5th域安全微讯早报【20240928】234期

2024-09-28 星期六Vol-2024-234

今日热点导读

1. 五角大楼要求国会否决成立独立网络部队的评估提案

2. CISA发布后量子密码迁移指南

3. 美国土安全部斥资2.8亿美元支持地方网络安全

4. 美国起诉三名伊朗黑客：涉嫌攻击特朗普竞选活动

5. Meta 因存储明文密码违反 GDPR被罚 1.01 亿美元

6. 英国黑客入侵企业牟利375万美元遭美国起诉

7. GCHQ官员辩护：法律框架支撑而非破坏网络能力

8. 微软音频总线漏洞暴露远程代码执行风险

9. 网络监控软件WhatsUp Gold惊现六个高危漏洞

10. CISA警告OT/ICS运营商关注水和废水系统中的网络威胁

资讯详情

政策法规

1. 五角大楼要求国会否决成立独立网络部队的评估提案

【The Record网站9月27日报道】美国国防部正式要求国会否决关于成立单独网络服务的独立评估提案，并拒绝将联合部队总部-国防部信息网络部 (JFHQ-DODIN) 提升为美国网络司令部的下属统一司令部。该提案是2025财年国防授权法案的一部分，得到了两党支持。得克萨斯州众议员Morgan Luttrell强烈支持成立网络军种，他批评五角大楼对该问题的抵制。五角大楼辩称已委托兰德公司进行相关研究，预计2025年6月公布结果，并警告评估中可能涉及机密问题，无法通过公开资料全面展示。尽管国防部提出反对，最终决策仍将取决于国会，且有可能损耗五角大楼和网络司令部的政治资本。

来源：https://therecord.media/pentagon-asks-congress-drop-cyber-force-study-defense-bill

2. CISA发布后量子密码迁移指南

【Nextgov网站9月27日消息】美国网络安全和基础设施安全局（CISA）发布了后量子密码迁移指南，旨在为最脆弱的联邦数字系统做好准备，以应对密码相关的量子计算机的潜在出现。该指南建议联邦民事行政部门机构使用自动密码发现和清单软件进行初始系统清单，并尽快启动迁移流程。CISA要求民间机构首先识别潜在的漏洞并迁移高影响信息系统，即在特定网络上存储敏感信息的资产。指南还优先考虑“包含预计在2035年仍具有任务敏感性的数据”的资产。CISA还确定了三个正在进行的研究领域，这些领域将为正在进行的后量子密码（PQC）迁移工作提供参考。新指南指出，自动库存扫描软件可能有助于从网络、文件系统、数据库系统和软件包中收集某些加密库存数据。CISA指出，一些自动化功能可通过持续诊断和缓解计划提供给机构，但这些产品还不足以实现CISA的目标。

来源：https://www.nextgov.com/cybersecurity/2024/09/cisa-guidance-focuses-post-quantum-cryptography-tools/399904/?oref=ng-homepage-river

3. 美国土安全部斥资2.8亿美元支持地方网络安全

【Industrial Cyber网站9月27日消息】美国国土安全部（DHS）宣布为2024财年的州和地方网络安全拨款计划（SLCGP）提供约2.8亿美元资金。该计划旨在帮助州、地方和领土（SLT）政府降低网络风险并增强对网络安全威胁的抵御能力。资金将通过网络安全和基础设施安全局（CISA）及联邦紧急事务管理局（FEMA）进行分配，用于网络安全规划、人员招聘和关键服务改进。SLCGP现已进入第三年，计划在四年内提供约10亿美元资金支持SLT政府。资金将由州行政机构接收后按州法律和程序分配给地方政府。国土安全部长强调，该计划将增强合作伙伴的工具和支持，以提高基础设施的安全性。CISA主任表示，这些拨款是对国家基础设施安全的投资，将帮助社区防御网络攻击。FEMA局长也强调了帮助合作伙伴应对网络安全威胁的承诺。申请者需满足特定项目目标，包括制定治理结构、评估网络安全状况、实施安全保护措施和培训人员。

