安全动态丨网络空间安全动态第235期

一是“五眼联盟”国家网络安全机构联合发布警告称零日漏洞利用正在成为新常态；二是防火墙迁移工具Palo Alto Networks Expedition存在命令注入漏洞和SQL注入漏洞；三是下一代防火墙的软件Palo Alto Networks PAN-OS存在身份认证绕过漏洞；四是集中式管理平台Fortinet FortiManager存在身份认证绕过漏洞；五是WordPress插件存在关键认证绕过漏洞，超400万网站受影响。

2024年世界互联网大会乌镇峰会在浙江乌镇举行，国家主席习近平视频致贺

11月20日消息，《全球数据跨境流动合作倡议》由习近平主席在2024年11月的亚太经合组织第三十一次领导人非正式会议上提出，2024年世界互联网大会乌镇峰会正式发布倡议全文。《全球数据跨境流动合作倡议》就各方普遍关切的数据跨境流动治理问题提出了建设性解决思路，明确中国促进全球数据跨境流动合作的立场主张，倡导秉持开放、包容、安全、合作、非歧视的原则，推动构建开放共赢的数据跨境流动国际合作格局，促进数据跨境高效便利安全流动。《全球数据跨境流动合作倡议》是继《全球数据安全倡议》后，中方就数据问题发布的又一重要倡议，体现了习近平主席关于推动构建网络空间命运共同体理念的核心要义，展现了中国统筹发展安全、完善数字治理、践行多边主义的坚定决心。数据安全是全球性问题，需要国际社会共商解决之道，中国愿在《全球数据跨境流动合作倡议》基础上与各方开展和深化数据跨境流动领域的交流合作，欢迎各方支持这一倡议。（信息来源：央视新闻）

11月15日，国家互联网信息办公室发布《移动互联网未成年人模式建设指南》，《指南》提出未成年人模式建设的整体方案，鼓励和支持移动智能终端、应用程序和应用程序分发平台等，将分散的功能集成化，将分段保护一体化，筑牢未成年人网络保护的“三重防线”。该《指南》共7章，细化了不同主体的具体建设任务，统一“三方联动”“一键启动”等技术标准，为企业履行未成年人网络保护义务提供指引。《指南》创新未成年人模式保护措施，推动时间、内容、功能等“三大优化”。时间管理方面，未成年人模式允许用户对每日上网时长进行总量限制。内容建设方面，首次提出分龄推荐标准，优先展示适龄内容。功能安全方面，在保障使用需求的前提下，避免诱导沉迷的功能服务，提供诸多“个性定制”功能，实现便捷性和安全性双提升。（信息来源：中国网信网）

11月15日，国家密码管理局发布《关键信息基础设施商用密码使用管理规定（征求意见稿）》，旨在规范关键信息基础设施商用密码的使用，确保其安全性和有效性，从而加强关键信息基础设施的安全保护，维护国家安全和公共利益。《规定》明确了关键信息基础设施商用密码使用的管理范围、管理部门职责、运营者总体责任及制度、人员、经费保障等多个方面。其中，特别强调了运营者应当遵循国家商用密码管理、网络安全等级保护、关键信息基础设施安全保护等制度要求，同步规划、同步建设、同步运行商用密码保障系统，并定期开展商用密码应用安全性评估。征求意见时间为2024年11月15日至12月15日。（信息来源：国家密码管理局网站）

11月14日，美国土安全部（DHS）发布《关键基础设施中人工智能的角色和责任框架》，该框架由人工智能安全与保障委员会提出，明确指导人工智能供应链各层（云和计算提供商、人工智能开发者、关键基础设施所有者和运营商，以及保护和维护消费者权益的民间社会和公共部门）如何发挥各自的作用，以确保人工智能在美关键基础设施中安全可靠地部署。该框架为人工智能供应链各参与者在关键基础设施中安全使用人工智能提出了具体建议，包括保护环境、推动模型设计、实施数据治理、确保安全可靠的部署以及监控性能和影响等。（信息来源：美DHS网站）

