安全热点周报（2024.4.1-2024.4.7）

安全资讯导视
• 《数据安全技术基于个人请求的个人信息转移要求》等4项国家标准公开征求意见
• 美国CISA发布关键基础设施网络事件报告拟议规则
• 连锁药房系统遭网络攻击，导致爱沙尼亚近半人口数据泄露

PART 01

漏洞情报

1.JumpServer多个高危漏洞安全风险通告

4月1日，奇安信CERT监测到JumpServer 远程代码执行漏洞(CVE-2024-29201)、JumpServer 后台模板注入漏洞(CVE-2024-29202)。在CVE-2024-29201中，攻击者可以绕过 JumpServer 的 Ansible 中的输入验证机制，在 Celery 组件中执行任意代码；在CVE-2024-29202中，攻击者可以利用 JumpServer 的 Ansible 中的 Jinja2 模板注入漏洞在 Celery 组件中执行任意代码。由于 Celery 组件以 root 权限运行并具有数据库访问权限，因此攻击者可以从所有主机窃取敏感信息或操纵数据库。鉴于这些漏洞影响范围较大，建议客户尽快做好自查及防护。

PART 02

新增在野利用

1.Android Pixel 信息泄露漏洞(CVE-2024-29745)

Android Pixel 在用于支持解锁、刷新和锁定受影响设备的 fastboot 固件中包含信息泄露漏洞。CVE-2024-29745（信息泄露）：黑客可能利用此漏洞泄露设备上存储的敏感数据。

谷歌已经修复了两个被法证公司利用的 Google Pixel 零日漏洞，无需 PIN 码即可解锁手机并访问手机中存储的数据。

CVE-2024-29745 在 Pixel 的引导加载程序中被标记为高严重性信息泄露漏洞，而 CVE-2024-29748 被描述为 Pixel 固件中的高严重性特权提升漏洞。

GrapheneOS的安全研究人员在X上透露，他们发现取证公司积极利用这些漏洞。这些漏洞允许公司解锁和访问他们可以物理访问的 Google Pixel 设备上的内存。

几个月前，GrapheneOS 发现并报告了这些缺陷，公开分享了一些信息，但未披露细节，以避免在补丁尚未可用时助长广泛的利用。

“CVE-2024-29745 是指用于支持解锁/刷新/锁定的 fastboot 固件中的一个漏洞，”GrapheneOS 通过 X 上的一个线程解释道。

“取证公司正在 Pixels 和其他设备上将处于'首次解锁后'状态的设备重新启动到快速启动模式，以利用那里的漏洞，然后转储内存。”

Google 通过在启动快速启动模式时将内存归零，并在清零过程完成后仅启用 USB 连接来实施修复，从而使攻击变得不切实际。

参考链接：

https://securityonline.info/cve-2024-29745-cve-2024-29748-critical-google-pixel-flaws-exploited-update-immediately/

2.Android Pixel 权限提升漏洞(CVE-2024-29748)

Android Pixel 包含一个权限提升漏洞，允许攻击者中断由设备管理应用程序触发的恢复出厂设置。CVE-2024-29748（特权提升）：攻击者可能会获得对您设备的未经授权的控制，可能会访问个人信息，甚至安装恶意软件。

对于 CVE-2024-29748，GrapheneOS 表示，该缺陷允许本地攻击者绕过使用设备管理 API 的应用程序发起的出厂重置，从而使此类重置不安全。

GrapheneOS 告诉 BleepingComputer，谷歌对这个漏洞的修复是部分的，而且可能是不充分的，因为仍然可以通过切断设备电源来阻止擦除。

GrapheneOS 表示，它正在研究更强大的胁迫 PIN/密码实施方案以及无需重启的安全“紧急擦除”操作。

参考链接：

https://www.bleepingcomputer.com/news/security/google-fixes-two-pixel-zero-day-flaws-exploited-by-forensics-firms/

PART 03

安全事件

1.连锁药房系统遭网络攻击，导致爱沙尼亚近半人口数据泄露

4月4日Cybernews消息，连锁药房Apotheca的系统遭到破坏，导致爱沙尼亚近一半人口的个人数据泄露。该国执法人员调查称，此次违规行为影响了Apotheca的会员及另外两家连锁店Apotheca Beauty、PetCity的用户。被盗数据库由Allium UPI运营，该公司主要经营药品和医院用品。Allium UPI在2月首次报告了此事件，称其管理的会员卡系统遭到破坏，客户的个人代码、购买数据和联系数据被网络犯罪分子获取。执法人员调查后确认，被盗信息包含近70万人个人ID、超40万封电子邮件、近6万个家庭地址、约3万个电话号码及约4300万次购买的详细信息，运营商Allium UPI未采取足够的安全措施，导致系统被入侵。

原文链接：

https://cybernews.com/news/data-leak-hits-700000-estonians

PART 04

政策法规

1.美国CISA发布关键基础设施网络事件报告拟议规则

4月4日，美国网络安全和基础设施安全局(CISA)发布关键基础设施网络事件报告拟议规则，基于2022年《关键基础设施网络事件报告法案》授权，制定了关键基础设施如何向政府报告网络攻击事件的细则要求。这是美国联邦政府首次提出一套跨关键基础设施部门的全面网络安全规则。CISA正在就规则草案征求公众意见，为期60天。CISA估计，未来11年该规定的合规成本将达到26亿美元，即每年约2.3亿美元，其中行业成本为14亿美元，联邦政府成本为12亿美元。

原文链接：

https://www.federalregister.gov/documents/2024/04/04/2024-06526/cyber-incident-reporting-for-critical-infrastructure-act-circia-reporting-requirements

2.《数据安全技术基于个人请求的个人信息转移要求》等4项国家标准公开征求意见

4月3日，全国网络安全标准化技术委员会归口的4项国家标准已形成标准征求意见稿，现公开征求意见。4项标准分别为《数据安全技术基于个人请求的个人信息转移要求》《数据安全技术数字水印技术实现指南》《网络安全技术生成式人工智能预训练和优化训练数据安全规范》《网络安全技术生成式人工智能数据标注安全规范》。

原文链接：

https://mp.weixin.qq.com/s/I6i3Kl6Dnsq4aQinidGTCg

3.美国防部发布《2024年国防工业基础网络安全战略》

3月28日，美国国防部发布《2024年国防工业基础网络安全战略》，旨在加强美国防部与国防工业基础（DIB）合作，进一步协调和统筹资源，以提高美国国防供应商和生产商的网络安全。该战略旨在通过涵盖2024财年至2027财年的总体愿景和使命来增强DIB的网络安全和网络弹性，即“安全、有弹性、技术先进的国防工业基础”和“通过保护敏感信息、作战能力和产品完整性，确保美国作战能力的生成、可靠性和维持”。该战略概述了四项主要目标，包括加强DBI网络安全治理结构、增强DIB网络安全态势、保持关键DIB功能的弹性、改善与DIB的网络安全合作。

原文链接：

https://media.defense.gov/2024/Mar/28/2003424523/-1/-1/1/DOD_DOB_CS_STRATEGY_DSD_SIGNED_20240325.PDF

往期精彩推荐

本期周报内容由安全内参&虎符智库&奇安信CERT联合出品！