5th域安全微讯早报【20250327】074期

1. 欧盟启动自主操作系统项目EU OS以增强数字主权

【Securitylab网站3月26日消息】欧洲数据保护监督局(EDPS)员工Robert Riemann博士提出EU OS项目，旨在为欧盟政府机构开发基于Linux的安全操作系统。该方案计划以美国Fedora Kinoite为基础构建不可变系统，采用类似Windows的KDE Plasma界面，专为中型政府机构设计。项目借鉴了德国LiMux等历史经验，但选择非欧洲开发的Fedora作为基础引发争议。专家指出，在当前勒索软件威胁下，基于本地功能的系统设计可能已过时，建议采用更接近ChromeOS的云协同架构。尽管项目启动仅三个月(2024年12月)，其详细的技术文档已展现出构建欧洲自主操作系统的雄心，这被视为欧盟数字主权战略的重要一步。

2. 俄罗斯拟加强DDoS防护立法要求

【Securitylab网站3月26日消息】俄罗斯联邦通信监管局在Lovit公司遭受持续DDoS攻击后，提议修订现行网络安全法规。该攻击自3月21日持续至25日，峰值流量达219.06Gbps，主要源自美欧多国IP地址。监管机构指出，现行法律需强化三方面要求：明确通信网络稳定性标准、扩大DDoS防护强制措施（包括使用国产流量监控方案）、严格基础设施冗余规范。此次事件暴露了运营商在威胁监测和快速恢复机制方面的不足，Lovit公司的移动应用、官网及用户账户服务均遭受严重影响。俄罗斯联邦通信监管局强调，新规将提升关键基础设施防护水平，目前攻击流量虽已降至72.03Gbps，但尚未完全平息。

3. 英国NCSC发布特权访问工作站八项安全原则，强化高权限账户防护

【Industrial Cyber网站3月26日消息】英国国家网络安全中心（NCSC）发布《特权访问工作站（PAW）八项原则》，为组织部署高权限账户安全防护提供系统性框架。PAW是一种专用于高风险操作的受信任设备，通过最小化攻击面（如禁用非必要功能）降低特权滥用风险。八项原则涵盖：1）整合至现有特权访问管理策略；2）平衡安全性与用户体验；3）建立设备全生命周期信任链；4）利用基础设施即代码（IaC）实现规模化安全管控；5）严格限制外部连接与高风险服务；6）通过虚拟化隔离漏洞操作；7）实施实时监控与行为审计；8）规范数据导入导出流程。NCSC强调，PAW需作为整体安全策略的一部分，结合组织威胁模型定制设计，尤其需关注第三方高风险访问的合规性。同期，NCSC还推出后量子密码（PQC）迁移路线图，计划2035年前完成抗量子加密升级，体现其对前沿威胁的主动防御布局。

4. Cloudflare服务中断事件揭示云安全运维挑战

【Cybersecuritynews网站3月26日消息】全球知名云服务提供商Cloudflare近日披露，3月21日因密码轮换错误导致全球性服务中断，持续时间达1小时7分钟。事故源于工程师在例行安全轮换时将新凭证误部署至开发环境而非生产环境，且遗漏关键命令行参数"--env production"。此次中断影响广泛，R2对象存储服务100%写入操作和35%读取操作失败，图像和流服务上传完全中断，Vectorize数据库查询失败率达75%。Cloudflare指出，事故暴露了凭证管理流程的缺陷：缺乏凭证使用追踪机制、人工操作风险控制不足。该公司已采取多项改进措施，包括增强日志记录、实施双重验证、强制使用自动发布工具等。值得注意的是，这已是Cloudflare今年第二次重大运维事故，2月份曾因员工误操作导致R2网关服务瘫痪。这两起事件凸显了云服务商在平衡安全运维与系统复杂性方面面临的持续挑战。

5. 谷歌Chrome安装程序架构错误导致Windows用户安装失败

【Cybersecuritynews网站3月26日消息】谷歌Chrome浏览器安装程序出现重大技术错误，导致全球Windows 10和11用户无法正常安装。该问题源于谷歌意外将ARM架构的安装程序(ChromeSetup.exe)分发给了x86/x64架构系统用户，引发"此应用无法在您的PC上运行"错误提示。安全分析显示，问题安装程序中包含专为ARMv8架构设计的加密例程，与Intel/AMD处理器不兼容。目前受影响用户可通过两种临时解决方案：使用64位离线安装程序(ChromeStandaloneSetup64.exe)或完全删除旧版Chrome后重新安装。值得注意的是，基于ARM架构的Windows设备(如骁龙版Surface)不受此问题影响。此次事件凸显了在多架构环境下软件分发的复杂性，尽管谷歌尚未公布正式修复时间表，但预计将很快推出解决方案。

