网络空间安全动态(202503期)
编者按:网安动向热讯,本期有八点值得关注:一是四部门联合印发《关于促进数据标注产业高质量发展的实施意见》;二是工信部发布关于加强互联网数据中心客户数据安全保护的通知;三是工信部启动万兆光网试点工作,有序引导万兆光网从技术试点走向部署应用;四是全国数据工作会议在京召开,2025年将从9个方面加快推进数据工作;五是拜登政府发布《人工智能扩散暂行最终规则》,进一步加强对人工智能芯片、模型参数等出口管制;六是美商务部发布针对中俄智能网联车限制的最终规则;七是美白宫启动“网络信任标签”计划,提升物联网设备安全性;八是美国家安全局等联合发布《按需保障:运营技术所有者和运营商在选择数字产品时应优先考虑的事项》。
网安事件聚焦,本期有两点建议关注:一是网络攻击愈发猖獗,地缘政治的不稳定也会加剧灾难性网络攻击的风险。本期介绍:斯洛伐克土地管理办公室遭勒索攻击,全国房地产交易中断;美教育科技巨头PowerSchool遭黑客攻击,数千万K-12学生和老师个人数据被窃取;俄罗斯互联网服务提供商Nodex遭乌克兰黑客组织攻击,导致其网络全面瘫痪;联合国国际民用航空组织证实其招聘数据库遭入侵,4.2万条招聘申请数据记录被窃取;隐私服务提供商Proton发生大规模宕机。二是大规模数据泄露事件引发民众对个人隐私安全以及数据可能被滥用等潜在风险的担忧。本期介绍:位置数据商Gravy Analytics遭黑客攻击,17TB敏感数据被窃取;北美最大成瘾治疗与康复服务提供商BayMark Health Services 1.5TB数据遭泄露;俄罗斯负责管理财产和土地记录的国家机构Rosreestr遭黑客入侵,部分数据库被泄露。
网安风险警示,本期有四点建议关注:一是在线捐赠和筹款工具GiveWP插件中存在严重漏洞;二是美CISA警告3个漏洞正被积极利用,敦促组织立即修补;三是Ivanti多款产品存在缓冲区溢出漏洞;四是苹果macOS系统漏洞可让攻击者绕过系统完整性保护。
一、网安动向热讯
(一)四部门联合印发《关于促进数据标注产业高质量发展的实施意见》
1月13日,国家发展改革委、国家数据局、财政部、人力资源和社会保障部联合印发《关于促进数据标注产业高质量发展的实施意见》。《实施意见》提出到2027年,数据标注产业专业化、智能化及科技创新能力显著提升,产业规模大幅跃升,年均复合增长率超过20%,培育一批具有影响力的科技型数据标注企业,打造一批产学研用联动的创新载体,建设一批成效明显、特色鲜明的数据标注基地,形成相对完善的数据标注产业生态,构建创新要素聚集、产业链上下游联动、区域协同发展的新格局。《实施意见》包括总体要求、主要任务、保障措施三个部分。其中,主要任务围绕深化需求牵引、增强创新驱动、繁荣产业生态、优化产业支撑四个方面提出相关政策举措。(信息来源:国家数据局)
(二)工信部发布关于加强互联网数据中心客户数据安全保护的通知
1月14日,工信部发布关于加强互联网数据中心客户数据安全保护的通知,旨在指导互联网数据中心业务经营者加强客户数据安全保护。主要规定内容为:一是在与客户、第三方服务商等签署的合同协议中,根据合作模式、内容等,明确各方数据安全保护责任义务;二是建立客户管理机制,按照客户类别和数据保护需求,提供差异化安全保护措施供客户选用;三是在实施可能影响客户数据安全的高危操作和对外提供客户数据前,应告知客户并取得授权;四是因互联网数据中心业务经营者原因引发客户数据安全事件时,立即启动应急处置措施,及时告知客户,并按有关要求向电信主管部门报告。(信息来源:工信部网站)
(三)工信部启动万兆光网试点工作,有序引导万兆光网从技术试点走向部署应用
