网络空间安全动态(202443期)
编者按:网安动向热讯,本期有七点值得关注:一是国常会审议通过《公共安全视频图像信息系统管理条例(草案)》;二是四部门发布《中小企业数字化赋能专项行动方案(2025—2027年)》;三是美CISA发布《国家网络事件响应计划》更新草案;四是美国会通过《2025财年国防授权法案》,并追加30亿美元拨款用于“清除中国通信设备”;五是美《2025财年国防授权法案》聚焦提升美军网络攻防能力;六是美国防部解散利马工作组并成立人工智能快速能力小组;七是北约启动进攻性网络作战演习“十字剑2024”。
网安事件聚焦,本期有两点建议关注:一是国家间的网络攻击和窃密事件频发,给全球安全带来巨大隐患。本期介绍:美对我大型科技企业机构进行网络攻击并窃取商业秘密;俄罗斯网络间谍组织Gamaredon利用Android间谍软件窃取数据;伊朗黑客组织利用新型恶意软件IOCONTROL攻击美以关键基础设施;美德克萨斯理工大学健康科学中心遭网络攻击;汽车零部件巨头LKQ加拿大业务部门遭黑客攻击。二是政府机构、医疗行业仍是数据泄露重灾区,需加强防范和保护。本期介绍:美罗德岛州政府RI Bridges在线门户网站系统遭勒索软件攻击,数十万居民信息被盗;远程医疗平台ConnectOnCall发生重大数据泄露事件;加拿大医疗技术公司Care1数据库泄露超480万条患者敏感信息;美比特币ATM运营商Byte Federal遭黑客攻击致5.8万客户数据泄露。
网安风险警示,本期有六点建议关注:一是工信部:关于防范Zabbix软件SQL注入超危漏洞的风险提示;二是工信部:关于防范新型勒索病毒Ymir的风险提示;三是国家信息安全漏洞库CNNVD:关于Apache Struts安全漏洞的通报;四是Apache Tomcat存在一个竞争条件远程代码执行漏洞;五是美CISA将Cleo漏洞添加到其已知被利用漏洞目录中;六是斯柯达汽车信息娱乐系统被曝存在安全漏洞,攻击者可在10米内无接触入侵。
一、网安动向热讯
(一)国常会审议通过《公共安全视频图像信息系统管理条例(草案)》
12月16日,国务院总理李强当天主持召开国务院常务会议,会议审议通过《公共安全视频图像信息系统管理条例(草案)》,指出要规范公共安全视频系统建设和使用,更好维护公共安全、保护个人隐私。(信息来源:新华网)
(二)四部门发布《中小企业数字化赋能专项行动方案(2025—2027年)》
12月13日,工业和信息化部、财政部、中国人民银行和金融监管总局发布《中小企业数字化赋能专项行动方案(2025—2027年)》。《行动方案》提出,到2027年,中小企业数字化转型“百城”试点取得扎实成效,专精特新中小企业实现数字化改造应改尽改,形成一批数字化水平达到三级、四级的转型标杆;试点省级专精特新中小企业数字化水平达到二级及以上,全国规上工业中小企业关键工序数控化率达到75%;中小企业上云率超过40%。初步构建起部省联动、大中小企业融通、重点场景供需适配、公共服务保障有力的中小企业数字化转型生态,赋能中小企业专精特新发展。(信息来源:工信部网站)
(三)美CISA发布《国家网络事件响应计划》更新草案
12月16日消息,美网络安全与基础设施安全局(CISA)发布《国家网络事件响应计划》(NCIRP)更新草案,并在2025年1月中旬之前征求公众意见。NCIRP草案主要更新内容包括:为非美联邦利益相关者参与协调网络事件响应制定明确的路径;通过简化内容和符合操作生命周期来提高可用性;影响机构角色和职责的相关法律和政策变化以及NCIRP未来更新的可预测周期。(信息来源:元战略)
(四)美国会通过《2025财年国防授权法案》,并追加30亿美元拨款用于“清除中国通信设备”
