5th域安全微讯早报【20250401】078期

1. 欧盟启动"数字欧洲2025-2027"网络安全计划重点布局AI与后量子加密

【Industrial Cyber网站3月31日报道】欧洲网络安全能力中心(ECCC)正式通过"数字欧洲计划(DEP)"首个网络安全工作计划，将在2025-2027年间重点投资三大领域。一是前沿技术布局。投入1.8亿欧元开发基于生成式AI的网络安全系统，提升威胁情报分析能力；建立欧洲后量子密码学测试基础设施，应对量子计算破解风险；专项支持中小企业满足《网络弹性法案》等新规要求。二是关键立法实施；构建欧洲网络安全警报系统(ECAS)，整合跨境威胁检测网络；落实《网络团结法案》应急机制，建立成员国互助框架。三是重点领域防护。协调NIS2指令、DORA法规等多项立法要求；专项保护医疗系统网络安全；加强海底电缆等关键通信基础设施监控。ECCC执行董事Luca Tagliaretti表示，该计划将强化欧盟共同网络防御体系，其中AI安全工具开发项目已向成员国开放申请，首轮资助将于2025年Q3启动。

2. 欧盟启动13亿欧元数字投资计划网络安全与AI成重点领域

【SecurityWeek网站3月31日报道】欧盟委员会宣布将通过"数字欧洲计划（2025-2027）"投入13亿欧元（约14亿美元）用于网络安全、人工智能及数字技能发展。该投资计划旨在提升欧盟整体数字技术水平，其中网络安全领域将重点加强关键基础设施防护，包括建立欧盟网络安全储备机制以保护医院和海底电缆等设施安全。部分资金还将用于部署新型欧盟数字身份钱包系统，该系统将通过强化数据保护机制提升防欺诈能力。此外，投资计划还涵盖生成式AI应用推广、数字创新中心建设以及数字技能培训等项目。此次拨款正值欧盟加强对网络攻击行为的制裁力度之际，近期欧盟已对涉嫌攻击爱沙尼亚的俄罗斯黑客及协助俄乌战争的朝鲜网络部队成员实施制裁。分析指出，这项投资将显著提升欧盟应对日益复杂的网络威胁的能力，特别是在关键基础设施保护和个人数据安全方面。

3. Telegram账号遭大规模窃取：卡巴斯基警告iOS和Android用户面临钓鱼攻击风险

【SecurityLab网站3月31日报道】卡巴斯基实验室发现针对iOS和Android用户的钓鱼攻击活动正在大规模窃取Telegram账号。2025年前两个月，研究人员已监测到数千个俄罗斯用户点击恶意链接的案例，这些链接通过即时通讯工具传播，旨在窃取账户信息或植入恶意软件。被盗账号被以几十至数百卢布不等的价格在地下论坛出售，其中频道管理员账号价值最高。攻击者不仅通过钓鱼链接窃取账号，还利用虚假购物网站分发名为Mamont的银行木马，该木马会窃取短信和推送通知权限以实施金融诈骗。卡巴斯基提醒用户警惕不明链接，建议启用双重验证并仅从官方渠道下载应用。

4. 莫斯科地铁系统遭疑似网络攻击网站及APP服务中断

【The Record网站3月31日报道】莫斯科地铁系统网站及移动应用程序当日出现服务中断，网站页面一度显示乌克兰国家铁路公司Ukrzaliznytsia的标志，疑似遭遇报复性网络攻击。此次中断导致乘客无法远程充值交通卡，部分自动售票机也出现故障。莫斯科交通部门声称是"技术维护"所致，但俄罗斯互联网监管机构Roskomnadzor已确认服务异常。事件发生前一周，乌克兰铁路系统刚遭受大规模网络攻击，致使其不得不临时增加人工售票窗口。近年来，俄乌双方黑客频繁攻击对方交通基础设施，乌克兰IT军曾多次宣称对俄罗斯多个城市的交通支付系统发动攻击。目前莫斯科地铁数字服务仍未完全恢复，但官方强调车站人工售票服务正常运作。此次事件再次凸显关键基础设施面临的网络安全风险正在持续升级。

5. 英国GCHQ前实习生承认窃取绝密数据面临国家安全指控

【The Record网站4月1日报道】英国政府通信总部(GCHQ)前实习生哈桑·阿尔沙德承认从该机构受保护计算机中走私绝密信息。25岁的阿尔沙德在2022年8月实习期间，将包含GCHQ员工姓名及机密工具的敏感数据通过智能手机带出，随后上传至个人硬盘。这些被归类为"绝密"的信息一旦泄露可能直接威胁国家安全甚至造成人员伤亡。案件部分审理过程采取闭门方式进行，阿尔沙德此前还承认持有儿童不雅照片的指控。这起事件暴露了情报机构内部安全管理漏洞，尤其凸显实习人员接触敏感信息的风险。阿尔沙德将于6月13日接受量刑，此案再次引发对关键岗位人员背景审查和安全教育的讨论。