1月8日消息,工信部发布《关于开展万兆光网试点工作的通知》,提出到2025年底,在有条件、有基础的城市和地区,聚焦小区、工厂、园区等重点场景开展万兆光网试点,实现50G-PON(无源光网络)超宽光接入、FTTH(光纤到户)/FTTR(光纤到房间)与第7代无线局域网协同、高速大容量光传输、光网络与人工智能融合等技术的部署应用。(信息来源:工信微报)
(四)全国数据工作会议在京召开,2025年将从9个方面加快推进数据工作
1月10日,全国数据工作会议在北京召开。会议总结了2024年工作,并对2025年的重点任务作出安排和部署。会议强调,做好2025年数据工作,要从9个方面加快推进。一是着力实现2025年数字中国建设目标;二是着力推动数字经济和数字社会高质量发展;三是着力培育壮大全国一体化数据市场;四是着力提升数据基础制度保障力;五是着力增强数据资源价值释放驱动力;六是着力夯实数据基础设施和科技发展支撑力;七是着力发挥投资引领带动作用;八是着力促进数据领域国际合作深化;九是着力促进党建和业务工作深度融合。(信息来源:中国青年报)
(五)我国牵头提出的国际标准《信息技术 信息安全事件管理 第4部分:协同》正式发布
1月9日,我国牵头提出的国际标准ISO/IEC 27035-4:2024《信息技术 信息安全事件管理 第4部分:协同》正式发布。ISO/IEC 27035-4是ISO/IEC 27035信息安全事件管理指南系列标准的第4部分,该标准旨在促进组织间在防范网络安全事件方面的合作与协调,提出了多组织间以协同方式处理信息安全事件的指南,包括对协同规划和准备、协同发现和报告、协同评估和决策、协同响应、协同经验总结等各个阶段的过程指南,以及对制定策略、建立沟通、信息共享、协同演练、树立信任等关键协同活动的指南。(信息来源:中国信息安全)
(六)中国网络空间安全协会关键信息基础设施安全保护专业委员会在京成立
1月8日上午,中国网络空间安全协会关键信息基础设施安全保护专业委员会成立大会在中央网信办召开。关键信息基础设施安全保护专业委员会由中国科学院信息工程研究所、中国农业银行、水利部信息中心、国家电网、中国海油、中国联通、中国工业互联网研究院、中国电子、中国电科等85家成员发起,覆盖金融、能源、水利、交通、广电、民航、邮政、应急、国防科工等重点行业领域。专委会还成立了高级别专家组,邀请到多位院士和重点行业领域专家,为专委会工作提供专业指导和智力支持。(信息来源:中国网络空间安全协会)
(七)拜登政府发布《人工智能扩散暂行最终规则》,进一步加强对人工智能芯片、模型参数等出口管制
1月13日,拜登政府发布《人工智能扩散暂行最终规则》,进一步加强对人工智能芯片、模型参数等出口管制。新规的详细内容于1月15日刊载于《联邦公报》,公众有120天的时间提交反馈意见。根据该规则,美国将全球划分为三个不同“层级”的区域,以决定各国获取人工智能技术的限制程度。第一层级包括七国集团成员以及澳大利亚、新西兰、韩国、荷兰、爱尔兰和中国台湾等18个国家及地区,对这些国家和地区的芯片销售无任何限制。第二层级涵盖新加坡、以色列、沙特阿拉伯和阿联酋等约120个国家,这些国家将面临较为严格的进口限制。具体来说,每个国家的年进口量将被限制在大约5万块GPU。第三层级主要包括中国(含港澳)、俄罗斯、伊朗、朝鲜等约24个美国武器禁运的国家和地区,这些地区的实体将被完全禁止进口任何类型的人工智能芯片,特别是高性能GPU。(信息来源:赛博研究院)
(八)美商务部发布针对中俄智能网联车限制的最终规则
1月14日,美商务部发布“网联汽车”最终规则,将禁止美国进口或销售中国和俄罗斯的车辆互联系统(VCS)硬件,包含相关VCS硬件的车辆以及包含中俄VCS和自动驾驶系统(ADS)软件的车辆。美商务部还将禁止“与中国和俄罗斯有充分联系”的制造商在美销售相关新型联网汽车,即使在美国境内制造的车辆也无法销售。软件相关禁令和针对汽车制造商的禁令将从2027年的车型开始生效。硬件相关禁令从2030年的车型开始生效,对于没有车型年份的车辆,硬件禁令从2029年1月1日起生效。(信息来源:凤凰网)