12月13日消息,美国会通过《2025财年国防授权法案》(NDAA),其中新增的30亿美元预算被视为“拆旧换新”计划的关键一步,用于清除华为和中兴等中国制造的电信设备。参议员本·雷·卢扬强调,“尽管针对中国黑客组织‘盐台风’的攻击仍存在许多未知因素,我们必须做更多事情防止未来的类似攻击。目前可以采取的措施之一就是把与外国对手合作的公司生产的设备彻底从美国网络中移除。”参议员杰里·莫兰指出,“国会对“拆旧换新”设备替代计划的支持表明,两党可以在网络安全问题上达成共识。面对中国带来的挑战,跨党派的合作迫在眉睫。”(信息来源:安全内参)
(五)美《2025财年国防授权法案》聚焦提升美军网络攻防能力
12月16日消息,美发布《2025财年国防授权法案》,针对网络行动、网络安全、信息技术和数据管理、人工智能、网络情报等事务向美国防部提出针对性要求。在网络行动方面,法案要求美国防部长将联合部队总部—国防信息网络指定为美网络司令部下属的次级统一司令部;制订黑客马拉松计划和网络威胁桌面演习计划,为冲突或战争期间的网络攻击做好准备;定期向美国会汇报云计算合同情况等。在网络安全方面,法案要求美国防部针对军事行动中使用的物联网硬件制订应用零信任策略的指南;制订多云环境的管理和网络安全战略;对移动设备的网络安全产品和服务进行详细评估。(信息来源:奇安网情局)
(六)美国防部解散利马工作组并成立人工智能快速能力小组
12月15日消息,美国防部宣布解散此前成立的利马工作组,并成立人工智能快速能力小组,以提升国防部采用和交付前沿和先进人工智能能力。该小组将由美国防部首席数字和人工智能办公室(CDAO)管理,并与国防创新机构(DIU)合作执行。CDAO和DIU将在2024和2025财年向该小组投入1亿美元以构建人工智能就绪的技术堆栈,重点涉及四个方面:一是投资3500万美元用于支持4项前沿人工智能试点项目;二是投资2000万美元构建用于人工智能开发、实验和测试的数字“沙箱”和计算能力;三是投资500万美元用于加强CDAO在全球信息优势实验中开展的人工智能测试;四是投资4000万美元用于资助新兴公司以获取利用GenAI的创新解决方案。(信息来源:奇安网情局)
(七)北约启动进攻性网络作战演习“十字剑2024”
12月12日,北约合作网络防御卓越中心在爱沙尼亚塔林启动进攻性网络作战演习“十字剑2024”,重点训练网络专家在现实和动态的模拟危机环境中执行完整的进攻性网络杀伤链,训练军事指挥部门对进攻性网络空间能力的指挥控制,并支持发展与网络空间相关的其他作战领域和战术技能。此次“十字剑”演习采用了现实的技术和攻击方法,重点关注对任何军事行动都至关重要的关键基础设施和后勤系统。来自40个国家约200名参与者参加此次演习。(信息来源:奇安网情局)
二、网安事件聚焦
(八)美对我大型科技企业机构进行网络攻击并窃取商业秘密
12月18日,国家互联网应急中心发现处置两起美对我大型科技企业机构进行网络攻击窃取商业秘密事件。2024年8月起,我国某先进材料设计研究单位遭疑似美国情报机构网络攻击。经分析,攻击者利用我境内某电子文档安全管理系统漏洞,入侵该公司部署的软件升级管理服务器,通过软件升级服务向该公司的270余台主机投递控制木马,窃取该公司大量商业秘密信息和知识产权。2023年5月起,我国某智慧能源和数字信息大型高科技企业遭疑似美国情报机构网络攻击。经分析,攻击者使用多个境外跳板,利用微软Exchange漏洞,入侵控制该公司邮件服务器并植入后门程序,持续窃取邮件数据。同时,攻击者又以该邮件服务器为跳板,攻击控制该公司及其下属企业30余台设备,窃取该公司大量商业秘密信息。(信息来源:中国新闻网)
(九)俄罗斯网络间谍组织Gamaredon利用Android间谍软件窃取数据
