安全热点周报（2023.3.13-2023.3.19）

国新办发布《新时代的中国网络法治建设》白皮书

原文链接：

http://www.news.cn/politics/2023-03/16/c_1129434612.htm

国家标准《信息安全技术 个人信息跨境传输认证要求》公开征集意见

原文链接：

https://www.tc260.org.cn/file/2023-03-10/6c77e6f0-ce2a-464b-8497-7581c35677ee.pdf

美国法警局数百GB敏感数据遭黑客售卖：军事基地航拍照片被泄露

3月15日BleepingComputer消息，一个俄语黑客论坛的用户声称，标价15万美元出售从美国法警局（USMS）服务器中窃取的350 GB数据。卖家表示这批数据包含法警局文件服务器和工作电脑上从2021年到2023年2月的文件，里边有精确坐标的军事基地和其他敏感区域的航拍视频及照片、护照及身份证明的副本、罪犯和证人信息、以及有关窃听和监视公民的细节，其中一些文件被标记为机密和绝密。此前，法警局披露在2月17日发生一起勒索软件攻击事件，导致部分执法敏感信息泄露。

9亿条印度警方业务机密数据疑似在暗网销售

3月14日TheCyberExpress消息，一个数据泄露论坛的用户@Tailmon声称，访问了一个包含超9亿条印度法律记录和文件的数据库，其中包括印度警方记录、报告、法庭案件，以及被告与被捕人员的详细信息。该用户正在兜售这批数据，据称数据内容为JSON格式，附有指向原始PDF文件的链接，文件总大小约为600 GB。近年来，印度发生了多起大规模数据泄露和网络攻击事件，凸显出数据安全和隐私的重要性。

空客德国工厂至少部分停产：因物流供应商被黑

3月10日IT博客Günter Born消息，德国当地IT博主Günter Born爆料称，3月8日，空中客车位于德国诺登哈姆的工厂可能已经部分停止生产，原因是物流服务供应商（知情人士称其为“LTS”）遭受网络攻击。该博主获得多方线源爆料称，物流供应商疑因勒索软件攻击导致IT系统中断，空中客车德国工厂无法访问其SAP系统，导致无法查询物料库存，影响了工厂生产。空中客车证实，确实发生了物流IT系统中断事件，物流服务商未予置评。

Microsoft Outlook权限提升漏洞安全风险通告

3月16日，奇安信CERT监测到Microsoft Outlook权限提升漏洞（CVE-2023-23397），未经身份验证的远程攻击者可以向受害者发送特制的电子邮件，导致受害者连接到攻击者控制的外部UNC位置。这会将受害者的Net-NTLMv2 hash泄露给攻击者，然后攻击者可以将其中继到另一个服务并作为受害者进行身份验证。值得注意的是，电子邮件服务器检索和处理电子邮件时（例如在预览窗格中查看电子邮件之前）会自动触发漏洞。奇安信CERT已成功复现漏洞。鉴于此漏洞影响范围极大，建议客户尽快做好自查及防护。

Nacos身份认证绕过漏洞安全风险通告

3月14日，奇安信CERT监测到Nacos身份认证绕过漏洞(QVD-2023-6271)，开源服务管理平台Nacos在默认配置下未对token.secret.key进行修改，导致远程攻击者可以绕过密钥认证进入后台，造成系统受控等后果。该系统通常部署在内网，用作服务发现及配置管理，历史上存在多个功能特性导致认证绕过、未授权等漏洞，建议升级至最新版本或修改默认密钥，并禁止公网访问，避免给业务带来安全风险。目前，奇安信CERT已通过技术手段分析出该漏洞并编写出此漏洞验证POC。鉴于该产品用量较多，建议客户尽快做好自查及防护。

Apache Dubbo反序列化漏洞安全风险通告

3月13日，奇安信CERT监测到Apache官方发布安全更新，修复了Apache Dubbo 反序列化漏洞。Apache Dubbo泛化调用时由于反序列化检查机制实现存在缺陷，可访问目标服务的攻击者利用此漏洞可能在服务提供方上执行恶意代码。利用此漏洞需知道接口全限定名、方法名、入参及返参类型。目前，奇安信CERT已通过技术手段分析出该漏洞并编写出此漏洞验证POC。鉴于此产品用量较大，建议客户尽快更新至最新版本。