安全动态丨网络空间安全动态第228期

一是Linux系统中存在未经身份验证的远程代码执行漏洞；二是FreeBSD披露bhyve虚拟机管理器存在越界读取漏洞；三是集成管理平台Ivanti Cloud Service Appliance中存在路径遍历和命令注入漏洞；四是访问权限管理器SolarWinds Access Rights Manager中存在远程代码执行和硬编码凭证漏洞；五是美CISA警告Adobe Flash Player漏洞正被积极利用。

工信部印发《关于推进移动物联网“万物智联”发展的通知》

9月18日消息，国家互联网信息办公室发布《人工智能生成合成内容标识办法（征求意见稿）》，向社会公开征求意见。办法提出，人工智能生成合成内容是指利用人工智能技术制作、生成、合成的文本、图片、音频、视频等信息。人工智能生成合成内容标识包括显式标识和隐式标识。网络信息服务提供者应当按照有关强制性国家标准的要求进行标识。服务提供者提供生成合成内容下载、复制、导出等方式时，应当确保文件中含有满足要求的显式标识。提供网络信息内容传播平台服务的服务提供者应当采取措施，规范生成合成内容传播活动，包括提供必要的标识功能，并提醒用户主动声明发布内容中是否包含生成合成内容等。（信息来源：新华社）

9月19日消息，中国证券业协会下发《证券公司网络安全事件舆情处置示范案例》，旨在进一步提升证券行业应对突发网络安全事件的能力，加强网络安全事件的应急处置，及时回应舆情，做好投资者安抚和保护，维护行业形象和市场稳定。《示范案例》强调，证券公司要建立网络安全风险及舆情监测和应急处置机制，充分保障投资者等利益相关方对事件进展的知情权，按要求及时向监管机构报告，引导相关事态良性发展。（信息来源：券商中国）

9月23日消息，美商务部工业与安全局发布拟议规则制定通知，以“国家安全”之名，提议禁止销售或进口集成了来自中国或俄罗斯相关特定软硬件的网联车。拟议规则将禁止进口和销售与中国或俄罗斯有联系的、集成到车辆连接系统或自动驾驶系统中的软硬件。拟议规则将适用于公共道路上的所有轮式车，包括汽车、卡车和公共汽车，但不影响农业或采矿车等不在公共道路上使用的车辆。根据该拟议法规，针对软件的禁令将于2027车型年生效、针对硬件的禁令将于2030年车型年或2029年1月1日（无车型年款）生效。（信息来源：美商务部网站

9月20日消息，美空军数字化转型办公室和数字创新与集成卓越中心联合宣布“网络数据模式”（CDS）的初始开源版本已发布。CDS是一个关系型的数据库模式，旨在以机器可读和可查询的格式表示网络安全内容，支持跨平台和工具的网络安全评估与授权。CDS的主要特点包括：扩展性，可轻松扩展以适应新型网络安全内容；互操作性，可实现不同组织间的无缝数据交换，保持不同实体之间网络安全工作的一致性；数据标准化/规范化，可减少冗余并确保不同平台之间数据一致性；评估自动化，简化网络安全评估和授权工作流程。（信息来源：国防科技要闻）

美NIST发布《构建网络安全与隐私学习计划》

9月18日消息，美国家标准与技术研究院（NIST）发布特别出版物（SP）800-50r1（修订版1）《构建网络安全与隐私学习计划》，旨在为美联邦政府和组织减少网络安全和隐私风险提供指导。该文件为美联邦组织提供了建立和维护网络安全和隐私学习计划的指导方针，包括提高认知培训、实践练习和教育计划等。同时指导组织创建战略方案计划，以确保足够资源满足学习目标。文件强调要以制定和管理生命周期的方法建立网络安全和隐私学习计划，鼓励组织创建积极的网络安全和隐私文化以支持学习计划目标的实现。（信息来源：美NIST网站）

9月20日，美国防高级研究计划局（DARPA）的信息创新办公室正在征集提案，以开发用于部署具有隐私和性能保障的韧性隐蔽网络的新技术。DARPA的目标是将软件定义网络方法与新兴技术模型相结合，以测试隐蔽通信系统（HCS）在现实世界中的表现是否符合预期。DARPA表示，提案应重点关注科学、设备和系统方面的突破性进展，并确保所提出的解决方案在性能上优于当前的手动HCS开发流程，同时确保网络保持隐蔽状态。（信息来源：元战略）

9月22日消息，欧盟委员会宣布计划在2025年第二季度前采用新的个人数据跨境传输标准合同条款，这些条款将适用于个人数据从欧洲经济区以内传输给位于欧洲经济区以外但同样受《通用数据保护条例》约束的数据控制者和数据处理者。关于这些条款的公众咨询将于2024年第四季度启动。（信息来源：欧盟委员会网站）

