网络空间安全动态(202531期)
编者按:网安动向热讯,本期有七点值得关注:一是我国牵头提出的1项国际标准正式发布;二是市场监管总局就加强智能网联新能源汽车产品召回、生产一致性监督管理与规范宣传的通知公开征求意见;三是70款App违法违规收集使用个人信息被通报;四是美正式发布《通过提高出口管制透明度以维持美国优势法案》;五是美NIST发布《人工智能系统安全控制覆盖指南》;六是美国防部签发备忘录,调整国防人工智能体系;七是全球网络安全机构发布运营技术资产清单指南与架构蓝图,强化关键基础设施防护。
数据前沿快讯,本期有两点值得关注:一是全国网安标委就两项国家标准体系向社会公开征求意见;二是美海军制定新战略,推动数据与人工智能“武器化”。
网安事件聚焦,本期有两方面内容建议关注:一是地缘冲突持续引发网络安全领域危机。疑似朝鲜APT组织针对多个驻韩大使馆发起XenoRAT恶意软件攻击;俄罗斯投资分析平台Investment Projects遭亲乌克兰黑客组织攻击;俄罗斯首都广播播放核攻击警报引发公共交通恐慌;英国电信供应商Colt遭网络攻击致服务中断。二是重要行业大规模数据泄露事件持续,涉及能源、金融、医疗服务及教育。墨西哥国有电力公司600GB内部数据被暴露在公网;疑似PayPal的1580万条明文账号信息在暗网出售;意大利数万名酒店客户身份证件信息遭泄露;加拿大金融监管机构遭入侵,关联用户信息被泄露;美马里兰州护理机构服务提供商约5.6万名患者信息被窃;黑客利用微软漏洞入侵加拿大下议院系统并窃取数据;河南一高校泄露师生个人敏感信息被通报。
网安风险警示,本期有七点建议关注:一是工信部:关于防范NordDragonScan恶意软件的风险提示;二是国家漏洞库CNNVD:关于Fortinet FortiWeb安全漏洞的通报;三是Erlang/OTP SSH服务器组件中存在Critical级远程代码执行漏洞;四是VMware ESXi严重漏洞威胁全球大量服务器,国内受影响严重;五是美CISA将N-able N-Central漏洞添加到已知被利用漏洞目录中;六是Smartbi远程代码执行漏洞安全风险通告;七是Fortinet FortiSIEM远程命令执行漏洞安全风险通告。
一、网安动向热讯
(一)我国牵头提出的1项国际标准正式发布
8月18日消息,我国牵头提出的国际标准《信息安全、网络安全和隐私保护移动设备上使用生物特征识别技术进行身份鉴别的安全和隐私要求第2部分:远程模式》正式发布。该标准于2022年9月正式立项,2025年7月正式发布。该标准给出了移动设备上生物特征识别身份鉴别远程模式的通用架构,分析了该模式下的安全威胁,针对生物特征识别系统、移动设备、服务器等提出了相应安全要求。该国际标准可指导相关方防范移动设备生物特征识别远程模式身份鉴别的安全风险,有助于提升生物特征识别芯片制造商、移动设备制造商、移动应用软件开发商和服务提供商等企业的安全防护能力。(信息来源:全国网安标委)
(二)市场监管总局就加强智能网联新能源汽车产品召回、生产一致性监督管理与规范宣传的通知公开征求意见
8月15日消息,市场监管总局、工业和信息化部就《关于加强智能网联新能源汽车产品召回、生产一致性监督管理与规范宣传的通知(征求意见稿)》,向社会公开征求意见。意见反馈截止日期为2025年9月15日。征求意见稿主要内容包括:加大智能网联新能源汽车缺陷调查与召回管理力度;强化智能网联新能源汽车生产一致性监督管理;加强企业广告活动和商业宣传行为监督;强化智能网联新能源汽车事件事故报告与深度调查。(信息来源:国家市场监督管理总局)
(三)70款App违法违规收集使用个人信息被通报
8月15日消息,国家计算机病毒应急处理中心检测发现70款移动应用存在违法违规收集使用个人信息情况。涉及在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;隐私政策难以访问;个人信息处理者在处理个人信息前,未以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名、联系方式、个人信息的保存期限;隐私政策未逐一列出App收集使用个人信息的目的、方式、范围;未在征得用户同意后才开始收集个人信息或打开可收集个人信息的权限;未向用户提供撤回同意收集个人信息的途径、方式;处理敏感个人信息未取得个人的单独同意等。(信息来源:国家网络安全通报中心)
