网络空间安全动态(202444期)
编者按:网安动向热讯,本期有八点值得关注:一是五部门印发《关于促进企业数据资源开发利用的意见》;二是三部门印发《制造业企业数字化转型实施指南》,鼓励企业探索智能研发新应用;三是《互联网平台企业涉税信息报送规定》向社会公开征求意见;四是美政府对中国路由器制造商TP-Link展开调查,并考虑在2025年禁止在美销售TP-Link路由器;五是美贸易代表办公室针对我国半导体及下游产品启动301条款调查;六是美CISA发布操作指令《实施云服务安全实践》;七是欧洲数据保护委员会通过了关于在人工智能模型开发与部署中使用个人数据的意见;八是英国正式实施《在线安全法》,社交媒体平台面临严格监管。
网安事件聚焦,本期有两点建议关注:一是勒索软件攻击继续对企业和个人构成严重威胁。值得注意的是,网站停用后应及时注销备案,防止被非法利用。本期介绍:纳米比亚国有电信公司遭勒索软件攻击,超40万份客户文件被泄露;因网络安全信息披露违规,美商业银行旗星银行被罚350万美元;郑州某人力资源公司因开办网站停用后未及时注销备案,域名遭黑客组织攻击。二是多家企业因数据泄露事件遭到监管部门的处罚,数据安全不仅关系到企业的利益,也影响其声誉。本期介绍:英人工智能软件应用开发公司Builder.ai因数据库配置错误,超1.29TB数据遭泄露;互联网科技公司Meta因数据泄露遭爱尔兰数据保护委员会罚款2.51亿欧元;意大利数据保护局对OpenAI处以1500万欧元的罚款;联合国代表数据库遭泄露,涉13529条记录;浙江某软件公司因未履行数据安全保护义务被公安机关处罚。
网安风险警示,本期有五点建议关注:一是“银狐”木马病毒再次出现新变种并更新传播手法;二是Windows轻量级目录访问协议存在远程代码执行漏洞;三是Sophos防火墙存在多个漏洞;四是Apache Tomcat存在远程代码执行漏洞;五是BeyondTrust特权远程访问和远程支持产品中存在命令注入漏洞。
一、网安动向热讯
(一)五部门印发《关于促进企业数据资源开发利用的意见》
12月25日,为充分释放企业数据资源价值,构建以数据为关键要素的数字经济,国家数据局联合中央网信办、工业和信息化部、公安部、国务院国资委印发了《关于促进企业数据资源开发利用的意见》。意见从健全企业数据权益实现机制、培育企业数字化竞争力、赋能产业转型升级、服务经济社会高质量发展、营造开放透明可预期的发展环境等五个方面作出具体部署。下一步,国家数据局将会同相关部门,加强统筹协调和政策保障,协同各行业主管部门结合本领域实际,高质量推进企业数据资源开发利用。(信息来源:国家数据局)
(二)三部门印发《制造业企业数字化转型实施指南》,鼓励企业探索智能研发新应用
12月25日,工业和信息化部、国务院国有资产监督管理委员会、中华全国工商业联合会印发《制造业企业数字化转型实施指南》。其中提出,引导企业开展云端研发设计,按需订阅产品设计、仿真模拟等软件服务,提升产品仿真效率,降低软件运维成本。推动企业开展协同研发设计,特别是鼓励以高端装备为代表的制造业企业建设协同设计平台,强化设计协同,鼓励配套零部件企业使用平台,缩短产品设计周期。鼓励企业探索智能研发新应用,开发“人工智能+”研发设计软件,构建设计模型、仿真模型等数据集,开展模型训练,发展创成式设计、实时仿真等创新应用,加速新产品研发。(信息来源:工业和信息化部)
(三)《互联网平台企业涉税信息报送规定》向社会公开征求意见
12月20日,国家税务总局会同国家市场监督管理总局研究起草的《互联网平台企业涉税信息报送规定(征求意见稿)》面向社会公开征求意见。根据该规定,互联网平台企业应当按季度向主管税务机关报送平台内的经营者和从业人员的相关收入信息。对规定实施前的存量收入信息无需报送,同时明确,从事配送、运输、家政等便民劳务活动的从业人员收入信息可不报送。规定还明确了减轻平台企业信息报送负担、保障信息安全和质量以及法律责任等方面内容,对工信、人社和市场监管等部门与税务部门共享的涉税信息,互联网平台可不重复报送。规定征求意见时间为2024年12月20日至2025年1月19日。(信息来源:国家税务总局)
