安全热点周报（2023.10.30-2023.11.5)

安全资讯导视

01 美国白宫发布《关于安全、可靠和可信的人工智能的总统行政令》

02 欧盟《网络弹性法案》提案拟为开源软件安全监管设定规则

03 国家安全部：数百个非法涉外气象探测站点向境外传输数据

政策法规解读

《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求》公开征求意见

11月1日全国信安标委官网消息，全国信息安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求（征求意见稿）》，现公开征求意见。该文件规定了粤港澳大湾区跨境处理个人信息应遵循的基本原则和保护要求，为实施粤港澳大湾区个人信息保护认证提供了认证依据，也为大湾区个人信息处理者规范个人信息跨境处理活动提供参考。该文件提出，大湾区个人信息处理者处理个人信息应遵循合法正当诚信、最小必要、公开透明、质量保障、确保安全、责任明确六大原则。

原文链接：

https://www.tc260.org.cn/upload/2023-11-01/1698813097992054356.pdf

美国白宫发布《关于安全、可靠和可信的人工智能的总统行政令》

10月30日美国白宫官网消息，美国总统拜登签署了《关于安全、可靠和可信的人工智能的总统行政令》，推出白宫有关生成式人工智能的首套监管规定，要求对人工智能进行新的安全评估、公平和民权指引，以及对劳动力市场影响的研究。该行政令要求，大公司在人工智能系统正式发布之前与美国政府分享安全测试结果。它还优先考虑NIST制定的人工智能“红队”标准，即对系统内的防御和潜在问题进行压力测试。美国商务部将制定为人工智能生成的内容加水印的标准。

原文链接：

https://www.whitehouse.gov/briefing-room/presidential-actions/2023/10/30/executive-order-on-the-safe-secure-and-trustworthy-development-and-use-of-artificial-intelligence/

欧盟《网络弹性法案》提案拟为开源软件安全监管设定规则

10月30日Euractiv消息，欧盟政策制定者已就《网络弹性法案》提案的开源软件安全监管初步达成一致意见。提案最新版本提出一套分层监管方法，针对三类开源软件项目制定了对应的义务。一是商业实体独立开发并控制的开源软件，需履行《网络弹性法案》包括基本要求、技术文档、合规标志等在内的所有义务，未履行义务将会被处罚；二是在支持组织（开源软件基金会或管理员）保护下协作开发的，需履行明确但少量的义务，比如制定并推动漏洞处理流程，这类开发者将不会被处罚；三是没有单一实体控制完全协作开发的，将不受《网络弹性法案》管理。

原文链接：

https://www.euractiv.com/section/cybersecurity/news/eu-policymakers-advance-on-open-source-software-support-period-in-new-cybersecurity-law/

美国FTC修改保障规则，要求非银金融机构上报数据泄露事件

10月27日FTC官网消息，美国联邦贸易委员会（FTC）已批准保障规则的修正版，要求非银行金融机构在30天内报告数据泄露和安全事件。该规定适用于抵押贷款经纪公司、汽车经销商（汽车金融）和发薪贷款机构等非银行金融机构，将于明年4月生效。该规定要求，如果发现涉及500名以上消费者信息的安全漏洞，机构必须在30天内向联邦贸易委员会报告事件；如果未加密的消费者信息遭到未授权访问，则需要向消费者通知事件。

原文链接：

https://www.ftc.gov/news-events/news/press-releases/2023/10/ftc-amends-safeguards-rule-require-non-banking-financial-institutions-report-data-security-breaches

本周安全大事件

湖南一中学路由器管理界面遭劫持篡改，当地警方予以罚款并警告

11月2日公安部消息，公安部网安局公众号发布文章《@各学校，赶快检查一下你们的路由器安全吗?》称，2023年7月下旬，湖南省常德市公安局网技支队接到上级线索，鼎城区某中学智慧校园系统路由器被黑客攻击，信息被恶意篡改。经查，该校智慧校园系统IP地址下的路由器存在系统高危漏洞，路由器管理界面已被入侵劫持并篡改，登录该路由器管理界面时会跳转到劫持后的界面。经进一步调查，学校未制定切实有效的网络安全管理制度及应急处理方案，未配置专业的网络安全技术人员，未按规定部署网络日志设备，也未采取防范网络攻击、网络侵入的技术措施。路由器运维方存在未履行日常巡查、软件更新等网络安全保护义务的问题，导致路由器因设备应用管理程序漏洞未及时修补被黑客入侵。依据《中华人民共和国网络安全法》第二十一条、第五十九条之规定，鼎城区公安局对该校及相关主管人员分别依法予以罚款。对运维公司依法予以警告。