(四)美正式发布《通过提高出口管制透明度以维持美国优势法案》
8月19日消息,美总统特朗普正式签署《通过提高出口管制透明度以维持美国优势法案》。该法案修订了《2018年出口管制改革法》,要求商务部工业和安全局(BIS)每年向国会报告出口管制许可情况,报告内容包括:许可证申请、执法行动以及其他关于受管制的物品出口、再出口、释放和境内转移的授权请求的情况,报告对象为受出口管制法案覆盖的实体。该法案还要求美商务部长每年向国会提交一份报告,披露中国申请出口许可证、许可证价值多少以及申请是否获得批准的公司清单。(信息来源:美白宫网站)
(五)美NIST发布《人工智能系统安全控制覆盖指南》
8月18日消息,美国家标准与技术研究院(NIST)发布《人工智能系统安全控制覆盖指南》概念文件及行动计划,旨在利用信息系统与组织的安全与隐私控制等框架帮助组织管理人工智能开发和应用中的网络风险。文件涵盖生成式、预测式、单智能体与多智能体人工智能的用例,如企业副驾驶自动化任务等。NIST计划后续推出更多覆盖文件,并收集公众反馈,重点探讨用例优先级、实际代表性及未来研究方向,以推动人工智能系统的安全和可信应用。(信息来源:美NIST网站)
(六)美国防部签发备忘录,调整国防人工智能体系
8月14日,美国防部副部长斯蒂芬•范伯格签发备忘录,将颠覆并转型国防部及军方在新兴技术采用方式上的既有模式。根据备忘录,首席数字与人工智能办公室将转隶至国防部研究与工程副部长领导。此次组织重构的主要目标包括:在国防部首席技术官统筹下统一人工智能战略制定、技术研发与实施部署,以加速作战能力交付;确保人工智能研究、工程开发与作战部署的全链条整合;明确关键体系级人工智能平台的长期运维权责与资源保障机制;在保持法定职能前提下简化管理与监督流程。(信息来源:国防科技要闻)
(七)全球网络安全机构发布运营技术资产清单指南与架构蓝图,强化关键基础设施防护
8月14日消息,美网络安全与基础设施安全局、国家安全局、联邦调查局、环境保护署,澳大利亚信号局、加拿大网络安全中心、荷兰国家网络安全中心和新西兰国家网络安全中心等联合发布《OT网络安全基础:所有者和运营商资产清单指南》,旨在帮助关键基础设施领域的运营技术(OT)所有者和运营商创建、维护全面的OT资产清单和分类法,并构建现代可防御架构。指南强调,OT系统对国家关键基础设施至关重要,涉及过程自动化、工业控制系统和信息物理融合操作。该指南提供系统方法,指导组织定义资产清单范围、建立治理机制、分配角色和职责,并通过物理检查和逻辑勘察收集资产属性,包括通信协议、主机名、端口、制造商、操作系统等。(信息来源:HackerNews网)
二、数据前沿快讯
(八)全国网安标委就两项国家标准体系向社会公开征求意见
8月15日,全国网络安全标准化技术委员会发布《数据安全国家标准体系(2025版)》(征求意见稿)和《个人信息保护国家标准体系(2025版)》(征求意见稿),向社会公开征求意见。意见反馈截止日期为8月29日前。此次标准体系的制定旨在支撑落实《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》等法律法规要求。目标是通过建立健全相关标准体系,充分发挥标准在国家重点工作推进、相关产业健康发展以及防范数据安全和个人信息泄露风险中的基础支撑、规范保障和引领推动作用。(信息来源:网安标委网站)
(九)美海军制定新战略,推动数据与人工智能“武器化”
8月15日消息,美海军正在制定一项推动数据与人工智能“武器化”的战略,旨在将来自舰艇、飞机和无人机的原始传感器数据快速转化为战术、技术调整与软件更新,以应对快节奏的现代冲突。该战略将聚焦六大优先事项,包括完善数据基础设施;将人工智能原型转化为作战工具;培养人工智能与数据人才;扩大与产业、学界及盟友的合作等。战略提出建立“端到端”数据通道,将信息快速转移至人工智能可用的安全云端,并通过自动化分级系统与“沙盒”等虚拟测试环境加速共享与部署,以解决海军存在大量数据因带宽和存储不足而丢失的问题。(信息来源:启元洞见)