(四)全国网安标委发布《网络安全标准实践指南——一键停止收集车外数据指引》
12月19日,全国网络安全标准化技术委员会秘书处发布《网络安全标准实践指南——一键停止收集车外数据指引》,旨在指导汽车制造企业、自动驾驶研发企业以及相关零部件或服务提供商在装有车载摄像头、雷达等传感器的智能网联汽车上设置一键停止收集车外数据功能。适用于重要敏感区域的管理机构对进入该区域内的汽车的数据收集状态进行判断,还可为第三方测评机构开展智能网联汽车车外数据停止收集功能性和安全性测试评估提供参考。(信息来源:全国网安标委)
(五)美政府对中国路由器制造商TP-Link展开调查,并考虑在2025年禁止在美销售TP-Link路由器
12月19日消息,据《华尔街日报》报道称,美政府正以所谓“构成国家安全风险”为由,对中国科技公司、路由器制造商TP-Link展开调查,可能会在2025年禁止在美销售TP-Link路由器。报道说,禁售措施一旦落实,这将是自2019年特朗普政府下令移除华为设备后,美国最大规模从本土市场移除中国电讯设备的行动。TP-Link路由器在美家庭和小型企业路由器市场占有约65%的份额,是亚马逊上的热销首选品牌,并为美国防部和其他联邦政府机构提供互联网通信支持。(信息来源:国芯网)
(六)美贸易代表办公室针对我国半导体及下游产品启动301条款调查
12月23日,美贸易代表办公室宣布,根据《1974年贸易法》第301条,对中国在半导体行业的行为、政策和做法展开调查。调查将从成熟制程半导体入手,即调查28纳米及以上的、非最先进工艺的半导体,调查范围触及国防、汽车、医疗设备、航空航天、电信、发电和电网等关键行业的下游产品。调查还将初步评估碳化硅衬底或用于半导体制造的其他晶圆,调查中国在这些产品的生产行为、政策和做法是否对美商业造成任何不合理或歧视、负担或限制。(信息来源:中国科学院半导体研究所)
(七)美CISA发布操作指令《实施云服务安全实践》
12月17日,美网络安全与基础设施安全局(CISA)发布具有约束力的操作指令(BOD)25-01《实施云服务安全实践》,以保护美联邦信息系统。该指令要求美联邦民用机构识别其所有云实例并实施评估工具,确保其云环境与CISA的安全云业务应用(SCuBA)安全配置基线保持一致,并补充了现有的云安全联邦资源,包括联邦风险和授权管理计划、美国家标准与技术研究所的相关指南和CISA可信互联网3.0最佳实际案例等。(信息来源:美CISA网站)
(八)美NCCoE发布《基因组数据网络安全和隐私框架概况》《网络安全威胁建模:基因组数据测序工作流程》
12月18日消息,美国家网络安全卓越中心(NCCoE)发布《基因组数据网络安全和隐私框架概况》(IR 8647)和《网络安全威胁建模:基因组数据测序工作流程》(CSWP 35)。《基因组数据网络安全和隐私框架概况》(IR 8647)提供了一种结构化的、基于风险的方法,用于管理基因组数据的网络安全和隐私风险。《网络安全威胁建模:基因组数据测序工作流程》(CSWP 35)使用迭代方法,评估基因组数据处理环境中的潜在威胁。(信息来源:美NCCoE网站)
(九)欧洲数据保护委员会通过了关于在人工智能模型开发与部署中使用个人数据的意见
12月18日,欧洲数据保护委员会(EDPB)通过了关于在人工智能模型开发与部署中使用个人数据的意见。该意见着眼于以下几个方面:一是人工智能模型何时以及如何可被视为匿名的;二是合法利益能否以及如何作为开发或使用人工智能模型的法律依据;三是若人工智能模型是使用经非法处理的个人数据开发的,会产生何种后果。该意见还考虑了第一方和第三方数据的使用情况,并包含了若干标准(包括个人数据是否已公开、个人与控制者关系的性质、服务性质、收集个人数据的背景、数据来源、模型的潜在用途,以及个人是否实际知晓其个人数据已在网上存在),以帮助各数据保护局评估个人是否能够合理预期其个人数据的用途。(信息来源:欧洲EDPB网站)