来源：https://industrialcyber.co/critical-infrastructure/dhs-allocates-280-million-funding-to-help-slt-governments-handle-cyber-threats/

安全事件

4. 美国起诉三名伊朗黑客：涉嫌攻击特朗普竞选活动

【The Record网站9月28日消息】美国司法部对三名伊朗国民赛义德·阿里·阿加米里(Seyyed Ali Aghamiri)、亚萨尔·巴拉吉(Yasar Balaghi)和马苏德·贾利利(Masoud Jalili)提起诉讼，指控他们涉嫌参与黑客攻击美国前总统特朗普的竞选活动，并与伊朗伊斯兰革命卫队(IRGC)有关联。起诉书涉及从2020年至2024年9月的活动，指控三人除了入侵和窃取特朗普竞选团队的文件外，还针对美国现任和前任官员及媒体成员。联邦调查局局长指出，这是为了“破坏我们的民主”。司法部长梅里克·加兰强调，伊朗持续以人身威胁和黑客攻击的方式针对特朗普的竞选活动。美国国务院悬赏1000万美元征集导致逮捕或定罪的信息。这三人被指控进行鱼叉式网络钓鱼攻击，创建虚假身份，利用访问权限窃取信息并发起进一步攻击。他们的行为不仅是为了地缘政治目标，也旨在为卡西姆·苏莱曼尼报仇。美国财政部还制裁了包括贾利利在内的七名伊朗官员，他们涉嫌试图影响或干涉2024年和2020年的总统选举。

来源：https://therecord.media/us-charges-iranians-behind-hack

5. Meta 因存储明文密码违反 GDPR被罚 1.01 亿美元

【The Record网站9月28日消息】社交媒体巨头Meta因在内部系统中意外以明文格式存储了数亿用户密码，违反了欧盟《通用数据保护条例》(GDPR)，被爱尔兰数据保护委员会 (DPC) 罚款9100万欧元（约1.01亿美元）。该问题最早于2019年由Meta自行发现，当时通知了受影响用户，并强调密码仅在公司内部暴露，没有证据表明密码被滥用。然而，DPC 经过五年调查后认定Meta多次违反GDPR，包括未及时通知当局泄露情况及未实施足够的技术保护措施。DPC副局长格雷厄姆·道尔指出，存储明文密码存在严重风险，可能导致用户社交媒体账户被滥用。目前，Meta尚未对该罚款发表回应。

来源：https://therecord.media/meta-unprotected-passwords-fine-gdpr

6. 英国黑客入侵企业牟利375万美元遭美国起诉

【The Record网站9月27日消息】英国公民罗伯特·韦斯特布鲁克因涉嫌入侵五家上市公司窃取盈利信息，并利用这些信息进行股票交易非法获利约375万美元而在英国被捕。美国司法部以电信欺诈、证券欺诈和计算机欺诈罪名寻求将其引渡。39岁的韦斯特布鲁克被指控在2019年1月至2020年8月期间，通过重置高管的Office365电子邮件账户密码的方式入侵公司系统，并在14次盈利公告发布前窃取信息。他使用这些信息在公告前买入或卖出股票获利。美国新泽西州检察官办公室指出，韦斯特布鲁克设置了自动转发规则，将受损高管邮箱内容转发至自己控制的邮箱。美国证券交易委员会（SEC）表示，韦斯特布鲁克试图通过匿名邮箱、VPN服务和比特币交易隐藏身份，并要求其支付未披露的民事罚款，归还非法所得。

来源：https://therecord.media/uk-national-hacked-companies-trading

7. GCHQ官员辩护：法律框架支撑而非破坏网络能力

【The Record网站9月27日消息】在英国政府通信总部(GCHQ)的高级官员发表文章，为律师在网络行动中的作用和法律框架辩护之际，有关现有法律是否给西方对手带来优势的讨论仍在持续。文章回应了一位匿名欧洲情报官员的观点，该官员认为西方的网络能力受到严格法律框架的限制。文章中提到，某些行动在法律上是不被允许的，例如禁止情报机构收集“来自其国家公民拥有的系统的信息”，尤其是在公民系统被滥用来路由攻击流量的情况下。这种情况在法律上没有预见，因此需要司法改革，而这一过程可能需要数年时间。GCHQ官员强调，公众对各种监督的抱怨实际上妨碍了安全和情报机构的能力。他们认为，网络力量可以以“负责任和民主”的方式行使，并欢迎这场辩论。GCHQ法律事务主管Shehzad Charania和副主管Neil M指出，监督是授予情报机构运营许可的关键部分，它为运营商提供了信心，不是障碍。