美国防部发布《专用5G部署战略》，以提升不同军事环境中的通信能力

11月14日消息，美国防部发布《专用5G部署战略》，旨在允许美全球军事设施在商业网络无法满足要求的情况下可采用专用5G网络，为作战人员提供所需的安全宽带能力，支持联合全域指挥和控制计划，以提升不同军事环境中的通信能力。该战略提出了三大战略目标：确保5G网络与军事设施的独特需求相匹配；加速5G技术的研发、采购和安全部署；扩大开放式无线接入网络生态系统以增强功能间的互操作性。（信息来源：奇安网情局）

11月18日消息，美网络司令部启动第二次国际协调网络安全活动，旨在加强美国防部网络并增强全球网络安全伙伴关系。该活动涉及全球网络防御团队，上述团队致力于检测、缓解针对美国防部网络的恶意软件和漏洞，并共享威胁情报。该活动的重点是加强美国防部内部防御，确保美国防部网络在面对不断演变的网络威胁时保持韧性，同时与外部合作伙伴进行协调，包括联合部队指挥官、跨机构合作伙伴和国际盟友。美网络司令部曾于2023年10月开展了首次国际协调网络安全活动。（信息来源：奇安网情局）

11月15日消息，美网络安全与基础设施安全局（CISA）与越南信息和通信部信息安全局（AIS）签署一份谅解备忘录，旨在促进双方持续合作，推动美越战略伙伴关系。此次合作响应全球网络威胁日益增长的趋势，预计将为越南提供先进的网络安全技术和资源，提升其防御能力，保障公民和企业的数字安全。美CISA副助理主任强调合作对于保护关键基础设施和提高网络安全水平的重要性。越AIS代理主任表示，这一合作将增强越南应对复杂网络威胁的能力，确保国家利益安全。（信息来源：元战略）

11月14日消息，澳大利亚网络和基础设施安全中心（CISC）发布第二版《关键基础设施年度风险评估》，重点分析了澳大利亚关键基础设施面临的现有和新兴风险。《评估》指出，网络事件、全球供应链不稳定、技能短缺及恶劣天气等因素对澳国家安全和经济稳定构成威胁。基础设施的互联性加大了国家安全、主权及经济脆弱性。评估强调了网络攻击和第三方风险治理不足，尤其是在信息技术、运营技术和物联网安全协调上，增加了系统易受攻击性。人工智能的发展使网络攻击更具针对性和复杂性。澳CISC承诺与行业合作，促进信息共享，增强风险应对能力，以保障服务的韧性和国家安全。（信息来源：全球技术地图）

11月14日消息，加拿大创新、科学和工业部部长宣布成立加拿大人工智能安全研究所（CAISI），以增强加拿大应对人工智能安全风险能力，进一步巩固加拿大在安全、负责任地开发和采用人工智能技术方面的领先地位。CAISI将设立加拿大创新、科学与经济发展部，下设专门办公室负责监督研究议程并与国际合作伙伴接洽，初始预算为五年共计5000万美元。CAISI将利用加拿大国家研究理事会、加拿大高级研究所以及加拿大的三个国家AI研究所—埃德蒙顿的Amii、蒙特利尔的Mila和多伦多的Vector Institute的现有专业知识，同时吸纳更广泛的加拿大研究和商业界项目，以评估风险、测试系统并开发应对风险的指导方针。（信息来源：赛博研究院）

11月13日消息，日本政府计划向下一届国会提交支持下一代芯片大规模生产的法案，包括专门针对芯片代工企业Rapidus和其他人工智能芯片供应商的投资计划。该计划将在2030财年之前为芯片产业提供价值至少650亿美元的支持，旨在通过补贴和其他财政激励措施促进日本芯片和人工智能产业发展。（信息来源：路透社）

