网络空间安全动态(202507期)
编者按:网安动向热讯,本期有八点值得关注:一是习近平:坚定不移贯彻总体国家安全观 把平安中国建设推向更高水平;二是中共中央、国务院印发《国家突发事件总体应急预案》;三是美国防部长命令网络司令部停止针对俄罗斯的网络计划和行动;四是美国防部宣布将于2027财年实现“目标级”零信任能力水平;五是美DARPA启动“确保人工智能在战场上的有效鲁棒性”计划;六是美白宫就新“人工智能行动计划”公开征求意见;七是日本内阁通过《人工智能相关技术的研发及应用促进法》;八是韩国拟在韩美军演中测试生成式国防人工智能系统。
网安事件聚焦,本期有两点建议关注:一是网络攻击威胁持续扩大,太空机构成黑客攻击新目标。本期介绍:波兰航天局遭网络攻击,紧急断开互联网连接;俄罗斯电信公司Beeline再遭DDoS攻击;澳大利亚生育服务提供商Genea遭Termite勒索软件攻击;英国南方水务公司因网络攻击损失超450万英镑。二是大模型深度赋能各行业领域,其引发的数据泄露风险也日益加剧。本期介绍:全球4.9万台配置错误的AMS致数十万员工信息泄露,危及隐私与物理安全;OpenAI、Google等使用的大模型数据集泄露约12000个API密钥和密码;菲律宾陆军遭网络攻击致上万名军人敏感信息被泄露;法国电信运营商Orange Group系统遭黑客入侵,数千用户及员工数据泄露;美底特律公共广播公司遭麒麟勒索软件组织攻击,敏感信息被泄露。
网安风险警示,本期有七点建议关注:一是CNCERT:关于Ollama存在未授权访问漏洞的安全公告;二是工信部:关于防范ValleyRAT恶意软件新变种的风险提示;三是开源安全平台Wazuh服务器存在远程代码执行漏洞;四是开源数据可视化和分析平台Elastic Kibana存在高危安全漏洞;五是虚拟化解决方案VMware TOCTOU存在堆溢出漏洞;六是美CISA要求联邦机构保护其系统,以免遭思科和Windows系统漏洞攻击;七是乌CERT-UA警告UAC-0173利用DCRat危害乌克兰公证机构。
一、网安动向热讯
(一)习近平:坚定不移贯彻总体国家安全观 把平安中国建设推向更高水平
2月28日,二十届中央政治局就建设更高水平平安中国进行集体学习。习近平总书记发表重要讲话,充分肯定了党的十八大以来党中央在维护国家安全和完善社会治理体系等多个关键领域所采取的积极举措及取得的显著成果,深刻阐述了贯彻总体国家安全观、建设更高水平平安中国的全局性、战略性意义,明确部署了推进平安中国建设的主攻方向、重点任务、根本保证,为我们在新征程上继续推进国家安全体系和能力现代化指明了前进方向、提供了重要遵循。习近平强调,防范化解各类风险是平安中国建设的一项重要任务。要把捍卫国家政治安全摆在首位,坚定维护国家政权安全、制度安全、意识形态安全。要完善公共安全体系,推动公共安全治理模式向事前预防转型,加强防灾减灾救灾、安全生产、食品药品安全、网络安全、人工智能安全等方面工作。要着力防范重点领域风险。(信息来源:新华网)
(二)中共中央、国务院印发《国家突发事件总体应急预案》
2月25日消息,中共中央、国务院印发《国家突发事件总体应急预案》,本预案适用于党中央、国务院应对特别重大突发事件工作,指导全国突发事件应对工作。本预案所称突发事件是指突然发生,造成或者可能造成严重社会危害,需要采取应急处置措施予以应对的自然灾害、事故灾难、公共卫生事件和社会安全事件。其中事故灾难主要包括工矿商贸等生产经营单位的各类生产安全事故,交通运输、海上溢油、公共设施和设备、核事故,火灾和生态环境、网络安全、网络数据安全、信息安全事件等。中央和国家机关有关部门按照职责分工组织协调指导本领域突发事件应对管理工作,承担相关国家突发事件应急指挥机构综合协调工作,具体职责在相关国家专项应急预案中予以明确。其中,中央网信办负责协调处理网络安全、网络数据安全与信息安全类突发事件。(信息来源:中国政府网)
(三)《网络安全标准实践指南——个人信息保护合规审计 专业机构服务能力要求》公开征求意见
