网络空间安全动态(202442期)
编者按:网安动向热讯,本期有八点值得关注:一是人工智能能力建设国际合作之友小组在联合国成立;二是中办 国办发布关于推进新型城市基础设施建设打造韧性城市的意见;三是美上诉法院裁决TikTok败诉,拒绝驳回TikTok“不卖就禁”法案;四是美国防部发布《反无人系统战略》;五是欧洲理事会通过《网络团结法案》和《网络安全法案》修正案以加强网络安全;六是欧盟《网络弹性法案》正式生效;七是北约将于2028年启用北约综合网络防御中心,北约举行2024年度大规模集体网络防御演习;八是俄罗斯再次举行断开国际互联网演习,以改进“主权互联网”基础设施可用性。
网安事件聚焦,本期建议关注:勒索软件攻击仍然猖獗,对网络及数据安全构成重大威胁,医疗民生领域用户数据是黑客攻击重点,关键基础设施网络安全防护仍需加强。本期介绍:德勤英国遭勒索攻击,被窃取超1TB机密数据;英国电信巨头BT集团遭勒索攻击,500GB敏感数据被窃取;软件即服务提供商Blue Yonder遭勒索攻击,680GB数据被窃取;印度制药巨头Cipla遭攻击,疑被窃取70GB数据;美医疗保健公司Atrium Health数据泄露事件影响超58万人;伏特加制造商Stoli集团美子公司因勒索软件攻击申请破产。
网安风险警示,本期有六点建议关注:一是身份访问管理平台SailPoint IdentityIQ存在满分访问控制不当漏洞;二是Ivanti公司CSA解决方案中存在满分认证绕过漏洞;三是远程管理BaaS和DRaaS平台VSPC存在严重远程代码执行漏洞;四是网络监控软件Progress WhatsUp Gold存在远程代码执行漏洞;五是企业协作平台Mitel MiCollab存在身份验证绕过漏洞;六是Linux的嵌入式操作系统OpenWrt Attended SysUpgrade存在命令注入漏洞。
一、网安动向热讯
(一)人工智能能力建设国际合作之友小组在联合国成立
12月3日,中国和赞比亚在纽约联合国总部共同举办人工智能能力建设国际合作之友小组首次会议,标志着该小组正式成立。埃及、巴基斯坦、巴西、埃塞俄比亚、印度尼西亚、俄罗斯、美国、法国、英国等80多个国家以及联合国秘书长技术特使办公室等联合国机构的代表与会。中国常驻联合国代表傅聪在会上表示,中国提出《全球人工智能治理倡议》,围绕人工智能治理的重大课题贡献了中国智慧。人工智能能力建设国际合作之友小组将推动广泛伙伴关系,采取务实有效行动,促进人工智能赋能各国可持续发展。与会代表们赞赏中赞两国在人工智能能力建设方面发挥的引领作用,并表示加入该小组,期待小组为加强人工智能能力建设合作、完善人工智能治理、弥合数字鸿沟注入新动力。(信息来源:新华社)
(二)中办 国办发布关于推进新型城市基础设施建设打造韧性城市的意见
12月5日消息,中共中央办公厅 国务院办公厅发布《关于推进新型城市基础设施建设打造韧性城市的意见》,提出到2027年,新型城市基础设施建设取得明显进展,对韧性城市建设的支撑作用不断增强,形成一批可复制可推广的经验做法;到2030年,新型城市基础设施建设取得显著成效,推动建成一批高水平韧性城市,城市安全韧性持续提升,城市运行更安全、更有序、更智慧、更高效。意见提出了十一项重点任务,包括实施智能化市政基础设施建设和改造、推动智慧城市基础设施与智能网联汽车协同发展、发展智慧住区、提升房屋建筑管理智慧化水平、开展数字家庭建设、推动智能建造与建筑工业化协同发展、完善城市信息模型(CIM)平台、搭建完善城市运行管理服务平台、强化科技引领和人才培养、创新体制机制、保障网络和数据安全。(信息来源:新华社)
(三)工信部就《国家智能制造标准体系建设指南(2024)》公开征求意见
