漏洞预警

Tenda FH451缓冲区溢出漏洞

IBM MQ Operator安全绕过漏洞

IBM Aspera安全绕过漏洞

Adobe Acrobat Reader资源管理错误漏洞

厂商动态

9月10日，微软发布了2024年9月份的月度例行安全公告，修复了多款产品存在的79个安全漏洞，产品包括Windows 11、Windows 10、Windows Server 2022、Windows Server 2019和Windows Server 2008等。

利用上述漏洞，攻击者可进行欺骗，绕过安全功能限制，获取敏感信息，提升权限，执行远程代码，或发起拒绝服务攻击等。CNVD提醒广大Microsoft用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。

参考信息：

https://msrc.microsoft.com/update-guide/vulnerability

病毒预警

LockBit勒索

相关资讯

LockBit 勒索软件攻击 eFile.com

病毒名称：LockBit 勒索软件

病毒类型：恶意程序

影响的平台：Web

资讯来源：The Cyber Express

病毒描述

2023年9月18日，LockBit 勒索软件组织将美国在线报税服务平台 eFile.com 纳入攻击目标，要求在14天内支付赎金。此攻击可能导致纳税人的个人和财务数据泄露，进而引发身份盗窃、税务欺诈等恶意活动。此前，eFile.com 在2022年已遭LockBit攻击，且在2023年曾出现恶意 JavaScript漏洞，暴露用户敏感数据。

预防建议

1. 1. 建立良好的安全习惯，不打开可疑邮件和链接。

2. 2. 定期更新网站和应用程序，修补已知漏洞。

3. 3. 安装并维护专业的防毒软件，确保实时监控开启。

4. 4. 对敏感数据进行加密存储，并定期备份。

5. 5. 为所有账户设置复杂密码，防止暴力破解。

6. 6. 监控用户行为，及时发现异常活动。

7. 7. 提高员工的网络安全意识，定期进行培训。

PDF钓鱼

后门病毒伪装PDF文档，利用钓鱼邮件实现远控

资讯来源

火绒安全

病毒描述

近期，火绒威胁情报中心发现一恶意GitHub存储仓库存在病毒风险行为。火绒安全工程师提取样本进行分析，发现该样本通过混淆JavaScript作为执行体，下载伪装成PDF文档的文件以迷惑用户，随后下载另一个带有成熟后门功能的样本（WSHRAT），通过钓鱼邮件进行分发。火绒安全产品可拦截查杀该病毒，建议用户及时更新病毒库以提高防御能力。

样本执行流程

- 样本名称: Tran_ID-Details009192_End_Ids_58788719853478_Pdf.js

- 样本打开后即为大型JavaScript混淆代码

- 该下载器会下载后续用的JavaScript文件和PDF文件，伪装成正常的PDF文档。

动态分析

1. 1. 下载过程:

- 解密域名并下载JS和PDF文件

- JS文件被放置在开机启动目录以执行持久化操作

- PDF文件下载至用户目录并打开以迷惑受害者

1. 1. 后门样本:

- 名为"Monetary_Funding_Sheet_2024.js"