6. 法国监管机构以反竞争为由对苹果罚款1.62亿美元隐私保护工具引发争议

【The Record网站3月31日报道】法国竞争管理局(FCA)以反竞争行为为由对苹果公司处以1.5亿欧元(约1.62亿美元)罚款。监管机构认定，苹果在2021年至2023年间通过其应用程序跟踪透明度(ATT)机制滥用市场主导地位，该机制虽然旨在保护用户隐私，但其设计方式对第三方应用程序开发商造成不公平竞争。ATT功能要求应用程序在收集用户数据用于定向广告前必须获得明确同意，但FCA指出苹果的实施方式存在双重标准：第三方应用面临复杂的同意弹窗，而苹果自家应用只需简单勾选即可完成授权。更关键的是，苹果被指控将从同意跟踪用户处收集的数据用于自身广告业务获利。尽管罚款金额仅相当于苹果2024年第四季度营收(1240亿美元)的0.13%，但此案凸显了科技巨头在隐私保护与市场竞争间的平衡难题。苹果公司表示对裁决失望，但强调FCA并未要求修改ATT机制本身。这起处罚可能影响欧盟正在制定的数字市场竞争新规，为其他科技公司的隐私工具设计树立重要判例。

7. 加拿大黑客因入侵德州共和党系统在美国面临指控

【The Record网站4月1日报道】37岁的加拿大黑客奥布里·科特尔(Aubrey Cottle)因涉嫌入侵德州共和党使用的网络系统并窃取敏感数据，已于上周三在加拿大被捕。美国司法部指控这位化名"Kirtaner"的知名黑客入侵了网站托管公司Epik的系统，获取了包含个人身份信息的德州共和党服务器备份数据，并将这些数据公开发布在互联网上。起诉书显示，科特尔在社交媒体上公开承认对此次攻击负责，警方在其住所查获了20TB的被盗数据。作为黑客组织"匿名者"的核心成员，科特尔此前就曾攻击过多个保守派组织。如果"非法转移、持有或使用身份证明"罪名成立，他将面临最高五年监禁。这起案件凸显政治组织面临的网络安全风险，以及黑客活动分子针对敏感政治数据的持续威胁。

8. 佳能打印机驱动高危漏洞威胁全球用户，攻击者可远程执行任意代码

【CybersecurityNews网站3月31日报道】佳能公司发布安全公告，披露其多款打印机驱动程序存在严重越界漏洞（CVE-2025-1268），CVSS 3.1评分高达9.4，属于“严重”级别安全风险。该漏洞影响Generic Plus系列驱动程序的多个版本（PCL6、UFR II、LIPS4、LIPSLX及PS驱动，V3.12及更早版本），攻击者可利用EMF Recode处理功能的缺陷，通过恶意打印任务远程执行任意代码，无需用户交互或特殊权限即可触发。该漏洞由微软MORSE团队研究员Robert Ord发现并报告，佳能已对其致谢。由于受影响驱动程序广泛应用于企业办公、生产环境及个人设备，全球大量用户面临潜在攻击威胁。攻击者不仅能破坏打印服务，还可能进一步渗透系统，窃取敏感数据或部署恶意软件。佳能强烈建议用户立即升级至最新版驱动程序，并采取额外防护措施，如网络隔离打印服务器、监控异常打印行为等，以降低风险。

9. 戴尔Unity存储系统曝多个高危漏洞，攻击者可远程获取root权限

【CybersecurityNews网站3月31日报道】戴尔科技发布紧急安全更新，修复其Unity企业存储系统中16个安全漏洞，其中包含两个CVSS评分超过9.0的严重漏洞。最危险的CVE-2025-22398（CVSS 9.8）允许攻击者通过发送恶意API请求，以root权限远程执行任意命令，可能导致系统完全被接管。另一个高危漏洞CVE-2025-24383（CVSS 9.1）则允许未经认证的攻击者远程删除任意系统文件。此次披露的漏洞影响运行5.4及更早版本的Dell Unity、UnityVSA和Unity XT存储系统。除远程漏洞外，还包含多个本地权限提升漏洞（CVSS 7.8）和命令注入漏洞（CVSS 7.3）。攻击者可组合利用这些漏洞实施勒索软件攻击、数据窃取或植入持久性后门。戴尔已发布5.5.0.0.5.259版本修复所有漏洞，建议用户立即升级。企业存储系统通常承载关键业务数据，这些漏洞若被利用将造成严重影响。