(十)欧盟委员会呼吁10个会员国遵守《数据治理法案》
12月18日消息,欧盟委员会决定向捷克、德国、爱沙尼亚、希腊、塞浦路斯、卢森堡、奥地利、波兰、葡萄牙和斯洛文尼亚提出意见,因这些成员国未指定负责实施《数据治理法案》的机构,或未能证明其有能力执行该法案要求的任务。欧盟委员会已于5月23日向上述成员国发出正式通知,有部分国家指定了负责实施《数据治理法案》的机构,但未充分授权负责机构采取行动。欧盟委员会此次要求这些成员国在两个月内作出答复并采取必要措施,否则可决定将案件提交欧洲联盟法院。(信息来源:欧盟委员会网站)
(十一)英国正式实施《在线安全法》,社交媒体平台面临严格监管
12月18日消息,英国正式实施《在线安全法》,旨在从根本上减少虚假信息、煽动仇恨暴力的有害网络内容。英国通信管理局(OFCOM)发布了第一版科技公司行为准则和指导方针,要求科技公司确保其平台上的有害内容得到管理和控制。若科技公司未能履行相关义务,将可能面临高达全球营业额10%的罚款,甚至可能导致高级管理人员面临监禁等风险。OFCOM指出,科技公司须在2025年3月16日前完成危害风险评估,并开始实施安全措施,以防止非法内容的传播。(信息来源:英OFCOM网站)
(十二)马来西亚审议通过《数据共享法案》,并成立了国家数据共享委员会
12月18日消息,马来西亚第十五届议会审议通过《数据共享法案》,旨在规范公共部门机构之间的数据共享,并成立了国家数据共享委员会以监督数据共享政策和战略。该法案明确了提出数据共享请求的条件,这些请求可用于提高公共部门效率、应对公共卫生和安全威胁、响应紧急情况,或用于委员会认为符合公共利益的其他目的;列明了公共部门机构对于共享请求的评估、回应和拒绝条款,以及确保数据安全和隐私的规定。根据该法案,政府机构间可在法律框架下共享数据和云储存数据,但必须严格遵守相关规定。(信息来源:清华大学智能法治研究院)
二、网安事件聚焦
(十三)纳米比亚国有电信公司遭勒索软件攻击,超40万份客户文件被泄露
12月18日消息,勒索软件组织Hunters International入侵纳米比亚国有电信公司系统并窃取了超49万份文件、总计约626.3GB数据(包括客户身份ID、银行对账单等敏感信息),其中包括纳米比亚总统南戈洛·姆本巴、司法部长和国际关系部长等高层官员的重要信息。受影响的客户包括至少八个政府部门、五个地区委员会、十个市政府以及卡塔尔航空纳米比亚分公司、埃塞俄比亚航空和PowerCom等企业。因纳米比亚电信公司拒绝支付赎金,勒索软件组织将盗取数据公布在暗网。部分客户表示纳米比亚电信公司对该事件处理不当导致数据泄露,要求解雇公司CEO,并应对该公司提起诉讼。(信息来源:TheCyberExpress网站)
(十四)因网络安全信息披露违规,美商业银行旗星银行被罚350万美元
12月24日消息,美商业银行旗星银行因在2021年的网络攻击事件后发表误导性声明,被美证券交易委员会(SEC)罚款350万美元。根据SEC的调查结果,2021年底,一名黑客成功入侵旗星银行的内部Citrix环境,窃取了150万客户的个人身份信息,但旗星银行在其官方网站及财务报告中发表了具有误导性的声明。SEC指出,旗星银行未能建立和维护足够的披露控制及相关程序以确保其能够收集并披露所有重要信息,从而满足披露要求。旗星银行既未承认也未否认委员会的指控,但同意支付350万美元罚金,并接受一项禁止其未来发表误导性声明的停止令。(信息来源:安全内参)
(十五)郑州某人力资源公司因开办网站停用后未及时注销备案,域名遭黑客组织攻击
12月23日消息,郑州市惠济区某人力资源有限公司未履行网络安全保护义务,开办网站停用后未及时注销备案,导致域名遭黑客组织攻击并植入木马病毒。惠济区委网信办联合公安部门依法对该公司主要负责人进行约谈,要求其严格履行网络安全保护义务,立即开展排查整改,及时消除网络安全风险。(信息来源:惠济发布)
(十六)英人工智能软件应用开发公司Builder.ai因数据库配置错误,超1.29TB数据遭泄露
