5th域安全微讯早报【20241011】245期

2024-10-11 星期五Vol-2024-245

今日热点导读

1. 澳大利亚的网络安全法将强制要求报告勒索软件付款

2. 欧盟通过《网络弹性法案》加强联网设备网络安全

3. Steam在俄罗斯面临潜在封锁风险

4. OpenAI阻止20起滥用AI技术活动

5. 俄罗斯网络安全公司Dr.Web否认数据泄露

6. 人工智能呼叫中心遭黑客入侵，超千万条对话泄露

7. CISA首席AI官：AI工具需结合人工使用

8. 黑客利用高通芯片零日漏洞攻击安卓用户

9. 多项VMware NSX漏洞可使攻击者获取Root权限

10. 全球超1.4万台医疗设备在线且易受攻击

11. 28,000用户遭木马攻击，恶意软件伪装成“开始”按钮

12.现代汽车IPO文件揭示网络安全挑战与应对策略

13.日本化工巨头三菱化学遭受Everest勒索软件

14.Firefox零日漏洞正遭网络攻击利用

15.Linear eMerge E3系统存在严重未修补漏洞

16.工业系统面临MMS协议漏洞威胁

17.美国国家安全局：俄罗斯网络攻击策略转向间谍活动

18.第三季度美国数据泄露受害者近2.42亿

19.美英警告俄罗斯APT29黑客大规模攻击Zimbra和TeamCity服务器

20.OpenAI被预测将成为高度监控公司

备注: 第11-20条资讯为订阅用户专享！（更多信息，欢迎订阅！）

资讯详情

政策法规

1. 澳大利亚的网络安全法将强制要求报告勒索软件付款

【The Record网站10月10日消息】澳大利亚提交了一项具有里程碑意义的《2024年网络安全法案》，若通过，澳大利亚将成为首个要求公司强制报告勒索软件付款的国家。该法案旨在应对近年来包括Optus、Medibank等公司遭受的网络攻击，并作为2022年国家网络安全战略的一部分，计划耗资5.87亿澳元防范勒索软件攻击。法案规定，企业在支付勒索款后必须在73小时内报告，否则将面临民事处罚。此外，该法案还引入了智能设备安全标准、支持政府与工业信息共享及设立网络事件审查委员会等措施，力求增强网络安全防护。澳大利亚政府强调，强制报告将提供对勒索软件攻击的更全面理解，进而有效遏制网络犯罪。

来源：http://therecord.media/australia-bill-mandatory-reporting-ransomware-payments

2. 欧盟通过《网络弹性法案》加强联网设备网络安全

【InfoSecurity Magazine网站10月10日消息】欧盟理事会正式通过了《网络弹性法案》（CRA），为含有数字元素的产品引入统一的网络安全要求。该法案适用于所有直接或间接联网的设备，包括智能门铃、婴儿监视器等物联网产品，旨在确保整个供应链及其生命周期内的产品安全，避免成员国立法重复。法案规定，硬件和软件产品在设计、开发和生产时需符合网络安全标准，并加贴CE标志以证明合规。CE标志在欧洲经济区内广泛应用，表明产品已满足安全、健康和环境保护标准。法案还针对已有规定网络安全要求的设备，如医疗器械和航空产品，做出部分例外安排。该法规将在未来几周内正式公布，并在公告发布20天后生效。

来源：https://www.infosecurity-magazine.com/news/eu-adopts-cyber-resilience-act/

3. Steam在俄罗斯面临潜在封锁风险

【SecurityLab网站10月10日消息】俄罗斯联邦通信、信息技术和大众传媒监管局（RKN）最近在其注册中添加了10个Steam社区页面，这一行动可能预示着Steam平台在俄罗斯面临被封锁的风险。此前，Discord也经历了类似操作，引发了对Steam可能遭受同样命运的担忧。尽管这些页面尚未被添加到禁止资源列表中，但这一动向可能表明俄罗斯当局准备限制在俄罗斯访问Steam服务。在10月2日至7日期间，前3个Steam页面链接出现在注册表中，10月9日又添加了7个链接。这些迹象可能表明，类似于Discord的情况，即注册外封锁已经开始，尽管现在谈论Steam的确切时间和可能的封锁还为时过早。俄罗斯当局对Steam提出索赔的官方原因尚未公布，但考虑到RKN的实践，可以假设向注册表添加页面与传播儿童色情制品、宣传非传统性关系或变性、促进区块旁路等有关。目前，仍需关注事态的发展。

