5th域安全微讯早报【20250324】071期

1. 特朗普签署行政命令，要求各机构共享数据

【Nextgov网站3月21日消息】美国总统唐纳德·特朗普签署了一项行政命令，要求各机构以防止欺诈的名义更广泛地共享数据，包括利用获得联邦资助的州项目的数据。此举引发了对政府效率部（DOGE）可能进一步获取敏感数据的担忧。该命令要求各机构负责人在30天内撤销或修改妨碍数据共享的指导方针，并确保联邦官员能够全面访问非机密数据。尽管隐私法等法律可能使实施复杂化，但支持者认为此举有助于防止欺诈。批评者则担心数据共享可能被滥用，侵犯公民隐私。

2. “沉默的船只”：黑客瘫痪伊朗116艘船只的通讯

【SecurityLab网站3月21日消息】3月17日晚，伊朗两家最大的航运公司NITC和IRISL的116艘船只通讯系统遭到网络攻击，导致船员间失去联系，港口和物流基础设施连接中断。此次攻击由“伊斯兰国”实验室（Lab Dookhtegan）组织声称负责，目标是伊朗与石油和军事出口相关的船只。黑客侵入卫星通信系统，破坏关键数据，导致信息存储设施关闭和部分数字基础设施不可逆转的损坏。此次攻击被认为是伊朗航运业近年来遭遇的最大规模网络攻击之一，可能促使航运业重新考虑安全标准和网络弹性措施。

3. Clearview AI就集体隐私诉讼达成和解，赔偿金额估计达5,000万美元

【The Record网站3月22日消息】联邦法官莎伦·约翰逊·科尔曼批准了Clearview AI与集体诉讼原告之间的和解协议，裁定该协议公平解决了该公司侵犯数百万美国人隐私权的指控。和解赔偿金额估计超过5,000万美元，但Clearview AI未承认责任。该案指控Clearview AI从网络上抓取数十亿美国人的面部图像并在未经同意的情况下出售，违反了伊利诺伊州的《生物特征隐私法》。和解协议允许原告及其律师分享Clearview的未来价值，而非一次性付款。22个州检察长和哥伦比亚特区反对该和解，称其不足以防止未来伤害且律师费占比过高。

4. 美国取消对Tornado Cash加密货币混合器的制裁

【BleepingComputer网站3月21日消息】美国财政部宣布取消对Tornado Cash加密货币混合器的制裁。该混合器曾被朝鲜Lazarus黑客组织用于洗钱，涉及金额超过70亿美元。美国第五巡回上诉法院于2024年11月裁定，外国资产控制办公室（OFAC）在制裁Tornado Cash时“超越了国会赋予的权力”。尽管制裁取消，美国财政部仍对朝鲜等网络犯罪活动表示担忧，并承诺继续打击利用数字资产进行的非法活动。Tornado Cash的两位创始人此前因涉嫌洗钱被起诉，第三位创始人已在荷兰被判刑。

5. Oracle否认数据泄露，黑客声称窃取600万条记录

【BleepingComputer网站3月21日消息】Oracle否认其云服务遭到入侵，尽管一名威胁行为者声称窃取了600万条数据记录并试图出售。该黑客名为rose87168，在BreachForums黑客论坛上发布样本数据库、LDAP信息和公司列表，声称这些数据来自Oracle Cloud的SSO平台。Oracle表示，其云服务未遭入侵，发布的凭证与Oracle Cloud无关，且没有客户数据丢失。黑客声称通过漏洞访问了Oracle Cloud服务器，并试图以10万XMR的价格向Oracle出售漏洞信息，但被拒绝。BleepingComputer已联系相关公司以验证数据的真实性。

6. 意大利DNS封锁新规引争议：法院强制谷歌屏蔽盗版足球内容

【SecurityLab网站3月23日消息】意大利米兰法院近日裁定谷歌必须修改其公共DNS服务器，以屏蔽非法转播意甲赛事的盗版网站。此举基于意大利2023年通过的《盗版盾》法案，要求互联网企业通过DNS系统在半小时内封锁被列入黑名单的非法内容。由于DNS系统仅能全域名屏蔽而无法精准过滤单一页面，该政策引发广泛争议——例如2024年意大利曾因个别用户上传盗版内容而全面封锁Google Drive，导致合法用户业务中断。此次裁决源于意大利通信监管机构AGCOM指控谷歌未履行法案义务。法院采用“单方裁决”程序，未听取谷歌申辩即要求其实施“DNS投毒”技术：篡改域名解析记录，使用户访问盗版网站时返回虚假地址。类似压力此前已施加于Cloudflare，其因拒绝配合屏蔽盗版内容面临每日1万欧元罚款。技术界批评此类措施等同于网络攻击手段，且跨国企业合规难度极高，可能引发“过度屏蔽”与数字服务稳定性风险。目前，谷歌尚未公开回应，但意大利当局承认强制科技巨头执行本土法律存在显著挑战。

7. 美国多地逮捕“点击支付”诈骗嫌疑人

【Krebsonsecurity网站3月21日报道】美国至少两个州的执法部门宣布逮捕了涉嫌利用移动设备实施新型“点击支付”诈骗的中国公民。田纳西州诺克斯维尔警方逮捕了11名嫌疑人，他们被控使用通过网络钓鱼诈骗创建的移动钱包，在当地零售商处购买价值数万美元的礼品卡。警方表示，这是美国首次针对此类新型诈骗的逮捕行动。调查发现，诈骗者利用定制的Android应用程序，将来自中国境内的移动设备的“点击支付”交易中继到美国。这些移动钱包是通过复杂的网络钓鱼工具包创建的，工具包通过Apple iMessage和RCS发送钓鱼信息，诱骗受害者输入支付卡信息，并通过一次性密码将卡数据链接到移动钱包。随后，这些加载了多个被盗钱包的手机被批量出售给诈骗者。此外，一款名为“Z-NFC”的安卓应用被用于将有效的NFC交易转发到世界任何地方，使得诈骗者可以在本地支付终端前通过手机完成交易。尽管许多交易被拒绝，但嫌疑人仍通过少量成功交易获取了部分资金。调查还发现，此类诈骗活动在社交媒体上被广泛宣传，且有团伙提供技术支持和售后服务。