6. DeFi平台Abracadabra Finance遭黑客攻击损失1290万美元

【Securitylab网站3月26日消息】知名DeFi平台Abracadabra Finance于3月25日遭受黑客攻击，损失约6200枚以太坊（价值1290万美元）。攻击针对平台的"cauldrons"贷款池组件，黑客利用漏洞进行多笔交易后平台才察觉异常。目前Abracadabra已暂停服务并聘请Chainalysis追踪资金流向，同时向黑客提出返还80%资金的条件。值得注意的是，被盗资金通过近期解禁的Tornado Cash混币器转移，这可能是美国法院撤销对该平台制裁后的首起重大相关案件。尽管平台声称所有资金池均经过第三方审计，但此次事件再次暴露了DeFi领域的安全风险。

7. Signal总裁重申隐私承诺与WhatsApp形成鲜明对比

【Securitylab网站3月26日消息】Signal总裁Meredith Whittaker近日就美国官员误将记者加入加密聊天群组事件发表声明，强调Signal作为"私人通信黄金标准"的技术优势。她指出，与WhatsApp不同，Signal不仅加密消息内容还保护元数据，且不存储可能被要求提供的用户信息。Sensor Tower数据显示，2025年第一季度Signal在美国的下载量同比增长25%，反映出用户对隐私保护的持续关注。WhatsApp方面回应称其仅将元数据用于反垃圾邮件等用途。此次事件再次引发关于数字通信安全性的讨论，凸显了开源架构与商业通讯应用在隐私保护理念上的根本差异。

8. 网络安全专家Troy Hunt遭遇钓鱼攻击事件

【Securitylab网站3月26日消息】知名网络安全服务Have I Been Pwned(HIBP)创始人Troy Hunt近日自曝成为钓鱼攻击受害者。3月25日清晨，攻击者通过伪造Mailchimp登录页面(mailchimp-sso[.]com)获取了Hunt的账户凭证，导致约16,000名订阅者数据泄露。Hunt表示，疲劳和时差使他忽略了1Password未能自动填充密码等异常信号。此次泄露的数据包含电子邮件、订阅类型及地理位置等元数据，值得注意的是Mailchimp默认长期保存已取消订阅用户信息。事件发生后，Hunt已将受影响数据录入HIBP数据库，并向6.6万订阅者发送通知。他批评Mailchimp缺乏Passkey等防钓鱼认证方式，并宣布将通过whynopasskeys[.]com项目推动更安全的身份验证标准。

9. 奥地利揭露俄罗斯涉嫌在德语区散布乌克兰相关虚假信息

【The Record网站3月26日消息】奥地利国内情报机构(DSN)近日披露一起由俄罗斯主导的虚假信息宣传活动，该活动主要针对德语国家散布有关乌克兰的虚假信息。调查源于对一名涉嫌为俄罗斯从事间谍活动的保加利亚女性的调查，在其电子设备中发现相关证据。据称，该网络通过在线上传播虚假言论，并利用贴纸和涂鸦散布极右翼符号，试图将这些行为嫁祸于亲乌克兰人士。值得注意的是，这并非孤立事件。去年11月，两名保加利亚人在英国承认为俄罗斯间谍网络工作，该网络由现居俄罗斯的奥地利前金融高管Jan Marsalek指挥。维也纳近年来已成为俄罗斯在欧洲间谍活动的重要枢纽，涉及情报收集、工业间谍和影响力操作等多方面活动。奥地利当局表示将持续监控并依法应对此类国家安全威胁。

10. 美情报高层坚称未在Signal聊天中泄露机密国会两党激烈交锋

【The Record网站3月27日消息】在美国众议院情报委员会全球威胁听证会上，国家情报总监加巴德和中央情报局局长拉特克利菲再次否认在Signal应用中分享军事打击机密信息。此前《大西洋月刊》曝光了内阁官员讨论对也门胡塞武装打击细节的完整聊天记录，包括行动时间和军机型号。国家安全顾问沃尔兹承认将记者误加入该加密聊天群组，目前正进行技术审查。民主党议员希姆斯警告此类疏漏可能导致作战人员伤亡，而共和党人则坚称讨论内容未涉及情报来源和方法。值得注意的是，美国安局证实曾就Signal使用风险向员工发出网络安全警告。参议院军事委员会已提议对此事展开两党联合调查，民主党议员胡拉汉更暗示可能存在更多类似违规情况。此次争议凸显美国政府高层在加密通讯工具使用规范方面的重大分歧。

