网络空间安全动态(202502期)
编者按:网安动向热讯,本期有八点值得关注:一是国家发改委等三部门印发《国家数据基础设施建设指引》;二是国家网信办就《个人信息出境个人信息保护认证办法》公开征求意见;三是美财政部禁止美在中国投资量子科技等领域;四是美CISA发布限制向特定国家传输批量数据的最终网络安全规则;五是美国防部扩大VDP业务规模以应对日益增长的网络威胁;六是英国防部发布《全球战略趋势:展望2055》;七是立陶宛成立网络司令部以加强国家和北约网络安全;八是印度政府发布《数字个人数据保护法》草案规则。
网安事件聚焦,本期有两点建议关注:一是关键基础设施、政府机构和信息通讯企业仍是攻击者的重点目标。本期介绍:德国所有机场突发电脑系统故障,大范围航班运行受影响;日本最大移动运营商遭DDoS攻击致多个业务中断;法国多地网站遭黑客组织攻击致服务中断。二是数以亿计的大规模数据泄露事件频发,“内鬼”已成数据泄露重灾区。本期介绍:四川内江市某网络安全公司“内鬼”监守自盗,窃取个人信息2.08亿条;知名化学制造商遭勒索软件攻击致761.8GB数据被泄露;英国摄影公司DEphoto遭0mid16B黑客入侵,数百万客户数据被盗。
网安风险警示,本期有五点建议关注:一是云网络管理平台Aviatrix Controller存在满分级命令注入漏洞;二是热Windows轻量级目录访问协议存在拒绝服务漏洞;三是go-git库存在一个参数注入漏洞影响多个版本;四是Moxa设备严重漏洞将工业网络暴露在攻击中;五是工信部:关于防范Apache Struts2任意文件上传超危漏洞的风险提示。
一、网安动向热讯
(一)国家发改委等三部门印发《国家数据基础设施建设指引》
1月6日消息,国家发展改革委、国家数据局、工业和信息化部印发《国家数据基础设施建设指引》。《指引》明确,建立覆盖政府、行业、企业等主体及国家、省、市、县等层级的全国一体化的分布式数据目录,形成全国数据“一本账”,支撑跨层级、跨地域、跨系统、跨部门、跨业务的数据有序流通和共享应用。《指引》提出,到2029年,基本建成国家数据基础设施主体结构,初步形成横向联通、纵向贯通、协调有力的国家数据基础设施基本格局,构建协同联动、规模流通、高效利用、规范可信的数据流通利用体系,协同构筑数据基础设施技术和产业良好生态,国家数据基础设施建设和运营体制机制基本建立。《指引》从数据流通利用、算力底座、网络支撑、安全防护等4个方面指明具体建设方向。(信息来源:国家发展改革委)
(二)国家网信办就《个人信息出境个人信息保护认证办法》公开征求意见
1月3日,国家互联网信息办公室就《个人信息出境个人信息保护认证办法》公开征求意见,意见反馈截止时间为2025年2月3日。征求意见稿提出,个人信息保护认证遵循自愿性、市场化、社会化服务原则。由具备资质的专业认证机构按照统一标准、统一规则、统一标识开展个人信息出境个人信息保护认证活动。国家网信部门会同有关部门组织制定个人信息出境个人信息保护认证相关标准、技术法规和合格评定程序,对个人信息出境活动进行监督管理。征求意见稿要求,履行个人信息保护职责的相关部门、专业认证机构及其工作人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密,并采取相应的技术措施和其他必要措施,保障相关数据不得泄露或者非法向他人提供、非法使用。(信息来源:新华社)
(三)美财政部禁止美在中国投资量子科技等领域
1月2日消息,美财政部对中国量子科技领域的新投资限制即日起正式落地。根据新规,美国公司将被禁止在中国进行涉及量子及其他敏感技术的相关投资,若涉及相关交易则必须提前通知美财政部以获得交易许可。新规有两大目的:一是进一步限制中国量子领域的创新能力,防止量子计算的进步增强中国的军事和情报能力;二是通过将现有的敏感技术出口管控扩展到美金融投资领域,填补美监管框架中的空白,保持美在关键技术领域的主导地位。(信息来源:量科网)
(四)美CISA发布限制向特定国家传输批量数据的最终网络安全规则
1月3日消息,美网络安全与基础设施安全局(CISA)发布了限制向特定国家传输批量数据的最终网络安全规则。该规则要求参与受限交易的美国个人定期更新系统资产清单、制定事件响应计划、收集日志并禁止未经授权的硬件连接到相关系统。规则涵盖处理敏感数据的“批量”系统,但不包括主要访问或显示个人用户数据的系统。(信息来源:美CISA网站)