(九)美白宫启动“网络信任标签”计划,提升物联网设备安全性
1月8日消息,美白宫正式启动“网络信任标签”计划,旨在通过标签认证提升物联网设备的安全性,帮助消费者识别符合网络安全标准的产品。根据该计划,符合网络安全标准的合格消费智能产品将能够在其产品上使用“网络信任标签”,覆盖产品包括智能家居设备、家庭安全摄像头、语音购物设备、健身追踪器、车库门控制器、婴儿监控器等。美白宫还计划通过行政命令要求联邦政府自2027年起仅采购带有该标签的设备。(信息来源:CyberScoop网站)
(十)美国土安全部发布《公共部门生成式人工智能部署手册》
1月8日,美国土安全部发布《公共部门生成式人工智能部署手册》,旨在为美联邦、州和地方政府官员在公共服务中负责任地部署生成式人工智能提供指导。该手册基于试点经验,提供了七个可操作步骤,分别是开发任务增强型的生成式人工智能用例、建立联盟和实施有效治理、利用工具和基础设施、使用负责任和可信任的生成式人工智能、测量和监测、员工培训和技术人才招聘以及建立用户反馈机制。(信息来源:美国土安全部网站)
(十一)美国家安全局等联合发布《按需保障:运营技术所有者和运营商在选择数字产品时应优先考虑的事项》
1月13日,美国家安全局、网络安全与基础设施安全局、联邦调查局、加拿大网络安全中心、新西兰国家网络安全中心等11家机构联合发布《按需保障:运营技术所有者和运营商在选择数字产品时应优先考虑的事项》。该指南是对2023年4月发布的《改变网络安全风险平衡:安全设计软件的原则和方法》的补充,进一步强调了运营技术(OT)产品在关键基础设施中的安全需求,旨在帮助OT所有者和运营商在选择工业自动化和控制系统产品时,优先考虑关键安全要素,包括配置管理、登录基线产品、开放标准与所有权、数据保护、默认安全、安全通信、安全控制、强认证、威胁建模、漏洞处理和升级工具。(信息来源:美国防部网站)
(十二)美CISA发布IT和产品设计的新自愿网络安全绩效目标
1月8日消息,美网络安全与基础设施安全局(CISA)发布IT和产品设计的新自愿网络安全绩效目标。这些目标与CISA现有的安全设计原则保持一致,推荐的行动包括:使用网络分段和访问控制等措施,在逻辑上将所有软件开发环境分隔;定期记录、监控和审查用于跨软件开发环境授权和访问的信任关系;使用多因素身份验证;为跨软件开发环境使用的软件产品建立和实施安全要求;不在源代码中存储敏感数据或凭据;建立软件供应链风险管理计划。美CISA鼓励组织审查和实施这些目标,以改善软件产品的网络安全状况。(信息来源:美CISA网站)
二、网安事件聚焦
(十三)斯洛伐克土地管理办公室遭勒索攻击,全国房地产交易中断
1月8日,斯洛伐克内政部证实土地管理办公室遭大规模网络攻击,导致全国不动产服务中断,房地产抵押交易市场陷入瘫痪。此次攻击不仅影响了地产买卖和转让过程,还对涉及地产的所有诉讼、继承和执行程序造成严重影响,与地产相关的银行业务也受到阻碍。安全专家表示,这可能是斯洛伐克历史上最严重的一次网络攻击,修复受损系统可能需要数周甚至数月时间。据了解,攻击者要求斯洛伐克政府支付7位数美元的赎金,以恢复对受损数据的访问。目前斯洛伐克政府尚未有明确答复。(信息来源:TheRecord网)
(十四)美教育科技巨头PowerSchool遭黑客攻击,数千万K-12学生和老师个人数据被窃取