12月22日消息,网络安全研究员发现,总部位于英国伦敦的人工智能软件应用开发公司Builder.ai因数据库配置错误,超1.29TB数据(涉及超300万条未加密记录)遭泄露,包括客户成本提案、保密协议、发票、税务文件、内部通信及云存储密钥等。泄露可能导致钓鱼攻击、伪造发票欺诈、未经授权访问云存储,并对Builder.ai的声誉造成损害。Builder.ai在接到通知近一个月后,数据库才得到保护,引发外界对其应急响应能力的质疑。研究人员称,尚不清楚该数据库是由Builder.ai直接管理,还是通过第三方管理。(信息来源:HackRead网)
(十七)互联网科技公司Meta因数据泄露遭爱尔兰数据保护委员会罚款2.51亿欧元
12月19日消息,爱尔兰数据保护委员会宣布对Meta爱尔兰公司调查结果及最终决定。该机构称,Meta公司2018年披露的数据泄露事件影响了全球约2900万个Facebook账户,其中约300万个账户位于欧盟/欧洲经济区,泄露信息包括用户姓名、邮件、电话等。爱尔兰数据保护委员会认为Meta违反了欧盟《通用数据保护条例》,决定对Meta处以总额为2.51亿欧元的行政罚款。(信息来源:安全内参)
(十八)意大利数据保护局对OpenAI处以1500万欧元的罚款
12月22日消息,意大利数据保护局(Garante)发布公告称,在结束对ChatGPT开发者OpenAI使用个人数据行为的调查后,决定对OpenAI处以1500万欧元的罚款,并要求OpenAI在广播、电视、印刷媒体和网络上开展为期6个月的公众宣传活动,宣传ChatGPT及其处理数据的方式。Garante指出,OpenAI在2023年3月的数据泄露事件中未能及时通知监管机构,并在没有合法依据的情况下使用用户数据训练ChatGPT,违反隐私政策透明原则。同时,OpenAI未能建立年龄验证机制,可能导致未成年人接触不适合其年龄的内容。此外,OpenAI还存在输出数据准确性不足的问题。OpenAI发言人表示,处罚决定不合理,公司将提起上诉。(信息来源:环球网)
(十九)联合国代表数据库遭泄露,涉13529条记录
12月21日,黑客组织NatoHub在网络犯罪论坛上泄露了两个包含联合国代表敏感信息的数据库。数据库共包含13529条记录,涉及联合国人员和附属机构的组织和个人的详细信息,包括姓名、身份证号、工作单位、职务、电子邮件、电话号码等。此次数据泄露可能导致身份盗窃、欺诈、间谍活动增加,并对国际组织间的合作造成影响。(信息来源:DarkWebInformer网站)
(二十)浙江某软件公司因未履行数据安全保护义务被公安机关处罚
12月24日,浙江台州公安机关发现,浙江某软件科技公司受托搭建的数据库存在安全漏洞,数据库中承载的大量电子政务数据存在泄露风险。经查,该公司在与台州当地部分政府部门合作期间,未对受托维护、处理的电子政务数据履行应尽的数据安全保护义务,未依法建立全流程数据安全管理制度,相关行为违反了《中华人民共和国数据安全法》。台州公安机关依法对该公司和负责人进行行政处罚,并责令其依法依规履行数据安全保护义务。同时,依法约谈涉事政府部门相关负责人,通报委托处理电子政务数据活动中存在的安全问题,责令进一步加强数据安全管理和保护,严防数据泄露。(信息来源:浙江网警)
三、网安风险警示
(二十一)“银狐”木马病毒再次出现新变种并更新传播手法
12月21日消息,国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室依托国家计算机病毒协同分析平台,在我国境内再次捕获针对我国用户的“银狐”木马病毒的最新变种。在本次传播过程中,攻击者继续通过构造财务、税务违规稽查通知等主题的钓鱼信息和收藏链接,通过微信群直接传播包含该木马病毒的加密压缩包文件。与之前变种不同的是,此次攻击者为压缩包设置了解压密码,并在钓鱼信息中进行提示告知,以逃避社交媒体软件和部分安全软件的检测,使其具有更强的传播能力。新变种还试图通过模拟用户鼠标键盘操作关闭防病毒软件,具有主动攻击安全软件的功能。国家计算机病毒应急处理中心提示广大用户不要轻信微信群、QQ群或其他社交媒体软件中传播的所谓政府机关和公共管理机构发布的通知、相关工作文件和官方程序,应通过官方渠道进行核实。(信息来源:国家计算机病毒应急处理中心)
