安全热点周报（2023.12.18-2023.12.24）

安全资讯导视

01 十四部门联合印发《关于开展网络安全技术应用试点示范工作的通知》

02 北京经信局联合印发《关于打造国家信创产业高地三年行动方案（2023-2025 年）》

03 网络战场失利！伊朗全国大部分加油站数字崩溃，艰难转向手动运营

政策法规解读

《网络安全标准实践指南——大型互联网平台网络安全评估指南》公开征求意见

12月23日全国信安标委官网消息，全国信息安全标准化技术委员会组织编制了《网络安全标准实践指南——大型互联网平台网络安全评估指南（征求意见稿）》，现公开征求意见。本实践指南从影响或者可能影响社会稳定和公共利益的角度，给出了开展大型互联网平台网络安全评估的评估内容和评估方法，为大型互联网平台开展网络安全评估提供参考。

原文链接：

https://www.tc260.org.cn/upload/2023-12-23/1703304324460038090.pdf

北京经信局联合印发《关于打造国家信创产业高地三年行动方案（2023-2025 年）》

12月21日北京经信局官网消息，北京市经济和信息化局、北京经济技术开发区管委会联合印发《关于打造国家信创产业高地三年行动方案（2023-2025 年）》。该文件提出，聚焦基础软件、基础硬件、应用软件、数字安全等主导产业，在技术创新、产业发展、平台建设、服务保障等方面实施七大行动，力争到2025年在全国率先建成技术领先、企业集聚、方案突出、服务完备的信创产业高质量发展体系，信创产业规模突破1000亿元。

原文链接：

https://jxj.beijing.gov.cn/zwgk/zcwj/bjszc/202312/P020231221699440138751.pdf

工信部印发《关于组织开展网络安全保险服务试点工作的通知》

12月21日工信部官网消息，工业和信息化部印发《关于组织开展网络安全保险服务试点工作的通知》，加快推进网络安全保险新模式落地应用。该文件要求，结合现阶段我国网络安全保险现有险种，本次试点险种主要包括网络安全财产类保险和网络安全责任类保险两大类。结合我国网络安全保险发展实际，试点内容包括面向电信和互联网、工业互联网、车联网等重点行业的企业类保险和网络安全产品、信息技术产品，以及网络安全服务类保险。

原文链接：

https://www.miit.gov.cn/jgsj/waj/wjfb/art/2023/art_1f9d212326db4d97bfdd9fba023d087e.html

十四部门联合印发《关于开展网络安全技术应用试点示范工作的通知》

12月18日工信部官网消息，工业和信息化部、国家网信办、人力资源社会保障部等十四部门联合印发《关于开展网络安全技术应用试点示范工作的通知》，部署开展网络安全技术应用试点示范工作。该文件提出，将以新型信息基础设施安全、数字化应用场景安全、安全基础能力提升为主线，面向公共通信和信息服务、人力资源社会保障、水利、卫生健康、应急管理、广播电视、金融、交通运输、邮政等重要行业领域网络和数据安全保障需求，从基础网络安全、云计算安全、人工智能安全、大数据安全、信创安全、商用密码、车联网安全、物联网安全、中小企业数字化转型安全、网络安全共性技术、网络安全创新服务、教育技术产业融合发展联合体、网络安全“高精尖”创新平台等13个重点方向，遴选一批技术先进、应用成效显著的试点示范项目。

原文链接：

https://www.miit.gov.cn/jgsj/waj/gzdt/art/2023/art_671c1baa3ccc44a1a4fb90be0dd7b074.html

本周安全大事件

意大利云服务商被勒索，导致上千个政府机构服务中断、数据丢失

12月19日Security Affairs消息，意大利云服务商Westpole遭遇Lockbit 3.0勒索攻击，导致云上客户、政务服务商PA Digitale服务中断，PA Digitale托管的大量地方政府组织和市政机构无法提供服务。有意大利媒体报道称，由于此次攻击，部分受影响政府机构将无法向员工发放12月工资。意大利国家网络安全局发布声明称，已恢复700多家与PA Digitale相关的国家和地方公共实体数据，但还有约1000家实体数据尚未恢复。

原文链接：
https://securityaffairs.com/156090/cyber-crime/westpole-ransomware-attack.html