1月9日消息,美教育科技巨头PowerSchool披露,旗下客户支持系统、学校信息系统产品遭未授权访问。攻击者使用泄露凭证成功访问系统,并通过“数据导出”支持工具窃取了美国和加拿大大量学生和老师的个人数据。被盗数据主要包含姓名、地址、社会安全号码、医疗信息、成绩及其他可识别个人身份的信息。PowerSchool是美最大的K-12教育信息化软件提供商之一,为北美超过75%的学生提供服务。其学生信息系统平台包含超过6千万学生和1.8万名客户的数据。PowerSchool表示,虽然此次入侵并非勒索软件攻击,但其还是支付了赎金以防止数据泄露。(信息来源:DigitalTrends网)
(十五)俄罗斯互联网服务提供商Nodex遭乌克兰黑客组织攻击,导致其网络全面瘫痪
1月8日,乌克兰网络联盟黑客组织宣称,已成功入侵俄罗斯互联网服务提供商Nodex的网络,并在窃取敏感文件后清空了系统。黑客还分享了在攻击期间入侵Nodex的VMware、Veeam备份和惠普企业虚拟基础设施的截图。Nodex随后证实了该事件,表示其基础设施遭到攻击,网络被摧毁,正从备份中恢复。乌克兰网络联盟成立于2016年,整合了多个黑客组织,该联盟曾声称成功攻击俄多个关键机构。(信息来源:BleepingComputer网)
(十六)联合国国际民用航空组织证实其招聘数据库遭入侵,4.2万条招聘申请数据记录被窃取
1月8日消息,联合国国际民用航空组织(ICAO)证实,一名黑客入侵了其内部招聘数据库,窃取了约4.2万条招聘申请数据记录(涉及2016年4月至2024年7月期间),包含申请人姓名、出生日期、电子邮件地址以及工作经历等信息。ICAO是联合国负责处理国际民航事务的专门机构,其发言人表示,被盗数据不包含申请人的密码、护照、财务等敏感数据,除招聘系统外其他系统未受影响,目前已采取安全措施,并向受影响个人发送安全预警。(信息来源:TheRegister网)
(十七)隐私服务提供商Proton发生大规模宕机
1月9日,隐私服务提供商Proton在全球范围内发生大规模业务中断,导致其多项服务无法访问,包括Proton Mail、Proton Calendar、ProtonVPN、Proton Drive等。中断从美国东部时间上午10:00左右开始,截至美国东部时间下午1:27,Proton确认所有服务恢复正常。Proton是一家总部位于瑞士的公司,专注于提供端到端加密的隐私保护服务。Proton将此次事件归咎于其基础设施在关键迁移阶段意外过载,并向用户道歉,表示正在进行事后分析,以防止类似问题再次发生。(信息来源:BleepingComputer网)
(十八)位置数据商Gravy Analytics遭黑客攻击,17TB敏感数据被窃取
1月9日消息,位置数据商Gravy Analytics遭网络攻击,黑客声称窃取了17TB数据,包括客户信息、行业洞察以及从智能手机中收集的精确位置数据。黑客在网络犯罪论坛XSS上分享了1.4GB数据样本,并威胁Gravy Analytics若未在24小时内回应,将公开更多数据。Gravy Analytics总部位于美弗吉尼亚州,该公司通过移动设备收集匿名位置数据,为企业提供消费者行为分析和决策支持,其客户包括美国防部、国土安全部等政府机构,以及苹果、Uber、康卡斯特等知名企业。截至1月8日,Gravy Analytics网站仍处于离线状态。(信息来源:404Media网)
(十九)北美最大成瘾治疗与康复服务提供商BayMark Health Services 1.5TB数据遭泄露
1月9日,北美最大成瘾治疗与康复服务提供商BayMark Health Services通知患者,其个人健康信息在2024年9月的数据泄露事件中被窃取。黑客通过入侵BayMark系统获取了患者的姓名、出生日期、社保号、驾驶证号、诊疗记录等信息。勒索软件组织RansomHub表示对此次事件负责,自称窃取了1.5TB数据并已在暗网上泄露。目前,BayMark为可能受影响的患者提供一年的免费Equifax身份监测服务。(信息来源:BleepingComputer网)