9月19日，联合国人工智能高级咨询机构发布《以人为本的人工智能治理》最终报告，提出七项针对人工智能相关风险和治理空缺的建议：一是设立全球人工智能科学顾问委员会；二是建议就人工智能治理开展新的政策对话；三是建立人工智能标准交流平台，衡量并评估人工智能系统标准；四是建立各国和全球人工智能能力发展网络，以提高治理能力；五是建立全球人工智能基金，以解决能力和协作方面的差距；六是倡导形成全球人工智能数据框架，以确保透明度和问责制；七是提议在联合国秘书处设立一个小型人工智能办公室，以支持和协调提案的实施。（信息来源：Naciones Unidas网站）

9月23日消息，越南政府颁布半导体产业到2030年发展战略和到2050年愿景。越南将按照三个阶段推动半导体产业发展，第一阶段（2024年—2030年）：利用地缘优势、半导体产业人力资源优势，有选择地吸引外商直接投资，发展成为全球半导体人力资源中心之一，形成半导体产业从研究、设计、生产、封装和测试等各阶段的基础能力。第二阶段（2030年—2040年）：成为全球半导体和电子产业中心之一；将自强和外商直接投资相结合，促进半导体和电子工业发展。第三阶段（2040年—2050年）：成为世界半导体和电子产业领先国家之一；掌握半导体和电子领域的研发方法。（信息来源：环球时报）

9月25日消息，美背景调查和公共记录服务公司MC2 Data发生大规模数据泄露事件，暴露了该公司2.2 TB敏感数据，其中包含超1亿美国公民的敏感个人信息以及超230万订阅MC2数据服务的用户信息。此次泄露事件可能是人为操作错误导致，由于数据库未设置密码保护，任何用户都可访问其中的敏感数据。MC2 Data旗下多个运营网站通过汇集公开数据，如犯罪记录、就业历史、家庭信息和联系方式，提供背景调查服务，为雇主、房东等提供决策参考。（信息来源：安全内参）

9月23日消息，印度最大的健康保险公司Star Health发生重大数据泄露事件，超3100万客户的敏感个人信息可通过通讯应用程序Telegram上的聊天机器人公开访问，数据总量达7.24 TB，包括姓名、电话号码、地址、税务信息、身份证复印件、医疗诊断和测试结果等。安全研究人员调查发现，Telegram上的聊天机器人至少从2024年8月6日起，可访问Star Health的PDF文档和特定数据。Star Health表示，已将此事报告给当地网络犯罪部门和网络安全机构，初步评估显示没有受到大规模损害，且敏感数据仍是安全的。（信息来源：CyberSecurity网）

9月18日，石油与燃料行业软件供应商FleetPanda因服务器配置错误，近百万份敏感文件被泄露，包括从2019年至2024年8月的发票、运输记录、交货详细信息、工作人员驾照信息及背景调查等，总量达193 GB。FleetPanda总部位于美国加利福尼亚州，为石油和燃料行业提供调度管理、司机应用程序、报告和分析、发票及其他服务。据有关报道称，此次泄露不仅威胁到个人隐私安全，也有可能给石油和燃料行业的供应链带来冲击，引发市场波动和价格上涨。（信息来源：HackRead网）

9月19日消息，研究人员发现由于ServiceNow实例配置错误，导致超一千家企业的知识库数据泄露，包括个人身份信息、企业内部系统详情、用户凭证、实时生产系统的访问令牌等。SerivceNow是一家领先的基于云服务，实现企业IT运维的自动化提供商，其知识库功能充当文章存储库，允许组织与用户共享操作指导、常见问题解答等。尽管ServiceNow在2023年的更新中引入了新的访问控制列表，但这一措施并不适用于知识库。研究人员建议ServiceNow管理员采取设置适当的访问权限，关闭不必要的公共访问等措施以增强安全性。（信息来源：BleepingComputer网）

9月21日，黑客l33tfg在暗网论坛上发帖，称美白宫官方网站的敏感信息已泄露，并发布了WhiteHouse.gov域泄露数据的部分样本，包括电子邮件、电话号码、IP地址和密码哈希值等。该黑客同时表示入侵了知名航天公司Space X的数据库，声称获取了Space X数据库中的电子邮件、密码哈希值、电话号码、主机信息和IP地址在内的敏感数据。WhiteHouse.gov承载着大量的公共信息，涉及众多政府工作人员。而Space X作为全球领先的航天公司，参与了多项涉及政府和军事的敏感项目。目前，上述事件尚未得到官方确认。（信息来源：RedHotCyber网）

9月19日，黑客grep在Breach Forums上声称，窃取了科技巨头戴尔超一万条员工记录数据。9月22日，该黑客再次发表声明，称与黑客Chucky入侵了戴尔的Atlassian软件套件（包括Jenkins和Confluence）并获得了访问权限，获取了包含与Jira文件、数据库表和架构迁移相关的信息，总计3.5 GB的未压缩数据。Hackread研究团队分析了部分文件，确定其中可能包含有关戴尔内部基础设施的敏感信息，包括系统配置、用户凭证、安全漏洞和开发流程。目前戴尔表示已在调查第一起泄露事件，尚未回应第二起泄露指控。（信息来源：HackRead网）