三、网安事件聚焦
(十)疑似朝鲜APT组织针对多个驻韩大使馆发起XenoRAT恶意软件攻击
8月19日消息,Trellix研究人员发布报告称,多个驻韩大使馆遭XenoRAT恶意软件攻击。此次攻击通过恶意GitHub仓库分发XenoRAT恶意软件,自2025年3月持续至今,已发起至少19次针对高价值目标的鱼叉式钓鱼攻击,其攻击手法与朝鲜黑客组织Kimsuky(APT43)的战术高度吻合,目标主要为驻首尔的欧洲使馆。钓鱼邮件伪装成会议邀请、官方信函及活动通知,通常冒用外交官名义发送。这些诱饵具有高度场景化、多语种的特点。XenoRAT可执行键盘记录、屏幕截图、摄像头与麦克风窃取、文件传输及远程Shell操作。(信息来源:BleepingComputer网)
(十一)俄罗斯投资分析平台Investment Projects遭亲乌克兰黑客组织攻击
8月20日消息,俄罗斯投资分析平台Investment确认遭亲乌克兰黑客组织攻击。平台声明称正在全力修复基础设施,并已向国家监管机构通报事件。黑客组织Cyber Anarchy Squad宣称对此次攻击负责,声称已摧毁平台部分基础设施,获取内部数据库及员工文档,并公开大量被窃文件。Investment平台主要推广和分析俄罗斯大型项目,涵盖工业、民用及交通建设领域,由PKR Group运营,其投资者与客户包括俄罗斯工程集团Konar、矿业巨头诺里尔斯克镍业、农业企业Rusagro以及私营航空公司S7 Airlines等知名企业。Cyber Anarchy Squad自2022年左右开始活跃,以攻击俄罗斯和白俄罗斯机构著称。截至目前,Investment平台官网仍处于瘫痪状态。(信息来源:HackerNews网)
(十二)俄罗斯首都广播播放核攻击警报引发公共交通恐慌
8月15日消息,黑客通过莫斯科全市警报系统播送紧急威胁警告:乌克兰正发动核轰炸,所有人立即进入掩体,导致当地居民疯狂涌向核掩体。莫斯科交通部门表示,公交车上播放的恐慌性信息来自身份不明的黑客,技术人员正在检查网络基础设施,消除未经授权访问造成的影响,并向通勤者保证无需惊慌。目前尚不清楚有多少辆公交车受影响,当地媒体报道称黑客成功入侵了商业运营商OOO Transavtoliz的系统。(信息来源:安全内参)
(十三)英国电信供应商Colt遭网络攻击致服务中断
8月16日消息,英国电信供应商Colt Technology Services遭网络攻击,导致其Colt Online管理平台及Voice API语音服务等核心业务出现大规模中断。Colt拥有覆盖光纤网络、云服务、数据中心及安全工具的多元化业务体系。此次事件虽未直接影响客户基础架构,但仍暴露出电信基础设施面临的严峻安全挑战。Colt声明称,其网络监控能力已转为手动操作模式,自动监控系统完全恢复仍需时间,建议用户通过邮件或电话进行沟通。(信息来源:TheRecord网)
(十四)墨西哥国有电力公司600GB内部数据被暴露在公网
8月14日消息,研究人员发现墨西哥国有电力公司(CFE)的600GB内部数据因第三方服务商管理疏漏,通过未受保护的Kibana实例在互联网上公开泄露逾三年。泄露数据包含员工设备的DNS查询记录、员工访问的网址、深度数据包检测日志、工控系统漏洞详情、反恶意软件及网络监控工具的警报等。攻击者可利用上述信息精准设计渗透电网核心、定位CFE防御薄弱环节,甚至物理破坏关键设施的方案。一旦攻破内网设备,攻击者即可横向移动,最终可能操控工业控制系统,修改参数引发设备物理损坏或关键系统瘫痪。CFE为该国99%以上人口供电。目前,该Kibana实例已无法访问。(信息来源:安全威胁纵横)
(十五)疑似PayPal的1580万条明文账号信息在暗网出售
8月18日消息,名为Chucky_BF的卖家在暗网论坛出售1580万条PayPal(国际贸易支付工具,全球约4.03亿活跃用户)明文登录凭证,包含用户的邮箱、密码及相关网址,数据量达1.1GB,售价750美元。研究人员表示,这些数据可能源于信息窃取恶意软件日志,可能被用于自动登录或权限滥用攻击。PayPal此前从未发生过此类大规模的数据直接泄露事件,此次数据可能是攻击者利用恶意软件从被感染的设备上收集而来。目前尚无法证实该数据的真实性,PayPal尚未对此次事件进行回应。(信息来源:安全牛)
