安全热点周报(2024.1.22-2024.1.28)

安全资讯导视
• 北京某科技公司开发教学系统泄露个人信息，被罚款10万元
• 微软内网遭撞库攻击：高管邮件数据被盗，法务/安全部门也被访问
• 美国防部发布第8585.01指示《国防部网络红队》

PART 01

政策法规

1.九部门联合印发《原材料工业数字化转型工作方案（2024—2026年）》

1月25日工信部官网消息，工业和信息化部、国家发展改革委、财政部、自然资源部、生态环境部、国资委、市场监管总局、中国科学院、中国工程院等九部门联合印发《原材料工业数字化转型工作方案（2024—2026年）》。该文件提出强化基础能力、深化赋能应用、加强主体培育等四方面14项主要任务，在加强网络与数据安全治理任务中，要求落实工业互联网安全分类分级管理要求，持续完善全流程数据安全工作机制，推动企业建立工控安全管理制度等。

原文链接：https://www.miit.gov.cn/cms_files/filemanager/1226211233/attach/202312/1152c2a7d7cc4e9593792371da7df498.pdf

2.两院两党联合发起！美国提出农业与食品网络安全法案

1月25日CyberScoop消息，美国国会两院两党议员共同发起《农业与食品网络安全法》，旨在加强食品和农业部门的网络安全保障、提升美国食品供应的弹性。此前，2021年一起勒索软件事件曾影响了美国消费者的肉类供应。该法案建议，美国农业部长每两年分析一次食品和农业部门的网络安全威胁和漏洞，并向国会报告研究结果。法案还提出，美国农业部、国土安全部、卫生与公共服务部部长与国家情报总监合作，每年组织一次跨部门演习，练习如何处理与食品相关的网络中断和紧急情况。

原文链接：https://cyberscoop.com/farm-and-food-cybersecurity-act/

3.美国防部发布第8585.01指示《国防部网络红队》

1月11日美国防部官网消息，美国防部首席信息官办公室发布《国防部网络红队》，概述了美国防部网络红队总体政策、各军事领导人相应职责以及有关程序。该文件指出，网络红队是一种特殊类型的网络评估团队，为美国防部执行大量网络任务。网络红队可以支持网络、系统或资源的运行和开发测试，以查找内部或外部行为者可能利用来影响国防部信息或系统机密性、完整性和可用性的漏洞。网络红队被授权在履行采购测试员、操作漏洞评估员、网络假想敌侵略者三类角色时，跨DoDIN边界开展网络操作行动。网络红队操作须经组成部分指定的授权官员授权才能访问特定事件的飞地和系统。

原文链接：https://www.esd.whs.mil/Portals/54/Documents/DD/issuances/dodi/858501p.pdf

PART 02

安全事件

1.北京某科技公司开发教学系统泄露个人信息，被罚款10万元

1月22日网信衡阳公众号消息，北京某科技公司在衡阳从事做软件业务开发，对所开发应用的网站数据库存在未授权访问漏洞，泄露了公民的个人信息。衡阳市网信办依据《数据安全法》对该科技公司予以行政处罚。经调查核实，该科技公司主要为教育类单位提供互联网软件应用与开发服务。2023年1月，该公司开发了一家网站用于教学，同时也存储了包含用户姓名、手机号、电子邮箱在内的大量个人信息。该公司在开展数据处理活动时，未建立健全全流程数据安全管理制度，未组织开展数据安全教育培训，未采取相应的技术措施和其他必要措施，保障数据安全。并且，在开展数据处理活动时并未加强风险监测，造成个人信息的泄露等问题，该公司管理的网站存在未履行数据安全保护义务的违法行为。

原文链接：https://mp.weixin.qq.com/s/mf-Gdm9-yAj7YgwKhyrTAg

2.芬兰云服务商遭勒索攻击，导致瑞典众多公共机构系统瘫痪

1月22日TheRecord消息，芬兰云托管服务提供商Tietoevry披露，旗下位于瑞典的一个数据中心近日“部分受到勒索软件攻击”，攻击者使用了Akira勒索软件即服务工具，导致大量客户受影响，包括瑞典薪酬和人力资源公司Primula、连锁电影院Filmstaden、零售商Rusta与Granngården等。Primula公司客户众多，涵盖了瑞典大部分大学和30多家政府机构。攻击事件导致这些组织的员工无法提交事假申请或报销申请。Granngården宣布自当天起关闭全国范围内的日用品店。Tietoevry表示正在调查此事并报警，但无法估计系统恢复时间。

原文链接：https://therecord.media/tietoevry-ransomware-attack-sweden-cloud-services-datacenter

3.微软内网遭撞库攻击：高管邮件数据被盗，法务/安全部门也被访问

1月20日ArsTechnica消息，美国微软公司在1月19日晚间向美国证交会提交文件披露，俄罗斯政府支持的黑客组织“午夜暴雪”（Midnight Blizzard）利用弱密码侵入公司网络，访问了高管及安全、法务团队成员的电子邮件和文件。据披露信息分析，微软网络内某台设备使用了弱密码，没有启用双因素认证。俄罗斯黑客组织通过不断尝试先前已暴露密码或常用密码，最终成功猜中了正确密码。攻击者随后完成帐号访问，说明微软没有启用双因素认证，或者这一保护措施被绕过。所谓“遗留的非生产测试租户帐号”的配置，正好让“午夜暴雪”得以侵入微软部分最高级别、最敏感的员工帐号。这是多年以来至少第二次，微软因不遵守基本网络卫生而导致可能伤害客户的漏洞。

原文链接：https://arstechnica.com/security/2024/01/microsoft-network-breached-through-password-spraying-by-russian-state-hackers/

PART 03

漏洞情报

1.Jenkins任意文件读取漏洞安全风险通告

1月26日，奇安信CERT监测到Jenkins官方发布新版本修复多个漏洞，其中包括Jenkins任意文件读取漏洞(CVE-2024-23897)。Jenkins处理CLI命令的命令解析器中的expandAtFile功能存在任意文件读取漏洞，未经身份认证的远程攻击者利用该漏洞可以读取部分文件的有限行内容，攻击者经过身份验证或目标Jenkins更改了默认”Security”配置可以通过该漏洞读取任意文件，攻击者进一步利用该漏洞并结合其他功能可能导致任意代码执行。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

2.GoAnywhere MFT身份认证绕过漏洞安全风险通告

1月25日，奇安信CERT监测到GoAnywhere MFT身份认证绕过漏洞(CVE-2024-0204)，未经身份验证的远程攻击者可利用该漏洞绕过身份认证创建管理员用户。GoAnywhere MFT是一种安全的托管文件传输软件解决方案，可简化系统、员工、客户和贸易合作伙伴之间的数据交换。鉴于该漏洞影响较大，建议客户尽快做好自查及防护。

3.Apple WebKit代码执行漏洞安全风险通告

1月23日，奇安信CERT监测到 Apple WebKit代码执行漏洞(CVE-2024-23222)，由于类型混淆，WebKit在处理恶意制作的Web内容可能会导致任意代码执行，攻击者可以诱使受害者访问恶意网站触发漏洞。鉴于该漏洞影响范围极大，且存在在野利用，建议客户尽快做好自查及防护。

往期精彩推荐

本期周报内容由安全内参&虎符智库&奇安信CERT联合出品！