11. Clevo游戏笔记本曝重大固件安全漏洞

【Cybersecuritynews网站3月26日消息】安全研究人员近日披露，多款采用Clevo硬件的游戏笔记本电脑存在严重固件安全漏洞。Binary Research团队发现，Clevo固件更新包中意外泄露了用于英特尔Boot Guard安全技术的私钥，该漏洞可能允许攻击者绕过固件验证机制，在UEFI级别植入恶意代码。研究显示，泄露的私钥存储在BootGuardKey.exe二进制文件和两个.pem密钥文件中，可被用于签署恶意固件映像。目前确认受影响的设备涉及技嘉、XPG等品牌的至少10款机型，包括2025年新发布的技嘉G6X 9KG游戏本。Binarly公司已于2025年2月28日向CERT/CC提交漏洞报告（编号BRLY-2025-002），但该报告在数日后被结案且未获详细解释。此次事件再次凸显了ODM厂商安全漏洞对整个硬件生态系统的广泛影响。

12. DrayTek路由器漏洞遭利用引发全球性服务中断

【Cybersecuritynews网站3月26日消息】全球多国互联网服务提供商报告DrayTek路由器出现大规模重启循环故障，安全公司GreyNoise确认这与多个已知漏洞被利用有关。英国、澳大利亚、越南和德国等地用户反映，多型号DrayTek路由器间歇性断连并陷入重启循环。监测显示，攻击者主要利用三个漏洞：CVE-2020-8515远程代码执行漏洞（过去30天82个攻击IP）、CVE-2021-20123/20124目录遍历漏洞（近期每天20余个攻击IP）。受影响最严重的国家包括立陶宛、美国和新加坡。DrayTek官方建议用户立即断开WAN连接并升级至最新固件，同时禁用远程管理和SSL VPN服务。此次事件与2024年10月Forescout Technologies发现的14个DrayTek路由器漏洞相呼应，其中包含一个CVSS评分达10分的严重漏洞。网络管理员应尽快采取缓解措施，包括启用双因素认证和监控系统警报。

13. Appsmith开发平台曝高危远程代码执行漏洞

【Cybersecuritynews网站3月26日消息】开源应用开发平台Appsmith被曝存在三个严重安全漏洞，其中最危险的CVE-2024-55963允许未认证攻击者在默认配置的服务器上执行任意系统命令。Rhino安全实验室发现，该漏洞源于Appsmith默认安装的PostgreSQL数据库配置错误，其pg_hba.conf文件允许本地用户无需密码即可连接。攻击者通过注册账户后，可利用PostgreSQL的COPY FROM PROGRAM功能以数据库用户权限执行命令。另外两个漏洞CVE-2024-55964（越权访问）和CVE-2024-55965（拒绝服务）同样危害严重。Appsmith已在1.52版本中修复这些问题，建议用户立即升级。该平台广泛用于构建企业内部应用，此次漏洞可能使大量企业面临数据泄露和系统入侵风险。

14. CISA警告四大工业控制系统高危漏洞

【Cybersecuritynews网站3月26日消息】美国网络安全和基础设施安全局(CISA)发布四项工业控制系统(ICS)安全公告，披露ABB、罗克韦尔自动化和稻叶电气产业公司产品中存在的严重漏洞。这些漏洞CVSS v4评分介于5.1至9.3之间，影响全球石油天然气、制造业等关键基础设施。其中，ABB RMC-100流量计算机的原型污染漏洞(CVE-2022-24999，CVSS 8.7)可能导致服务拒绝；罗克韦尔自动化Verve资产管理器的命令注入漏洞(CVE-2025-1449，CVSS 8.9)允许管理员执行任意命令；稻叶电机产业CHOCO TEI WATCHER mini设备存在多个漏洞，包括弱密码要求(CVE-2025-25211，CVSS 9.3)等高风险问题。CISA建议受影响企业立即采取修补措施，实施网络隔离并限制物理访问，特别是对于目前无法修补的稻叶电机设备。目前尚未发现这些漏洞被主动利用的情况。