(十六)意大利数万名酒店客户身份证件信息遭泄露
8月15日消息,意大利计算机应急响应小组(CERT-AGID)通报,一名使用“mydocs”账户的黑客在某知名地下论坛分批售卖超过9万份高清扫描文件,这些文件源自10家意大利酒店,均为客户办理入住时提交的护照、官方身份证等验证材料的扫描件。AGID指出,黑客可能利用身份证件信息实施伪造文件、开设银行账户、社会工程攻击及数字身份盗窃等行为。意大利政府敦促近期入住过意大利酒店的人员密切监控个人信用记录及金融账户动态,警惕以自身名义发起的未经授权操作。(信息来源:TheRecord网)
(十七)加拿大金融监管机构遭入侵,关联用户信息被泄露
8月20日消息,加拿大金融监管机构(CIRO)确认发生网络安全事件,该机构已主动关闭部分系统以确保安全,并启动调查以确定攻击者的活动范围。初步调查表明,攻击者已获取部分会员公司及其注册员工的个人信息。CIRO强调,此次事件不会危及加拿大民众的投资安全,将通知相关人员并为其提供风险缓释服务,但未透露具体泄露数据细节,建议关联用户警惕冒充监管者的可疑来电或邮件,切勿泄露个人及财务信息。(信息来源:HackerNews网)
(十八)美马里兰州护理机构服务提供商约5.6万名患者信息被窃
8月16日消息,美马里兰州长期护理机构服务提供商Fundamental Executive Services确认发生数据泄露事件,约5.6万名患者敏感信息被窃,包括姓名、出生日期、社会安全号码、驾驶执照/州识别号码、金融账户信息、医疗记录、健康保险单号码及医疗保险/医疗补助计划信息等。事件发生在2024年10月27日至2025年1月13日期间,攻击者未经授权访问服务商网络,但直到3个月后才察觉异常。此次事件波及该公司旗下数十家护理机构。目前,Fundamental已发布替代方案,并承诺为受影响个体提供信用监控服务。(信息来源:安全威胁纵横)
(十九)黑客利用微软漏洞入侵加拿大下议院系统并窃取数据
8月15日消息,加拿大广播公司报道,攻击者利用新披露的微软安全漏洞入侵加拿大国会下议院系统,非法访问了用于管理计算机及移动设备的数据库并窃取数据,包含雇员姓名、职位、办公地点、电子邮箱,以及国会配发的计算机与移动设备信息等。加拿大通信安全机构已获悉此事并协助调查,目前攻击者身份尚未确认。遭泄露信息可能被用于诈骗或身份冒用,官方建议工作人员及议员警惕诈骗行为。(信息来源:HackerNews网)
(二十)河南一高校泄露师生个人敏感信息被通报
8月15日,河南财政金融学院党委宣传部、信息化办公室发出紧急通知,称接到上级公安部门及教育主管部门通报,发现该校网站公示的新闻、通知、附件等内容中存在未脱敏处理的身份证号、教工号/学号、手机号等个人敏感信息,此类行为违反《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》等法律法规要求,并存在重大信息泄露风险。通知要求,各类上网信息不得直接展示身份证完整号码、未经脱敏处理的手机号码等个人敏感信息。(信息来源:光明网)
四、网安风险警示
(二十一)工信部:关于防范NordDragonScan恶意软件的风险提示
8月16日消息,工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)监测发现NordDragonScan恶意软件持续活跃,其主要攻击目标为Windows用户,可能导致敏感信息泄露、系统受控等风险。NordDragonScan是一种针对Windows系统的高级信息窃取型木马,攻击者通过短链接服务诱导用户跳转至伪装成文件共享平台的恶意网站,自动下载含恶意LNK快捷方式的RAR压缩包,用户双击后,会调用Windows原生命令行工具mshta.exe执行嵌入的HTML应用程序脚本,将PowerShell.exe复制到公共目录并伪装为“install.exe”以绕过安全检测。木马安装后可执行多项恶意行为:定期截屏并提取浏览器敏感数据,搜索桌面、文档等目录的文档文件,通过修改注册表实现自启动。建议用户及时更新防病毒软件。(信息来源:网络安全威胁和漏洞信息共享平台)
