网络空间安全动态(202553期)
编者按:网安动向热讯,本期有十二点值得关注,一是国务院办公厅印发《政务移动互联网应用程序规范化管理办法》;二是工信部全面开展算力态势感知自动化监测工作;三是2025年我国人工智能核心产业规模预计突破1.2万亿元;四是国家互联网信息办公室等八部门印发《可能影响未成年人身心健康的网络信息分类办法》;五是美国防部发布《国防战略》,强化网络防御并威慑网络威胁;六是美OMB撤销两份拜登政府时期的备忘录;七是美众议院拟加强人工智能芯片对特定国家出口管控;八是美CISA发布产品类别列表,以帮助组织制定后量子密码学迁移策略;九是欧盟委员会正式提案修订《网络安全法》,将逐步淘汰“高风险”移动和电信网络产品;十是欧盟委员会对多家中企启动深度调查并发布报告;十一是韩国《关于AI发展和构建信赖基础的基本法》正式实施;十二是新加坡正式发布全球首个智能体治理框架。
数据前沿快讯,本期有五点建议关注,一是国家网信办就《金融信息服务数据分类分级指南(征求意见稿)》公开征求意见;二是美国防部发布《数字标准战略》,强化数字化标准化支撑国防现代化建设;三是欧盟提出《数字网络法案》,拟简化统一连接网络的相关规则;四是欧盟与巴西达成协议,将允许双方企业、公共机构和研究人员自由交换数据;五是TikTok成立美国数据安全公司,“云上得州”方案落地。
网安事件聚焦,本期有两方面内容建议关注:一是关键基础设施与重点行业仍是被攻击的主要目标。本期介绍:APT组织Sandworm攻击波兰能源设施,部署新型数据擦除软件;苹果公司核心代工厂立讯精密遭勒索攻击,多家企业核心机密面临泄露风险;Nova勒索软件组织声称已入侵荷兰一家大型会计师事务所。二是大规模数据泄露给企业带来巨大经济损失和影响。本期介绍:1.49亿条用户名和密码遭泄露,影响谷歌、苹果、Meta等多家大型公司用户;美知名运动服装和数据公司安德玛7200万用户个人信息疑遭泄露;全球运动品牌Nike回应正在调查数据泄露事件;谷歌同意支付6800万美元,以解决被指控窃听用户并推销广告的集体诉讼;湖南某科技公司因未履责分包数据被处罚。
网安风险警示,本期有四点建议关注:一是工信部:关于防范MuddyWater组织网络攻击的风险提示;二是Fortinet多款产品存在身份认证绕过漏洞且遭在野利用;三是Microsoft Office办公软件套件存在安全功能绕过漏洞且遭在野利用;四是数百个Clawdbot网关遭暴露,API密钥和私密聊天受影响。
一、网安动向热讯
(一)国务院办公厅印发《政务移动互联网应用程序规范化管理办法》
1月28日消息,国务院办公厅印发《政务移动互联网应用程序规范化管理办法》,统筹为基层减负和赋能,防治“指尖上的形式主义”和政务服务中的“面子工程”,规范政务移动互联网应用程序管理。《办法》明确,政务应用程序是指各级行政机关、群团组织、事业单位开发建设,或依托各类互联网平台搭建,运行在移动智能终端上,为内部工作人员办公、管理、学习提供支撑服务的应用软件,包括移动客户端、小程序、快应用等。为经营主体和社会公众提供管理服务的政务应用程序,参照本办法管理。《办法》提出,新建、改建政务应用程序,应纳入信息化项目审批范围,开展立项审核,避免同质化政务应用程序建设和运营。政务应用程序上线前应履行备案程序,国家网信部门受理备案申请,进行材料审核和技术检测,重点关注政务应用程序是否设置打卡签到、积分排名、统计在线时长等强制性功能,是否缺失必要功能等,并会同有关方面定期组织对已备案政务应用程序进行抽查检测。《办法》要求,加强集约建设和数据共享,清理整合面向基层的政务应用程序,优化政务应用程序功能。(信息来源:网信中国)
(二)工信部全面开展算力态势感知自动化监测工作