12月13日,研究人员发现俄罗斯网络间谍组织Gamaredon使用名为“BoneSpy”和“PlainGnome”的Android间谍软件系列,针对前苏联国家的俄语人士进行监视和窃取移动设备数据。BoneSpy自2021年以来一直活跃,通过木马Telegram应用程序或冒充三星Knox传播,具有收集短信、录音、定位、拍照等多种功能。而PlainGnome是一款较新的定制Android监控恶意软件,采用两阶段安装过程,更加隐秘且用途广泛,具有与BoneSpy相似的数据收集功能,并集成了高级功能以降低检测风险。(信息来源:BleepingComputer网)
(十)伊朗黑客组织利用新型恶意软件IOCONTROL攻击美以关键基础设施
12月15日消息,伊朗黑客组织正利用新型恶意软件IOCONTROL攻击美国和以色列关键基础设施,特别是物联网设备和OT/SCADA系统,包括路由器、PLC、HMI、IP摄像机、防火墙和燃料管理系统等,涉及制造商如D-Link、Hikvision等。该恶意软件具有模块化特性,并被视为可能对关键基础设施造成严重破坏的民族国家网络武器,可感染不同设备。IOCONTROL存储在“/usr/bin/”目录中,使用模块化配置适应不同设备,通过MQTT协议与C2服务器通信,并使用AES-256-CBC加密配置,可执行多种命令,如报告系统信息、确认恶意软件安装、运行任意命令、自我删除和端口扫描等。报道称IOCONTROL与伊朗黑客组织CyberAv3ngers有关,该组织声称入侵了以色列和美国的200个加油站,并在2023年末至2024年中期进行了新的攻击活动。(信息来源:BleepingComputer网)
(十一)美德克萨斯理工大学健康科学中心遭网络攻击
12月16日,美德克萨斯理工大学健康科学中心及其埃尔帕索分校遭网络攻击,导致计算机系统和应用程序中断,140万名患者的敏感数据被泄露,包括姓名、出生日期、地址、社会安全号码、驾驶执照号码、身份证号码、财务账户信息、健康保险信息、账单/索赔数据等。调查发现攻击者可能访问或删除了9月17日至29日期间该机构网络中的某些文件和文件夹。该中心是一家公共学术医疗机构,负责教育、培训和患者护理服务。勒索软件组织Interlock声称已从该中心窃取210万个文件,总计2.6TB的数据,并索要赎金。该中心已通知受影响个人并为其提供免费的信用监控服务,建议受影响个人保持警惕,防范潜在的网络钓鱼和社会工程攻击。(信息来源:BleepingComputer网)
(十二)汽车零部件巨头LKQ加拿大业务部门遭黑客攻击
12月15日消息,汽车零部件巨头LKQ公司加拿大业务部门检测到其IT系统遭未经授权的访问,导致业务运营中断。LKQ公司迅速启动安全事件响应计划,有效遏制威胁,目前,除该业务部门外,其他业务未受影响。LKQ是一家在25个国家拥有4.5万名员工的美国上市公司,专门从事汽车更换零件、部件及维修保养服务。LKQ表示,此次攻击不会对本财年剩余时间的财务或运营造成重大影响。截止目前,尚未有勒索软件组织表示对此次攻击负责。(信息来源:BleepingComputer网)
(十三)美罗德岛州政府RI Bridges在线门户网站系统遭勒索软件攻击,数十万居民信息被盗
12月15日,美罗德岛州政府RI Bridges在线门户网站系统遭勒索软件攻击,数十万居民信息被盗,包括姓名、出生日期、地址、社会安全号码以及银行账户等。攻击者安装了恶意软件,并向州政府提出赎金要求。该门户网站供应商德勤发现攻击后立即关闭系统,并与州政府官员、IT专家和执法部门合作,调查此次事件并限制其影响。德勤表示,将向所有受影响居民邮寄通知,并鼓励采取信用监控、冻结等措施以保护个人信息安全。截止目前,尚未发现数据被滥用,但攻击者仍威胁称,一周内未支付赎金将公开被盗数据。(信息来源:BleepingComputer网)