10. Ubuntu曝用户命名空间限制绕过漏洞，本地攻击者可提升权限

【CybersecurityNews网站3月31日报道】Qualys研究人员在Ubuntu 23.10和24.04 LTS系统中发现三个关键安全绕过漏洞，允许本地攻击者突破AppArmor对用户命名空间的限制。这些漏洞虽不直接提供root权限，但能显著降低内核漏洞利用门槛，与CAP_SYS_ADMIN等特权缺陷结合可导致完整系统沦陷。漏洞利用三种独特绕过技术：通过aa-exec工具切换宽松配置文件（如trinity）、利用Busybox的弱配置AppArmor策略、或通过LD_PRELOAD注入Nautilus进程。这些方法均能绕过Ubuntu为防止非特权用户滥用命名空间而设计的防护机制，使攻击者能够创建具备完整能力的命名空间。Canonical已承认问题并将其归类为纵深防御缺陷，建议通过内核参数调整（如启用apparmor_restrict_unprivileged_unconfined）和配置文件硬化来缓解风险。

11. HPE集群管理工具曝高危RCE漏洞，攻击者可root权限远程执行命令

【CybersecurityNews网站3月31日报道】HPE Insight Cluster Management Utility (CMU) v8.2中存在一个严重设计缺陷（CVE-2024-13804），允许攻击者在无需任何凭证的情况下，通过修改客户端代码绕过身份验证机制，以root权限在服务器端执行任意命令。该漏洞由研究人员"Navigating The Shadows"发现，源于软件客户端授权检查存在服务器端验证缺失，攻击者通过反编译cmugui_standalone.jar文件并修改isAdmin验证函数，即可通过RMI协议（端口1099）发送特权命令。由于该软件已被HPE列为生命周期终止产品，将不会获得官方补丁。建议仍在使用该软件的组织立即采取网络隔离措施，限制对1099端口的访问。该漏洞最初于2023年5月报告，但直到2025年1月才获得CVE编号，凸显了漏洞披露流程中的协调挑战。对于高性能计算环境而言，此漏洞可能导致整个集群被完全控制，风险等级极高。

12. PHP曝严重解析漏洞，攻击者可绕过验证加载恶意内容

【CybersecurityNews网站3月31日报道】网络安全研究人员近日发现PHP的libxml流中存在一个严重漏洞(CVE-2025-1219)，该漏洞会影响依赖DOM或SimpleXML扩展进行HTTP请求的Web应用程序。该漏洞源于HTTP流包装器在处理重定向时未能正确清除历史请求头，导致php_libxml_sniff_charset_from_stream()函数可能使用错误的content-type标头解析文档。受影响的PHP版本包括8.1系列低于8.1.8.2系列低于8.2.28、8.3系列低于8.3.18以及8.4系列低于8.4.5的版本。攻击者可利用此漏洞实施字符集解析错误、验证机制绕过等攻击，甚至可能导致内容被篡改。PHP开发团队已在最新版本中修复该问题，建议所有使用相关扩展的Web应用立即升级至安全版本。该漏洞的发现再次凸显了及时更新软件以应对安全威胁的重要性，特别是对于广泛使用的Web开发语言而言。

13. 苹果紧急发布iOS 18.4更新，修复62个安全漏洞包含多个高危漏洞

【SecurityLab网站3月31日报道】苹果公司意外提前推送iOS 18.4系统更新，一次性修复了62个安全漏洞，其中包含多个高危漏洞。此次更新支持iPhone Xs及以上机型，更新包大小约3.76GB，安装过程仅需10分钟左右。安全修复重点包括：WebKit引擎中的CVE-2025-30432漏洞可能导致设备被完全控制；CVE-2025-24208跨站脚本漏洞允许攻击者注入恶意代码；以及一个可被利用来暴力破解设备密码的漏洞。除安全补丁外，本次更新还新增了改进的Apple Intelligence功能、18个新表情符号、增强的照片管理功能等。苹果建议所有符合条件的用户立即安装更新，以防范潜在的安全威胁。

14. 苹果iMessage零点击漏洞技术细节曝光：恶意票证图像可完全控制iPhone

【SecurityLab网站3月31日报道】NSO集团在2023年9月利用的苹果iMessage零点击漏洞技术细节首次完整公开。该攻击通过精心构造的PKPass票证文件实施，可完全绕过iOS 16.6的安全防护：漏洞组合：利用WebP格式解析漏洞(CVE-2023-41064)实现内存越界写入；通过伪造的TIFF图像(background.png)准备内存布局；使用超大的bplist数据块构造恶意CFReadStream对象。高级绕过技术：巧妙利用指针认证(PAC)机制的设计特点，无需直接绕过；提前通过HomeKit漏洞获取ASLR内存地址；采用NSExpression加密载荷，需二次交互解密。攻击流程：①发送携带恶意PKPass的iMessage；② WebP漏洞触发初始内存破坏；③ TIFF文件伪造CFArray对象重塑内存；④巨型bplist构造虚假CFReadStream；⑤触发回调函数执行NSExpression代码⑥接收密钥解密最终载荷，突破BlastDoor沙箱。该攻击曾成功入侵美国人权组织成员的iPhone，促使苹果紧急发布安全更新。安全专家指出，这已是第二次利用文件扩展名欺骗（PNG伪装）的案例，建议苹果加强文件格式验证机制，特别是对bplist结构的严格检查。