1月22日,工信部印发《关于全面开展算力态势感知自动化监测工作的通知》(以下简称《通知》)。《通知》要求,在前期试点工作基础上,分两批组织全国各地区、重点算力企业依托中国算力平台体系开展算力态势感知自动化监测,通过全面提升自动化监测能力、健全数据质量核查机制、提高数据智能分析水平等重点任务,全面提升算力监测能力,推动算力供给结构动态优化,为算力资源高效配置、产业高质量发展奠定坚实基础。《通知》提出,到2026年底,实现全国31个省(自治区、直辖市)及重点算力企业算力资源数据的自动化监测,基本建成覆盖全国、标准统一、智能高效的算力态势感知自动化监测体系,监测数据质量、智能分析能力、监测结果应用水平有效提升。(信息来源:工信微报)
(三)2025年我国人工智能核心产业规模预计突破1.2万亿元
1月21日,据国务院新闻办公室发布会消息,2025年中国人工智能产业呈现强劲发展态势。数据显示,全国人工智能企业数量已超6000家,预计核心产业规模将突破1.2万亿元。产业发展呈现四大亮点:一是智能算力基础持续夯实,国内智能算力规模达1590EFLOPS,大模型开源生态引领全球;二是智能终端加速普及,前三季度AI眼镜出货量占比近八成;三是行业应用深度融合,AI技术已在钢铁、电力、通信等行业的关键环节发挥实效,如助力某家电企业生产效率提升275%;四是产业生态日益繁荣,规模达600亿元的国家人工智能产业投资基金已启动运行。我国人工智能产业正朝着技术领先、应用广泛、生态完善的方向加速迈进。(信息来源:工信微报)
(四)国家互联网信息办公室等八部门印发《可能影响未成年人身心健康的网络信息分类办法》
1月23日消息,国家互联网信息办公室、教育部等八部门联合发布《可能影响未成年人身心健康的网络信息分类办法》,自2026年3月1日起正式施行。《办法》旨在落实《未成年人网络保护条例》,明确了可能影响未成年人身心健康网络信息的四种主要类型及具体表现形式。其中,将不当使用未成年人形象等近年突出问题明确纳入治理范围,并对算法推荐、生成式人工智能等新技术应用带来的内容风险提出专门防范要求,确保规定与时俱进。国家互联网信息办公室有关负责人强调,网站平台及内容生产者应对此类信息采取防范抵制措施。网信部门将持续净化网络环境,督促平台履行主体责任,加大治理力度,为未成年人营造清朗网络空间。(信息来源:网信中国)
(五)美国防部发布《国防战略》,强化网络防御并威慑网络威胁
1月23日,美国防部发布《国防战略》,该战略以“通过实力恢复和平,开创美国新黄金时代”为核心主旨,深刻反思冷战后美国外交与国防政策的偏差,确立了以“美国优先”“以实力求和平”“务实的现实主义”为三大支柱的战略框架。围绕当前复杂严峻的安全环境,明确四大核心行动方向,旨在重塑美国军事优势、巩固同盟体系、强化国防工业基础,最终实现长期和平稳定,维护美国的安全、自由与繁荣。在网络空间内容方面,相比于2022年版战略提出“通过拒止威慑”“通过弹性威慑”“通过直接和集体施加成本进行威慑”以及“通过开展军事行动”实施综合网络威慑,新版战略着墨不多,仅指出美国面临日益增加的网络战威胁,提出要“建立并维系强大的网络防御”、“加大AI等先进技术最新成果的采用”以及“威慑和防御网络威胁”。该战略提出,美国防部将优先加强美国军方和特定民用目标的网络防御,同时将制定其他方案,以威慑或削弱对美国本土的网络威胁。(信息来源:综合远望智库、奇安网情局)
(六)美OMB撤销两份拜登政府时期的备忘录
1月26日消息,美白宫管理和预算办公室(OMB)正式撤销两份拜登政府时期的备忘录。这两份备忘录此前要求美联邦机构在部署软件产品前,必须从软件生产商处获取软件安全合规性声明。此次撤销涉及OMB备忘录M-22-18及其配套政策M-23-16。上述文件要求联邦机构采取一系列行动,以符合美国国家标准与技术研究院关于软件安全的指导意见,这些要求源自美前总统拜登于2021年5月发布的网络安全行政命令。OMB撤销这两份备忘录的核心目的是摒弃“一刀切”的合规导向要求,转向更贴合各联邦机构任务需求的风险导向型软硬件安全管理,同时减轻合规负担、优化资源配置并强化机构自主权责。(信息来源:CyberScoop网)