3月4日消息,全国网安标委就《网络安全标准实践指南——个人信息保护合规审计 专业机构服务能力要求(征求意见稿)》面向社会公开征求意见。意见反馈时间截止为2025年3月17日。该指南规定了专业机构开展个人信息保护合规审计服务的能力要求,包括基本条件、管理体系、技术能力、人员能力、场所与设备资源能力。指南适用于指导专业机构建设个人信息保护合规审计服务能力,也可为开展个人信息保护合规审计专业机构的认证提供依据,还可为个人信息处理者选择合规审计专业机构提供参考。(信息来源:全国网安标委)
(四)美国防部长命令网络司令部停止针对俄罗斯的网络计划和行动
3月2日消息,美国防部长皮特·赫格塞斯已下令美网络司令部停止所有针对俄罗斯的网络计划,包括攻击性数字行动。美网络司令部已开始编制一份风险评估报告,该报告列出了由于该指令而停止的正在进行的行动或任务,并详细说明了来自俄罗斯的潜在威胁。该命令可能使美网络司令部涉及美顶级数字对手的一些关键任务脱轨,包括在乌克兰的任务。外界分析认为,美国防部此举证明,在美西方因俄乌战争对俄罗斯实施遏制孤立后,美国正在努力恢复与俄罗斯关系正常化。美民主党议员认为,美政府单方面暂停网络军事行动是“严重的战略错误”,要求美国防部向国会提供解释,包括命令的真实性、命令下达时间和范围、对命令的风险评估以及命令对合作伙伴、盟友和国内机构的预期影响。(信息来源:奇安网情局)
(五)美国防部宣布将于2027财年实现“目标级”零信任能力水平
3月3日消息,美国防部(DOD)宣布,其零信任架构预计将在2027财年达到“目标级”能力阶段,届时将有效保护美军各类军事网络免受敌对势力攻击。美军将零信任能力划分为“目标级”和“先进级”两个能力阶段,并要求国防部及其所属机构必须尽早达到“目标级”,并在当前风险已减轻的情况下向“先进级”迈进。目前,国防部已识别出152项目标活动,预计到2027财年将完成其中的91项。国防部58个部门中已有14%实现了“目标级”能力水平。(信息来源:美国防部网站)
(六)美DARPA启动“确保人工智能在战场上的有效鲁棒性”计划
2月7日,美国防高级研究计划局(DARPA)发布“确保人工智能在战场上的有效鲁棒性”计划公告,宣布将成立一支典型的人工智能红队,并为其配备反人工智能工具和技术,通过模拟攻击者的行为,寻找军事人工智能系统弱点。从长期规划来看,该人工智能红队将致力于为美国防部探索一种可持续的人工智能作战流程模型,对未来1-3年内即将部署的陆上和空中人工智能自主系统进行作战效能评估。(信息来源:电科防务)
(七)欧盟撤回《人工智能责任指令》《电子隐私条例》
3月3日消息,欧盟委员会正式发布2025年工作计划,并宣布将撤回两项备受关注的立法提案—《人工智能责任指令》和《电子隐私条例》。随着近年来立法环境的快速变化,《电子隐私条例》的内容已无法适应当前的技术发展和法律需求。此外,在当前的政治和法律背景下,各利益相关方难以在短期内达成共识,因此委员会决定撤回该提案。由于立法进程长期陷入僵局,且缺乏可预见的协议前景,决定撤销《人工智能责任指令》。委员会强调,未来将全面评估是否需要提出新的提案或采取其他替代方案,以确保人工智能领域的责任框架能够与时俱进,并与《欧盟人工智能法案》等现有法规形成有效互补。(信息来源:赛博研究院)
(八)美白宫就新“人工智能行动计划”公开征求意见
2月26日消息,美白宫就拟议的新“人工智能行动计划”公开征求意见。征求答复主题广泛,涵盖硬件和芯片、数据中心、开源开发、应用和使用、网络安全、整个AI系统开发和部署生命周期的数据隐私和安全、风险、监管和治理、技术和安全标准、国家安全和国防、研究和开发、创新和竞争、知识产权、采购、国际合作和出口管制等多个关键领域。该计划的提出,源于美总统特朗普1月23日发布的一项关于人工智能的行政令。该行政令明确指示制定人工智能行动计划,核心目标是维持和加强美在全球人工智能领域的主导地位。(信息来源:美白宫网站)
(九)日本内阁通过《人工智能相关技术的研发及应用促进法》草案
