安全热点周报（2023.5.8-2023.5.14）

《北京市智能网联汽车政策先行区数据安全管理办法（试行）》发布

原文链接：

https://mp.weixin.qq.com/s/HfVIlzgKzbYP6IjUVRrIRw

欧盟议会内部委员会通过《人工智能法案》草案

5月11日新华社消息，欧洲议会内部市场委员会和公民自由委员会通过《人工智能法案》提案的谈判授权草案，向立法严格监管人工智能技术的应用迈出关键一步。新文本将严格禁止“对人类安全造成不可接受风险的人工智能系统”，包括有目的地操纵技术、利用人性弱点或根据行为、社会地位和个人特征等进行评价的系统等。谈判授权草案还要求人工智能公司对其算法保持人为控制，提供技术文件，并为 “高风险”应用建立风险管理系统。每个欧盟成员国都将设立一个监督机构，确保这些规则得到遵守。

这一草案将于6月中旬提交欧洲议会全会表决，之后欧洲议会将与欧盟理事会就法律的最终形式进行谈判。欧洲议会的声明说，一旦获得批准，这将成为全世界首部有关人工智能的法规。

原文链接：

http://www.news.cn/world/2023-05/12/c_1129608982.htm

《公路水路关键信息基础设施安全保护管理办法》公布，将于6月起施行

原文链接：

https://xxgk.mot.gov.cn/2020/jigou/fgs/202305/P020230506559982316394.pdf

工业自动化巨头ABB遭遇勒索软件攻击，业务运营受影响

5月11日BleepingComputer消息，国际工业自动化巨头ABB遭受了Black Basta 勒索软件攻击，短暂影响了公司业务运营。ABB多名员工透露，勒索软件攻击了公司的Windows Active Directory，影响了数百台设备，ABB被迫终于与客户的VPN连接，以防止勒索软件传播至其他网络，据称这次攻击扰乱了公司运营，推迟了项目并使工厂受影响。ABB官方称，公司采取遏制措施控制IT安全事件，导致业务受到一些干扰，目前正在处理。ABB绝大多数系统和工厂现在都处于运行状态。

英国最大外包公司因勒索攻击损失1.75亿元，股价大跌

5月10日TheRecord消息，英国外包巨头Capita在今年3月遭遇勒索软件攻击。该公司昨日表示，应对此次事件可能将花费高达2000万英镑（约合人民币1.75亿元），包括“专家服务费、恢复与补救成本及加强对Capita网络安全环境的投资等。”Capita还表示，“客户、供应商和内部员工的数据”可能已经被盗。Black Basta勒索软件团伙宣布对此次攻击负责。该团伙已经将Capita列入受害者名单，并公布了明显窃取自该公司的数据，包括家庭住址和护照照片。

宏景eHR SQL注入漏洞安全风险通告

5月12日，奇安信CERT监测到宏景eHR SQL注入漏洞(QVD-2023-11385)，未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令，从而窃取数据库敏感信息。目前奇安信CERT已成功复现该漏洞，鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。宏景eHR人力资源管理软件是一款人力资源管理与数字化应用相融合，满足动态化、协同化、流程化、战略化需求的软件。

Windows MSHTML Platform安全特性绕过漏洞安全风险通告

5月11日，奇安信CERT监测到Windows MSHTML Platform 安全特性绕过漏洞(CVE-2023-29324)，在Windows MSHTML中，由于Windows处理路径函数CreateUri 错误的转换了某些路径，导致攻击者可以构造恶意路径绕过CVE-2023-23397 Microsoft Outlook权限提升漏洞防护措施。目前奇安信CERT已成功复现该漏洞，鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。 

GitLab代码执行漏洞安全风险通告

5月8日，奇安信CERT监测到GitLab代码执行漏洞(CVE-2023-2478)，经过身份认证的远程攻击者利用此漏洞可以通过GraphQL端点将恶意Runner附加到实例上的任何项目上，进一步利用可能造成代码执行或敏感信息泄露。鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。