(七)美众议院拟加强人工智能芯片对特定国家出口管控
1月23日消息,美众议院外交事务委员会通过一项跨党派法案,计划将先进人工智能芯片对特定国家出口纳入国会监督,此举或与特朗普政府允许英伟达对特定国家出售H200处理器的政策产生分歧。该法案要求以军售审查模式监管人工智能芯片出口,同时明确未来至少两年内禁止向特定国家出售英伟达更先进的Blackwell芯片,将现行出口管制措施立法固化。众议院此举旨在强化对人工智能芯片技术外流的管控,此前英伟达H200芯片获准对特定国家销售引发国会对技术安全的担忧,相关立法需经参众两院表决及总统签署方能生效。(信息来源:启元洞见)
(八)美CISA发布产品类别列表,以帮助组织制定后量子密码学迁移策略
1月23日消息,美CISA公布使用后量子密码标准技术产品类别的初步清单,旨在帮助组织制定后量子密码学(PQC)迁移策略,并评估在不断变化的网络安全环境中的未来技术投资。该清单将定期更新,以反映不断演变的PQC技术格局,并支持国家网络安全韧性。CISA名单中列出的产品类别主要集中于广泛可用或正在转向PQC标准的技术,包括云服务、网络软件、网络硬件和软件以及终端安全。每个类别涵盖应用PQC标准的基础密码学功能——密钥建立和数字签名的产品,为准备应对量子未来的组织提供资源。(信息来源:美CISA网站)
(九)欧盟委员会正式提案修订《网络安全法》,将逐步淘汰“高风险”移动和电信网络产品
1月22日消息,欧盟委员会推出全新网络安全一揽子计划,其中包含正式修订现行《网络安全法》的提案。《网络安全法》由欧洲议会和欧盟理事会于2019年3月通过,旨在强化欧盟全境的网络安全建设,核心设定两大目标:一是建立欧盟层面永久适用的信息通信技术产品、服务及流程网络安全认证框架;二是强化欧盟网络安全局的职权。修订后的《网络安全法》将逐步淘汰被认为有风险国家的高风险移动和电信网络产品,降低第三方供应商对欧盟信息通信技术供应链造成的风险。该法基于协调一致、适度且基于风险的方法,制定了一个可信的信息通信技术供应链安全框架,此举将使欧盟及其成员国能共同识别并减轻欧盟18个关键部门的风险,确保向欧盟消费者输送产品和服务的安全性测试更高效。该立法还加强了欧盟网络安全局在管理网络安全威胁和认证流程中的角色。(信息来源:欧盟委员会官网)
(十)欧盟委员会对多家中企启动深度调查并发布报告
1月23日消息,欧盟委员会对多家中国企业启动《外国补贴条例》深入调查并发布简要报告,先后将同方威视、中车集团纳入核查范围,甚至对中资数字平台Temu欧洲总部开展突袭检查。此举是近期欧盟委员会密集针对中企执法的延续,从安防企业到制造巨头,再到数字平台,覆盖多个关键领域。报告以“涉嫌不公平补贴”为由提出多项质疑,却存在界定模糊、证据不足等问题。欧盟中国商会强烈反对欧方滥用调查工具的歧视性做法,呼吁停止随意执法,中方商务部明确表态反对,认为此举构成贸易壁垒,加剧中欧经贸摩擦风险。(信息来源:观察者网)
(十一)欧盟推出本土漏洞数据库,替代美国主导的CVE系统
1月23日消息,由欧盟支持、卢森堡计算机应急响应中心主导的全球网络安全漏洞枚举(GCVE)数据库正式上线,核心目标是终结欧洲对美国漏洞数据库的依赖,强化欧洲数字主权。该漏洞预警数据库项目自2025年4月启动筹备,于2026年1月7日正式面向公众开放。该项目整合了来自25个不同数据源的漏洞信息,采用GCVE编号授权模式,取代了传统的集中式漏洞标识符分配机制,通过去中心化设计,各参与方可自主分配和发布漏洞标识符,无需等待中央机构审批,所有收集的漏洞数据均经过标准化处理,形成结构化可检索的数据库,核心优势在于技术架构、运营机制与生态兼容三大维度。(信息来源:FreeBuf网)