2月28日,日本内阁通过《人工智能相关技术的研发及应用促进法》草案。该草案是日本政府为应对人工智能技术快速发展而制定的综合性法律框架,旨在通过系统化的政策推动人工智能技术的研究、开发和应用,确保日本在这一领域的国际竞争力。法案清晰界定了国家、地方政府、研究机构、企业及公民在人工智能技术研发与应用中的职责分工。草案提出包括研发、人才培养、普及教育及国际合作等多项基本政策,并作为政府推动人工智能发展的行动蓝图,确保政策体系的系统性和连续性,全面助力人工智能技术健康发展。(信息来源:赛博研究院)
(十)韩国拟在韩美军演中测试生成式国防人工智能系统
2月26日消息,韩国宣布将在下个月举行的韩美“2025自由之盾”联合演习中测试其自主研发的“防务生成式人工智能”系统(GeDAI),以验证该系统用于战时任务的可行性。此次演习的主要目的是评估韩美两国军队应对朝鲜威胁的准备情况,尤其是在战略打击与战场指挥上的响应能力。演习还将收集战场数据,训练GeDAI快速准确进行战场态势感知并做出指挥决策,提升军队在复杂情境下的决策效率。(信息来源:韩国防部网站)
二、网安事件聚焦
(十一)波兰航天局遭网络攻击,紧急断开互联网连接
3月2日,波兰数字事务部长克日什托夫·加夫科夫斯基宣布,波兰网络安全部门检测到波兰航天局(POLSA)的IT系统遭网络攻击。攻击者未经授权访问了POLSA的电信基础设施。为确保数据安全,POLSA已立即将其内网与互联网断开,并与相关服务部门合作展开调查,以确定攻击者。POLSA成立于2014年,主要负责支持波兰航天工业并与国际机构合作开展空间研究。波兰多次指责俄罗斯试图通过网络攻击破坏其稳定,但俄罗斯否认了这些指控。(信息来源:安全内参)
(十二)俄罗斯电信公司Beeline再遭DDoS攻击
3月3日消息,俄罗斯电信公司Beeline再遭定向DDoS攻击,导致部分用户互联网中断,这是近几周内针对该公司的第二次重大攻击。此次攻击影响了Beeline的移动应用程序、网站和互联网服务,莫斯科和周边地区用户受影响。Beeline已采取措施稳定服务,但未提供更多细节。此次攻击与1月俄罗斯电信巨头MegaFon遭受的攻击相似,被认为是针对电信行业的严重网络攻击之一。(信息来源:TheRecord网)
(十三)澳大利亚生育服务提供商Genea遭Termite勒索软件攻击
2月28日消息,澳大利亚生育服务提供商Genea证实遭网络攻击,攻击者通过Citrix服务器于1月31日进入Genea网络,获取主文件服务器、域控制器等访问权限,并在2月14日将940.7GB的数据窃取至其控制的云服务器中。遭泄露的数据包含患者个人敏感信息和健康数据,信用卡信息等未受影响。勒索软件组织Termite声称对此次攻击负责,并在暗网发布从Genea网络中窃取的数据截图。去年10月以来,该勒索软件组织已对多个机构发动攻击,包括全球供应链软件提供商Blue Yonder。(信息来源:BleepingComputer网)
(十四)英国南方水务公司因网络攻击损失超450万英镑
2月28日消息,英国南方水务公司确认2024年2月遭网络攻击,其运营、财务系统和客户服务系统均受影响,损失超450万英镑。南方水务公司负责为270万客户供水,并为470万客户处理污水,服务区域包括肯特郡、萨塞克斯郡、汉普郡以及怀特岛。此次网络攻击是由Black Basta勒索软件组织实施,通过非法手段入侵公司内部IT系统,并盗取部分服务器上的数据。南方水务公司表示,已聘请网络安全专家持续监控暗网,以识别可能涉及公司或其客户数据遭泄露情况。(信息来源:安全内参)
(十五)全球4.9万台配置错误的AMS致数十万员工信息泄露,危及隐私与物理安全
2月28日消息,欧洲网络安全初创公司Modat研究人员发出警告,全球范围发现4.9万个配置错误的物理访问管理系统(AMS),导致数十万员工信息泄露,涉及建筑、医疗、石油和政府等多个关键基础设施行业。AMS是一种通过生物识别、身份证或车牌控制员工访问建筑物、设施和禁区的安全系统。攻击者可能针对暴露的AMS组织发起鱼叉式网络钓鱼和社会工程攻击,还可伪装员工非法进入受限区域,或进行身份盗用。在极端情况下,攻击者甚至能篡改员工档案,包括更换头像或修改访问权限,监控员工活动轨迹。Modat建议企业采取限制AMS互联网暴露、启用加密保护敏感数据等措施加以防范。(信息来源:安全内参)
(十六)OpenAI、Google等使用的大模型数据集泄露约12000个API密钥和密码
