安全资讯导视 |
---|
• 国务院印发《关于深入实施“人工智能+”行动的意见》 |
• 国内主流大模型商业化版本内容安全测试结果揭晓 |
• 卫星网络遭精准攻击!伊朗关键货运船队海上失联细节披露 |
1.CrushFTP身份验证绕过漏洞安全风险通告
8月27日,奇安信CERT监测到官方修复CrushFTP身份验证绕过漏洞(CVE-2025-54309),该漏洞产生于CrushFTP在处理AS2证书时存在缺陷,未正确实施DMZ代理功能,导致远程攻击者可以通过条件竞争获得管理员访问权限。奇安信鹰图资产测绘平台数据显示,该漏洞关联的国内风险资产总数为18627个,关联IP总数为363个。目前该漏洞POC已在互联网上公开且已经存在在野利用,奇安信威胁情报中心安全研究员已成功复现。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
2.Citrix NetScaler内存溢出漏洞安全风险通告
8月27日,奇安信CERT监测到官方修复Citrix NetScaler内存溢出漏洞(CVE-2025-7775),该漏洞源于NetScaler在处理IPv6相关协议栈或CR类型HDX虚拟服务器流量时,对内存缓冲区的边界检查不足,导致攻击者可发送特制网络数据包触发内存溢出。当NetScaler处于如下任意一种配置时,攻击者可在受影响设备上执行任意代码,或造成系统崩溃与服务中断:1.认证服务器(AAA Vserver);2.网关(VPN Vserver、ICA Proxy、CVPN、RDP Proxy);3.类型为HTTP_QUIC、SSL或HTTP的负载均衡虚拟服务器,且绑定了 IPv6 服务或服务组;4.类型为HTTP_QUIC、SSL或HTTP的负载均衡虚拟服务器,且绑定了IPv6 DBS服务或服务组;5.类型为HDX的CR虚拟服务器。奇安信鹰图资产测绘平台数据显示,该漏洞关联的国内风险资产总数为8141个,关联IP总数为1502个。目前该漏洞已发现在野利用,鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
3.Apple DNG图像处理越界写入漏洞安全风险通告
1.Citrix NetScaler 内存溢出漏洞(CVE-2025-7775)
参考链接:
https://www.bleepingcomputer.com/news/security/over-28-200-citrix-instances-vulnerable-to-actively-exploited-rce-bug/
2.Git 远程代码执行漏洞(CVE-2025-48384)
参考链接:
https://www.bleepingcomputer.com/news/security/cisa-warns-of-actively-exploited-git-code-execution-flaw/
1.因关键供应商被黑,瑞典全国约200个城市居民敏感数据泄露
8月27日The Record消息,瑞典软件供应商Miljödata在23日发现遭遇网络攻击,据估计影响了全国约200个城镇。当地警方表示,攻击者已侵入Miljödata的数据环境,并要求公司支付1.5个比特币,约合150万瑞典克朗(约合人民币112万元)。该公司首席执行官Erik Hallén表示,这些系统在瑞典80%的城镇中使用,主要用于处理劳动法相关案件、康复事务、医疗证明,以及工伤和事故的申报与处理。因此,员工、前雇员及学生的敏感个人信息可能已遭泄露。约200个市镇和地区受到此次事件影响,而瑞典全国共有290个城镇和21个地区。
原文链接:
https://therecord.media/sweden-municipalities-ransomware-software
2.日产遭勒索软件入侵,4TB核心数据被盗
8月26日Bleeping Computer消息,日本汽车制造商日产(Nissan)确认其子公司Creative Box Inc.(CBI)遭遇数据泄露事件,涉及车辆设计核心资料。此次攻击由Qilin勒索软件组织发起,攻击者声称窃取了4TB数据,包括3D整车设计模型、内部报告、财务文件、虚拟现实设计流程及车辆照片等。日产发言人透露,CBI 8月16日在其数据服务器上检测到可疑访问行为,随即采取应急措施,包括阻断服务器访问,并第一时间向警方报案。经过初步调查,已经能够验证确有部分设计资料泄露。此次泄露仅涉及日产自身,并不会波及其他客户、承包商或第三方公司。
原文链接:
https://www.bleepingcomputer.com/news/security/nissan-confirms-design-studio-data-breach-claimed-by-qilin-ransomware/
3.卫星网络遭精准攻击!伊朗关键货运船队海上失联细节披露
8月22日Nariman Gharib消息,知名黑客组织Lab-Dookhtegan披露了近期袭击伊朗64艘邮轮与货轮的大量数据,揭示了一起以网络攻击实施战略打击的高水平行动。此次攻击目标涵盖39艘油轮和25艘货轮,这些船只均隶属于受制裁的伊朗航运巨头伊朗国家油运公司(NITC)和伊朗国家航运公司(IRISL)。据该组织声称,64艘船彻底与外界失联,导航系统被清空,数字化破坏如此严重,以至于部分船只可能数月内都无法恢复。据其披露数据声称,该组织通过攻击这些船只的当地卫星通信供应商Fanava集团,获取了对应船只的详细信息并实施长期监控,潜伏5个月之久后发起自毁式攻击,擦除了卫星通信设备和关键通信系统的数据,以期令伊朗海上行动全面瘫痪。目前伊朗方面尚未对此发表评论。