12月2日,工信部发布《国家智能制造标准体系建设指南(2024)》(征求意见稿)。《指南》提到,到2026年,制修订100项以上国家标准、行业标准,构建适应新型工业化发展的智能制造标准体系。加快制定智能检测、智能物流等智能装备标准,研发设计、生产制造等工业软件集成标准,智能设计、智能管理等智能工厂标准,供应链建设、供应链运营等智慧供应链标准,数字孪生装备、人工智能工业应用、工业数据流通等智能赋能技术标准,网络协同制造、产销一体化运营等智能制造新模式标准,工业无线网络、工业网络融合等工业网络标准,探索标准研制新方法,固化成功经验和创新成果,形成典型场景系统解决方案标准,引导企业应用标准指导实践,构建企业智能制造标准体系,推动智能制造高质量发展。意见征求截止日期为2025年1月1日。(信息来源:工信部网站)
(四)美上诉法院裁决TikTok败诉,拒绝驳回TikTok“不卖就禁”法案
12月6日,美华盛顿特区巡回上诉法院作出裁决,认定TikTok败诉。参与裁决的法官一致认为,尽管要求强制剥离TikTok对言论自由构成重大限制,并应适用严格的审查标准,但考虑到TikTok对美国家安全的严重威胁,美国会通过的《保护美国人免受外国对手控制应用影响法案》(PAFACA)仍被判定为合宪有效。根据法院裁定,TikTok需在2025年1月19日前完成资产剥离,否则将面临高达8500亿美元的罚款并遭封禁。针对美国方面的判决,TikTok回应表示,公司将坚决进行上诉。TikTok禁令是基于不准确、有缺陷和假设的信息而构思并推动实施的,如果得以执行,将导致超过1.7亿美国用户以及全球用户的声音被迫“沉默”。(信息来源:赛博研究院)
(五)美国防部发布《反无人系统战略》
12月6日消息,美国防部发布《反无人系统战略》,并在发布的公开情况说明书中表示,在商业企业和人工智能、网络攻防技术推动下,无人系统能力与挑战正在增加。该战略以美国防部其他重大举措为基础,包括设立联合反小型无人机系统办公室、成立作战人员高级集成小组,以及启动“复制者2”计划。该战略计划采取5大举措:加深对无人系统趋势和威胁的理解与认识;破坏和削弱无人系统威胁网络;防御无人系统对美国利益的威胁;以更快速、更强适应性、更大规模的形式提供解决方案;开发和设计适应无人系统的未来联合部队。(信息来源:国防科技要闻)
(六)美参议员提出《保护国防人工智能和云计算竞争法案》
12月6日消息,美共和党和民主党参议员提出一项两党法案《保护国防人工智能和云计算竞争法案》,要求美国防部在采购人工智能工具和云计算平台时进行竞争性授标程序。该法案提出,美国防部应考虑来自多家供应商的云服务,并确保其有助于美政府对所有政府数据保持访问和使用专有权利。该法案的拟议措施将要求国防部首席数字和人工智能办公室确保为人工智能产品开发和运行而提供的政府数据不会在未经该部门授权的情况下被使用或披露。(信息来源:全球技术地图)
(七)欧洲理事会通过《网络团结法案》和《网络安全法案》修正案以加强网络安全
12月5日消息,欧洲理事会通过《网络团结法案》和《网络安全法案》修正案,旨在进一步加强欧盟抵御网络威胁的能力和网络团结合作。《网络团结法案》构建了欧盟在应对网络威胁方面的能力,同时加强了合作机制。该法案提出建立网络安全应急机制,以提高欧盟应对突发事件的响应能力。计划包括欧盟将建立一个由国家和跨境网络中心组成的网络安全警报系统,以实现信息共享、检测并应对网络威胁。《网络安全法案》修正案承认托管安全服务在预防、检测、响应和恢复网络安全事件方面的重要性日益增加。该修正案将有助于提高托管安全服务的质量,培养值得信赖的网络安全服务商。(信息来源:新华社)
(八)欧盟《网络弹性法案》正式生效
12月10日,欧盟首部对包含数字元素产品提出强制性网络安全要求的立法文件《网络弹性法案》(CRA)正式生效。CRA共计8章71条,全面规定具有数字元素的硬软件产品(笔记本电脑、交换机、移动设备、手机、路由器、防火墙、移动应用程序、计算机处理单元等)在网络安全方面的各项要求。该法案涵盖数字元素产品从设计、开发到销售的整个生命周期,明确了制造商、进口商、经销商等相关市场主体的责任与义务,强调建立有效监管执行机制的重要性,以避免欧盟成员国在不同法律法规之间可能产生的重叠要求。根据该法案,制造商的安全事件报告义务将于2026年9月11日起实施,合格评估机构的通知义务将于2026年6月11日起生效,而其他所有规定则将从2027年12月11日起开始执行。(信息来源:赛博研究院)
