安全热点周报：中国代工巨头旗下芯片公司遭网络攻击，大量数据外泄并被勒索

安全资讯导视
• 《网络安全技术网络安全运维实施指南》等3项国家标准公开征求意见
• 中国代工巨头旗下芯片公司遭网络攻击，大量数据外泄并被勒索
• 史无前例！美国医疗IT巨头因勒索攻击初步损失超60亿元

PART 01

漏洞情报

1.kkFileView远程代码执行漏洞安全风险通告

4月19日，奇安信CERT监测到kkFileView发布新版本修复了kkFileView 远程代码执行漏洞(QVD-2024-14703)。kkFileView的文件上传功能存在ZIP路径穿越问题，导致攻击者可以通过上传恶意构造的ZIP包覆盖任意文件，并通过调用Libreoffice执行任意Python代码。kkFileView是使用Spring Boot搭建的文件文档在线预览解决方案，支持主流办公文档的在线预览。目前该漏洞技术细节与PoC已在互联网上公开，鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

2.IP-guard WebServer权限绕过漏洞安全风险通告

4月18日，奇安信CERT监测到IP-guard WebServer权限绕过漏洞(QVD-2024-14103)在互联网上公开，由于IP-guard WebServer的权限验证机制中存在设计缺陷，远程攻击者能够规避安全验证，通过后端接口执行文件的任意读取和删除操作。IP-guard是由广州市溢信科技股份有限公司开发的一款终端安全管理软件，旨在帮助企业保护终端设备安全、数据安全、管理网络使用和简化IT系统管理。奇安信CERT已复现此漏洞，鉴于该漏洞影响范围较大，利用简单，建议客户尽快做好自查及防护。

3.Palo Alto Networks PAN-OS命令注入漏洞安全风险通告

4月15日，奇安信CERT监测到Palo Alto Networks PAN-OS命令注入漏洞(CVE-2024-3400)，Palo Alto Networks PAN-OS软件的GlobalProtect功能中针对特定PAN-OS版本和不同功能配置下，未经身份验证的攻击者可能利用此漏洞在防火墙上以ROOT权限执行任意代码。目前该漏洞已发现在野利用。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

PART 02

安全事件

1.Palo Alto Networks 披露关键 PAN-OS 漏洞的更多细节

Palo Alto Networks 分享了影响 PAN-OS 的关键安全漏洞的更多细节，该漏洞已被恶意行为者在野外积极利用。该公司将该漏洞描述为“错综复杂”，该漏洞被跟踪为CVE-2024-3400（CVSS评分：10.0），并且是该软件的PAN-OS 10.2、PAN-OS 11.0和PAN-OS 11.1版本中两个错误的组合。值得注意的是，虽然这两个问题本身都不够严重，但当它们链接在一起时，可能会导致未经身份验证的远程 shell 命令执行。

Palo Alto Networks 表示，零日漏洞利用该漏洞背后的威胁行为者 UTA0218 进行了两阶段攻击，以实现在易受攻击设备上执行命令。该活动正在以 Operation MidnightEclipse 的名义进行跟踪。正如Volexity和网络安全公司自己的Unit 42威胁情报部门之前所披露的那样，这涉及发送包含要执行的命令的特制请求，然后通过名为UPSTYLE的后门运行。

Volexity上周指出：“UTA0218设置的初始持久性机制涉及配置一个cron作业，该作业将使用wget从攻击者控制的URL中检索有效负载，其输出被写入stdout并通过管道传递到bash进行执行。

原文链接：

https://ti.qianxin.com/vulnerability/notice-list

2.针对Cisco IMC漏洞发布的PoC漏洞 - 建议紧急更新

针对思科集成管理控制器（IMC）中的一个严重漏洞发布了概念验证（PoC）漏洞。此漏洞标识为 CVE-2024-20356，允许命令注入，并可能使攻击者获得对受影响系统的 root 访问权限。该漏洞存在于 Cisco 集成管理控制器（IMC）的基于 Web 的管理界面中，IMC 是用于远程管理 Cisco 硬件的关键组件。根据思科的官方安全公告，该漏洞是由于IMC界面中的用户输入验证不足造成的。此漏洞允许具有管理权限的经过身份验证的远程攻击者注入恶意命令。