(十四)远程医疗平台ConnectOnCall发生重大数据泄露事件
12月16日消息,远程医疗平台ConnectOnCall披露一起重大数据泄露事件,影响超过90万人的个人信息及医疗信息安全。远程医疗平台ConnectOnCall提供自动患者呼叫跟踪、HIPAA合规聊天功能,并与电子健康记录系统集成。ConnectOnCall调查发现,2月16日至5月12日期间,未经授权的攻击者访问了该平台及应用程序内的部分数据,包括患者姓名、出生日期、电话号码、医疗记录号、健康状况以及医患通信信息等。ConnectOnCall随后迅速下线产品,并聘请网络安全专家进行数据恢复。截止目前,尚未发现信息遭滥用或患者受害情况,ConnectOnCall建议受影响患者保持警惕,并及时报告可疑身份盗窃或欺诈行为。(信息来源:SecurityAffairs网)
(十五)加拿大医疗技术公司Care1数据库泄露超480万条患者敏感信息
12月13日,网络安全研究员发现加拿大医疗技术公司Care1的一个未受保护数据库暴露了超过480万条患者敏感信息,包括姓名、地址、病史及个人健康号码(PHN)等,总数据量达2.2TB。Care1作为专业的眼科护理AI软件解决方案提供商,拥有170多名合作验光师,管理着超过15万次患者就诊。此次泄露的数据不仅包含详细的眼科检查报告,还有CSV和XLS电子表格。PHN在加拿大是患者的唯一健康标识符,虽不会直接引发金融欺诈,但可能为攻击者提供构建个人全面档案的重要信息。目前尚不清楚数据库的具体管理方及泄露持续时间,研究人员已向Care1发送通知,并促使其限制公众访问。(信息来源:BleepingComputer网)
(十六)美比特币ATM运营商Byte Federal遭黑客攻击致5.8万客户数据泄露
12月12日,美比特币ATM运营商Byte Federal披露一起数据泄露事件,称黑客组织利用其系统上的GitLab漏洞,未经授权访问服务器,导致5.8万名客户的数据泄露,包括姓名、出生日期、电话号码、电子邮件地址、身份证号、社会安全号码、交易活动以及用户照片等。该公司在发现事件后立即关闭平台以隔离受感染服务器,对所有客户账户进行硬重置,并撤销内部网络访问的令牌和密钥。此次攻击对用户资金和数字资产未造成损失,但敏感信息泄露可能导致加密货币持有者面临SIM卡交换攻击、账户接管或其他网络钓鱼攻击的风险。Byte Federal建议受影响客户对未经请求的通信保持警惕,并定期检查账户报表和信用报告,以防范欺诈和身份盗窃。(信息来源:BleepingComputer网)
三、网安风险警示
(十七)工信部:关于防范Zabbix软件SQL注入超危漏洞的风险提示
12月14日消息,工业和信息化部网络安全威胁和漏洞信息共享平台监测发现,开源软件Zabbix存在SQL注入超危漏洞。Zabbix是一款开源网络监控软件,广泛用于监控网络设备、服务器和应用程序的状态。由于Zabbix软件未对用户输入数据进行严格验证和转义,具有API访问权限的攻击者可利用该漏洞注入恶意SQL代码,提升用户权限,导致系统受控和敏感数据泄露,受影响的版本包括6.0.0至6.0.31、6.4.0至6.4.16、7.0.0版本。目前,Zabbix官方已修复漏洞,建议相关单位和用户立即升级至最新版本。(信息来源:网络安全威胁和漏洞信息共享平台)
(十八)工信部:关于防范新型勒索病毒Ymir的风险提示