(二十二)Windows轻量级目录访问协议存在远程代码执行漏洞
12月19日消息,微软披露了其轻量级目录访问协议(LDAP)服务中存在的严重远程代码执行漏洞CVE-2024-49112(CVSS评分9.8),影响多个Windows操作系统和服务器版本,包括Windows 10和Windows 11,以及旧版和现代版Windows Server。该漏洞可使未经身份验证的攻击者在LDAP服务上下文中执行任意代码,当与漏洞CVE-2024-49124和CVE-2024-49127(CVSS评分均为8.1)成功结合使用时,可使攻击者获得系统级访问权限,进一步增加企业环境风险。LDAP是许多企业环境中用于身份验证和目录服务的基本协议。微软建议用户立即应用补丁,在可能情况下限制对域控制器的访问并监控异常LDAP活动。(信息来源:微软网站)
(二十三)Sophos防火墙存在多个漏洞
12月20日,研究人员发现Sophos防火墙存在SQL注入漏洞CVE-2024-12727(CVSS评分9.8)弱凭证漏洞CVE-2024-12728(CVSS评分9.8)及代码注入漏洞CVE-2024-12729(CVSS评分8.8)。漏洞CVE-2024-12727存在于Sophos Firewall21.0 MR1(21.0.1)之前版本的电子邮件保护功能中,由于防火墙未正确验证或过滤输入数据,攻击者可通过构造恶意SQL查询未授权访问报告数据库,并可能进一步利用该漏洞导致远程代码执行;漏洞CVE-2024-12728是由于高可用性(HA)集群初始化时所建议的非随机SSH登录密码在HA建立过程完成后仍然有效,如果防火墙启用了SSH服务,攻击者可利用已知弱密码通过SSH登录,从而获得对系统的特权访问;漏洞CVE-2024-12729存在于Sophos防火墙用户门户中,经过身份验证的攻击者可利用该漏洞导致远程代码执行。目前上述漏洞均已修复,建议受影响用户尽快升级版本。(信息来源:启明星辰)
(二十四)Apache Tomcat存在远程代码执行漏洞
12月21日,奇安信CERT监测到官方修复Apache Tomcat远程代码执行漏洞CVE-2024-56337(CVSS评分9.8),该漏洞源于对CVE-2024-50379的缓解措施不完善,在不区分大小写的文件系统上,readonly参数被设置为false(非默认配置)且系统属性sun.io.useCanonCaches为true时(Java 8或Java 11默认为true、Java 17默认为false、Java 21及更高版本不受影响),攻击者就可上传含有恶意JSP代码的文件。通过不断地发送请求利用条件竞争,使得Tomcat解析并执行这些恶意文件,从而实现远程代码执行。Apache Tomcat是一个开源的Java Servlet容器,广泛用于运行Java Web应用程序。目前该漏洞POC已在互联网上公开,鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。(信息来源:奇安信CERT)
(二十五)BeyondTrust特权远程访问和远程支持产品中存在命令注入漏洞
12月20日消息,BeyondTrust特权远程访问和远程支持产品中存在命令注入漏洞CVE-2024-12356(CVSS评分9.8)。由于对恶意客户端请求缺乏充分的输入验证,攻击者可通过向目标设备发送特制请求注入恶意命令,成功利用该漏洞可能导致在受害站点用户的上下文中执行任意命令,进而可能导致权限提升、敏感信息泄露或系统控制等。BeyondTrust特权远程访问和远程支持产品是美特权访问管理公司BeyondTrust提供的一套安全解决方案,主要用于管理和保护IT系统中的远程访问权限和特权账户。目前该漏洞已修复,建议受影响用户升级到更新版本。(信息来源:宏程安科技)
