安全动态丨网络空间安全动态第232期

一是Fortinet FortiManager存在身份认证绕过漏洞；二是关于VMware vCenter Server存在堆溢出漏洞的安全公告；三是高通64款芯片存在0Day漏洞；四是黑客入侵超6000个WordPress网站，推送信息窃取程序插件。

全国数据标准化技术委员会成立大会暨第一次全体委员会议在京召开

10月24日，国家工业信息安全发展研究中心正式发布软件物料清单（SBOM）标准——《软件物料清单构成和要求》，旨在规范软件开发过程中物料清单构成及相关要求，提高软件产品的质量和可维护性，促进软件产业健康发展，对于提升我国软件产业链供应链韧性和安全性水平具有重要意义。此次发布的SBOM标准，在借鉴国际先进经验的基础上，结合我国软件产业发展实际，明确了文档构成、数据字段、工具能力要求、管理和应用要求四部分内容，为业界提供了标准化的管理工具和方法，具有较强的实用性和可操作性。（信息来源：国家工业信息安全发展研究中心）

10月23日消息，中国网络空间安全协会个人信息保护专业委员会成立大会在北京召开。中国网络空间安全协会个人信息保护专业委员会由中央网信办数据与技术保障中心、国家信息技术安全研究中心、中国消费者协会、新华网、中国政法大学、国家计算机网络应急技术处理协调中心、中国电子技术标准化研究院、中国信息通信研究院、华为、天融信、蚂蚁、腾讯、阿里巴巴、百度、拼多多等52家会员发起，旨在发挥桥梁纽带作用，组织动员社会各方力量，支撑主管部门和社会各界保障公民个人信息合法权益；建立健全完善个人信息保护公益诉讼和投诉举报机制；宣传中国个人信息保护的理念主张和成功经验，推进个人信息保护领域的国际交流与合作。（信息来源：中国网络空间安全协会）

10月29日消息，美财政部正式发布了《关于在特定国家的国家安全技术和产品领域进行美国投资的规定》。该规定源于拜登2023年8月签署的第14105行政命令，将限制美企业和美国人投资中国的半导体、人工智能和量子技术行业，于2025年1月2日生效实施。美财政部引述一名高级政府官员表示，该规定禁止美国投资着重先进半导体技术的中国公司，但对投资着重传统晶片的中国公司，仅要求进行通报。美国已限制对华出口先进晶片，美财政部投资新规旨在对现有贸易限制进行补充。与此同时，有关AI投资的规定不仅取决于用于训练相关AI系统的计算能力，也取决于其预期用途。新规禁止美个人和公司收购重在军事应用的中国AI公司股权，投资具有其他应用的AI模型有些被禁，有些则有通报要求。（信息来源：国际金融报）

10月24日，拜登政府发布了首份针对人工智能的国家安全备忘录，旨在确保美国在人工智能技术的开发和部署方面保持领导地位。备忘录强调要加强人工智能组件供应链，并在人工智能创新中维护人权。备忘录的关键条款包括扩大国家人工智能研究资源、指导国际合作、增加私营部门的网络安全信息共享，以及指定美国家标准与技术研究院人工智能安全研究所作为行业与政府合作的主要联系人。同时，拜登政府还配套发布了《人工智能治理和国家安全风险管理框架》，规定了美联邦机构在使用人工智能时的限制。（信息来源：NextGov网）

美CISA向公众征求关于限制性交易安全要求的意见

10月24日消息，美网络安全与基础设施安全局（CISA）发布公告，向公众征求关于限制性交易安全要求的意见。该安全要求与拜登政府2月签署的第14117号行政命令一致，旨在防止“敌对国家”渗透并窃取美政府和公民敏感数据信息。安全要求对象是参与受限交易领域的企业，特别是可能持有、处理大量美国政府和公民敏感数据，且可能会被“重点关注国家”或“受限人员”非法入侵的企业。美CISA将安全要求分为两大部分：组织和系统级别的要求以及数据级别的安全要求，并详细说明了如何实施措施。（信息来源：美CISA网站）

10月26日消息，美CISA发布第三版《软件组件透明度框架》，旨在提高软件供应链透明度。该框架扩大了2021年《软件组件透明度框架》指南中建立软件透明度所需的基线内容，进一步定义了每个通用软件物料清单的基线属性，详细阐述了每个基线属性的最低预期、推荐做法和理想目标，新增了两个新的基线属性“许可证”和“版权所有者”，并强调软件物料清单消费过程中的风险管理。（信息来源：美CISA网站）