- 通过链接获取真实C2 IP

- 将自身复制到AppDataRoaming目录并进行持久化操作

预防建议

1. 1. 避免打开可疑邮件和附件。

2. 2. 不从不可靠渠道下载文件。

3. 3. 使用安全软件并定期更新。

4. 4. 对重要文件和系统进行备份。

信息资讯

政策法律动态

1. 1. 国家互联网信息办公室《人工智能生成合成内容标识办法》（意见征求阶段）
   第一条 为促进人工智能健康发展，规范人工智能生成合成内容标识，保护公民、法人和其他组织合法权益，维护社会公共利益，根据《中华人民共和国网络安全法》、《互联网信息服务算法推荐管理规定》、《互联网信息服务深度合成管理规定》、《生成式人工智能服务管理暂行办法》等法律、行政法规和部门规章，制定本办法。
   第二条 符合《互联网信息服务算法推荐管理规定》、《互联网信息服务深度合成管理规定》、《生成式人工智能服务管理暂行办法》规定情形的网络信息服务提供者（以下简称“服务提供者”）开展人工智能生成合成内容标识的，适用本办法。
   行业组织、企业、教育和科研机构、公共文化机构、有关专业机构等研发、应用人工智能生成合成技术，未向境内公众提供服务的，不适用本办法的规定。
   第三条 人工智能生成合成内容是指利用人工智能技术制作、生成、合成的文本、图片、音频、视频等信息。
   人工智能生成合成内容标识包括显式标识和隐式标识。
   显式标识是指在生成合成内容或者交互场景界面中添加的，以文字、声音、图形等方式呈现并可被用户明显感知到的标识。
   隐式标识是指采取技术措施在生成合成内容文件数据中添加的，不易被用户明显感知到的标识。
   第四条 服务提供者提供的生成合成服务属于《互联网信息服务深度合成管理规定》第十七条第一款情形的，应当按照下列要求对生成合成内容添加显式标识。
   （一）在文本的起始、末尾、中间适当位置添加文字提示或通用符号提示等标识，或在交互场景界面或文字周边添加显著的提示标识；
   （二）在音频的起始、末尾或中间适当位置添加语音提示或音频节奏提示等标识，或在交互场景界面中添加显著的提示标识；
   （三）在图片的适当位置添加显著的提示标识；
   （四）在视频起始画面和视频播放周边的适当位置添加显著的提示标识，可在视频末尾和中间适当位置添加显著的提示标识；
   （五）呈现虚拟场景时，应当在起始画面的适当位置添加显著的提示标识，可在虚拟场景持续服务过程中的适当位置添加显著的提示标识；
   （六）其他生成合成服务场景应当根据自身应用特点添加具有显著提示效果的显式标识。
   服务提供者提供生成合成内容下载、复制、导出等方式时，应当确保文件中含有满足要求的显式标识。
   第五条 服务提供者应当按照《互联网信息服务深度合成管理规定》第十六条的规定，在生成合成内容的文件元数据中添加隐式标识，隐式标识包含生成合成内容属性信息、服务提供者名称或编码、内容编号等制作要素信息。
   鼓励服务提供者在生成合成内容中添加数字水印等形式的隐式标识。
   文件元数据是指按照特定编码格式嵌入到文件头部的描述性信息，用于记录文件来源、属性、用途、版权等信息内容。
   第六条 提供网络信息内容传播平台服务的服务提供者应当采取措施，规范生成合成内容传播活动。
   （一）应当核验文件元数据中是否含有隐式标识，对于含有隐式标识的，应当采取适当方式在发布内容周边添加显著的提示标识，明确提醒用户该内容属于生成合成内容；
   （二）文件元数据中未核验到隐式标识，但用户声明为生成合成内容的，应当采取适当方式在发布内容周边添加显著的提示标识，提醒用户该内容可能为生成合成内容；
   （三）文件元数据中未核验到隐式标识，用户也未声明为生成合成内容，但提供网络信息内容传播平台服务的服务提供者检测到显式标识或其他生成合成痕迹的，可识别为疑似生成合成内容，应当采取适当方式在发布内容周边添加显著的提示标识，提醒用户该内容疑似为生成合成内容；
   （四）对于确为、可能和疑似生成合成内容的，应当在文件元数据中添加生成合成内容属性信息、传播平台名称或编码、内容编号等传播要素信息；
   （五）提供必要的标识功能，并提醒用户主动声明发布内容中是否包含生成合成内容。
   第七条 互联网应用程序分发平台在应用程序上架或上线审核时，应当核验服务提供者是否按要求提供生成合成内容标识功能。
   第八条 服务提供者应当在用户服务协议中明确说明生成合成内容标识的方法、样式等规范内容，并提示用户仔细阅读并理解相关的标识管理要求。
   第九条 如用户需要服务提供者提供没有添加显式标识的生成合成内容，可在通过用户协议明确用户的标识义务和使用责任后，提供不含显式标识的生成合成内容，并留存相关日志不少于六个月。
   第十条 用户向提供网络信息内容传播平台服务的服务提供者上传生成合成内容时，应当主动声明并使用平台提供的标识功能进行标识。
   任何组织和个人不得恶意删除、篡改、伪造、隐匿本办法规定的生成合成内容标识，不得为他人实施上述恶意行为提供工具或服务，不得通过不正当标识手段损害他人合法权益。
   第十一条 服务提供者应当按照有关强制性国家标准的要求进行标识。
   第十二条 服务提供者在履行算法备案、安全评估等手续时，应当按照本办法提供生成合成内容标识相关材料，并加强标识信息共享，为防范打击相关违法犯罪活动提供支持和帮助。
   第十三条 违反本办法规定，未对生成合成内容进行标识造成严重后果的，由网信等有关主管部门按照有关法律、行政法规、部门规章的规定予以处罚。
   第十四条 本办法自2024年 月 日起施行。

原文：https://www.cac.gov.cn/yaowen/wxyw/A093602index_1.htm

1. 2. 《人工智能安全治理框架》1.0版发布
   9月9日，在2024年国家网络安全宣传周主论坛上，全国网络安全标准化技术委员会（以下简称“网安标委”）发布《人工智能安全治理框架》1.0版。
   贯彻落实《全球人工智能治理倡议》，网安标委研究制定了《人工智能安全治理框架》（以下简称《框架》）。《框架》以鼓励人工智能创新发展为第一要务，以有效防范化解人工智能安全风险为出发点和落脚点，提出了包容审慎、确保安全，风险导向、敏捷治理，技管结合、协同应对，开放合作、共治共享等人工智能安全治理的原则。《框架》按照风险管理的理念，紧密结合人工智能技术特性，分析人工智能风险来源和表现形式，针对模型算法安全、数据安全和系统安全等内生安全风险和网络域、现实域、认知域、伦理域等应用安全风险，提出相应技术应对和综合防治措施，以及人工智能安全开发应用指引。
   网安标委秘书处主要负责人表示，《框架》1.0版的发布，对推动社会各方积极参与、协同推进人工智能安全治理具有重要促进作用，为培育安全、可靠、公平、透明的人工智能技术研发和应用生态，促进人工智能的健康发展和规范应用，提供了基础性、框架性技术指南。同时，也有助于在全球范围推动人工智能安全治理国际合作，推动形成具有广泛共识的全球人工智能治理体系，确保人工智能技术造福于人类。
   

