安全热点周报（2024.1.1-2024.1.7）

安全资讯导视

01 国家安全部披露境外机构非法窃取我国航空数据活动

02 黑客攻击全国21个省市社保/医疗等系统，“爬取”公民信息获利500余万

03 《铁路关键信息基础设施安全保护管理办法》公布

政策法规解读

《网络安全信息报送指南》等5项网络安全国家标准获批发布

1月5日全国信安标委公众号消息，根据2023年12月28日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2023年第20号），全国信息安全标准化技术委员会归口的5项网络安全国家标准正式发布。具体包括两项修订标准《信息安全技术信息安全管理体系概述和词汇》《信息安全技术射频识别（RFID）系统安全技术规范》，三项新标准《信息安全技术网络安全信息报送指南》《信息安全技术电子发现第1部分：概述和概念》《信息安全技术通用密码服务接口规范》。

原文链接：

https://mp.weixin.qq.com/s/HFzrQzhc2O9Ks7uK2-zf7A

十七部门联合印发《“数据要素×”三年行动计划（2024—2026年）》

1月4日国家数据局公众号消息，国家数据局、中央网信办、科技部等时期部门联合制定了《“数据要素×”三年行动计划（2024—2026年）》，现公开印发。该文件共五章，包括背景介绍、总体要求、十二项重点行动、三项保障支撑举措、五项组织实施措施。该文件提出，到2026年底打造300个以上示范性强、显示度高、带动性广的典型应用场景，数据产业年均增速超过20%，推动数据要素价值创造的新业态成为经济增长新动力。在保障支撑举措“加强数据安全保障”中，该文件提出了落实数据安全法规制度、丰富数据安全产品、培育数据安全服务三方面内容。

原文链接：

https://mp.weixin.qq.com/s/YyhLQo4lZIFNMiyupdvO1A

《铁路关键信息基础设施安全保护管理办法》公布

1月3日交通运输部官网消息，交通运输部公布了《铁路关键信息基础设施安全保护管理办法》，自2024年2月1日起施行。该文件共6章30条，包括总则、铁路关键信息基础设施认定、运营者责任和义务、保障和监督、法律责任、附则。该文件提出，铁路关键信息基础设施是指在铁路领域，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生和公共利益的重要网络设施、信息系统等。铁路关键信息基础设施的网络安全保护等级应当不低于第三级。任何个人和组织不得实施非法侵入、干扰、破坏铁路关键信息基础设施的活动，不得危害铁路关键信息基础设施安全。

原文链接：

https://xxgk.mot.gov.cn/2020/jigou/fgs/202401/t20240104_3980678.html

美国防部发布关于承包商网络安全合规计划CMMC的拟议规则

2023年12月26日美国联邦公报消息，美国国防部在《联邦公报》上发布针对网络安全成熟度模型认证（CMMC）计划的拟议规则，要求国防承包商必须获得CMMC认证才能获得订单。该规则确定了网络安全要求的分层模型，要求承包商根据信息的敏感性实施三级网络安全标准。其中，第1级针对涉及联邦合同信息（FCI）的合同，要求承包商必须遵守《美国联邦采购法规》52.204-21规定的15项安全要求；第2级适用于涉及受控非机密信息（CUI）的合同，承包商除需遵守第1级要求外，还必须遵守《NIST SP 800-171 Rev2》中规定的110项安全要求；第3级旨在增强CUI抵御高级持续威胁的保护，承包商除在第2级基础上，还需遵守《NIST SP 800-172 Rev2》中选定的24项安全要求。据新规估算，美国国防工业企业每年将为此增加超40亿美元的网络安全支出。

原文链接：
https://www.federalregister.gov/documents/2023/12/26/2023-27280/cybersecurity-maturity-model-certification-cmmc-program

本周安全大事件

国家安全部披露境外机构非法窃取我国航空数据活动

1月6日国家安全部公众号消息，国家安全部发布文章《航空爱好者切莫变为“窃密志愿者”》称，发现多个境外机构以免费提供设备、共享航空信息为诱饵，依托网络社交平台面向境内航空爱好者精准招募“志愿者”，并跨境邮寄设备，指挥“志愿者”在我境内非法采集、向境外秘密传输我国飞行器飞行数据。这些境外机构在我国渤海、东海、南海周边省份大量投放此类设备，不仅窃取民用航空数据，甚至还能窃取军用航空器等敏感数据信息。经测算，每台设备每天可向境外发送约1000架次飞机的飞行数据和约13万条位置数据。按照覆盖半径300公里至400公里计算，仅需投放约300台设备，即可对我全空域飞机飞行数据实现监测覆盖。针对上述非法窃取我敏感数据的行为，国家安全机关会同有关部门在全国范围内开展了专项打击，及时查获数百套已在境内投放的设备，依法对有关人员进行处罚。