10月24日消息，美奥本大学麦克拉里网络和关键基础设施研究所和“网络空间日光室委员会2.0”联合发布《确保美国的数字未来：下一届美国政府的两党网络安全路线图》报告。报告向下一届美国政府提供了8大网络安全目标、39项具体建议，其中包括5项应在新政府成立100天内完成的行动：一是对网络法规进行全面审查，简化合规要求，适应行业特定需求；二是启动对美国家网络安全战略的全面审查，重点增强威慑和成本施加能力；三是发起一项国家计划以解决网络安全劳动力短缺的问题；四是召开行业领袖峰会，加强公私合作伙伴关系，制定加强关键基础设施安全的具体计划；五是制定国家经济连续性计划，以确保美国能够在重大网络攻击发生时维持基本经济功能。（信息来源：Cyberscoop网站）

10月26日消息，澳大利亚信号局发布《软件安全部署：软件制造商如何为客户确保可靠性》，该文件由美CISA、FBI和澳大利亚网络安全中心共同撰写，旨在通过建立安全的软件部署流程帮助软件制造商确保其产品安全可靠，同时将高效部署作为软件开发生命周期的一部分。该指南建议软件厂商在规划阶段明确目标、客户需求、潜在风险、成本和成功标准，以及在开发和测试阶段关注编程和可持续测试。（信息来源：代码卫士）

10月26日消息，英《数据使用和访问法案》进入议会审议程序。该法案就有关访问客户数据和业务数据，使用信息确定和核实个人事实的服务，对已识别或可识别的在世个人信息进行处理的监管，隐私和电子通信，信息披露以改善公共服务，互联网服务提供商在调查儿童死亡事件时保留信息，为开展网络安全问题独立研究提供信息，生物特征数据的保留，提供电子签名、电子印章和其他信托服务的服务以及为相关目的等作出规定。英政府声称，如该法案被通过成为法律，将推动数据共享，帮助企业和消费者促进经济增长100亿英镑。（信息来源：TechRepublic网）

10月24日，国家网络与信息安全信息通报中心发现一批境外恶意网址和恶意IP，有多个具有某大国政府背景的境外黑客组织，利用恶意网址和IP持续对中国和其他国家发起网络攻击。这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联，网络攻击类型包括建立僵尸网络、网络钓鱼、勒索病毒等，以达到窃取商业秘密和知识产权、侵犯公民个人信息等目的，对中国国内联网单位和互联网用户构成重大威胁，部分活动已涉嫌刑事犯罪。相关恶意网址和恶意IP归属地主要涉及：美国、波兰、荷兰、保加利亚、土耳其、日本等。（信息来源：网络安全和信息化）

10月28日消息，黑客组织RansomHub宣称，已入侵中国台湾被动元件公司华新科，掌握该公司150GB的机密资料，内容涵盖技术设计、协定、证书等机密资讯，并刊登了12张资料图片作为佐证，要求华新科必须于10月31日前支付赎金，否则将公开有关资料。华新科已发布公告承认公司部份系统遭黑客攻击，暂未发现资料信息外泄情况，表示此次攻击对公司运营未构成影响。（信息来源：安全圈）

10月23日，俄罗斯外交部发言人玛丽亚·扎哈罗娃透露，俄罗斯外交部周三遭分布式拒绝服务攻击，恰逢金砖国家峰会在该国举行。扎哈罗娃在新闻发布会上表示，“我们的网站经常面临攻击，但今天遭受的网络攻击规模是前所未有的”，并指出由于技术问题，原定的简报会推迟了四个小时。（信息来源：路透社）

10月28日消息，法国互联网服务提供商Free确认系统遭入侵，客户个人信息被盗，且已被黑客组织drussellx在BreachForums上拍卖。该黑客组织声称此次攻击影响法国近三分之一的人口，涉及1920万客户，包括511万个国际银行账号。Free发言人表示，此次攻击主要针对管理工具，攻击者未能访问用户密码、银行卡信息和通信内容，也未对服务造成影响，公司将通过电子邮件方式通知受影响用户。Free是法国第二大互联网服务提供商，也是欧洲第六大移动运营商Iliad集团的子公司，拥有超过2290万移动和固定用户。（信息来源：FreeBuf网）