11月14日消息，美药房联合会（AAP）遭双重勒索，1.4TB敏感数据被窃取。勒索软件组织Embargo声称对此次攻击负责，表示AAP已支付的130万美元仅用于购买解密器，赎回被窃数据还需额外支付130万美元，并威胁称，若AAP在11月20日前未支付余款，将公开其1.4TB敏感数据。AAP总部位于美阿拉巴马州斯科茨伯勒，是一家会员制合作公司，监管美国2000多家独立药店。AAP已在其官方网站宣布强制重置所有用户密码，但尚未正式回应是否遭受攻击和有关勒索赎金问题。（信息来源：TheRegister网）

11月14日消息，美司法部指控两名黑客于今年4月通过入侵美国云数据存储公司Snowflake窃取了美国网络运营商AT&T的500亿条通话和短信记录，通过这些数据可分析用户的家庭和社会关系。AT&T公司表示，部分被盗数据还包括少量未指定数量的客户在2023年1月2日之后产生的新记录，以及依赖AT&T网络的其他运营商的客户的通话记录；其中一些记录包含与通话和短信关联的基站识别号，可用于大致确定通话或短信的发送位置。目前两名黑客已被执法机构逮捕，案件还在进一步审理中。（信息来源：IT之家）

11月16日消息，黑客Breachachu声称泄露了阿联酋电信监管局数据库。该数据库包含72个表，涵盖用户数据、角色、凭证、战略计划和供应商信息等敏感数据。泄露内容包括用户姓名、邮箱、手机号码、密码等详细信息，以及供应商的名称、地址、邮箱和行业类型。Breachachu提供了数据库样本记录，并在论坛上分享了下载链接。此次泄露凸显了阿联酋电信监管局在数据保护方面的漏洞，可能对阿联酋的电信安全造成严重影响。（信息来源：元战略）

11月18日消息，以色列负责运营支付设备的Hyp CreditGuard公司疑遭DDoS攻击，其支付网关系统通信中断，数千台信用卡读卡器出现故障，全国加油站和连锁超市支付系统大面积瘫痪，事件持续约一小时。此次攻击影响范围广泛，涉及卫生基金、出租车服务、食品订购应用程序，以及公共交通支付系统等。Hyp CreditGuard公司表示，目前攻击已被成功阻止，服务已恢复正常，目前暂未造成个人或财务数据泄露。以色列表示，一个与伊朗有关的黑客组织声称对此次攻击负责，但未提供具体信息。（信息来源：SecurityAffairs网）

11月13日消息，车辆追踪解决方案公司Microlise遭网络攻击，其客户Serco公司受影响。Serco是一家为英国司法部运营囚犯押送服务的外包公司，因Microlise事件影响，Serco公司的车辆追踪、紧急报警、导航和预计到达时间通知服务均已暂停使用，导致英国囚车追踪系统和报警系统陷入瘫痪。Microlise已向伦敦证券交易所通报此事件，但未提供有关客户可能受到连锁反应影响的详细信息。Microlise发布声明称，攻击者可能已获取员工数据，但客户系统数据暂未泄露，目前正在努力恢复服务。（信息来源：TheRecord网）

11月15日消息，匈牙利官方证实该国国防采购机构（VBÜ）遭勒索软件组织攻击。名为INC Ransomware或INC Ransom的黑客组织声称已入侵该机构的服务器，下载并加密了所有文件，包括匈牙利军队空中和陆地能力数据的文件截图，以及标有“非公开”的文件，遭泄露的数据中部分文件可追溯到今年10月。该组织在其暗网发布示例截图并索要500万美元赎金。研究人员发现，INC组织于去年出现，主要针对医疗保健、教育和政府实体，其背后运营者仍未可知。匈牙利国防部称调查仍在进行中，并补充说明VBÜ不存储敏感的军事数据。匈牙利总理将此次袭击归咎于“敌对的外国非国家黑客组织”，但拒绝透露更多信息。（HackerNews网）