(十二)韩国《关于AI发展和构建信赖基础的基本法》正式实施
1月27日消息,韩国《关于AI发展和构建信赖基础的基本法》正式实施,旨在促进AI在经济发展和社会生活中被正确使用。该法要求高影响力人工智能系统全程需人工监督,生成式人工智能产品需告知用户且标注难以区分的生成内容,违规最高罚3000万韩元;韩国科学技术信息通信部长官需每3年制定一次关于振兴AI产业、提升相关领域国家竞争力的基本规划;国家和地方自治团体须尊重创业者的创造精神,扶持相关产品、服务的研发工作。韩国政府指出,有必要制定规范,保护社会免受深度伪造、虚假信息传播、人权侵犯等AI弊端的影响,但考虑到业界的担忧,韩国政府将通过推迟行使事实调查权和罚款措施至少一年等方式,推动制度“软着陆”。(信息来源:科技日报)
(十三)新加坡正式发布全球首个智能体治理框架
1月22日消息,新加坡正式发布《智能体人工智能治理示范框架》,是目前全球范围内首个由政府部门明确以“智能体人工智能”为治理对象的政策框架,其目的并非对具体技术路径进行规制,而是为正在出现的一类新型人工智能系统预设治理边界。该框架主要内容包括:核心治理原则从“人机回圈”到“有意义的监督”;防止“自动化偏见”;风险预防前移;智能体的“可识别性”,为责任追溯预留制度接口;技术控制与安全测试;渐进式部署与持续监控,以及赋能最终用户等。(信息来源:网络法理论与实务前沿)
(十四)英政府宣布投资3600万英镑,用于扩展位于剑桥大学的DAWN超级计算机
1月26日消息,英政府宣布投资3600万英镑,用于扩展位于剑桥大学的DAWN超级计算机,使其处理能力提升6倍。据悉,该资金旨在为英国研究人员和初创企业提供高性能计算能力。此次升级预计最早将在2026年春季全面启动,将集成先进硬件以支持关键领域的人工智能大规模开发。使用DAWN超级计算机的研究人员将试图加速医疗诊断、环境建模和公共服务效率等领域的突破。(信息来源:启元洞见)
二、数据前沿快讯
(十五)国家网信办就《金融信息服务数据分类分级指南(征求意见稿)》公开征求意见
1月24日,国家互联网信息办公室就《金融信息服务数据分类分级指南(征求意见稿)》,向社会公开征求意见,意见反馈截止时间为2月23日。该指南规定了金融信息服务数据分类分级规则,适用于在中华人民共和国境内从事金融信息服务的金融信息服务提供者开展数据分类分级和重要数据识别工作,不适用于涉及国家秘密的数据和军事数据。指南提出,金融信息服务数据可按照业务属性进行分类。一级分类分为业务数据、用户数据和企业数据3类,进一步细分为二级分类9类、三级分类66类。数据分级框架方面,《指南》明确,根据金融信息服务数据在经济社会发展中的重要程度和敏感程度,以及一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害程度,将数据从高到低分为四级,分别为核心数据、重要数据、敏感一般数据和常规一般数据。(信息来源:网信中国)
(十六)美国防部发布《数字标准战略》,强化数字化标准化支撑国防现代化建设
1月26日消息,美国防部发布《数字标准战略》,围绕加速数字化转型标准化提出一系列原则和重点行动方向,强调标准的数字原生化、模型驱动设计、互操作性保障与用户导向。该战略旨在为整个美国防部的数字标准开发、管理和应用提供总体指导,为跨系统、跨域的协同作战与工程生命周期管理夯实标准化基础。该战略明确提出五个主要工作方向,包括推动数字标准基础设施建设、强化数字工程与标准协同、推动外部标准组织协作、构建数字生态系统以及提升标准使用者能力等,为标准化在数字时代的有效运行指明了路径。(信息来源:防务快讯)
(十七)欧盟提出《数字网络法案》,拟简化统一连接网络的相关规则