来源：https://therecord.media/gchq-officials-defend-legal-frameworks-cyber-operations

漏洞预警

8. 微软音频总线漏洞暴露远程代码执行风险

【Cybersecurity News 网站9月27日报道】思科 Talos 团队发现了微软产品中的两个重大漏洞，已在最近的补丁更新中修复。其中，CVE-2024-45383 是由 Marcin "Icewall" Noga 发现的 Microsoft 高清音频总线驱动程序拒绝服务漏洞，攻击者可通过发送多个 IRP 完成请求，导致系统“蓝屏死机”。另一漏洞 CVE-2024-38140 存在于 Microsoft Windows 10 内核的 Pragmatic General Multicast 服务器中，可通过特制数据包触发内存损坏，进而导致远程代码执行。思科 Talos 强调，这些漏洞的及时修复展现了安全研究人员与厂商合作的重要性，用户应确保系统及时更新补丁，以免受到威胁。

来源：https://cybersecuritynews.com/microsoft-audio-bus-rce-vulnerability/

9. 网络监控软件WhatsUp Gold惊现六个高危漏洞

【Cybersecuritynews网站9月27日消息】流行的网络监控软件WhatsUp Gold发现了六个严重安全漏洞，这些漏洞可能允许攻击者访问未经授权的网络。受影响的软件版本为24.0.1以下，官方已敦促用户立即升级以确保系统安全。这些漏洞在2024年9月的WhatsUp Gold安全公告中被披露，由安全研究人员分配了CVE标识符，并具有较高的CVSS评分，显示了漏洞的严重性。漏洞详情如下：CVE-2024-46908，CVSS评分8.8，发现者：Sina Kheirkhah (@SinSinology)，召唤团队；CVE-2024-46907，CVSS评分8.8，同上；CVE-2024-46906，CVSS评分8.8，同上；CVE-2024-46905，CVSS评分8.8，同上；CVE-2024-46909，CVSS评分9.8，发现者：Andy Niu，趋势科技；CVE-2024-8785，CVSS评分9.8，发现者：Tenable。为了应对这些漏洞，WhatsUp Gold于2024年9月20日发布了新版本24.0.1，强烈建议客户尽快下载并安装此版本以保护网络。公司还提供了升级指南和专业服务团队的支持。

来源：https://cybersecuritynews.com/critical-whatsup-gold-vulnerabilities/

风险预警

10. CISA警告OT/ICS运营商关注水和废水系统中的网络威胁

【Industrial Cyber网站9月27日报道】美国网络安全和基础设施安全局（CISA）发布网络安全警报，提醒运营技术（OT）和工业控制系统（ICS）运营商，特别是水和废水系统领域，关注持续存在的网络威胁。警报指出，暴露的OT/ICS设备易受默认凭据和暴力攻击等不复杂手段的入侵。CISA建议关键基础设施组织实施网络安全防护措施，包括备份工程逻辑、保护IT和OT网络图、以及定期验证编程完整性。CISA特别呼吁OT设备制造商对其产品的安全性负责，并消除默认凭据这一主要漏洞。此外，CISA提倡使用多因素身份验证及软件物料清单（SBOM）以提升安全性。此次警报发布前，阿肯色城的水处理厂刚遭遇网络攻击，联邦调查局和国土安全部正在调查该事件。

来源：https://industrialcyber.co/cisa/cisa-alerts-ot-ics-operators-of-ongoing-cyber-threats-especially-across-water-and-wastewater-systems/

往期推荐