编者按
一是中央网信办印发《中央网信办主责国家重点研发计划重点专项管理实施细则》;二是工业和信息化部等四部门联合发布的《人工智能生成合成内容标识办法》,自9月1日起正式施行;三是《人工智能生成合成内容标识方法 文件元数据隐式标识 文本文件》等6项网络安全标准实践指南发布;四是联合国大会通过决议设立全球人工智能治理新机制;五是中国互联网金融协会发布《关于进一步加强金融领域App自律检查的通知》;六是美国防部叫停微软十年“数字护送”计划,全面禁止中国参与美国防部软件系统;七是美NIST更新SP 800-53控制措施以强化软件维护与网络风险防护;八是美国家安全局与人工智能公司合作推出新型雾计算系统;九是美谷歌公司宣布成立网络攻击部门。
一是工信部:关于防范Cursor代码编辑器远程代码执行高危漏洞的风险提示;二是工信部:关于防范Windows SharePoint Server远程代码执行超危漏洞的风险提示;三是国内知名送餐机器人曝安全漏洞,影响范围广泛;四是用友U8Cloud文件上传漏洞安全风险通告;五是开源分布式机器学习平台H2O-3存在反序列化漏洞;六是跨平台高性能文件传输服务器软件CrushFTP存在远程代码执行漏洞。
01 网安动向热讯
01
中央网信办印发《中央网信办主责国家重点研发计划重点专项管理实施细则》
02
工业和信息化部等四部门联合发布的《人工智能生成合成内容标识办法》,自9月1日起正式施行
03
《人工智能生成合成内容标识方法 文件元数据隐式标识 文本文件》等6项网络安全标准实践指南发布
04
联合国大会通过决议设立全球人工智能治理新机制
05
中国互联网金融协会发布《关于进一步加强金融领域App自律检查的通知》
06
美国防部叫停微软十年“数字护送”计划,全面禁止中国参与美国防部软件系统
07
美NIST更新SP 800-53控制措施以强化软件维护与网络风险防护
08
美国家安全局与人工智能公司合作推出新型雾计算系统
09
美谷歌公司宣布成立网络攻击部门
02 数据前沿快讯
10
8月30日消息,国家数据局在2025中国国际大数据产业博览会上发布“数据基础设施建设典型案例”并展出。案例覆盖行业、区域、央企三大类别,包含14个行业标杆、29个地方样本、13个央企实践,涉及医疗、政务、教育、科研、工业互联网、城市治理、交通运输、水利、法治及跨境等多个关键领域,为国家数据基础设施建设提供有益参考。(信息来源:国家数据局)
11
8月30日消息,《可信数据空间标准化研究报告(2025版)》正式发布,本研究报告基于可信数据空间建设现状,以及已有标准基础,根据我国可信数据空间未来发展趋势,以《国家数据标准体系建设指南》为指导,形成可信数据空间标准体系框架,属于国家数据标准体系中“数据基础设施—流通利用设施”标准。本研究报告与数据基础设施标准充分衔接复用,进一步明确了可信数据空间基础通用、功能技术、业务运营、安全保障、能力评价及应用服务等重点方向的标准化工作思路,避免在概念、功能上泛化,有效解决数据流通中的兼容性、互操作性和安全性等核心问题,实现互联互通,全面规范可信数据空间的建设、运营和管理。(信息来源:全国数标委)
12
8月29日消息,国家数据发展研究院联合江西省人民政府、北京交通大学、华为技术有限公司等八家单位,共同发布《可信高速数据网研究报告》。《报告》系统阐述了可信高速数据网在数据要素高效流通中的关键桥梁作用,全面分析国内外可信高速数据网发展现状、面临挑战与未来趋势,提出“数据—算力—网络—安全”协同发展的总体框架与关键技术路径。《报告》结合多地创新实践,从政策体系、运营机制、技术攻关和评估体系四个维度提出系统性发展建议,为打造安全可靠、高效畅通的数据流通基础设施提供实践指引。(信息来源:国家数据发展研究院)
13
8月30日消息,国家数据发展研究院等发布《公共数据资源授权运营实施指南》。该指南从实施主体、实施条件、授权程序、运营程序、制度规则、标准规范、监督管理等方面提出路径建议,分享了广州、福建、贵州等地实践经验,为规范化开展授权运营工作提供参考借鉴。指南指出,要灵活选择授权运营模式,将授权运营实施方案做实做深,厘清运营机构定位,坚持公益优先的价值取向,有序开展授权运营监测,切实推动公共数据高效合规对外供给,释放公共数据要素价值。(信息来源:国家数据发展研究院)
14
9月2日消息,上海合作组织成员国元首理事会发布关于加强数字经济发展的声明。成员国将采取以下行动:包括在数字经济发展政策方面加强协作,定期开展对话;继续深化基于各国国家利益制定数据安全国际规则与标准、发展数字基础设施、提供公共服务等领域的合作;推进数字公共基础设施等建设与升级,推动关键经济领域数字化转型,培养高素质人才并提升数字技能;深化新一代通信技术合作,构建普惠、安全、可持续的通信网络体系;加强智慧城市建设和数字服务供给合作;增进数据隐私标准制定领域的经验与优秀实践交流;调动上合组织成员国智库及科研院所力量,深化数字经济领域互惠合作等。(信息来源:外交部官网)
03 网安事件聚焦
15
8月29日消息,网络安全公司CYBERNEWS发布报告称,腾讯云存在严重的配置错误,导致包含敏感凭证和内部源代码的环境泄露到公网,攻击者可借此访问腾讯云后端基础设施。针对此事,腾讯云紧急发布澄清公告,表示此次服务器配置错误或漏洞并非真实的生产系统安全漏洞,而是腾讯云基于安全目的主动部署的蜜罐,蜜罐不包含任何真实的用户数据。蜜罐在网络安全领域是一种主动防御技术,通过模拟易受攻击的系统诱骗攻击者,从而收集攻击行为数据,科技公司通过这种方式来研究黑客的攻击手法和思路,进而部署具有针对性的安全防御措施,绝大多数的蜜罐都具有时效性。目前腾讯云蜜罐已经下线。(信息来源:IT之家)