3月3日消息,研究人员在用于训练人工智能模型的Common Crawl数据集中发现了11908个API密钥、口令以及密码等敏感信息,该数据集包含18年来超过2500亿个页面。Common Crawl是全球最大的开源网络数据集之一,自2008年起持续收集PB级Web数据,并免费向公众开放。鉴于数据集的庞大体量,许多人工智能项目可能至少在一定程度上依赖这些数字档案来训练大型语言模型,其中包括OpenAI、DeepSeek、Google、Meta、Anthropic和Stability等公司的模型。研究人员指出,攻击者可能利用上述密钥进行恶意活动,如网络钓鱼和品牌冒充,还可能导致数据泄露。研究人员在发现安全风险后,迅速联系受影响供应商,并协助其撤销和更换密钥。(信息来源:赛博研究院)
(十七)菲律宾陆军遭网络攻击致上万名军人敏感信息被泄露
3月3日消息,菲律宾陆军证实发生一起网络攻击事件,并将其描述为一次“非法访问尝试”,称攻击已被迅速遏制,攻击者身份已锁定,但未透露黑客组织名称,目前尚未发现任何损害或数据泄露情况。菲律宾数字安全倡导组织Deep Web Konek报告称,被泄露数据疑似包含个人敏感信息(姓名、军衔、地址、医疗记录、财务数据及犯罪记录)及军事信息,但无法核实被盗数据的真实性及具体数量。黑客组织Exodus Security声称已窃取1万名菲律宾现役及退役军人相关记录。Exodus Security成立于2009年,是该地区最活跃的黑客组织之一,曾实施DDoS攻击,并泄露菲律宾及其他国家的被盗数据。(信息来源:安全内参)
(十八)法国电信运营商Orange Group系统遭黑客入侵,数千用户及员工数据泄露
2月25日,黑客Rey声称成功入侵法国电信运营商和数字服务提供商Orange Group的系统,并窃取数千份包含用户记录和员工数据的内部文件。该黑客自称是HellCat勒索软件组织的成员,但表示此次入侵并非HellCat的操作。Rey称被盗数据主要来自Orange的罗马尼亚分公司,包括电子邮件地址、源代码、合同、客户和员工信息等,总量近6.5GB。Orange公司证实此次入侵事件并已展开调查,但强调运营未受影响。(信息来源:BleepingComputer网)
(十九)美底特律公共广播公司遭麒麟勒索软件组织攻击,敏感信息被泄露
2月27日消息,美底特律公共广播公司(PBS)遭网络攻击,麒麟勒索软件组织声称对此次攻击负责,并发布345GB的被盗文件。此次数据泄露于2024年9月1日被发现,导致底特律PBS的某些系统感染恶意软件,无法访问部分文件。被盗信息包含至少1694人的个人信息,包括姓名、地址和社会保险号等。PBS迅速展开调查,并为受影响个人提供免费的信用监控服务。因底特律PBS未支付赎金,导致黑客组织发布被盗文件。(信息来源:CyberNews网)
三、网安风险警示
(二十)CNCERT:关于Ollama存在未授权访问漏洞的安全公告
3月1日消息,国家信息安全漏洞共享平台(CNVD)收录了Ollama未授权访问漏洞(CNVD-2025-04094),综合评级为高危。由于Ollama默认未设置身份验证和访问控制功能,未经授权的攻击者可在远程条件下调用Ollama服务接口,执行包括但不限于敏感模型资产窃取、虚假信息投喂、模型计算资源滥用和拒绝服务、系统配置篡改和扩大利用等恶意操作,影响Ollama所有版本。Ollama是一个本地私有化部署大语言模型的运行环境和平台,具有简化部署、轻量级可扩展、API支持、跨平台等特点,在AI领域得到较为广泛的应用。CNVD建议受影响用户立即采取措施防范漏洞攻击风险。(信息来源:CNVD漏洞平台)
(二十一)工信部:关于防范ValleyRAT恶意软件新变种的风险提示
2月28日消息,工业和信息化部网络安全威胁和漏洞信息共享平台监测发现ValleyRAT恶意软件出现新变种。该恶意软件主要针对政府机构及企业财务、销售等关键岗位人员实施攻击并窃取敏感业务数据。ValleyRAT是一款基于C++的远程访问木马,具备多阶段攻击能力和虚拟环境逃逸特性。新变种通过伪造Chrome浏览器安装包、钓鱼邮件等进行传播。攻击者利用伪造的.NET可执行文件触发感染链,通过svchost.exe进程注入监控模块,强制终止安全防护进程,并借助Valve游戏组件Tier0.dll实现隐蔽驻留。建议相关单位及用户及时更新防病毒软件,防范网络攻击风险。(信息来源:网络安全威胁和漏洞信息共享平台)