(五)美国防部扩大VDP业务规模以应对日益增长的网络威胁
1月3日消息,美国防部网络犯罪中心(DC3)正在扩大业务规模,包括漏洞披露计划(VDP)和国防工业基础协作信息共享环境的覆盖范围,以应对日益增多的网络攻击和漏洞。DC3为美国防部和国防工业基础(DIB)提供创新能力和专业知识,并帮助执法、网络安全和国家安全合作伙伴了解威胁和漏洞。VDP旨在通过纵深防御网络安全策略加强美国防部信息网络的安全性,在经过试点工作后,于2024年将范围扩大到DIB,已纳入约30万家国防承包商,其初期目标是在1至3年内让大约1500家公司加入。VDP针对DIB还单独创建了“DIB漏洞报告管理网络”,以避免与美国防部漏洞数据相混淆。(信息来源:奇安网情局)
(六)美商务部工业和安全局正制定无人机信息通信技术供应链安全法规并征求公众意见
1月2日消息,美商务部工业和安全局(BIS)发布一项拟议规则制定预先通知,就其正在起草的旨在确保无人机系统(UAS)信息和通信技术与服务(ICTS)供应链安全的法规征求公众意见。征询问题包括:UAS及其组成部分的定义;对UAS中不可或缺的各类ICTS交易可能对美国家安全造成不当或不可接受的风险的评估;对不同外国对手构成的风险的评估;公众申请批准参与原本被禁止的交易的潜在流程;此类监管可能对某些实体产生的经济影响;在可行的情况下可能采取的缓解措施。BIS还于2024年12月正式成立信息和通信技术与服务办公室,主要任务是调查可能影响美国家安全的国家对ICTS交易的威胁。(信息来源:全球技术地图)
(七)美德州提出《负责任的人工智能治理法案》,旨在规范人工智能系统
1月2日消息,美德克萨斯州众议院第1709号法案《负责任的人工智能治理法案》提交议会审议,可能于2025年9月1日生效。该法案旨在规范人工智能系统,防止在就业和医疗保健等关键领域出现算法歧视。该法案大部分内容集中在高风险人工智能系统上,其中包括在部署时会做出重大决策或以其他方式影响重大决策的人工智能系统。法案要求对高风险的人工智能系统进行年度影响评估、消费者信息披露和监督程序,同时豁免不受法案直接监管的小型企业,开发者必须提供风险评估并召回不合规的系统,由德克萨斯州总检察长负责执行该法案。(信息来源:安全内参)
(八)英国防部发布《全球战略趋势:展望2055》
1月2日消息,英国防部发布《全球战略趋势:展望2055》报告,对未来30年世界面临的重大机遇和挑战进行战略前瞻和趋势预测。报告围绕前沿技术和数字规则掌控权的竞争将在未来几十年的大国竞争中发挥核心作用,并主导国际关系和世界贸易。报告具体对七大技术领域进行系统性前瞻,包括:连接性、数据和处理能力;人工智能;能源生产、存储和再生;交通;工业和制造;医疗健康和生物技术;物理、数字和生物世界的融合。(信息来源:科技参考)
(九)立陶宛成立网络司令部以加强国家和北约网络安全
1月1日,立陶宛国防部正式成立立陶宛网络司令部,旨在加强国家安全和增强与北约伙伴国互操作能力。该司令部作为立陶宛武装部队的一个新部门,主要负责三项职能任务:一是规划和开展网络空间行动;二是安装和管理战略以及作战通信和信息系统;三是确保立陶宛武装部队、北约以及各个国家和国际机构间的互操作性。新司令部包括三个部门:一是负责规划和实施网络行动的总部;二是立陶宛大盖特曼·克里斯图帕斯·拉德维拉·佩尔库纳斯通信和信息系统营;三是IT服务部门。其中,立陶宛大盖特曼·克里斯图帕斯·拉德维拉·佩尔库纳斯通信和信息系统营将为整个立陶宛国防体系提供强大的通信和信息服务;IT服务部门由立陶宛国防部下属的前IT服务部门重组而成。(信息来源:奇安网情局)
(十)印度政府发布《数字个人数据保护法》草案规则
1月3日,印度政府发布《数字个人数据保护法》草案规则,并开放公众咨询至2025年2月18日。该规则旨在为数据受托人提供明确指导,确保数据收集和使用的透明度。规则要求数据受托人在收集数据时向用户提供清晰的通知,说明数据用途,并获得用户的知情同意。此外,规则引入了“同意管理人”机制,以标准化用户的收集过程。数据受托人需在数据泄露后72小时内通知印度数据保护委员会,并采取加密、假名化等技术措施保护数据。对于未成年人数据的处理,规则要求需获得父母或监护人的可验证同意。跨境数据传输将受到政府命令的约束。规则还要求重要数据受托人定期进行数据保护影响评估和审计。(信息来源:安全内参)
二、网安事件聚焦
(十一)德国所有机场突发电脑系统故障,大范围航班运行受影响