(九)北约将于2028年启用北约综合网络防御中心
12月9日消息,北约将整合网络安全中心、网络运营中心和网络威胁分析部门以及首席信息官办公室的部分职能,组建新的北约综合网络防御中心,以更好地应对网络威胁。该中心还计划提高对外沟通能力,与整个北约联盟的行业合作伙伴合作和对话。北约希望将分散在整个联盟的要素整合在一起,将现有网络实体与行业合作伙伴结合起来,从而增强在信息共享和网络运营方面的凝聚力。该中心预计在2028年正式建成,总部将设在比利时蒙斯,同时将在北约各国设立多个分中心。该中心将提供实时协作的空间,使人员更紧密地合作以应对网络事件。(信息来源:奇安网情局)
(十)北约举行2024年度大规模集体网络防御演习
12月2日至6日,全球规模最大的集体网络防御演习之一“网络联盟”2024在爱沙尼亚塔林举行,共有28个北约盟国、6个伙伴国和来自多个国家的民间组织参加。此次演习旨在提高北约盟国和合作伙伴的集体网络弹性和防御能力。演习要求参与者将网络空间行动融入现实场景中,利用此次活动加强伙伴关系,改进策略、技术和程序,并验证新兴概念。此次演习突出了多维性,即通过整合陆海空天网域作战来加强防御协调。演习的核心是模拟现实世界的网络攻击,测试响应情况,并促进在应对数字威胁方面开展更深入的合作。(信息来源:奇安网情局)
(十一)俄罗斯再次举行断开国际互联网演习,以改进“主权互联网”基础设施可用性
12月11日消息,俄罗斯再次举行断开国际互联网演习,以测试其“主权互联网”基础设施在遭遇外部蓄意干扰时,是否能够维持主要国外和国内服务的运行。测试期间,多个地区居民经历了互联网中断,用户无法访问大部分国内外应用和网站,包括YouTube、谷歌、WhatsApp和Telegram等通讯应用,俄互联网巨头Yandex的一些服务也无法使用。根据美非营利组织战争研究所的报告显示,此次测试主要影响了俄少数民族聚居的地区,包括车臣、达吉斯坦和印古什,其中达吉斯坦的互联网中断持续了近24小时。俄罗斯多年来致力于打造“主权互联网”,并加速与全球互联网技术脱钩。今年9月,克里姆林宫投入巨资加强技术能力,限制流量并屏蔽西方平台。近期,俄罗斯还威胁封锁包括AWS和GoDaddy在内的多家外国托管服务商,以进一步加强网络控制。(信息来源:安全内参)
(十二)四大行业协会呼吁国内企业谨慎采购美国芯片,称其不再安全、不再可靠
12月4日消息,为确保我国互联网产业安全、稳定、可持续发展,应对美加大对华半导体出口限制措施,中国互联网协会、中国半导体行业协会、中国汽车工业协会、中国通信企业协会呼吁国内企业主动采取应对措施,审慎选择采购美国芯片,寻求扩大与其他国家和地区芯片企业的合作,并积极使用内外资企业在华生产制造的芯片。四大行业协会称,美国频繁调整管制规则,持续升级贸易壁垒,无视国际贸易规则,对我国互联网产业的健康稳定发展造成了实质性损害。美国这种将国家安全概念泛化,并滥用出口管制手段对中国进行无端封锁和打压的做法,已经动摇业界对美国芯片产品的信任和信心。(信息来源:中国互联网协会)
二、网安事件聚焦
(十三)德勤英国遭勒索攻击,被窃取超1TB机密数据
12月6日消息,世界四大会计师事务所之一德勤英国公司遭Brain Cipher勒索软件组织攻击,被窃取超1TB敏感数据。Brain Cipher声称将发布此次攻击窃取的详细信息,包括德勤涉嫌违反安全协议的证据、德勤与客户的合同协议、有关公司监控系统和安全工具的详细信息以及一些数据样例等敏感资料,并要求德勤在12月15日前做出回应。目前,德勤表示此次攻击未造成数据泄露,系统也未受影响。(信息来源:FreeBuf网)
(十四)英国电信巨头BT集团遭勒索攻击,500GB敏感数据被窃取
