信息合规高效流通机制更加完善,治理效能显著提升,为繁荣数据市场、释放数据价值提供坚强保障。《征求意见稿》明确七方面主要任务:一是明晰企业数据流通安全规则;二是加强公共数据流通安全管理;三是强化个人信息流通保障;四是完善数据流通安全责任界定机制;五是加强数据流通安全技术应用;六是丰富数据流通安全服务供给;七是防范数据滥用风险。(信息来源:国家数据局)
(五)我国计划2035年建成下一代北斗系统,2029年左右开始发射组网卫星
11月28日,中国卫星导航系统管理办公室发布《北斗卫星导航系统2035年前发展规划》,明确在确保北斗三号系统稳定运行基础上,我国将建设技术更先进、功能更强大、服务更优质的下一代北斗系统,预计于2035年完成建设。下一代北斗系统以“精准可信、随遇接入、智能化、网络化、柔性化”为代际特征,将为全球用户和其他定位导航授时系统提供覆盖地表开阔空间及近地空间的米级至分米级实时高精度、高完好的导航定位授时服务。预计2025年完成关键技术攻关;2027年左右发射3颗先导试验卫星,开展下一代新技术体制试验;2029年左右开始发射下一代北斗系统组网卫星。(信息来源:中国政府网)
(六)美对华半导体实施新一轮打击,140家中国半导体及相关公司出口受限
12月2日,美国将对中国半导体设备制造商北方华创、拓荆科技、新凯莱等140家公司进行出口管制。作为一揽子计划的一部分,新的出口限制还将包括限制向中国出口先进的高带宽内存芯片(HBM),并对24种半导体制造设备和3种软件工具进行出口管制。此外,还将对新加坡、马来西亚、以色列等国的半导体设备制造公司实施新的出口限制。(信息来源:芯智讯)
(七)美澳加等联合发布《针对通信基础设施的可见性增强和安全强化指南》
12月3日,美网络安全与基础设施安全局(CISA)、国家安全局、联邦调查局、澳大利亚、加拿大和新西兰的国家网络安全中心联合发布《针对通信基础设施的可见性增强和安全强化指南》,为网络工程师和通信基础设施维护者提供最佳实践,以快速识别异常行为、漏洞和威胁并响应网络事件,增强可视性并强化网络设备,防止恶意攻击者的网络间谍活动。(信息来源:美CISA网站)
(八)美CISA发布TIC 3.0安全功能目录3.2更新版
12月3日,美CISA发布可信互联网连接(TIC)3.0安全功能目录(SCC)3.2更新版。该版本基于美国家标准与技术研究院(NIST)网络安全框架(CSF) 2.0版的重要更新,与NIST CSF的核心功能(治理、识别、保护、检测、响应和恢复)保持一致。SCC提供了一套全面可部署的安全控制、安全功能和最佳实践,帮助美联邦机构实施安全的网络环境。更新版目录增强了安全实施技术解决方案的指导,确保机构始终符合网络安全标准。(信息来源:美CISA网站)
(九)普京签署关于加强对非法收集和传播个人数据处罚的法律
12月1日消息,普京签署了关于加强对非法收集和传播个人数据处罚的法律,包括行政和刑事责任。行政责任新增条款规定,非法传输个人信息和健康详细信息的总罚款高达141000美元,非法传输生物识别数据的最高罚款高达188000美元。数据泄露的罚款金额将取决于受影响的人数或传输的数据量。刑事责任明确规定,非法收集、存储、使用和传输个人信息将承担刑事责任。对于有组织的此类犯罪或导致严重后果的,处罚最为严重。(信息来源:俄罗斯通讯社)
(十)印度电信部发布新规,要求电信实体在6小时内报告网络安全事件
11月28日消息,印度电信部发布旨在保护国家关键基础设施网络免受威胁的规则,要求电信实体在6小时内报告网络安全事件,并在24小时内提供有关事件影响的更多详细信息。根据该规则,印度政府可要求电信公司提供数据流量和除消息内容以外的任何其他数据以保护电信网络安全;电信实体建立必要的基础设施和设备,以收集数据并进行处理和存储;电信公司任命首席电信安全官;电信运营商必须采取包括风险管理方法、培训、网络测试和风险评估在内的网络安全政策。(信息来源:SecurityToday网)
(十一)联合国成立国际海底电缆韧性咨询机构
11月30日消息,联合国数字技术署联合国际电信联盟(ITU)和国际电缆保护委员会(ICPC)成立了国际海底电缆韧性咨询机构,旨在加强海底电缆的韧性。ITU秘书长表示,海底电缆承载了99%以上的国际数据交换,其恢复能力对全球至关重要。该咨询机构将通过向政府和行业参与者推广最佳做法,以确保及时部署和修复海底电缆,降低损坏风险,并增强电缆通信的连续性。该机构由40名来自全球各地的成员组成,包括监管机构负责人、行业高管和电信电缆运营方面的高级专家等。(信息来源:ITU网站)
二、网安事件聚焦