(二十二)开源安全平台Wazuh服务器存在远程代码执行漏洞
3月4日消息,研究人员在Wazuh服务器中发现关键远程代码执行漏洞CVE-2025-24016(CVSS评分为9.9)。该漏洞源于Wazuh API的DistributedAPI组件中的不安全反序列化,允许具有API访问权限的攻击者在服务器上执行任意Python代码,关闭或控制Wazuh服务器,甚至利用被攻陷的代理在集群内传播攻击,对受影响系统构成重大威胁。Wazuh是一个用于威胁检测和合规监控的流行开源安全平台。官方已修复上述漏洞,建议用户尽快升级至4.9.1及更高版本。(信息来源:CybersecurityNews网)
(二十三)开源数据可视化和分析平台Elastic Kibana存在高危安全漏洞
3月6日消息,奇安信CERT监测到官方修复Elastic Kibana原型污染致任意代码执行漏洞CVE-2025-25012(CVSS评分为9.9),该漏洞源于Kibana中的原型污染问题,攻击者通过精心构造的文件上传和特定的HTTP请求绕过验证机制,在受影响系统上执行任意代码,可能导致数据泄露、系统被完全控制等严重后果。Kibana是一款开源的数据可视化和分析平台,主要用于与Elasticsearch集成,帮助用户通过直观的界面和丰富的可视化工具快速分析和探索数据,广泛应用于日志分析、实时监控和数据洞察等领域。鉴于该漏洞影响范围较大,建议用户尽快做好自查及防护。(信息来源:奇安信CERT网)
(二十四)虚拟化解决方案VMware TOCTOU存在堆溢出漏洞
3月6日,VMware发布安全公告,称VMware ESXi和Workstation存在TOCTOU(Time-of-Check Time-of-Use,检查-使用时序竞争)漏洞CVE-2025-22224(CVSS评分9.3),可导致堆溢出并触发越界写入。攻击者若具备虚拟机本地管理员权限,可利用该漏洞在宿主机上以VMX进程权限执行代码。VMware ESXi/Workstation是VMware提供的虚拟化解决方案,其中ESXi用于数据中心和服务器虚拟化,支持高性能虚拟机管理,而Workstation主要面向个人和开发者,用于本地虚拟化测试。官方已修复该漏洞,建议受影响用户尽快升级。(信息来源:启明星辰)
(二十五)美CISA要求联邦机构保护其系统,以免遭思科和Windows系统漏洞攻击
3月3日消息,美CISA要求美联邦机构保护系统,以免受攻击者利用思科和Windows系统漏洞的攻击。漏洞CVE-2023-20118可导致攻击者在RV016、RV042、RV042G、RV082、RV320和RV 325 VPN路由器上执行任意命令。提权漏洞CVE-2018-8639,登录到目标系统的本地攻击者可利用该漏洞在内核模式下运行任意代码,导致以完整的用户权限修改代码或创建恶意账户,接管易受攻击的Windows设备。目前,美CISA称上述漏洞是攻击者常用的攻击向量,给联邦企业带来严重风险,已纳入其必修漏洞清单。(信息来源:代码卫士)
(二十六)乌CERT-UA警告UAC-0173利用DCRat危害乌克兰公证机构
2月26日,乌克兰计算机应急反应小组(CERT-UA)警告称,黑客组织UAC-0173使用DCRat针对乌克兰公证机构再次发起攻击。攻击者通过声称代表乌克兰司法部发送的网络钓鱼邮件,诱导收件人下载可执行文件,部署DCRat恶意软件,并利用RDPWRAPPER等工具实现并行RDP会话,结合BORE实用程序建立RDP连接。攻击还涉及FIDDLER拦截身份验证数据、NMAP网络扫描、XWorm窃取敏感数据等。CERT-UA还发现黑客组织子集群利用已修补的Microsoft Windows安全漏洞,针对塞尔维亚、捷克共和国和乌克兰的供应商发起攻击。(信息来源:TheHackerNews网)