12月4日消息,英国电信巨头BT集团确认其会议业务部门遭Black Basta勒索软件组织攻击,500GB敏感数据被窃取,包括财务数据、组织数据、用户数据、机密数据、个人文件、保密协议等。Black Basta公布了多张截图作为数据泄露的证据。BT集团是全球领先的电信巨头之一,业务遍及180个国家,提供固定电话、宽带、移动、电视和IT服务等。BT集团表示,遭攻击后公司已关闭了部分服务器以进行应急响应,受影响平台相关服务已被迅速下线和隔离,实时会议服务及其他集团客户服务不受影响。(信息来源:SecurityAffairs网)
(十五)软件即服务提供商Blue Yonder遭勒索攻击,680GB数据被窃取
12月10日消息,总部位于美亚利桑那州的软件即服务提供商Blue Yonder遭Termite勒索软件组织攻击,680GB数据被窃取,包括数据库转储、用于未来攻击的电子邮件列表(超16000个)、文档(超20万份)、报告和保险文件等。Blue Yonder为零售商、制造商和物流供应商提供全球服务,拥有超过3000名客户,包括微软、雷诺、拜耳、联想和西部数据等知名公司。Blue Yonder公司表示,目前已与外部网络安全公司合作对该事件展开调查,并已通知受影响客户。(信息来源:BleepingComputer网)
(十六)印度制药巨头Cipla遭攻击,疑被窃取70GB数据
12月11日消息,Akira勒索软件组织声称从印度制药巨头Cipla窃取了70GB敏感数据,包括个人病历及处方药、内部财务信息、客户联系方式、员工联系方式等,并在其暗网门户上分享了攻击信息。Cipla在全球运营47家制造工厂,产品销往86个国家/地区。截至目前,Cipla尚未公开确认此次事件。(信息来源:E安全)
(十七)美医疗保健公司Atrium Health数据泄露事件影响超58万人
12月6日消息,美医疗保健公司Atrium Health向卫生与公众服务部通报一起数据泄露事件,影响超58万人。该事件可能与2015年至2019年期间Atrium Health患者门户网站上存在的在线追踪技术问题相关。该公司表示,在线追踪技术可能已将某些个人信息(IP、cookie、治疗或提供者信息、姓名、电子邮件地址、电话号码等)传输给了第三方供应商(Google和Meta)。Atrium指出,泄露数据不涉及社会安全号码、财务账户、信用卡或借记卡信息,暂未有证据表明信息被滥用,且信息性质不会导致身份盗窃或财务损失。(信息来源:启明星辰)
(十八)伏特加制造商Stoli集团美子公司因勒索软件攻击申请破产
12月6日消息,伏特加制造商Stoli集团的美子公司在遭勒索软件攻击和俄罗斯政府没收其最后两家酒厂的双重打击下,被迫申请破产保护。2024年8月,Stoli集团遭勒索软件攻击造成运营中断,公司ERP系统瘫痪,包括财务、供应链在内的核心业务全面转入手动操作模式,导致公司无法向贷方提供财务报告,被指控违约债务达7800万美元。Stoli表示,此次攻击已波及到该集团的全球运营,预计IT系统完全恢复至少要到2025年初。(信息来源:安全内参)
三、网安风险警示
(十九)身份访问管理平台SailPoint IdentityIQ存在满分访问控制不当漏洞
12月5日消息,SailPoint发布安全公告披露SailPoint IdentityIQ中存在访问控制不当漏洞CVE-2024-10905(CVSS评分10.0)。攻击者可利用该漏洞在未经授权的情况下通过HTTP直接访问IdentityIQ应用程序目录中本应受保护的静态内容,可导致敏感信息泄露或执行未经授权的操作。SailPoint IdentityIQ是一个功能强大的身份和访问管理平台,广泛用于企业中,以提供全面的身份治理和访问管理解决方案。目前该漏洞已修复,受影响用户可尽快升级。(信息来源:启明星辰)
(二十)Ivanti公司CSA解决方案中存在满分认证绕过漏洞