网络战场失利！伊朗全国大部分加油站数字崩溃，艰难转向手动运营

12月18日路透社消息，伊朗石油部长Javad Owji表示，一起网络攻击导致境内约七成加油站无法提供服务，后来有一成多的加油站逐步恢复运营。据伊朗国家电视台报道，一家名为Gonjeshke Darande或“掠食麻雀”的组织声称他们是幕后黑手。以色列当地媒体也报道了这一声明。该组织在Telegram上发表声明：“我们以可控的方式实施这次网络攻击，避免对应急服务造成潜在伤害。”此前巴以冲突爆发后，“掠食麻雀”代表接受路透社采访，表示由于伊朗支持哈马斯，他们正在准备在未来对伊朗发动攻击，并“准备了一些攻击‘按钮’”。“掠食麻雀”组织此前曾网络攻击UI；安加油站、铁路网络、钢铁厂等关基设施，并造成重大损害。

原文链接：
https://www.reuters.com/world/middle-east/software-problem-disrupts-iranian-gas-stations-fars-2023-12-18/

非洲国家莱索托央行被黑，国家支付系统瘫痪

12月15日The Record消息，非洲南部小国莱索托近日遭受网络攻击，导致内部部分系统被迫关闭，国家支付服务持续中断服务，当地银行无法相互交易。该行在12日表示，“央行系统11日发生一起网络安全事件。央行已对此展开调查，并正在全天候工作以恢复系统功能。央行向公众保证，尚未遭受任何财务或其他损失。但是，为防止攻击者进一步渗透，央行已暂停部分系统。因此，在系统恢复正常的过程中，某些支付可能遇到延迟。”当地新闻媒体报道称，由于莱索托货币洛蒂与南非兰特挂钩，人们担心此次事件可能会影响汇率。

原文链接：
https://therecord.media/central-bank-lesotho-cyberattack-causes-outages

重点关注漏洞

金蝶Apusic应用服务器JNDI注入漏洞(QVD-2023-48297)安全风险通告

12月22日，奇安信CERT监测到金蝶Apusic应用服务器JNDI注入漏洞(QVD-2023-48297)，金蝶Apusic应用服务器是一款企业级应用服务器，支持Java EE技术，适用于各种商业环境。由于金蝶Apusic应用服务器权限验证不当，导致攻击者可以向loadTree接口执行JNDI注入，造成远程代码执行漏洞。利用该漏洞需低版本JDK。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

金蝶Apusic应用服务器JNDI注入漏洞(QVD-2023-48476)安全风险通告

12月22日，奇安信CERT监测到金蝶Apusic应用服务器JNDI注入漏洞(QVD-2023-48476)，金蝶Apusic应用服务器是一款企业级应用服务器，支持Java EE技术，适用于各种商业环境。由于金蝶Apusic应用服务器权限验证不当，导致攻击者可以向createDataSource接口执行JNDI注入，造成远程代码执行。利用该漏洞需低版本JDK且需要服务器上有数据库驱动。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

Google Chrome WebRTC堆缓冲区溢出漏洞安全风险通告

12月21日，奇安信CERT监测到Google修复Google Chrome WebRTC堆缓冲区溢出漏洞(CVE-2023-7024)，该漏洞存在在野利用，攻击者可通过诱导用户打开恶意链接来利用此漏洞，从而在应用程序上下文中执行任意代码或导致浏览器崩溃。目前，此漏洞已发现在野利用。鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。

金蝶天燕远程代码执行漏洞安全风险通告

12月20日，奇安信CERT监测到金蝶天燕远程代码执行漏洞(QVD-2023-48081)POC及EXP在互联网上流传，该漏洞允许未授权的远程攻击者上传任意文件，最终可能导致远程执行恶意命令，控制服务器等。目前，奇安信CERT已复现此漏洞，经研判该漏洞攻击利用难度低，且EXP已公开，被恶意利用的可能性增大。鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。

Apache Dubbo多个反序列化漏洞安全风险通告

12月18日，奇安信CERT监测到Apache Dubbo发布新版本，修复了Apache Dubbo 反序列化漏洞(CVE-2023-46279)与Apache Dubbo 反序列化漏洞(CVE-2023-29234)。攻击者通过向系统发送恶意数据包利用这些漏洞，成功后可以读取敏感信息或执行恶意代码。鉴于此产品用量较大，建议客户尽快做好自查及防护。

完

精彩推荐

本期周报内容由安全内参&虎符智库&奇安信CERT联合出品！