(十二)丹麦电信运营商TDC Net因软件更新导致大规模电信服务中断
11月28日,丹麦电信运营商TDC Net因软件更新导致大规模电信服务中断,所有用户无法使用移动电话、短信和网络接入服务,持续时间长达一天。由于网络中断,丹麦医疗、铁路运输等系统的正常运转受严重影响,用户不得不切换到其他提供商或取出SIM卡进行紧急呼叫。TDC公司是丹麦最大的电信运营商,提供移动通信、固定宽带、有线电视等多种通信服务。TDC Net公司称,此次断网不是由网络攻击引发,可能与过去24小时内的一次软件更新有关。(信息来源:TheRecord网)
(十三)乌干达央行遭网络攻击,据传被盗1680万美元
11月30日消息,乌干达国有报纸《New Vision》报道称,东南亚黑客组织Waste成功入侵乌干达中央银行IT系统,盗取约1680万美元。据称,黑客组织将部分被盗资金汇到日本,乌干达央行已成功追回1005万美元。目前,乌干达财政部已证实该攻击事件,但未透露具体被盗金额,呼吁公众等待审计和调查结果。(信息来源:TheRecord网)
(十四)美新泽西州霍博肯市遭勒索软件攻击
11月28日消息,美新泽西州霍博肯市遭勒索软件攻击,市政府线上服务被迫暂停,市政厅暂时关闭,原定于周三举行的市法院会议被取消,该市所有市政法院和警察相关业务暂时转移到西考克斯市市政法院及警察局。霍博肯市政府表示,为防止勒索软件病毒进一步蔓延,禁止所有员工登录任何电脑或门户网站,并正与警察局和IT部门合作调查该事件。目前尚无勒索软件组织对此次攻击负责。(信息来源:CBSNews网)
(十五)重庆某学校因未履行网络安全保护义务被处罚,电脑遭境外黑客远程控制并植入木马
12月3日消息,重庆市北碚区网信办依据《中华人民共和国网络安全法》对属地一学校因未履行好网络安全保护义务做出行政处罚。经查,该校电脑被境外黑客组织远程控制并植入木马病毒,且未采取有效防护措施,存在较大网络数据泄露的安全风险。北碚区网信办根据相关法律法规,责令该校全面深入整改,并给予警告的行政处罚。(信息来源:网信重庆)
(十六)湖南省网信办对某信息技术公司未履行网络安全、数据安全保护义务作出行政处罚
12月2日消息,湖南某信息技术公司因未履行网络安全、数据安全保护义务,导致其相关系统存在未授权访问漏洞,造成部分数据多次泄露。湖南网信办依据《中华人民共和国数据安全法》和《湖南省网络安全和信息化条例》,对该公司责令改正、给予警告,并对公司、主管人员和直接责任人员分别处以20万元、3万元和2万元的行政处罚。(信息来源:安全圈)
(十七)意大利博洛尼亚足球俱乐部遭勒索软件攻击,200GB敏感数据泄露
11月29日消息,意大利博洛尼亚足球俱乐部确认遭勒索软件攻击,数千份文件被窃取,约200GB敏感数据外泄,其中包括主教练文森佐·意大利诺的聘用合同、俱乐部的赞助合同,以及球员和员工的财务、医疗等个人信息。博洛尼亚足球俱乐部是意大利最具传统的足球俱乐部。目前,勒索软件组织已向博洛尼亚足球俱乐部索要高额赎金。该俱乐部已向警方报案,表示将采取法律手段追究传播被盗数据的个人或团体的责任。(信息来源:BleepingComputer网)
(十八)韩电商巨头Coupang因数据泄露,被罚款约113万美元
12月2日消息,韩个人信息保护委员会(PIPC)因电商巨头Coupang违反韩《个人信息保护法》,对其处以总计约113万美元的罚款。Coupang在2019年调整外卖员数据传输政策后仍继续发送外卖员的真实信息,导致约13.5万名外卖员的个人数据泄露,且在没有正当理由的情况下延迟通知泄露事件超过24小时;同时因系统登录问题导致约2.2万名客户订单信息泄露给其他卖家。Coupang是韩国第一大B2C电商平台,也是亚洲最大的科技零售商之一。Coupang回应称,泄露事件源于几年前外部供应商的错误和临时软件故障,公司已采取必要措施防止类似事件再次发生。(信息来源:BusinessKorea网)
(十九)英国防部约600个员工登录凭证在暗网上流传
12月2日消息,英国防部(MOD)约600个员工登录凭证在暗网上流传,这些凭证被用于访问MOD的国防网关网站(非机密员工门户),供员工使用人力资源、电子邮件以及教育培训资源。目前尚不清楚这些被盗凭证是否已被攻击者成功使用,但被盗凭证可被用于构建使用MOD门户的个人画像,使员工面临其他风险。目前,英国防部未就该事件发表评论。(信息来源:CsoOnline网)
三、网安风险警示
(二十)开源监控系统Zabbix存在SQL注入漏洞