1月3日消息,德国所有机场突发电脑系统故障,大范围航班运行受影响,非申根区域的入境手续暂无法办理,机场边检及相关系统无法正常运行,旅客需面临长时间排队和等待,边检部门完全依赖手工操作,导致旅客通关效率大幅下降。德国警方称正全力处理问题,但故障原因尚未查明,也无法确定修复时间。(信息来源:央视新闻)
(十二)日本最大移动运营商遭DDoS攻击致多个业务中断
1月3日消息,日本最大移动通信公司NTT Docomo发布报告称,其系统遭DDoS攻击,此次攻击通过多个来源向网络发送大量垃圾流量,导致部分服务无法正常使用,公司正在努力恢复。NTT Docomo表示,从1月2日凌晨开始,当地用户无法访问NTT Docomo的新闻网站、视频流媒体平台、移动支付和网络邮件服务等。目前大多数服务已恢复,但某些内容的更新可能仍会有所延迟。NTT Docomo尚未将此事件归咎于任何特定的黑客组织。(信息来源:安全内参)
(十三)法国多地网站遭黑客组织攻击致服务中断
1月4日消息,法国马赛、塔布、波城和尼斯等多个城市的网站无法访问。黑客组织“无名”在X上声称发动了此次攻击,该组织以维护俄罗斯利益而出名,并表示对南特、波尔多、普瓦捷等城市以及朗德省、法属波利尼西亚和新喀里多尼亚的网站攻击负责。马赛市当局表示,该市网站托管公司OVH的服务器遭网络攻击导致网站无法访问。尼斯市长在X上发布消息证实,该市网站已成为攻击目标。其他几个地方当局均表示未发现攻击事件。巴黎检察院称已受理此案,并委托法国安全总局展开调查。(信息来源:法新社)
(十四)四川内江市某网络安全公司“内鬼”监守自盗,窃取个人信息2.08亿条
1月2日消息,四川内江市公安局网安支队通报一起黑客通过攻击各地政企网站窃取公民数据,并在境外网站贩卖至下游黑灰产领域的典型案例。该黑客组织出售的数据来源多、数量规模大、数据极为精准。经调查,该团伙的核心成员为网络安全公司、银行高管,其利用自身学习掌握的技术与资源监守自盗,秘密扫描各地银行、教育、医疗等平台漏洞,编写黑客程序越权获取公民个人信息高达2.08亿条,并在境外网站上通过虚拟货币兜售,公民个人信息售价最高达5元/条,涉及政企网站57个,非法获利达640余万元。(信息来源:封面新闻)
(十五)知名化学制造商遭勒索软件攻击致761.8GB数据被泄露
1月4日,知名化学制造商Nikki-Universal证实其遭Hunters International勒索软件组织的复杂攻击,导致公司部分服务器上的电子数据被加密,涉及数据量高达761.8GB,包含476342个文件。Hunters International勒索软件组织声称已获取并加密数据,若未在规定日期(2025年1月10日)前收到赎金,将公开所有被窃数据。Nikki-Universal已迅速响应并展开调查。(信息来源:CyberSecurityNews网)
(十六)英国摄影公司DEphoto遭0mid16B黑客入侵,数百万客户数据被盗
1月1日消息,黑客组织0mid16B向DataBreaches网站发出警告,称已入侵英国摄影公司DEphoto,并盗取55万余名客户的个人信息、42万余份订单详情及1.6万余条纯文本信用卡信息,还窃取了数百GB的照片等数据,其中涉及客户子女的照片库。黑客组织0mid16B还提供了多张从DEphoto网络中提取的截图作为证据,显示被访问的数据库数据超过12GB,并声称攻击发生后已通知DEphoto,但该公司未支付5万英镑赎金,下一步将出售50万客户数据库,并免费泄露其余数据。DEphoto已开始向受影响客户发送通知,但客户对该公司的数据保留政策表示不满。(信息来源:Databreaches网)
三、网安风险警示
(十七)云网络管理平台Aviatrix Controller存在满分级命令注入漏洞
1月8日,启明星辰集团VSRC监测到Aviatrix Controller中存在命令注入漏洞CVE-2024-50603(CVSS评分10.0),目前该漏洞技术细节及PoC已公开。未经身份验证的远程攻击者可构造恶意请求,利用该漏洞执行任意命令。Aviatrix Controller是一款强大的云网络管理平台,提供简化的跨云网络管理、自动化配置、安全策略、流量监控等功能,帮助企业实现更加灵活、安全和高效的云网络架构,特别适用于多云和混合云环境。目前,该漏洞已被修复,建议受影响用户尽快升级版本。(信息来源:启明星辰)
(十八)Windows轻量级目录访问协议存在拒绝服务漏洞