原文链接:
https://blog.narimangharib.com/posts/2025%2F08%2F1755854831605?lang=en
1.《人工智能生成合成内容标识方法 文件元数据隐式标识 文本文件》等6项网络安全标准实践指南发布
8月28日,全国网络安全标准化技术委员会秘书处组织编制了6项网络安全标准实践指南,包括5份《人工智能生成合成内容标识方法 文件元数据隐式标识》系列文件、1项《人工智能生成合成内容检测 第1 部分:框架》文件。这6份文件明确了人工智能生成合成文本、图片、音频、视频等内容的文件元数据隐式标识方法、元数据安全防护指南以及生成合成内容检测框架,可为生成合成服务提供者和内容传播服务提供者开展人工智能生成合成内容文件元数据隐式标识活动以及生成合成内容检测活动提供参考。
原文链接:
https://www.tc260.org.cn/upload/2025-08-28/1756396168261019065.rar
2.《网络安全技术 物联网安全参考模型及通用要求》等4项国家标准公开征求意见
8月27日,全国网络安全标准化技术委员会归口的4项国家标准已形成标准征求意见稿,现公开征求意见。4项标准包括《网络安全技术 鉴别与授权 基于属性的访问控制模型与管理规范》《网络安全技术 开放的第三方资源授权协议》《网络安全技术 物联网安全参考模型及通用要求》《数据安全技术 个人信息匿名化处理指南及评价方法》。
原文链接:
https://www.tc260.org.cn/front/bzzqyjList.html?start=0&length=10
3.工信部印发《关于优化业务准入促进卫星通信产业发展的指导意见》
8月27日,工业和信息化部印发《关于优化业务准入促进卫星通信产业发展的指导意见》,从有序扩大市场开放、持续拓展应用场景、培育壮大产业生态、优化电信资源供给、加强卫星通信监管、提升协同推进合力等六方面提出19条思路举措。其中1条举措为筑牢网络和数据安全防线,包括指导督促企业依法履行国家安全主体责任,在相关系统的设计、建设、运行中同步规划、同步建设、同步运行安全技术措施,落实通信网络安全防护、数据分类分级保护、关键信息基础设施保护、网络安全等级保护以及个人信息保护等要求,建设信息安全技术措施,保障网络、数据和信息安全,加强用户实名制管理,做好防范治理电信网络诈骗相关技术保障措施。
原文链接:
https://www.miit.gov.cn/zwgk/zcwj/wjfb/yj/art/2025/art_84617e8497d84a3d8b8b3ef847f648d2.html
4.国务院印发《关于深入实施“人工智能+”行动的意见》
8月26日,国务院印发《关于深入实施“人工智能+”行动的意见》。该文件提出了14条举措,其中1条为提升安全能力水平。内容包括推动模型算法、数据资源、基础设施、应用系统等安全能力建设,防范模型的黑箱、幻觉、算法歧视等带来的风险,加强前瞻评估和监测处置,推动人工智能应用合规、透明、可信赖。建立健全人工智能技术监测、风险预警、应急响应体系,强化政府引导、行业自律,坚持包容审慎、分类分级,加快形成动态敏捷、多元协同的人工智能治理格局。
原文链接:
https://www.gov.cn/zhengce/content/202508/content_7037861.htm
5.美国CISA发布《软件物料清单最低要素》新版草案
8月22日,美国网络安全和基础设施安全局(CISA)发布《软件物料清单(SBOM)最低要素》更新版本草案,启动公众意见征询期,希望进一步加强软件供应链的透明度。该文件提出,SBOM新增了组件哈希值、许可证、工具名称和生成上下文等要素,为提升基于风险的软件安全决策提供了信息支持。更新了SBOM作者、软件生产商、组件版本、软件标识符、覆盖范围以及SBOM数据更新的容纳机制等部分要素的细节,旨在明确SBOM应包含的数据内容,以实现更统一的实施标准。还更新了组件名称、时间戳、依赖关系、自动化支持、频率、已知未知项、分发与交付等其他要素的早期版本定义,移除了访问控制要素,并将访问控制考量纳入分发与交付部分。
原文链接:
https://www.cisa.gov/sites/default/files/2025-08/2025_CISA_SBOM_Minimum_Elements.pdf
6.美国NIST发布4项轻量级加密标准以保护物联网设备
8月13日,美国国家标准与技术研究院(NIST)发布《基于Ascon的受限设备轻量级加密标准》(SP 800-232)指导文件,最终确定了4项轻量级加密算法,替代性能要求较高的AES加密算法,专门用于保护物联网及其他小型设备生成和传输的数据。4项算法均基于Ascon算法家族,包括AEAD128、Ascon-Hash256、Ascon-XOF128和Ascon-CXOF128,其中第1项为认证加密算法,后3项为哈希算法。
原文链接:
https://csrc.nist.gov/pubs/sp/800/232/final
本期周报内容由安全内参&虎符智库&奇安信CERT联合出品!
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...