原文：https://www.cac.gov.cn/2024-09/09/c_1727567886199789.htm

安全资讯

黎巴嫩爆炸事件

黎巴嫩再发生爆炸事件，这次是对讲机

freebuf.com：

继9月17日黎巴嫩发生针对真主党的寻呼机爆炸事件后，首都贝鲁特等地于当地时间9月18日傍晚又发生了无线电对讲机爆炸。

以色列新闻媒体称，贝鲁特的一家移动维修店和葬礼游行现场发生了爆炸。据黎巴嫩官方通讯社报道，贝鲁特和该国南部多个地区的房屋中还发生了太阳能系统爆炸，造成至少一名女孩受伤。

据CNN报道，黎巴嫩卫生部称，此次对讲机爆炸目前已造成至少20人死亡，其中包括一名16岁男孩，另有450多人受伤。

黎巴嫩通信部称，发生爆炸的ICOM V82型对讲机由日本公司ICOM生产，且该产品不是由公认的代理商提供，没有官方许可，也没有经过安全部门的审查。对此，ICOM表示目前正在调查有关此事的事实。该公司网站称 IC-V82 已停产，目前流通的几乎所有型号都是假冒的。

根据《纽约时报》对现有视觉证据的分析，此次爆炸的对讲机比前一天在全国各地爆炸的寻呼机更大、更重，虽然爆炸发生地没有之前那么广泛，但在某些情况下还会引发更大的火灾，表明其中可能包含更多的爆炸物。

关于寻呼机、对讲机如何被引爆，目前说法不一。据央视新闻报道，有说法认为爆炸部件在制造或供应过程中被植入设备，也有人称操控者通过网络攻击导致设备电池过热爆炸。

英国南安普敦大学安全电子学副教授巴塞尔·豪拉克表示，约几厘米的小型爆炸雷管理论上可以放置于寻呼机等无线通信设备之中。

据悉，黎巴嫩真主党所使用的寻呼机和对讲机采购于海外企业。黎巴嫩安全部门官员表示，以色列有关部门在这批寻呼机的“生产层面”实施改装，其中植入的炸药用扫描仪或其他设备“非常难以探测”。另一名消息人士称，新购寻呼机内藏炸药至多3克，真主党人员几个月来毫无察觉。

曾在以军从事情报工作的以色列分析人士表示，黎巴嫩的寻呼机爆炸事件严重阻碍了黎巴嫩真主党武装的通讯，并可能破坏其在黎巴嫩南部针对以色列的行动。

联合国安理会将在当地时间20日就近期黎巴嫩多地发生的通信设备爆炸事件举行紧急会议，此前，联合国秘书长古特雷斯发表声明，对9月18日黎巴嫩多地发生的大量通信设备爆炸事件深感震惊，呼吁各方保持最大克制，以避免事态进一步升级。

原文：https://www.freebuf.com/news/411247.html

阿里云网盘隐私泄露事件

阿里云盘bug致用户私密照片泄露，客服回应：已经修复，是否有补偿需要反馈专人处理

财经网：新浪科技讯 9月15日下午消息，针对网友反馈的阿里云盘bug致用户私密照片泄露一事，阿里云盘客服向新浪科技回应称，第一时间核查和处理，已经及时修复。

据报道，9月14日晚间，多名网友发帖称，阿里云盘出现bug，在阿里云盘的相册中，只要创建一个新的文件夹，在分类中选择图片，便加载出了大量其他用户的照片包括自拍、风景照、一家人旅游时的照片等。

针对此事，截止发稿前阿里云盘官方未予置评。

阿里云盘客服则向新浪科技表示，该问题第一时间已经核查和处理，当天已经及时修复。而对于隐私照片被泄露的用户是否会有相应补偿的问题，客服表示需要反馈专人处理。

原文：http://tech.caijing.com.cn/20240916/5038023.shtml

本文由中山市中龙计算机有限公司[ZSZL]-信息安全研究院[ISRI]-安全服务部[SSD]、长春市安山中龙计算机技术有限公司[ASZL]-信息安全研发中心[ISRDC]-信息安全研发部[ISRDD]撰写，由中山市中龙计算机有限公司[ZSZL]-信息安全研究院[ISRI]-信息安全研究部[ISRD]审核发稿