原文链接：
https://mp.weixin.qq.com/s/vl05nDcM3oMa_E1lHD1Dlg

德国爆发大规模勒索软件攻击，超70个城市市政服务瘫痪

11月1日The Record消息，德国西部日前发生大规模勒索软件攻击，多个城市和地区的地方政府服务陷入瘫痪。10月30日早上，德国地方市政服务商Südwestfalen IT公司的服务器被未知的黑客团伙加密，为阻止恶意软件传播，该公司限制了70多个城市对基础设施的访问权限。受限城市主要位于德国西部的北莱茵-威斯特法伦州，该地区几乎所有市政府都受到这次黑客攻击的影响。该公司在临时网站上发表声明称，这次攻击令地方政府服务“严重受限”。攻击当天，德国城市锡根大部分IT系统停止运行，市政府被迫取消与市民对话活动。德国警方和网络安全机构正在调查此次黑客攻击，努力帮助市政管理部门恢复服务。

原文链接：
https://therecord.media/massive-cyberattack-hinders-services-in-germany

网络攻击迫使美国五金零售巨头断网停服，顾客只能线下采买

10月31日The Register消息，美国五金零售连锁巨头王牌五金（Ace Hardware）遭受网络攻击，导致旗下零售合作社无法处理在线订单。王牌五金CEO发给零售合作社的一份备忘录层，检测到内部发生一起网络安全事件，导致包括网络、仓库、零售商、客服等诸多关键运营系统中断运行，在线订购等服务无法使用。不过零售合作社还保持营业，顾客可以线下前往购买。王牌五金尚未明确遭受的攻击类型，只表示正在努力恢复系统和运营，并已请数位数字取证专家提供协助。

原文链接：
https://www.theregister.com/2023/10/31/ace_hardware_cyberattack/

国家安全部：数百个非法涉外气象探测站点向境外传输数据

10月31日国家安全部消息，国家安全部公众号发布文章《国家安全机关会同有关部门开展涉外气象探测专项治理》称，发现数百个非法涉外气象探测站点实时向境外传输气象数据，广泛分布在全国20多个省份，对我国家安全造成风险隐患。这些非法涉外气象探测站点，有的探测项目受境外政府直接资助，部分观测点设立在军事单位、军工企业等敏感场所周边，进行海拔核准和GPS定位；有的布设在我主要粮食产区，关联分析我农作物生长和粮食产量；有的甚至长时间、高频次、多点位实时传输至外国官方气象机构，服务于外国国土安全和气象监测。国家安全机关联合气象、保密部门，依法对相关非法活动进行查处，及时阻断气象数据出境的违法行为。

原文链接：
https://mp.weixin.qq.com/s/Jh89i4zfS2YlmiFnsuMXaQ

重点关注漏洞

Microsoft WordPad信息泄露漏洞安全风险通告

11月1日，奇安信CERT监测到Microsoft WordPad信息泄露漏洞(CVE-2023-36563)，WordPad在解析rtf文件包含的ole对象时会尝试访问Linked object的Topic指向的文件，如果Topic是一个UNC路径则会尝试通过网络访问，并尝试使用NTLM认证，导致泄露NTLM hash。鉴于该漏洞影响范围较大，并且已经监测到在野利用,建议客户尽快做好自查及防护。

Atlassian Confluence Data Center&Server授权不当漏洞安全风险通告

10月31日，奇安信CERT监测到Atlassian官方发布Atlassian Confluence Data Center&Server授权不当漏洞(CVE-2023-22518)公告，未经身份认证的远程攻击者可能利用此漏洞破坏服务端的可用性及完整性，可能造成拒绝服务等影响。鉴于此产品用量较大，建议客户尽快做好自查及防护。

完

精彩推荐

本期周报内容由安全内参&虎符智库&奇安信CERT联合出品！