1月22日消息,欧盟委员会提出《数字网络法案》立法提案,简化统一连接网络的相关规则,为运营商投资部署先进光纤和移动网络创造条件,支撑人工智能、云计算等创新技术的应用。欧盟委员会发布公报称,该提案重点之一是加强连接领域的单一市场,通过统一规则和便利跨境经营,激励运营商扩大规模、发展并创新。企业只需在一个成员国注册,即可在欧盟范围内提供服务;欧盟拟建立欧盟层级的频谱授权框架,以推动泛欧卫星通信服务发展;提高各成员国频谱授权的一致性,给予运营商更长期的频谱许可证,并将许可证设为默认可续。该提案还引入强制性国家转型计划,要求成员国2029年提交国家计划,以确保在2030年至2035年间逐步淘汰传统铜缆网络并过渡到先进网络。下一步,新提案将提交欧洲议会和欧盟理事会审议。(信息来源:欧盟委员会网站)
(十八)欧盟与巴西达成协议,将允许双方企业、公共机构和研究人员自由交换数据
1月28日消息,欧盟委员会与巴西通过相互充分性决定,允许企业、公共机构和研究人员在欧盟与巴西之间自由交换数据,无需额外要求。此举将节省成本,确保已投资巴西的欧洲公司以及进入欧盟市场的巴西企业的法律确定性和稳定性,可惠及欧盟和巴西的6.7亿消费者。相互充分性决定的采纳是在欧洲数据保护委员会和欧盟成员国批准“犯罪学程序”之后作出的,欧盟委员会将在四年后审查其充分性决定的运作情况。(信息来源:欧盟委员会网站)
(十九)TikTok成立美国数据安全公司,“云上得州”方案落地
1月23日,TikTok发布公告称,已成立TikTok美国数据安全合资有限责任公司,将负责TikTok在美国的数据保护、算法安全、内容审核及软件保障。据此前媒体报道,字节跳动会继续拥有TikTok算法的知识产权,并授权该合资公司使用。公告同时提到,TikTok美国公司将负责电商、广告、市场营销等商业活动以及TikTok全球产品的互联互通,该公司由字节跳动全资控股。上述公司业务安排,意味着TikTok美国方案正式落地,超2亿美国用户能够继续使用TikTok。(信息来源:观察者网)
三、网安事件聚焦
(二十)APT组织Sandworm攻击波兰能源设施,部署新型数据擦除软件
1月24日,波兰电网遭APT组织“沙虫”(Sandworm)相关的网络攻击,该组织试图部署名为“DynoWiper”的新型破坏性数据擦除恶意软件。安全公司ESET证实,攻击发生在2025年12月29日至30日,目标为波兰两座热电联产厂及可再生能源发电管理系统,包括风力涡轮机和光伏电站。此次攻击中使用的DynoWiper恶意软件会遍历文件系统删除文件,导致操作系统瘫痪,需通过备份重建或重新安装。波兰总理称,此次攻击由与俄情报部门直接关联的黑客组织策划。该组织自2009年起活跃,以实施破坏性攻击闻名。(信息来源:BleepingComputer网)
(二十一)苹果公司核心代工厂立讯精密遭勒索攻击,多家企业核心机密面临泄露风险
1月23日消息,苹果公司核心代工厂立讯精密疑遭RansomHub勒索组织攻击,该组织在暗网论坛宣称已加密立讯精密数据,并威胁若不支付赎金将泄露苹果、英伟达、LG等企业机密数据。立讯精密主要负责iPhone、AirPods、Apple Watch及头显设备组装,掌握大量核心机密信息。研究团队分析黑客披露的数据样本发现,泄露内容涵盖2019-2025年间苹果与立讯精密合作的设备维修、物流运输等项目细节;员工姓名、职位、工作邮箱等敏感个人信息,以及.dwg、Gerber等设计文件。研究人员表示,若受保密协议保护的生产研发信息被泄露,可能被用于反向研发或制造仿冒产品。(信息来源:Cybernews网)
(二十二)Nova勒索软件组织声称已入侵荷兰一家大型会计师事务所