8. 微软推出Hornet安全模块，增强Linux内核eBPF程序验证

【SecurityLab网站3月22日消息】微软推出了一款名为Hornet的新型Linux安全模块（LSM），旨在验证eBPF程序的签名，进一步提升Linux内核的安全性。eBPF技术允许用户程序在内核中安全高效地运行，广泛应用于网络性能优化、监控及安全增强等领域。微软作为eBPF技术的坚定支持者，此次推出的Hornet模块通过pkcs#7标准签名验证eBPF可执行文件的完整性。Hornet模块的独特之处在于其自动信任直接从Linux内核加载的程序，而非用户空间加载的程序，确保与BPF_PRELOAD机制预加载程序的兼容性。此外，微软还提供了sign-ebpf工具，用于签署eBPF程序并直接集成到Linux源代码中。目前，Hornet模块的RFC补丁已在Linux存储库中发布，供开发者研究和测试。

9. 研究人员详细介绍了可泄露系统密码的macOS漏洞

【CybersecurityNews网站3月21日消息】研究人员发现并详细分析了一个影响macOS系统的严重漏洞，该漏洞可能暴露敏感的系统密码。漏洞存在于macOS Keychain机制中，允许未经授权的用户或应用程序绕过安全协议，提取存储的密码数据。漏洞的技术基础源于macOS在Keychain子系统中权限实现的缺陷。研究团队提供的示例代码展示了攻击者如何利用该漏洞绕过安全检查。苹果已承认该漏洞，并计划在未来的macOS更新中修复。同时，建议用户启用额外的安全保护措施以降低风险。

10. 新攻击利用一年前的ServiceNow漏洞，以色列受害最严重

【Hackread网站3月21日报道】威胁情报公司GreyNoise发现，针对ServiceNow平台三个已知漏洞（CVE-2024-CVE-2024-5217和CVE-2024-5178）的攻击活动显著增加。这些漏洞最初由Assetnote研究员Adam Kues于2024年5月14日发现，并于同日被ServiceNow修补。然而，攻击者近期重新利用这些漏洞，试图访问数据库并获取敏感信息。CVE-2024-4879是一个模板注入漏洞，可能导致远程代码执行；CVE-2024-5217和CVE-2024-5178则涉及输入验证错误，可能被串联利用以获取数据库的完全访问权限。GreyNoise观察到，过去一周内超过70%的攻击活动针对以色列的系统，立陶宛、日本和德国也受到影响。ServiceNow表示，已通过更新全面解决漏洞问题，目前未发现任何攻击对客户造成影响。尽管如此，GreyNoise建议用户立即应用安全补丁、限制管理界面访问并监控可疑活动。AppOmni的SaaS安全研究主管Aaron Costello强调，未更新的本地ServiceNow系统风险较高，而云托管版本由供应商处理更新，相对安全。

11. VMware虚拟化漏洞遭勒索软件大规模利用，全球企业面临严重威胁

【Cybersecurity News网站3月22日消息】VMware ESXi、Workstation及Fusion产品此前曝出三个高危漏洞（CVE-2025-CVE-2025-22225、CVE-2025-22226），正被勒索软件组织积极利用。其中，CVE-2025-22224（CVSS 9.3）为虚拟机逃逸漏洞，允许攻击者突破虚拟机隔离，劫持ESXi主机管理程序，进而通过横向移动加密整个集群数据。截至3月4日，超4.15万台暴露在互联网的ESXi系统未修复，面临直接威胁。攻击者通过Web Shell或窃取凭证入侵虚拟机，利用漏洞链：逃逸虚拟机→提权至内核控制→窃取凭证渗透vCenter，最终加密虚拟机磁盘文件并删除备份。医疗、金融行业成重灾区，平均47分钟内即遭全系统加密，赎金达200万至500万美元，双重勒索威胁数据泄露。Broadcom已紧急发布补丁（ESXi 8.0/7.0/6.7、Workstation 17.6.3等），美国CISA将其列入“已知被利用漏洞”清单。建议企业立即修复受影响系统，强化ESXi主机日志监控，部署网络微分段策略，阻断横向移动路径。

12. Linux内核随机化功能失效，谷歌发现重大安全漏洞

【SecurityLab网站3月23日消息】谷歌工程师发现Linux内核内存缓存随机化功能（CONFIG_RANDOM_KMALLOC_CACHES）存在严重缺陷，导致其无法提供有效的安全防护。该功能旨在通过随机化内存缓存分配增强对内存漏洞攻击的防御，但实际运行中，所有大容量kvmalloc调用均使用相同的“随机”密钥，致使随机化机制失效。华为开发者龚瑞琪指出，问题根源在于使用返回地址（RET_IP）作为随机化基础，导致无法准确定位kmalloc调用位置，尤其在调用隐藏在辅助函数中时。为此，他提出修改内核调用逻辑，使__kvmalloc_node函数直接调用__do_kmalloc_node，确保捕获唯一调用地址并实现真正的随机性。该漏洞削弱了Linux内核针对内存攻击的防护能力，可能被利用进行高级攻击。修复补丁已纳入Linux 6.15初步更新列表，并计划向后移植至旧版稳定内核，以提升现有系统的安全性。