(二十二)国家漏洞库CNNVD:关于Fortinet FortiWeb安全漏洞的通报
8月14日消息,国家信息安全漏洞库收到关于Fortinet FortiWeb安全漏洞CVE-2025-52970情况的报送。漏洞源于程序在处理会话cookie时存在越界读取问题,攻击者可利用该漏洞,通过构造恶意请求,导致权限提升。Fortinet FortiWeb多个版本均受影响。Fortinet FortiWeb是一款Web应用层防火墙,能够阻断如跨站点脚本、SQL注入、Cookie中毒、schema中毒等攻击的威胁,保证Web应用程序的安全性并保护敏感的数据库内容。Fortinet官方已发布修复补丁,建议用户尽快采取措施。(信息来源:CNNVD安全动态)
(二十三)Erlang/OTP SSH服务器组件中存在Critical级远程代码执行漏洞
8月14日消息,Erlang/OTP SSH服务器组件中存在Critical级远程代码执行漏洞CVE-2025-32433(CVSS评分为10.0),允许未认证攻击者通过特制SSH消息直接执行任意命令,无需任何前置权限。该漏洞于今年4月16日被披露后,短时间内引发全球范围的攻击浪潮。监测数据显示,截至6月,全球已记录超过3376次攻击尝试,其中70%直接针对运营技术网络,美国、日本、荷兰等国家的关键基础设施成为主要目标。官方已发布修复版本,建议用户及时更新。(信息来源:国家信息安全漏洞共享平台)
(二十四)VMware ESXi严重漏洞威胁全球大量服务器,国内受影响严重
8月14日消息,网络安全研究人员警告称,VMware ESXi曝出严重整数溢出漏洞CVE-2025-41236(CVSS评分9.3),该漏洞存在于ESXi的HTTP管理接口中,影响ESXi 7.x及部分8.x版本,允许未经身份验证的远程攻击者在虚拟环境中执行任意代码、提升权限或传播勒索软件等。ESXi是一款在企业环境中被广泛使用的虚拟化平台。该漏洞利用代码已公开且利用难度极低,攻击者可利用该漏洞掌控核心基础设施,并在大范围内破坏关键系统。该漏洞于今年7月首次被发现,但最新扫描结果显示仍有数千台系统尚未打补丁,法国、中国、美国和德国位居受影响国家前列。(信息来源:安全内参)
(二十五)美CISA将N-able N-Central漏洞添加到已知被利用漏洞目录中
8月14日消息,美网络安全与基础设施安全局(CISA)将N-able N-Central远程监控与管理(RMM)平台的两个高危漏洞CVE-2025-8875(不安全反序列化漏洞)和CVE-2025-8876(命令注入漏洞)纳入其KEV目录,并要求美联邦机构在8月20日前完成修复。美CISA强调,尽管漏洞利用需认证条件,但未修补系统仍可能面临数据泄露、命令执行等安全风险。(信息来源:SecurityAffairs网)
(二十六)Smartbi远程代码执行漏洞安全风险通告
8月19日消息,奇安信CERT监测到官方修复Smartbi远程代码执行漏洞QVD-2025-31926(CVSS评分9.8),该漏洞源于攻击者可通过默认资源ID绕过身份验证获取权限,配合后台接口实现远程代码执行,可能导致服务器被完全控制、数据泄露或业务系统沦陷。Smartbi是广州思迈特软件有限公司旗下的商业智能BI和数据分析品牌,为企业客户提供一站式商业智能解决方案。鉴于该漏洞影响范围较大,建议用户尽快做好自查及防护。(信息来源:奇安信CERT)
(二十七)Fortinet FortiSIEM远程命令执行漏洞安全风险通告
8月18日消息,奇安信CERT监测到官方修复Fortinet FortiSIEM远程命令执行漏洞CVE-2025-25256(CVSS评分9.8),由于Fortinet FortiSIEM中的phMonitor组件在处理请求时对用户输入缺乏校验,导致未授权的远程攻击者可通过精心构造的网络请求触发命令注入漏洞,以root权限执行任意命令,造成数据泄露或服务器控制权被接管等严重后果。Fortinet FortiSIEM是一款由Fortinet公司提供的安全管理平台,用于监控和分析网络中的安全事件。目前该漏洞PoC已在互联网上公开,鉴于该漏洞影响范围较大,建议用户尽快做好自查及防护。(信息来源:奇安信CERT)