12月11日消息,Ivanti公司提醒客户,称其Cloud Services Appliance(CSA)解决方案中存在认证绕过漏洞CVE-2024-11639(CVSS评分10.0),可导致远程攻击者通过一个可选路径或信道绕过认证,无需身份验证或用户交互,在运行Ivanti CSA 5.0.2或更早版本的易受攻击设备上,获得管理员权限。Ivanti CSA是一个面向企业的解决方案,专注于为远程设备管理提供安全通信渠道,通过与Ivanti的其他产品集成,帮助企业实现更高效的IT操作和增强安全性。目前该漏洞已修复,建议用户升级到Ivanti CSA5.0.3或更高版本。(信息来源:BleepingComputer网)
(二十一)远程管理BaaS和DRaaS平台VSPC存在严重远程代码执行漏洞
12月4日消息,Veeam发布安全更新,修复了两个Veeam Service Provider Console(VSPC)漏洞,其中一个是远程代码执行漏洞CVE-2024-42448(CVSS评分9.9),影响VSRC 7和8.1.0.21377及之前版本,可导致攻击者在未修复的VSPC管理代理机器上的服务器执行任意代码。另一个漏洞CVE-2024-42449(CVSS评分7.1)可导致攻击者窃取VSPC服务器服务账户的NTLM哈希并通过所获取的访问权限删除VSPC服务器上的文件。VSPC是一款远程管理BaaS(后端即服务)和DRaaS(灾难恢复即服务)平台,供服务提供商监控客户备份的健康和安全,并管理其受Veeam保护的虚拟、Microsoft 365和公共云工作负载。Veeam公司建议用户尽快更新。(信息来源:BleepingComputer网)
(二十二)网络监控软件Progress WhatsUp Gold存在远程代码执行漏洞
12月4日消息,启明星辰集团VSRC监测到Progress WhatsUp Gold存在远程代码执行漏洞CVE-2024-8785(CVSS评分9.8)。成功利用该漏洞的攻击者可绕过正常的安全机制,获得对受影响系统的完全控制权,从而执行任意代码、窃取敏感信息、破坏系统功能或部署持久化恶意软件。WhatsUp Gold是美Progress Software公司开发的一款网络监控软件,可监控整个网络基础设施,迅速定位并解决网络中的问题,提高网络管理员的工作效率。目前该漏洞已修复,受影响用户可尽快升级。(信息来源:启明星辰)
(二十三)企业协作平台Mitel MiCollab存在身份验证绕过漏洞
12月6日消息,企业协作平台Mitel MiCollab存在身份验证绕过漏洞CVE-2024-41713(CVSS评分9.8),由于输入验证不足,未经身份验证的远程攻击者可利用该漏洞执行路径遍历攻击,从而导致未授权访问、破坏或删除用户的数据和系统配置。Mitel MiCollab是一个企业协作平台,可将各种通信工具整合到一个应用程序中,提供语音和视频通话、消息传递、状态信息、音频会议、移动支持和团队协作功能。目前该漏洞已修复,受影响用户可尽快升级。(信息来源:Mitel网站)
(二十四)Linux的嵌入式操作系统OpenWrt Attended SysUpgrade存在命令注入漏洞
12月10日消息,Linux的嵌入式操作系统OpenWrt Attended SysUpgrade(ASU)功能中存在命令注入漏洞CVE-2024-54143(CVSS评分9.3)和哈希截断问题。攻击者可组合利用上述问题,通过命令注入漏洞生成恶意固件镜像,通过哈希碰撞技术将恶意固件冒充为合法固件,并伪装在缓存中分发给用户,可导致拦截或篡改网络流量、窃取设备敏感信息或发起进一步攻击。OpenWrt是一款基于Linux的嵌入式操作系统,专为路由器和其他网络设备设计。openwrt/asu是OpenWrt项目的一个服务,用于提供Attended SysUpgrade(ASU)功能,允许用户创建定制的OpenWrt固件镜像,并在升级过程中保留已有的安装包和设置。目前该漏洞已修复,受影响用户可尽快升级至更高版本。(信息来源:Github网)