11月13日消息，全球石油巨头哈里伯顿遭勒索软件攻击，导致部分业务系统下线数周，订单采购等日常业务受影响，目前已造成3500万美元损失。RansomHub勒索软件组织表示对此次攻击负责，声称已从哈里伯顿窃取重要数据，并索要4500万美元赎金。哈里伯顿总部位于美国休斯顿，是全球最大的石油服务供应商之一，其业务遍及全球70个国家，拥有4.8万名员工，2023年收入超230亿美元。（信息来源：DarkReading网）

11月13日消息，“五眼联盟”国家网络安全机构联合发布警告，称黑客正利用零日漏洞入侵目标网络。网络安全机构列出了2023年最常被黑客利用的前15个漏洞，其中影响思杰公司NetScaler网络产品的CVE-2023-3519漏洞位居榜首。其他被广泛利用的漏洞还包括影响思科路由器关键漏洞、Fortinet VPN设备漏洞，以及Clop勒索软件组织广泛利用的MOVEit文件传输工具漏洞。报告指出，自美CISA及其合作伙伴开始共享这份年度列表以来，其中大多数漏洞最初都是作为零日漏洞被利用。（信息来源：安全内参）

11月15日消息，启明星辰VSRC监测到攻击者正积极利用Palo Alto Networks Expedition迁移工具中的命令注入漏洞和SQL注入漏洞。命令注入漏洞CVE-2024-9463（CVSS评分9.9），成功利用该漏洞可使未经身份验证的攻击者在Expedition中以root身份运行任意系统命令，从而导致PAN-OS防火墙的用户名、明文密码、设备配置和设备API密钥泄露。SQL注入漏洞CVE-2024-9465（CVSS评分9.2），成功利用该漏洞可能导致未经身份验证的攻击者获取Expedition数据库内容，并可在Expedition系统上创建和读取任意文件。Expedition是Palo Alto Networks提供的一款迁移工具，旨在帮助网络安全团队进行防火墙规则的迁移、优化和管理。上述漏洞已修复，建议受影响用户尽快升级。（信息来源：启明星辰）

11月20日消息，奇安信CERT监测到Palo Alto Networks PAN-OS设备管理Web界面中存在身份认证绕过漏洞CVE-2024-0012(CVSS评分9.8)，未经身份验证的远程攻击者可通过网络访问管理Web界面，从而进行后续活动，包括修改设备配置、访问其他管理功能以及利用权限提升漏洞CVE-2024-9474(CVSS评分6.9)获取root访问权限。PAN-OS是运行Palo Alto Networks下一代防火墙的软件，通过利用PAN-OS本机内置的关键技术，可在任何时间、地点完全了解和控制所有用户和设备中正在使用的应用程序。目前该漏洞已修复，鉴于该漏洞已遭在野利用，建议用户尽快做好自查及防护。（信息来源：奇安信CERT）

11月15日消息，奇安信CERT监测到Fortinet FortiManager存在身份认证绕过漏洞CVE-2024-47575(CVSS评分9.8)，未经身份验证的远程攻击者可使用有效的FortiGate证书在FortiManager中注册未经授权的设备。成功利用该漏洞可查看和修改文件以获取敏感信息，并能够管理其他设备执行任意代码或命令。FortiManager是由Fortinet公司开发的一款集中式管理平台，旨在简化和加强Fortinet网络安全设备的管理和监控。目前该漏洞已修复，鉴于已发现在野利用，建议客户尽快做好自查及防护。（信息来源：奇安信CERT）

11月19日消息，安全研究员披露WordPress的Really Simple Security插件中存在关键认证绕过漏洞CVE-2024-10924（CVSS评分9.8），影响插件的免费和付费版本，导致超400万网站受影响。成功利用该漏洞可造成严重后果，未经认证的攻击者可在双因素认证启用时，通过一个简单的请求获得对包括管理员账户在内的任何账户的访问权限，从而远程劫持WordPress网站。目前该漏洞已修复，WordPress已在公开披露之前强制更新了所有运行此插件的网站。（信息来源：TheHackerNews网）