来源： https://www.securitylab.ru/news/552857.php

安全事件

4. OpenAI阻止20起滥用AI技术活动

【The Record网站10月11日消息】人工智能公司OpenAI表示，今年已阻止了20多个国家及其附属机构滥用其技术进行恶意活动的企图。这些行为包括编写恶意软件代码、重写网络钓鱼邮件和社交媒体帖子等。其中，一个名为CyberAv3ngers的伊朗组织利用OpenAI的技术对美国水利设施发动攻击，该组织被认为与伊朗伊斯兰革命卫队有关联。OpenAI的研究人员指出，大多数滥用行为都是侦察活动，攻击者询问有关已知公司或服务的信息，以及过去通过搜索引擎检索到的漏洞。他们还观察到攻击者使用模型帮助调试代码。OpenAI强调，滥用其技术的活动并未为其提供任何新颖的功能或资源，且这些功能已可以通过公开的非AI工具实现。此外，报告还提到，包括伊朗和以色列在内的多个国家的组织使用ChatGPT针对竞争对手开展行动，生成用于传播错误信息的社交媒体帖子和虚假文章。美国政府官员正在考虑在国际范围内使用人工智能的同时，如何应对这些安全挑战。

来源：https://therecord.media/openai-disrupts-campaigns-misusing-tech-gov-officials-mull-ai

5. 俄罗斯网络安全公司Dr.Web否认数据泄露

【The Record网站10月10日消息】俄罗斯防病毒公司Dr.Web在9月初遭受网络攻击后，否认其客户数据遭到泄露。亲乌克兰组织DumpForums声称对此次攻击负责，并称窃取了约10TB数据，包括客户数据库。Dr.Web回应称，黑客发布的信息“大部分不真实”，用户数据未受影响，对客户无安全风险。Dr.Web表示，黑客的主要目标是索要赎金，但公司未进行任何谈判。目前尚不清楚黑客提供的数据库链接中信息的真实性。Dr.Web未提供攻击的更多细节，以免干扰正在进行的调查。该公司表示，攻击被迅速挫败，所有服务均已断开并进行了彻底检查。Dr.Web是俄罗斯最大的本土防病毒开发商之一，客户包括俄罗斯关键基础设施运营商、银行和电信公司。攻击后，Dr.Web数天内无法更新其病毒和恶意软件数据库。DumpForums此前曾声称对俄罗斯多起攻击事件负责。

来源：https://therecord.media/russian-antivirus-company-drweb-denies-data-leak

6. 人工智能呼叫中心遭黑客入侵，超千万条对话泄露

【InfoSecurity Magazine网站10月10日消息】中东地区一人工智能呼叫中心平台发生大规模数据泄露，超过1000万次对话遭到黑客窃取。网络安全公司Resecurity披露，攻击者通过未经授权访问该平台的管理仪表板，获取了消费者、运营商和AI代理间的交互记录。此次泄露的数据可能被用于高级欺诈、网络钓鱼及其他恶意活动，尤其是个人身份信息（PII）如身份证件的泄露风险加剧。此次攻击暴露了人工智能呼叫中心平台在处理敏感客户数据时的安全脆弱性，攻击者可利用这些数据实施社会工程和会话劫持等活动。虽然事件已得到缓解，但该事件凸显了对话式AI平台在现代企业和政府中的重要性以及其安全性的广泛担忧。