11月29日消息,嘉诚安全监测到Zabbix中修复了SQL注入漏洞CVE-2024-42327(CVSS评分9.9)。Zabbix前端的CUser类中的addRelatedObjects函数未对输入数据进行充分验证和转义,导致具有API访问权限的恶意用户可通过user.get API传递特制输入触发SQL注入攻击,进而利用该漏洞实现权限提升或访问敏感数据。Zabbix是一个基于Web界面的提供分布式系统监视以及网络监视功能的企业级开源监控解决方案,可以用来监控服务器、硬件、网络等。鉴于该漏洞危害较大,建议用户尽快更新。(信息来源:嘉诚安全)
(二十一)通用列式格式和多语言工具箱Apache Arrow的R语言组件中存在反序列化漏洞
11月29日,启明星辰集团VSRC监测到Apache Arrow R包中存在反序列化漏洞CVE-2024-52338(CVSS评分9.8)。该漏洞源于IPC和Parquet数据读取器在处理元数据时未对输入进行严格验证,攻击者可通过构造恶意的Arrow IPC、Feather或Parquet文件,在元数据中嵌入恶意对象,当应用程序加载这些文件时,unserialize()函数会直接解析元数据,可能触发反序列化漏洞,从而导致任意代码执行。Apache Arrow是一种通用的列式格式和多语言工具箱,用于快速数据交换和内存分析。Apache Arrow R软件包是Apache Arrow项目的R语言组件,用于处理高性能的列式数据格式,允许R语言用户高效地读取、写入和操作Arrow格式的数据。目前该漏洞已经修复,建议用户尽快升级版本。(信息来源:启明星辰)
(二十二)开源文件共享网络应用程序ProjectSend存在身份认证绕过漏洞
11月28日,ProjectSend官方修复了身份验证绕过漏洞CVE-2024-11680(CVSS评分9.8),影响ProjectSend r1720之前版本,未经身份验证的远程攻击者可通过发送恶意构造的HTTP请求来利用该漏洞,从而在未经授权的情况下修改应用程序的配置。成功利用该漏洞,攻击者可嵌入恶意代码、开启创建账户功能并上传webshell。ProjectSend是一个开源文件共享网络应用程序,旨在促进服务器管理员和客户端之间的安全、私密文件传输。目前该漏洞利用代码已公开,且存在在野利用行为,建议用户尽快做好自查及防护。(信息来源:奇安信CERT)
(二十三)全球工控巨头台湾研华科技Advantech EKI系列工业级Wi-Fi接入点存在20多个漏洞
12月1日消息,网络安全研究人员在Advantech EKI系列工业级Wi-Fi接入点中发现了多达20个安全漏洞,其中6个被标记为关键漏洞,这些漏洞允许攻击者通过植入后门获得对内部资源的持久访问,触发拒绝服务攻击,甚至将受感染端点转变为Linux工作站,以实现网络内的横向移动以及进一步渗透。在这6个关键漏洞中,有5个(CVE-2024-50370至CVE-2024-50374,CVSS评分9.8)与操作系统命令中特殊元素的不当处理有关,而CVE-2024-50375(CVSS评分9.8)则涉及关键功能缺乏身份验证的问题。Advantech EKI系列工业级Wi-Fi接入点是用于工业自动化和物联网环境中的无线网络解决方案,用于提供高性能的无线连接,并支持远程监控与管理。目前官方已修复漏洞,建议用户及时更新设备固件。(信息来源:FreeBuf网)
(二十四)微软修复4个安全漏洞,其中一个已遭在野利用
11月28日消息,微软发布安全公告,修复4个存在于Microsoft Copilot Studio、Partner.Microsoft.Com门户、Azure PolicyWatch和Dynamics 365 Sales中的安全漏洞。Copilot Studio是供开发人员构建AI代理并使用自动化更快编写代码的平台,受CVE-2024-49038(CVSS评分9.3)的影响,未经授权的攻击者在该平台中生成网页时对输入进行不当中和,会导致网络特权提升;Partner.Microsoft.Com是微软合作伙伴提供资源和工具的官方门户网站,受漏洞CVE-2024-49035(CVSS评分8.7)的影响,未经身份验证的攻击者可利用该漏洞提升网络权限,目前已遭在野利用;Azure PolicyWatch允许组织创建、分配和管理策略,受漏洞CVE-2024-49052(CVSS评分8.2)的影响;基于云的客户关系管理解决方案Dynamics 365 Sales受漏洞CVE-2024-49053(CVSS评分7.6)的影响。上述漏洞均已被缓解,用户无需采取任何措施。(信息来源:CyberNews网)