1月27日消息,荷兰大型会计师事务所毕马威遭勒索软件组织Nova攻击。攻击者声称已窃取大量敏感数据,并给出了为期10天的交付赎金期限,要求受害方与其联系并就支付赎金进行谈判。毕马威是全球领先的专业服务机构,为众多大型跨国企业提供审计、税务及咨询等全方位服务,其荷兰分部掌握着涵盖金融服务、合规审计及企业运营的大量敏感客户数据。研究人员建议立即封锁已识别的相关域名基础设施,并密切监控网络内部是否存在与勒索软件部署相关的横向移动活动,立即启动应急预案。截至目前,毕马威官方尚未就此次事件公开发表声明。(信息来源:HackerNews网)
(二十三)1.49亿条用户名和密码遭泄露,影响谷歌、苹果、Meta等多家大型公司用户
1月27日消息,安全研究人员发现一个未加密的公共数据库,泄露了约1.49亿条用户名和密码,包含约90万个苹果iCloud账户、4800万个Gmail账户、1700万个Facebook登录信息以及650万个Instagram账户。此外,微软Outlook、Netflix、币安及部分国家的政府域名(.gov)账户也被波及,总容量达96GB。有证据显示,所有数据均源于“信息窃取恶意软件”,该恶意软件通过感染用户的Mac、iPhone或浏览器,在后台静默运行,利用键盘记录、浏览器抓取及剪贴板劫持等手段窃取凭证。此类数据库曝光会被迅速复制并分发至地下市场,被用于账户接管或撞库攻击。目前该数据库已下线。(信息来源:IT之家)
(二十四)美知名运动服装和数据公司安德玛7200万用户个人信息疑遭泄露
1月26日消息,黑客组织将大量美国知名运动服装和数据公司安德玛的客户记录发布至黑客论坛后,安德玛表示正在调查相关数据泄露的指控。数据泄露通知网站Have I Been Pwned获取一份被盗数据副本,并通过电子邮件通知7200万名个人其信息已遭泄露。被盗数据集包含姓名、性别、出生日期、电子邮件地址、基于邮政编码推断出的客户大致位置,以及与购买行为相关的其他信息。安德玛表示,调查发现只有极少数客户敏感信息遭窃取,公司用于处理支付和存储客户密码的系统未受影响。(信息来源:安全内参)
(二十五)全球运动品牌Nike回应正在调查数据泄露事件
1月26日消息,全球运动品牌Nike正调查一起潜在的数据泄露事件。因勒索组织WorldLeaks声称已从耐克系统访问并窃取敏感数据,同时在暗网发布约1.4TB的数据条目清单,威胁如不支付赎金将在指定时间公布数据样本。Nike称正在调查该潜在网络安全事件并积极评估,但尚未确认被窃数据的具体性质与完整性。WorldLeaks勒索组织攻击模式与传统勒索软件不同,重点在于数据窃取与公开威胁而非文件加密。安全专家建议,企业必须强化多因素认证、网络分段与异常流量监控等防护措施,以遏制凭证被盗或内部网络被横向渗透的风险。(信息来源:SecurityAffairs网)
(二十六)谷歌同意支付6800万美元,以解决被指控窃听用户并推销广告的集体诉讼
1月27日消息,谷歌同意支付约6800万美元,以解决一项指控其语音助手Google Assistant非法“窃听”智能设备用户的集体诉讼,但否认公司存在任何不当行为。据悉,根据谷歌语音助手的工作原理,只有用户说出“嘿,谷歌”或“好的,谷歌”等特定触发词后,助手才会开启监听功能。但原告用户诉称,家中智能音箱、手机或其他搭载Google Assistant的设备经常误将其他内容识别为触发词,非法录制和读取大量用户私人对话。谷歌还会将收集的语音数据分享给第三方,以便向用户推荐更多个性化广告。目前,谷歌和解协议已提交至联邦法院,一旦获批,用户将获得赔偿。(信息来源:路透社)
(二十七)湖南两家科技公司因未履责分包数据被处罚
1月23日,湖南省网信办公布两起数据安全违法案件。一是某科技公司在未获授权情况下,擅自向第三方提供个人信息,且未核验其安全能力,被依法处以警告及30万元罚款。二是某信息公司因技术负责人违规开放ES数据库公网端口,叠加缺乏加密、访问控制及日志留存等管理措施,导致数据泄露,被依法处以警告及15万元罚款。两案凸显第三方协作管控缺位与技术防护疏漏两大风险,网安部门要求企业须健全制度、强化技术、落实全链条责任。(信息来源:网信湖南)