原文链接：
https://mp.weixin.qq.com/s/7HNLRAoAnOpv_i3Rd5xA4g

黑客攻击全国21个省市社保/医疗等系统，“爬取”公民信息获利500余万

1月5日检察日报消息，四川省成都市新都区检察院公布了一起利用技术手段非法窃取公民个人信息案，法院近日以侵犯公民个人信息罪判处王某等人有期徒刑三年至十个月不等。经查，2021年初至2022年7月，王某等人通过网络渠道委托黑客，利用搜集到的各种政府、企业网络平台的接口漏洞，通过对接口进行数据抓包、参数解析等，开发出100余款黑客软件。王某等人利用相关黑客软件，先后入侵全国21个省市的社保、医疗等共计29个行业的51个系统，“爬取”包括姓名、身份证号、手机号码、工作单位、家庭成员、社保缴纳等在内的公民个人信息，并贩卖给相关催债公司。被盗的公民个人信息被催债公司大规模用于数据画像，勾勒人物关系和活动轨迹，由此通过手机短信、微信、抖音等社交平台向欠款人的社会关系人发送催债信息。通过梳理固定涉案数据、司法鉴定意见及审计的获利情况，该院认定该团伙非法获利达500余万元。

原文链接：
https://newspaper.jcrb.com/2024/20240105/20240105_004/20240105_004_3.htm

电信巨头Orange西班牙公司关键账号被盗，导致国内大面积断网

1月3日Bleeping Computer消息，国际电信巨头Orange西班牙公司的RIPE账号被盗，攻击者将其网络核心配置（BGP和RPKI）改为无效，导致全国互联网中断了大约3小时。Orange西班牙是西班牙最大的移动运营商之一，此次网络中断大约持续了3个小时。据悉，攻击者在信息窃取软件的数据集中发现了此次被利用的账号（未启用双因子认证），为了“找乐子”实施了此次攻击。

原文链接：
https://www.bleepingcomputer.com/news/security/hacker-hijacks-orange-spain-ripe-account-to-cause-bgp-havoc/

澳大利亚地方法院遭勒索攻击：敏感案件数据泄露司法权威性被破坏

1月2日ABC消息，澳大利亚维多利亚州法院系统遭受网络攻击，维多利亚州法院服务局（CSV）发言人表示，黑客侵入了法院系统的音视频存档区域。这意味着高度敏感案件的证人证词等听证录音可能已被访问或窃取。相关录音覆盖了2023年11月1日至12月21日期间的听证会，也可能包括11月之前的部分听证会。CSV正在努力通知出庭记录遭黑客访问的人，并计划设立一个联系中心，向自认为受攻击影响者提供服务。有安全专家认为，攻击者是使用Qilin勒索软件的俄罗斯黑客。

原文链接：
https://www.abc.net.au/news/2024-01-02/victoria-court-system-targeted-in-cyber-attack-russian-hackers/103272118

重点关注漏洞

Google Chrome WebRTC 堆缓冲区溢出漏洞(CVE-2023-7024)

近日，奇安信CERT监测到Google发布Google Chrome WebRTC 堆缓冲区溢出漏洞(CVE-2023-7024)公告。Google Chrome版本120.0.6099.129之前在WebRTC框架中存在堆缓冲区溢出漏洞，未经身份认证的远程攻击者诱导受害者点击特制的链接，成功利用该漏洞将导致应用程序崩溃或任意代码执行等。该漏洞目前已被CISA添加在已知的被利用漏洞目录中。鉴于该漏洞已发现在野利用，建议客户尽快做好自查及防护。

Spreadsheet-ParseExcel 代码执行漏洞(CVE-2023-7101)

近日，奇安信CERT监测到Spreadsheet-ParseExcel代码执行漏洞(CVE-2023-7101)。Spreadsheet-ParseExcel是一个Perl编写的处理XLS、XLSX文件的perl库，其中使用eval来比较执行，但其源数据来源于文件内，攻击者可以构造恶意文件并使用该库解析，从而注入恶意perl代码，造成代码执行。该漏洞目前已被CISA添加在已知的被利用漏洞目录中。鉴于该漏洞已发现在野利用，建议客户尽快做好自查及防护。

完

精彩推荐

本期周报内容由安全内参&虎符智库&奇安信CERT联合出品！