正如 Nettitude 的安全研究人员所展示的那样，该漏洞涉及操纵漏洞以提升权限的几个步骤。通过 Web 界面发送构建的命令，攻击者可以在 Cisco 硬件的底层操作系统上以 root 权限执行任意代码。名为“CISCown”的 PoC 漏洞是 Nettitude 开发的工具包的一部分，可在 GitHub 上找到。它利用目标 IP、用户名和密码等参数来自动利用。该工具包测试漏洞，并允许在受感染的设备上部署telnetd root shell服务。此 PoC 漏洞的发布意味着使用受影响 Cisco 产品的组织处于严重威胁级别。获得 root 访问权限可以让攻击者完全控制硬件，从而可能导致数据被盗、系统停机和进一步的网络泄露。

思科已通过发布解决此漏洞的软件更新来做出回应。

原文链接：

https://ti.qianxin.com/vulnerability/notice-list

3.史无前例！美国医疗IT巨头因勒索攻击初步损失超60亿元

4月16日The Register消息，美国联合健康集团（UnitedHealth）在季度财报中称，为应对子公司Change Healthcare 2月发生的勒索软件攻击事件，2024年第一季度付出的总成本已经达到8.72亿美元（约合人民币63.13亿元）。勒索软件攻击的影响包括5.93亿美元的直接网络攻击响应成本和2.79亿美元的业务中断成本。初步财务分析揭示了勒索攻击事件造成的巨额损失，这一数字尚未包括联合健康集团为受攻击影响的医疗服务提供商，提供的预付资金和无息贷款，据称这部分金额超过60亿美元。该集团警告称，从财务角度看，预计2024年全年网络攻击造成的总成本将在13.5亿美元至16亿美元之间。

原文链接：https://www.theregister.com/2024/04/16/change_healthcares_ransomware_attack_has

4.中国代工巨头旗下芯片公司遭网络攻击，大量数据外泄并被勒索

4月12日Techzine消息，中国智能手机代工巨头闻泰科技旗下荷兰芯片制造商安世半导体（Nexperia）遭到了黑客攻击。实施这次攻击的犯罪团伙Dunghill Leak为未授权渗透测试，声称窃取了1TB敏感数据，但仍要求安世半导体支付费用，否则将放出敏感的商业秘密数据。据悉数据泄露已经开始，数十份机密文件已在暗网上发布。安世半导体确认此次攻击事件发生在3月，并已向警方和荷兰个人数据管理局报告了发现的情况。

原文链接：

https://www.techzine.eu/news/security/118728/dutch-chipmaker-nexperia-hacked-confidential-information-at-risk-of-being-leaked/

5.日本光学仪器巨头遭勒索攻击，被索要超7000万元巨额赎金

4月11日Bleeping Computer消息，日本光学仪器巨头豪雅株式会社（Hoya Corporation）遭到Hunters International团伙的勒索软件攻击，该团伙要求豪雅支付1000万美元赎金（约合人民币7240万元），否则将公开在攻击期间窃取的约1700万份内部文件，总数据量约为2TB。一周前，该公司公开了一起影响生产和订单处理的网络攻击事件，表示多个业务部门的IT系统遭到了中断。公司当时表示正在调查黑客是否已经访问或窃取了其系统中的敏感信息，并指出确定文件是否被盗可能需要一些时间。自4月4日以来，豪雅没有对业务状态进行任何更新，因此可以推测生产仍然受到影响，补救措施仍在进行中。

原文链接：

https://www.bleepingcomputer.com/news/security/optics-giant-hoya-hit-with-10-million-ransomware-demand/

PART 03

政策法规

1.三部门印发《深入推进IPv6规模部署和应用2024年工作安排》

4月19日，中央网信办、国家发展改革委、工业和信息化部联合印发《深入推进IPv6规模部署和应用2024年工作安排》。该文件部署了十个方面重点任务，其中任务九为强化网络安全保障。具体包括加快IPv6安全技术产品研发应用，推动IPv6网络安全技术产品、解决方案创新攻关和验证示范，培育打造一批具有创新性、实效性、普适性的IPv6安全产品和解决方案。加强IPv6网络安全防护和管理监督，指导督促重点行业加强IPv6过渡期网络安全保护，升级IPv6环境下网络安全防护措施。强化IPv6环境下网络安全技术手段建设，提高IPv6网络安全威胁监测处置能力。