12月13日消息,工业和信息化部网络安全威胁和漏洞信息共享平台监测到一种新型勒索病毒Ymir,主要针对工业企业和信息技术相关企业,可能导致数据窃取和业务中断等安全风险。Ymir是一种用ChaCha20算法加密文件的新型勒索病毒,能直接在内存中执行恶意代码以进行隐蔽攻击,首次发现于2024年7月。该病毒主要通过网络钓鱼和漏洞利用等手段侵入目标系统。在近期的攻击活动中,Ymir通常与RustyStealer信息窃取恶意软件联合攻击,RustyStealer首先窃取受害者的系统凭证以供攻击者未经授权访问受害者系统,进而在其内部网络中部署Ymir勒索病毒及其他恶意软件。成功部署后,Ymir开始加密文件,随后要求支付赎金以换取解密密钥。建议相关单位和用户尽快采取措施,防范网络攻击风险。(信息来源:网络安全威胁和漏洞信息共享平台)
(十九)国家信息安全漏洞库CNNVD:关于Apache Struts安全漏洞的通报
12月15日消息,国家信息安全漏洞库(CNNVD)收到关于Apache Struts安全漏洞(CNNVD-202412-1393、CVE-2024-53677)情况的报送。该漏洞源于Apache Struts中的文件上传模块存在逻辑缺陷导致,未经授权的攻击者可利用该漏洞操纵文件上传参数来启用路径遍历,进而上传可用于执行远程利用代码的恶意文件。Apache Struts 2.0.0-2.3.37版本、Apache Struts 2.5.0-2.5.33版本、Apache Struts 6.0.0-6.3.0.2版本均受影响。Apache Struts是美国阿帕奇软件基金会下属的Jakarta项目中的一个子项目,是一个基于MVC设计的Web应用框架。目前,Apache官方已修复漏洞,建议用户尽快更新。(信息来源:CNNVD安全动态)
(二十)Apache Tomcat存在一个竞争条件远程代码执行漏洞
12月18日消息,Apache Tomcat中JSP编译期间存在检查时间与使用时间(TOCTOU)竞争条件远程代码执行漏洞CVE-2024-50379(CVSS评分9.8),当Apache Tomcat的默认servlet被配置为允许写入(即readonly初始化参数被设置为非默认值false),在不区分大小写的文件系统上,当对同一文件进行并发读取和上传时,可能绕过Tomcat的大小写敏感性检查,上传的文件被错误地当作JSP文件处理,从而导致远程代码执行。Apache Tomcat是一个流行的开源Web服务器和Java Servlet容器。目前该漏洞已被修复,建议用户尽快更新。(信息来源:启明星辰)
(二十一)美CISA将Cleo漏洞添加到其已知被利用漏洞目录中
12月14日,美CISA已将影响Cleo产品的漏洞CVE-2024-50623(CVSS评分8.8)列入其已知利用漏洞目录中。Cleo公司发现一个不受限制的文件上传和下载漏洞,可能导致远程代码执行,建议客户立即将Harmony、VLTrader和LexiCom实例升级到最新补丁版本5.8.0.21,以解决潜在攻击媒介。但安全公司Huntress报告称,即使安装补丁,运行5.8.0.21的系统仍可能被利用。美CISA要求联邦机构在2025年1月3日前修复此漏洞。(信息来源:代码卫士)
(二十二)斯柯达汽车信息娱乐系统被曝存在安全漏洞,攻击者可在10米内无接触入侵
12月15日消息,网络安全公司PCAutomotive公布了影响斯柯达Superb III轿车最新型号的12个安全漏洞,这些漏洞主要存在于MIB3信息娱乐单元中,攻击者可在10米范围内,在无需认证的情况下,仅使用蓝牙连接到车辆的媒体单元就能利用上述漏洞,从而获取实时GPS坐标和速度数据、通过车辆的麦克风记录车内对话、捕获车载娱乐系统显示的屏幕截图、在车内播放任意声音以及访问车辆主人的手机联系人数据库等。PCAutomotive发布报告称,估计超140万辆汽车可能易受攻击。研究人员还发现斯柯达和大众汽车OBD接口的问题,可能允许潜在攻击者绕过车载娱乐单元上的UDS认证。斯柯达母公司大众集团在接到安全披露报告后已修复漏洞。(信息来源:cybersecuritynews网)