1月2日,启明星辰集团VSRC监测到Windows Lightweight Directory Access Protocol远程代码执行漏洞CVE-2024-49112(CVSS评分9.8)的技术细节及PoC在互联网上公开。CVE-2024-49112漏洞存在于Windows LDAP服务的wldap32.dll组件中,属于整数溢出问题,影响多个Windows版本。攻击者可通过精心构造的未认证DCE/RPC调用,诱导目标服务器向恶意LDAP服务器发送查询请求。一旦恶意服务器返回特制的响应,目标服务器可能遭遇崩溃或重启,甚至被植入远程代码。由于该漏洞的广泛适用性,建议组织和个人及时更新系统。(信息来源:启明星辰)
(十九)go-git库存在一个参数注入漏洞影响多个版本
1月8日,启明星辰集团VSRC监测到go-git中修复了一个参数注入漏洞CVE-2025-21613(CVSS评分9.8),多个受影响版本。该漏洞源于go-git库在使用文件传输协议时,未能正确处理或验证通过URL字段传入的输入,导致攻击者可能注入恶意参数到本地调用的git二进制文件中。攻击者可利用该漏洞修改git-upload-pack命令的标志,从而控制命令行为。成功利用该漏洞的攻击者可设置任意的git-upload-pack标志值,进而导致未授权访问、信息泄露或执行其他恶意操作。go-git是一个用Go语言编写的高度可扩展的git实现库。目前该漏洞已被修复,建议受影响用户尽快升级。(信息来源:启明星辰)
(二十)Moxa设备严重漏洞将工业网络暴露在攻击中
1月7日消息,工业网络和通信提供商Moxa提醒称,多个蜂窝路由器、安全路由器和网络安全设备的多个机型受两个严重漏洞CVE-2024-9140(CVSS评分9.3)和CVE-2024-9138(CVSS评分8.6)影响,可导致远程攻击者在易受攻击设备上获得根权限并执行任意命令,从而导致任意代码执行后果。Moxa设备用于交通、公共设施和能源以及电信行业的工业自动化和控制系统环境中。Moxa已发布固件更新修复上述漏洞,强烈建议用户立即采取措施,阻止潜在攻击风险。(信息来源:代码卫士)
(二十一)工信部:关于防范Apache Struts2任意文件上传超危漏洞的风险提示
1月3日消息,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)监测发现,开源应用框架Apache Struts2存在任意文件上传超危漏洞,可被恶意利用实现远程代码执行,导致敏感数据泄露和系统受控。Apache Struts2是一款开源Java Web应用程序开发框架,广泛用于构建企业级Web应用程序。因该框架中FileUploadInterceptor组件存在逻辑缺陷,攻击者可利用文件上传构造恶意请求,通过操纵文件上传参数执行路径遍历,将恶意文件上传至其他目录,实现远程代码执行。目前,Apache官方已修复该漏洞,建议用户立即排查并升级版本。(信息来源:网络安全威胁和漏洞信息共享平台)
(二十二)备份和迁移插件UpdraftPlus被曝严重安全漏洞
1月4日,全球超300万个WordPress网站使用的UpdraftPlus备份和迁移插件中存在严重漏洞CVE-2024-10957(CVSS评分为8.8)。由于未正确处理不受信任的输入反序列化,可能导致未经身份验证的攻击者利用PHP对象注入漏洞,影响UpdraftPlus的所有版本,大量WordPress网站可能面临风险。UpdraftPlus团队已在1.24.12版本中修复此漏洞,建议用户立即更新版本。(信息来源:Securityonline网)
(二十三)研究人员发现热门开源漏洞扫描器Nuclei存在安全漏洞
1月6日消息,热门开源漏洞扫描器Nuclei被曝存在高危漏洞CVE-2024-43405(CVSS评分为7.4),影响Nuclei 3.0.0之后所有版本。该漏洞源于签名验证过程和YAML解析器在处理换行符时的差异,以及处理多个签名的方式,如被成功利用,攻击者将能够绕过签名检查,并可能执行恶意代码。Nuclei是一款由ProjectDiscovery创建的热门开源漏洞扫描器,旨在探测现代应用程序、基础设施、云平台和网络,在网站中扫描已知漏洞、配置不当、被泄露的配置文件、webshell和后门等。目前,ProjectDiscovery已修复该漏洞,建议用户尽快升级。(信息来源:TheHackerNews网)