9月21日消息，新加坡加密货币平台Bing X表示遭网络攻击，损失超4470万美元。区块链安全公司SlowMist首先发现大量资金从Bing X流出，随后Bing X在社交媒体上宣布进行“钱包维护”并暂停服务。Bing X表示，已检测到异常网络访问，表明热钱包可能遭到黑客攻击，并采取紧急措施，包括转移资产和暂停提款。Bing X首席产品官表示，将使用自有资金全额弥补损失，计划在24小时内恢复提款和存款服务。（信息来源：TheRecord网）

9月18日，区块链安全公司Cyvers披露，去中心化金融平台Delta Prime遭严重网络攻击，价值约600万美元的加密货币被盗。研究人员称，此次入侵是由于平台钱包管理员密钥泄露造成的。黑客设法控制了负责Delta Prime托管代理合同的钱包，进而修改合同设置，使其能够从Arbitrum网络平台抽取资金，最终将大量USDC兑换为ETH。研究人员警告称未来黑客可能瞄准更大规模的目标，特别是具有庞大比特币储备的美国加密货币ETF基金。（信息来源：SecurityOnline网）

9月18日消息，乌克兰军事情报局HUR声称与黑客BO TIME协作攻击了俄罗斯的数字签名认证机构Osnovanie，破坏了该机构服务器上数TB的重要数据，以及包含150万电子数字签名的数据库，并计划将获得的数据出售用于支持乌克兰武装力量。Osnovanie在俄罗斯的60个地区运营，获得当地数字管理机构和安全服务的认证，负责管理企业个人用于商业文件、税务申报和其他业务的数字签名系统。该机构发表声明称，攻击仅影响了其网站运营，数字签名验证系统并未受到破坏；并表示密钥泄露的报道不属实，因为用于创建电子签名的密钥与内外网络隔离。目前该机构已暂停运营。（信息来源：TheRecord网）

9月24日消息，安全研究员Simone Margaritelli发现了一个影响所有GNU/Linux系统（甚至可能影响其他系统）的严重安全漏洞。该漏洞允许未经身份验证的远程代码执行，Canonical和Red Hat等主要行业参与者已承认该漏洞并确认其严重性（CVSS评分9.9）。安全研究人员大约三周前披露了该漏洞的存在，但隐瞒了具体细节。目前还没有可用的修复方法。（信息来源：Evilsocket网）

9月23日消息，FreeBSD发布安全公告，修复了FreeBSD bhyve模块中的越界读取漏洞CVE-2024-41721（CVSS评分9.8）。该漏洞源自bhyve的XHCI仿真功能中的边界验证问题，可能导致堆越界读取，进而造成任意写入和远程代码执行。攻击者只需具备客户虚拟机的特权访问权限，即可利用此漏洞控制主机系统。FreeBSD是一款开源自由的类UNIX操作系统，广泛应用于服务器、桌面系统和嵌入式系统等领域。在FreeBSD系统中，bhyve是一种硬件级别的虚拟化技术，也是FreeBSD下的原生虚拟机管理器。目前该漏洞已修复，建议受影响用户尽快升级版本。（信息来源：启明星辰）

9月20日消息，Ivanti发布多个安全公告，修复了Ivanti Cloud Service Appliance（CSA）中的路径遍历漏洞CVE-2024-8963（CVSS评分9.4）和命令注入漏洞CVE-2024-8190（CVSS评分7.2），未经身份验证的远程攻击者可组合利用上述漏洞绕过管理员身份验证并在受影响设备上执行任意命令，目前上述漏洞已发现被利用。Ivanti Cloud Service Appliance是一种集成的管理平台，主要用于支持IT服务管理和云服务的自动化，旨在帮助企业简化和自动化IT流程，提高运营效率。Ivanti建议用户升级到CSA 5.0版本。（信息来源：启明星辰）

9月18日消息，SolarWinds发布安全公告，披露了影响其Access Rights Manager（ARM）软件的两个漏洞CVE-2024-28991（CVSS评分9.0）和CVE-2024-28990（CVSS评分6.3）。漏洞CVE-2024-28991允许远程代码执行，经过身份验证的攻击者可利用此漏洞在目标系统上执行恶意代码，从而可能完全控制ARM应用程序并访问敏感数据。CVE-2024-28990是一个硬编码的凭据身份验证绕过漏洞，攻击者可利用此漏洞绕过身份验证并访问ARM系统的关键组件RabbitMQ管理控制台。SolarWinds Access Rights Manager是一款用于管理和审核用户访问权限的工具。目前，上述漏洞已修复，建议用户立即更新版本。（信息来源：SecurityOnline网）

9月18日消息，美CISA近期将四个严重的Adobe Flash Player漏洞列入其已知可利用漏洞目录中，这些漏洞包括CVE-2013-0643和CVE-2013-0648代码执行漏洞，以及CVE-2014-0497整数下溢和CVE-2014-0502双重释放漏洞。尽管Adobe自2020年起已停止Flash Player的开发，主流浏览器也不再兼容，但Flash Player遗留的软件漏洞频遭攻击者利用。美CISA紧急呼吁所有美联邦机构在10月8日前彻底移除Flash Player，以保护美政府数据和关键基础设施免受侵害。（信息来源：SecurityOnline网）