安全热点周报(2023.7.3-2023.7.9)

国家网信办《网络暴力信息治理规定》公开征求意见

原文链接：

http://www.cac.gov.cn/2023-07/07/c_1690295996362667.htm

四部门调整《网络关键设备和网络安全专用产品目录》

原文链接：

http://www.cac.gov.cn/cms/pub/interact/downloadfile.jsp?filepath=ekdHFflbXTKqZLE43DV~bQPSxqDGVU2OsnYJ/ekB55xykeU~Hq7U5F6MkeYHikg6zJOhW2Nj6ZRZUVXUlkDEyTEjTcORl73kmCTdYOvdSjs=&fText=%E7%BD%91%E7%BB%9C%E5%85%B3%E9%94%AE%E8%AE%BE%E5%A4%87%E5%92%8C%E7%BD%91%E7

中国民航局发布《关于落实数字中国建设总体部署 加快推动智慧民航建设发展的指导意见》

原文链接：

http://www.caac.gov.cn/XXGK/XXGK/ZCFB/202306/P020230630434120717723.pdf

美国供水设施又遭黑：加州一水厂核心系统服务器被破坏

7月7日SecurityAffairs消息，美国司法部发布新闻稿称，加州特雷西市居民Rambler Gallo被控对该市愉景湾镇水处理设施发动网络入侵，并蓄意破坏一台计算机。该设施负责全镇1.5万居民的饮用水处理和废水处理。Rambler Gallo在拥有该设施的水处理厂就职期间，故意卸载了水处理厂的主要运行和监控系统，随后关闭了运行这些系统的服务器。该系统保护整个水处理系统各项指标，包括水压、过滤和化学物质水平。Rambler Gallo面临最高10年的监禁和25万美元罚款。

公安部网安局通报多起重点单位网络攻击入侵窃密事件

7月7日公安部网安局公众号消息，公安部6日在京召开维护国家网络和数据安全新闻发布会，公安部网安局相关负责人在会上通报了多起重点单位网络攻击入侵窃密典型案例。2022年4月，四川公安机关破获一起非法侵入控制税务系统案，抓获犯罪嫌疑人4人，查明该团伙虚开发票6231张，非法牟利2000余万。2022年4月，安徽公安机关侦破一起非法控制计算机信息系统案，打掉一个专门从事漏洞扫描、木马植入等违法活动的犯罪团伙，查获木马控制服务器12台、被控主机700余台、虚拟账号17万余组。2022年8月，重庆公安机关侦破一起非法侵入银行系统案，抓获犯罪嫌疑人10名，查明该团伙获取储户信息1300余万条。此外，北京、江苏、陕西、上海、浙江等地公安机关侦办多起境外黑客组织对我能源、军工、金融、教育等领域重点单位实施的网络攻击入侵窃密事件，迅速查明情况、有效堵塞漏洞、及时消除隐患，确保重点单位网络安全。

日本最大港口名古屋港因勒索攻击被迫暂停运营

7月5日BleepingComputer消息，日本最大、最繁忙的港口名古屋港遭受勒索软件攻击，集装箱码头运营受到影响。名古屋港务局5日发布了“名古屋港综合终端系统”（NUTS）故障通知。NUTS系统是控制名古屋港所有集装箱码头的中央系统。通知称，故障原因是当地时间7月4日上午6:30左右发生的一次勒索软件攻击。名古屋港务局正努力恢复NUTS系统，后续官方公告显示，港口系统在6日上午恢复，运营将在下午晚些时候恢复。运营恢复之前，所有使用拖车的码头的集装箱装卸作业已被取消，给港口造成了巨大的财务损失，严重干扰了往来日本的货物流通。

非法盗取人民大学部分学生信息，嫌疑人已被刑事拘留

7月3日南方都市报消息，据微博@平安北京海淀消息，针对“中国人民大学部分学生信息被非法获取”的情况，嫌疑人马某某（男，25岁，该校毕业生）涉嫌非法获取该校部分学生个人信息等违法犯罪行为。目前，马某某已被海淀公安分局依法刑事拘留，案件正在进一步调查中。此前1日有网友爆料称，中国人民大学某毕业生在校期间盗取学校内网数据，收集全校学生个人隐私信息，包括照片、姓名、学号、籍贯、生日等，公开发布在网站上进行颜值打分。目前，该网站已无法进入。

Smartbi登录代码逻辑漏洞安全风险通告

7月3日，奇安信CERT监测到Smartbi官方发布安全更新，修复了Smartbi登录代码逻辑漏洞(QVD-2023-15129)。Smartbi是广州思迈特软件有限公司旗下的商业智能BI和数据分析品牌，为企业客户提供一站式商业智能解决方案。Smartbi身份验证逻辑中存在缺陷，远程攻击者可利用此漏洞绕过身份认证，进一步结合后台接口利用可最终实现远程代码执行。奇安信CERT已复现此漏洞。鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。