原文链接：

https://www.cac.gov.cn/cms/pub/interact/downloadfile.jsp?filepath=ekdHFflbXTKqZLE43DV~bTqTTMp/FiH8rngrujizE9xXEMHk09889yl98Nh~TfkQJZWibuXWt7PQsKEiRrEktJ3MoQYVYfXaOeBYjB154YQ=&fText=%E3%80%8A%E6%B7%B1%E5%85%A5%E6%8E%A8%E8%BF%9BIPv6%E8%A7%84%E6%A8%A1%E9%83%

2.九部门印发加快数字人才培育支撑数字经济发展三年行动方案

4月17日，人力资源社会保障部、中共中央组织部、中央网信办、国家发展改革委、教育部、科技部、工业和信息化部、财政部、国家数据局等九部门印发《加快数字人才培育支撑数字经济发展行动方案（2024－2026年）》。该文件提出用3年左右时间，开展多项行动增加数字人才有效供给，形成数字人才集聚效应。在数字安全人才方面，该文件提出实施数据安全等新职业工程师培育项目，举办数据安全等数字职业竞赛活动，支持各地根据需要增设数字安全等数字领域职称专业。

原文链接：

https://mp.weixin.qq.com/s/hDyqMG0U2azwt0tqDz2Dow

3.《网络安全技术网络安全运维实施指南》等3项国家标准公开征求意见

4月15日，全国网络安全标准化技术委员会归口的3项国家标准现已形成标准征求意见稿，现公开征求意见。3项标准分别是《网络安全技术网络安全运维实施指南》《网络安全技术信息系统灾难恢复规范》《数据安全技术政务数据处理安全要求》。

原文链接：

https://www.secrss.com/articles/65260

4.英国国家网络安全中心发布网络安全评估框架CAF v3.2

4月15日，英国国家网络安全中心（NCSC）发布了网络安全评估框架（CAF）3.2版本。网络安全评估框架是一个目标导向的评估体系，主要针对负责保护关键网络和信息系统的组织，提供了一种系统、全面的方法，用于评估组织网络安全风险管理的成熟度和“网络弹性”。在3.2版本中，NCSC通过分析全球关键基础设施遭受的各种网络攻击，对3.1版本中有关远程访问、特权操作、用户访问级别和多因素认证的使用（均包含在框架的B2a和B2c原则中）的部分进行了重大修订。

原文链接：

https://www.ncsc.gov.uk/static-assets/documents/cyber-assessment-framework-v3.2.pdf

5.五眼联盟联合发布《安全部署人工智能系统指南》

4月15日，美国国家安全局人工智能安全中心、网络安全与基础设施安全局、联邦调查局与澳大利亚、加拿大、新西兰、英国政府网络安全机构联合发布《安全部署人工智能系统指南》。该指南旨在为部署和运行由其他实体设计和开发的人工智能系统的组织提供最佳实践，提高人工智能系统的机密性、完整性和可用性，并确保已知的人工智能系统的网络安全漏洞得到适当的缓解。该指南还提供了一些方法和控制措施，以保护、检测和应对针对人工智能系统及其相关数据和服务的恶意活动。人工智能安全近期备受关注，此前2023年11月，由英国国家网络安全中心牵头，18国23家政府安全机构联合发布了《安全人工智能系统开发指南》。

原文链接：

https://media.defense.gov/2024/Apr/15/2003439257/-1/-1/0/CSI-DEPLOYING-AI-SYSTEMS-SECURELY.PDF

6.美国众议员提出《建立水务风险和弹性组织法案》

4月11日，美国众议院议员Rick Crawford和John Duart联合提出《建立水务风险和弹性组织法案》。该法案要求成立一个新的第三方机构，负责管理和更新水务关键基础设施行业的网络安全要求，以加强饮用水和废水系统的网络安全保护。该法案采用了与美国电力行业相似的策略，北美电力可靠性公司和联邦电力监管委员会负责管理全美电网的网络安全工作。该立法是对美国环保署和国家安全事务部官员于3月发出的公开信的回应。当时，这两个部门敦促各州州长解决其水务系统的网络安全漏洞。

原文链接：

https://crawford.house.gov/posts/reps-crawford-and-duarte-introduce-legislation-to-protect-water-systems-from-cyber-threats

往期精彩推荐

本期周报内容由安全内参&虎符智库&奇安信CERT联合出品！