来源：https://www.infosecurity-magazine.com/news/10m-exposed-ai-call-center-hack/

7. CISA首席AI官：AI工具需结合人工使用

【FedScoop网站10月10日消息】网络安全和基础设施安全局（CISA）首席人工智能官Lisa Einstein在华盛顿特区的两场活动中强调，尽管AI技术在网络防御方面具有巨大潜力，但AI工具并非万能，它们仍然不完美，需要结合成熟的网络安全流程和人工参与来使用。Einstein提醒，AI工具需要在人工监督下使用，以确保网络安全。Einstein提到，AI从数据中学习，而人类在编写代码时往往忽视了安全性。因此，涉及安全输入的人工流程至关重要。Einstein强调，即使使用这些工具，人工审核仍然是必不可少的。CISA通过联合网络防御合作组织（JCDC）领导的两次桌面演习，推动了以人为本的AI使用理念。Einstein在活动中讨论了JCDC的AI工作，并强调了招募专注于新兴技术的行业合作伙伴的重要性。她期望通过即将发布的AI安全事件协作手册，帮助社区在未来的威胁和事件中建立合作的“肌肉记忆”。

来源：https://fedscoop.com/cisa-chief-ai-officer-lisa-einstein-cyber-ai-policy/

漏洞预警

8. 黑客利用高通芯片零日漏洞攻击安卓用户

【GBHackers网站10月10日消息】黑客正在利用高通芯片中的零日漏洞CVE-2024-43047，全球数百万设备或受影响。该漏洞为“使用后释放”问题，导致DSP服务在管理高层操作系统内存时发生内存损坏。谷歌威胁分析小组指出，该漏洞正受到有限的定向攻击。高通已发布安全公告，提供补丁以修复FASTRPC驱动中的问题，并建议设备制造商尽快部署更新。尽管尚无证据表明该漏洞与勒索软件攻击有关，但其被滥用的风险较高。专家建议用户遵循厂商指导进行修复，若无补丁可用，建议停止使用相关设备。本次事件突显了及时安全更新的重要性。

来源：http://gbhackers.com/hackers-exploiting-zero-day-flaw-in-qualcomm-chips

9. 多项VMware NSX漏洞可使攻击者获取Root权限

【GBHackers网站10月10日消息】VMware披露其NSX产品线存在多项漏洞，可能允许攻击者获得Root权限。这些漏洞包括CVE-2024-38818、CVE-2024-38817和CVE-2024-38815，影响VMware NSX及VMware Cloud Foundation。根据Broadcom的报告，这些漏洞的CVSSv3基本评分在4.3至6.7之间，危害等级为中等。具体而言，CVE-2024-38817涉及命令注入，允许攻击者通过NSX Edge CLI终端执行任意命令，CVE-2024-38818允许本地权限提升，而CVE-2024-38815则允许攻击者利用URL欺骗重定向用户。VMware已发布补丁，用户应尽快更新至相应版本，以降低风险。

来源：http://gbhackers.com/multiple-vmware-nsx-vulnerabilities

风险预警

10. 全球超1.4万台医疗设备在线且易受攻击

【CyberScoop网站10月10日消息】Censys的网络安全研究人员发现，全球有超过1.4万个IP地址的医疗设备、医疗保健登录门户和数据库暴露在网上，其中近一半位于美国。这些设备包括医疗物联网(IoHT)设备，其中49%属于美国企业，印度以10%的设备数量位居第二。Censys的研究人员指出，美国医疗保健系统的分散性可能是导致如此多设备在线的原因。研究还发现，许多小型医疗保健组织的网络缺乏基本的安全措施，如弱密码、未加密连接和配置错误，使它们更易受到攻击。此外，用于传输和查看医学图像的通信协议和网络界面（DICOM）也是在线设备中数量最多的。这些设备通常没有部署防火墙或VPN，属于独立的放射学和病理学服务提供商或医院影像部门。电子病历和电子健康记录的登录页面也占在线暴露设备的近30%，其中包含敏感数据，如完整的医疗历史或实验室结果。

来源： https://cyberscoop.com/medical-devices-online-health-censys/

往期推荐