安全热点周报（2023.12.25-2023.12.31）

安全资讯导视

01 杭州破获重大勒索病毒案：犯罪团伙借助ChatGPT进行程序优化

02 卡巴斯基曝光疑遭NSA利用的苹果硬件“神秘后门”

03 操作系统等7项政府采购需求标准发布施行

政策法规解读

两部门印发《工业领域数据安全标准体系建设指南 (2023版)》

12月29日工信部官网消息，工业和信息化部、国家标准化管理委员会联合印发《工业领域数据安全标准体系建设指南（2023版）》，切实发挥标准对推动工业领域数据安全的技术引领和规范指导。该文件提出，工业领域数据安全标准体系框架分为基础共性、安全管理、技术和产品、安全评估与产业评价、新兴融合领域、工业细分行业六个子体系内容，其中前四个聚焦共性安全，后两个突出特定业务场景安全。该文件要求，到2026年形成较完备的工业领域数据安全标准体系，研制国/行/团标100项以上。

原文链接：

https://www.miit.gov.cn/cms_files/demo/pdfjs/web/viewer.html?file=/cms_files/filemanager/1226211233/attach/20238/f5a9e8e24e1243449371a056a4e06e1f.pdf

操作系统等7项政府采购需求标准发布施行

12月28日财政部官网消息，财政部、工业和信息化部联合发布施行7项政府采购需求标准，分别是操作系统、数据库、通用服务器、工作站、一体式计算机、便携式计算机和台式计算机。该系列文件提出，对于既包含操作系统、数据库、服务器等软硬件产品也包含集成服务的采购项目，采购人应当合理划分采购包，尽可能将操作系统、数据库、服务器等软硬件产品与集成服务分包采购。采购的操作系统、数据库、服务器等软硬件产品总额达到分散采购限额标准的，应当单独分包采购。该系列文件要求，乡镇以上党政机关，以及乡镇以上党委和政府直属事业单位及部门所属为机关提供支持保障的事业单位在采购数据库时，应当将数据库符合安全可靠测评要求纳入采购需求，其他单位可不在采购需求中提出此项要求。

原文链接：

https://gks.mof.gov.cn/guizhangzhidu/

国家金监总局修订发布《银行保险机构操作风险管理办法》

12月27日国家金监总局官网消息，国家金融监管总局对《商业银行操作风险管理指引》进行了修订，形成《银行保险机构操作风险管理办法》，现正式发布，于2024年7月1日起施行。该文件指出，规模较大的银行保险机构应当基于良好的治理架构，加强操作风险管理，做好与业务连续性、外包风险管理、网络安全、数据安全、突发事件应对、恢复与处置计划等体系机制的有机衔接，提升运营韧性，具备在发生重大风险和外部事件时持续提供关键业务和服务的能力。该文件明确要求，银行保险机构应当制定网络安全与数据安全管理制度。

原文链接：

https://www.cbirc.gov.cn/cn/view/pages/ItemDetail.html?docId=1144382&itemId=928

五部门联合印发《深入实施“东数西算”工程加快构建全国一体化算力网的实施意见》

12月25日发改委官网消息，国家发展改革委、国家数据局、中央网信办、工业和信息化部、国家能源局联合印发《深入实施“东数西算”工程加快构建全国一体化算力网的实施意见》。该文件从通用算力、智能算力、超级算力一体化布局，东中西部算力一体化协同，算力与数据、算法一体化应用，算力与绿色电力一体化融合，算力发展与安全保障一体化推进等五个统筹出发，推动建设联网调度、普惠易用、绿色安全的全国一体化算力网。该文件提出，到2025年底，普惠易用、绿色安全的综合算力基础设施体系初步成型，算力网关键核心技术基本实现安全可靠。

原文链接：

https://www.ndrc.gov.cn/xxgk/zcfb/tz/202312/t20231229_1363000.html

美国NASA发布首版太空安全最佳实践指南

12月22日NASA消息，美国国家航空航天局（NASA）发布首版太空安全最佳实践指南，以加强公共部门和私营企业太空活动的网络安全。太空安全最佳实践指南提供了安全实施任务的指导性原则和控制措施，旨在应对当今网络攻击者试图破坏任务所使用的战术、技术和程序（TTPs），保护航天器和地面段。指南采用美国国家标准与技术研究院NIST SP 800-53文件中“安全控制”的定义，并充当NIST术语与NASA飞行项目术语之间的翻译桥梁，适用于各种规模、范围和性质（国际、公司、大学）所有等级的任务、项目和计划。

原文链接：

https://swehb.nasa.gov/download/attachments/146540183/Space%20Security%20Best%20Practices%20Guide%20BPG%20REV%20A.pdf

本周安全大事件

杭州破获重大勒索病毒案：犯罪团伙借助ChatGPT进行程序优化

12月28日新华社消息，杭州上城区网警近日破获一起重大勒索病毒案件，犯罪团伙成员均有网络安防相关资质，且在实施犯罪过程中借助ChatGPT进行程序优化。11月20日，上城网警接到辖区某公司报案称，该公司名下相关服务器遭勒索病毒攻击，导致公司所有系统无法正常运行，对方勒索2万USDT（泰达币）。警方随即组建技术攻坚团队开展侦查。专案组对被攻击服务器进行细致勘验、提取木马程序进行分析和对嫌疑人勒索使用的虚拟币地址进行多维度研判，成功抓捕4名犯罪嫌疑人。该团伙4人均有网络安防相关资质，且有供职大型网络科技公司经历。他们对分工负责编写勒索病毒版本、借助ChatGPT进行程序优化、开展漏洞扫描、渗透获取权限、植入勒索病毒、实施敲诈勒索的犯罪事实供认不讳。

原文链接：
http://www.news.cn/legal/20231228/210f911fb6ad4566aeef04f6bc4dcfe3/c.html

卡巴斯基曝光疑遭NSA利用的苹果硬件“神秘后门”

12月27日Bleeping Computer消息，卡巴斯基在年关时分披露了苹果处理器“后门漏洞”，为连载半年多的三角定位间谍软件行动收官。CVE-2023-38606滥用苹果预留未公开的隐蔽硬件特性，绕过了系统保护措施，攻击者利用该漏洞对卡巴斯基、驻俄中国大使馆等多个组织实施了攻击。俄罗斯官方认为，美国NSA使用苹果提供的硬件后门发起了这次攻击，但尚无坐实这些指控的明确证据。卡巴斯基推测，这个未记录的硬件特性之所以包含在最终供消费者使用的iPhone版本中，可能是出于错误，或者是为了方便苹果工程师进行调试和测试。苹果通过更新设备树限制物理地址映射修复了这个漏洞。但是，仍然不清楚攻击者最初是如何发现这种如此隐蔽的可利用机制。

原文链接：
https://www.bleepingcomputer.com/news/security/iphone-triangulation-attack-abused-undocumented-hardware-feature/

重点关注漏洞

Apache OFBiz远程代码执行漏洞安全风险通告

12月29日，奇安信CERT监测到Apache OFBiz远程代码执行漏洞(CVE-2023-51467)，由于在ofbiz 18.12.10版本中官方仍未修复CVE-2023-49070漏洞中的权限绕过漏洞，导致未经身份认证的远程攻击者仍能够利用此漏洞绕过身份认证。远程未授权攻击者利用此漏洞结合后台相关功能可执行任意代码，接管目标服务器。目前奇安信CERT已成功复现该漏洞，鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

完

精彩推荐

本期周报内容由安全内参&虎符智库&奇安信CERT联合出品！