(二十)俄罗斯负责管理财产和土地记录的国家机构Rosreestr遭黑客入侵,部分数据库被泄露
1月11日,黑客组织Silent Crow声称已成功入侵俄罗斯负责管理财产和土地记录的国家机构Rosreestr,并公开部分数据库内容作为证据。泄露数据包含俄罗斯公民的姓名、出生日期、地址、电话号码和个人保险账户号码等。Rosreestr在声明中否认其系统被入侵,但俄罗斯调查记者核查了泄露数据的真实性,确认部分信息与公民的实际房产记录相符。目前,黑客组织Silent Crow尚未透露将如何处置这些数据。(信息来源:TheRecord网)
三、网安风险警示
(二十一)在线捐赠和筹款工具GiveWP插件中存在严重漏洞
1月13日,WordPress在线捐赠和筹款工具GiveWP插件被曝存在严重漏洞CVE-2025-22777(CVSS评分9.8)。该漏洞存在于GiveWP 3.19.3及以下版本中,源自未经身份验证的PHP对象注入,允许攻击者绕过安全机制并可能接管WordPress网站。GiveWP是WordPress评分最高、下载次数最多和最受支持的捐赠插件,拥有超10万个活跃安装,为全球无数捐赠平台提供支持。目前,GiveWP团队已修复该漏洞,建议用户立即更新版本。(信息来源:安全客)
(二十二)美CISA警告3个漏洞正被积极利用,敦促组织立即修补
1月8日消息,美CISA警告3个严重漏洞正被攻击者积极利用,影响企业协作平台Mitel MiCollab和企业级应用服务器Oracle WebLogic Server,对美组织和联邦机构构成重大风险。其中,Mitel MiCollab的两个漏洞分别为CVE-2024-41713(CVSS评分9.1)和CVE-2024-55550(CVSS评分4.4),前者允许未经授权访问服务器,后者允许管理员读取本地文件,两者结合可能导致系统完全被控制。影响Oracle WebLogic Server的漏洞CVE-2020-2883(CVSS评分9.8)在2020年已被修复,但仍被广泛利用,未经身份验证的攻击者可远程攻占未打补丁的服务器。美CISA已将上述3个漏洞添加到已知被利用漏洞目录中,并要求美联邦机构在1月28日前修补上述漏洞。(信息来源:CybersecurityNews网)
(二十三)Ivanti多款产品存在缓冲区溢出漏洞
1月10日消息,Ivanti发布安全公告,修复了Ivanti多款产品缓冲区溢出漏洞CVE-2025-0282(CVSS评分9.0)。由于SSL VPN解决方案Ivanti Connect Secure、网络访问控制解决方案Ivanti Policy Secure和SaaS交付的零信任网络访问解决方案Ivanti Neurons for ZTA网关中存在基于堆栈的缓冲区溢出,未经身份验证的攻击者可通过发送特制的数据包触发缓冲区溢出,从而实现在目标系统上执行任意代码。目前该漏洞已发现在野利用,请相关用户尽快升级版本。(信息来源:绿盟科技CERT)
(二十四)苹果macOS系统漏洞可让攻击者绕过系统完整性保护
1月14日消息,微软研究人员披露苹果macOS系统漏洞CVE-2024-44243,攻击者可利用该漏洞绕过macOS系统完整性保护(SIP)的root限制,无需物理访问即可安装内核驱动程序,创建持久的、无法删除的恶意软件,并且绕过透明度、同意和控制(TCC)安全检查来访问受害者数据。SIP是macOS的一项关键安全功能,旨在限制对macOS关键组件的篡改,仅允许苹果签名的进程或具有特殊权限的操作。微软敦促所有macOS用户确保其系统更新至最新软件,以防止潜在利用。(信息来源:代码卫士)