10月26日，美联合健康集团证实，由于旗下子公司Change Healthcare遭勒索软件攻击，超1亿美国民众的个人信息和医疗数据被盗，包括用户健康保险信息、健康信息、账单、索赔和支付信息以及其他个人信息等。此次攻击由BlackCat勒索软件团伙发起，攻击者利用被盗的凭证入侵了Change Healthcare的Citrix远程访问服务，窃取了6TB的数据，并对Change Healthcare网络中的计算机进行加密，迫使该公司关闭IT系统。截至9月30日，Change Healthcare因勒索软件攻击造成的损失预计已增加至24.5亿美元。（信息来源：BleepingComputer网）

10月25日消息，安全研究人员发现，联合国终止暴力侵害妇女信托基金数据库因未设密码保护或访问控制，被公开暴露在互联网上，其中包含超11.5万份敏感文件，共计228GB。遭泄露的文件包括人员信息、合同、信件甚至详细的财务审计报告。该数据库涉及与联合国妇女署合作或接受其资助的全球组织的详细信息，这些组织遍布多个国家和地区，主要服务于弱势群体。安全专家警告，此类数据泄露不仅可能影响相关组织运作，还可能将本就弱势的妇女、儿童及LGBTQ群体暴露在更大危险中。（信息来源：WIRED网）

10月25日消息，郑州市网信办发现，某互联网信息服务有限公司在数据库中配置增加了远程登录空口令账户，导致黑客利用该空口令账户成功登录数据库，并窃取了数据库中的数据，被窃取的数据包含姓名、身份证号、手机号、邮箱地址等敏感信息。某科技有限公司未正确配置数据库，导致数据库存在未授权访问漏洞。攻击者通过漏洞登录数据库，查看、下载数据，导致敏感数据泄露。同时公司系统访问日志功能未开启、重要通联日志留存不足6个月，数据库系统配置不当，存在未授权访问漏洞等情况。郑州市网信办依据相关法律法规分别对上述两家企业作出责令改正、给予警告和处人民币5万元罚款的行政处罚。（信息来源：e安在线）

10月24日消息，黑客Shooked在Breach Forums上泄露了北非电子竞技平台ESNA超18万名用户的个人数据（数据转储大小为3GB），包括用户姓名、身份、国家、IP地址、WordPress URL和电子邮件地址等，但不包括密码或财务信息。此次泄露事件发生在ESNA比赛开赛前一天。ESNA是一个旨在促进北非地区竞技游戏发展的平台。目前，ESNA尚未就此事进行回应。（信息来源：HackRead）

10月23日，国家信息安全漏洞共享平台（CNVD）收录了VMware vCenter Server堆溢出漏洞（CNVD-2024-41447，对应CVE-2024-38812（CVSS评分9.8）。由于vCenter Server的远程过程调用（DCERPC）协议实施过程中存在堆溢出漏洞，具有vCenter Server网络访问权限的恶意攻击者可利用该漏洞，通过远程发送特制的网络数据包来触发该漏洞，从而执行任意代码，实现对服务器的权限获取和完全控制。VMware vCenter Server是VMware公司提供的一款虚拟化服务器管理平台，用于集中管理和监控VMware vSphere虚拟化环境。目前，官方已发布安全公告修复该漏洞，建议受影响用户尽快升级到最新版本。（信息来源：CNVD漏洞平台）

10月27日消息，高通公司发布一项重要安全警告，披露其多达64款芯片组存在严重0Day漏洞CVE-2024-43047（CVSS评分7.8）。该漏洞源于数字信号处理器服务中的使用后释放（use-after-free）错误，可能导致内存损坏，其影响广泛，涉及多个搭载骁龙芯片的Android智能手机和平板电脑、物联网设备等多个领域。目前已发现有攻击者利用该漏洞，美CISA已将其添加至已知被利用漏洞目录。高通公司已发布安全补丁，建议用户尽快更新。（信息来源：FreeBuf）

10月22日消息，安全团队GoDaddy报告称，6000多个WordPress网站近日被黑客非法入侵并安装恶意插件，这些插件会推送虚假的软件更新和错误信息，从而推送窃取信息的恶意软件。据悉，自2023年以来，一个名为ClearFake的恶意活动一直被用于分发虚假的Web浏览器更新横幅。2024年，又出现一个名为ClickFix的新活动，与ClearFake有诸多相似之处，但ClickFix会伪装成软件错误信息提示，并附带修复程序。但这些“修复”都是PowerShell脚本，执行后会下载并安装信息窃取恶意软件。研究人员建议正在使用WordPress用户检查已安装插件列表，并删除所有非自行安装的插件。（信息来源：BleepingComputer网）