四、网安风险警示
(二十八)工信部:关于防范MuddyWater组织网络攻击的风险提示
1月27日消息,工信部网络安全威胁和漏洞信息共享平台(CSTIS)发布风险提示,称MuddyWater组织正针对政府、军事、电信、能源等关键机构实施网络攻击。攻击者采用双重伪装策略投递恶意载荷:一是将可执行文件伪装成PDF文档。二是在DOC文档中嵌入恶意宏代码。如受害者误启伪装PDF后,将立即释放UDPGangster后门;打开含宏文档则会静默执行代码,解密释放novaservice.exe可执行文件。后门成功部署后会将自身复制为SystemProc.exe,并通过写入注册表实现持久化。攻击者采用动态C2连接策略,优先读取本地配置,失败则回退至硬编码地址。后门程序收集主机名、系统版本等信息并加密回传,最终实现远程控制。建议用户立即禁用Office宏执行、部署邮件网关沙箱检测伪装文件、监控注册表异常写入并清除SystemProc.exe持久化项。(信息来源:CSTIS)
(二十九)Fortinet多款产品存在身份认证绕过漏洞且遭在野利用
1月28日消息,奇安信CERT监测到Fortinet多款产品存在身份认证绕过漏洞CVE-2026-24858(CVSS评分7.8)且遭在野利用,该漏洞源于FortiCloud单点登录功能中的身份验证逻辑缺陷,当设备启用FortiCloud SSO认证时,攻击者可利用自身合法的FortiCloud账户及已注册设备,绕过正常身份认证机制,直接登录到其他用户账号下注册的设备。成功利用该漏洞可获取目标设备的管理员权限,执行下载设备配置文件、创建本地管理员账号等恶意操作,进而实现对内部网络的深度渗透。FortiOS是Fortinet公司推出的下一代防火墙操作系统,广泛应用于企业边界防护。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。(信息来源:奇安信CERT)
(三十)Microsoft Office办公软件套件存在安全功能绕过漏洞且遭在野利用
1月27日消息,奇安信CERT监测到官方修复Microsoft Office安全功能绕过漏洞CVE-2026-21509(CVSS评分7.8),原因是Microsoft Office在进行安全决策时依赖不可信的输入数据。该漏洞存在于Microsoft Office的对象链接与嵌入安全缓解措施中,攻击者可通过构造恶意Office文档绕过用于保护用户免受脆弱COM/OLE控件侵害的安全机制。Microsoft Office是一款广泛使用的办公软件套件,包括文字处理、表格计算、演示制作等多种功能。目前该漏洞已遭在野利用,鉴于影响范围较大,建议用户尽快做好自查及防护。(信息来源:奇安信CERT)
(三十一)数百个Clawdbot网关遭暴露,API密钥和私密聊天受影响
1月27日消息,研究人员发现超过900个未设身份验证的Clawdbot实例暴露在互联网上,且其代码存在多处漏洞,可能导致凭据被盗与远程代码执行后果,遭暴露的根源在于Clawdbot身份验证逻辑中的本地主机自动放行机制。攻击者通过读取权限可获取全部凭据及附带文件传输记录的完整历史会话,还能继承智能体权限:发送消息、执行工具操作,甚至通过过滤响应内容来操控用户感知。部分实例以root权限的容器形式运行,使得攻击者无需身份验证即可执行任意主机命令。Clawdbot是一款开源的个人AI助手,可集成至WhatsApp、Telegram、Slack、Discord、Signal及iMessage等主流即时通讯平台。Clawdbot官方建议用户检测安全暴露风险,并严格限制私聊与群组策略权限。(信息来源:代码卫士)