16
8月29日消息,全球数学建模与工程仿真平台MathWorks公司确认,其核心产品MATLAB和Simulink的内部网络在4月遭勒索软件攻击,部分内部系统与在线服务被迫中断,包括多因素认证、单点登录、MathWorks云中心、文件交换平台、许可证中心以及在线商店。攻击者还窃取了约10476名用户的个人数据,包括姓名、出生日期、住址、社会安全号码以及非美籍用户的国家身份证号等,此类数据可能引发钓鱼攻击、身份盗用甚至商业间谍活动。MATLAB与Simulink拥有超500万用户、超10万机构客户,业务涵盖航空航天、汽车、芯片设计等。MATLAB尚未透露攻击源头及漏洞利用方式。(信息来源:安全内参)
17
8月30日消息,全球网络安全公司Zscaler确认其客户数据因第三方销售自动化平台Salesloft Drift实例遭供应链攻击而泄露,未经授权的攻击者获取了包括Zscaler在内客户的Salesloft Drift凭证。攻击者可借此有限访问Zscaler Salesforce的信息,包括姓名、商业邮箱、职位、电话号码、区域信息、Zscaler产品许可等。Zscaler公司强调,泄露数据仅限Salesforce实例,未影响其产品、服务或基础设施,并已采取多项补救措施,建议客户立即检查与Drift实例相关的所有第三方集成,撤销和轮换凭证,以降低潜在威胁。(信息来源:BleepingComputer网)
18
9月3日消息,知名金融科技公司Sinqia的巴西央行实时支付系统(Pix)的业务环境发生一起未授权访问事件,攻击者窃取该公司IT供应商的合法账号,通过操作多笔转账交易盗取约1.3亿美元资金,Sinqia的两家金融机构客户受影响,其中一家疑似为汇丰银行。Pix是巴西央行于2020年11月推出的即时支付系统。Sinqia为科技巨头Evertec的子公司,主要为银行和金融机构提供金融软件及IT服务。Evertec强调,目前没有迹象显示事件影响范围超出Sinqia的Pix环境,也无证据表明个人数据遭泄露。巴西央行已撤销Sinqia的Pix访问权限,但Sinqia表示正在努力恢复相关业务。(信息来源:安全内参)
19
9月1日消息,黑客声称已成功入侵美电信巨头AT&T的核心基础设施,并掌握了一个包含约2400万AT&T用户数据的动态数据库。攻击者可通过篡改用户电话号码与SIM卡的绑定关系,实施SIM交换攻击;绕过基于短信的双因素认证,直接读取银行、社交媒体等服务的二次验证代码;访问包含税务ID、姓名、IP地址等敏感信息的用户数据库。目前,AT&T尚未公开回应此事。(信息来源:CyberNews网)
20
9月3日消息,韩国个人信息保护委员会(PIPC)对该国运营商SK电讯开出1345亿韩元(约合人民币6.88亿元)罚款。此次处罚源于今年4月披露的一起数据泄露事件,当时SK电讯承认黑客窃取了近2700万(韩国总人口约5000万)用户的通用身份模块数据。PIPC表示,SK电讯在互联网系统与内部管理网络之间未实施最基本的访问控制,攻击者可轻松渗透SK电讯的核心系统,获取认证数据并大规模窃取用户信息。除巨额罚款外,PIPC还要求SK电讯采取一系列补救措施,包括完善加密机制、更严格的访问控制,以及对入侵检测系统的实时监控等。(信息来源:安全内参)
04 网安风险警示
21
8月29日消息,工业和信息化部网络安全威胁和漏洞信息共享平台监测发现,Cursor代码编辑器存在远程代码执行高危漏洞。由于其新建MCP配置文件时无需询问用户,攻击者可采取间接提示词注入的攻击方式将恶意指令写入配置文件,进而实现远程代码执行。受影响版本为Cursor<1.3.9。Cursor是由美国Anysphere公司开发的一款人工智能驱动的代码编辑器。目前,Cursor官方已修复该漏洞,建议相关单位和用户尽快升级版本,防范网络攻击风险。(信息来源:网络安全威胁和漏洞信息共享平台)
22
8月28日消息,工业和信息化部网络安全威胁和漏洞信息共享平台监测发现,Microsoft SharePoint Server存在远程代码执行超危漏洞,已被用于实施网络攻击。Microsoft SharePoint Server是微软公司开发的企业级文档管理与协作平台,由于对不受信任数据的反序列化处理不当,未授权攻击者可利用该漏洞远程执行任意代码,进而完全控制系统。受影响产品包括Microsoft SharePoint Enterprise Server 2016、Microsoft SharePoint Server 2019、Microsoft SharePoint Server Subscription Edition。目前,微软已修复该漏洞,建议相关单位和用户及时更新。(信息来源:网络安全威胁和漏洞信息共享平台)
23
9月2日消息,安全研究员发现国内知名服务机器人厂商普渡机器人旗下产品几乎所有API都缺失有效的身份验证机制,易被攻击者劫持监控,任意发起或修改任务,可能导致恶意行为者重定向BellaBot及其他型号的普渡机器人,将餐食误送他人、干扰餐厅运营、甚至破坏医院和办公场所的敏感业务。作为全球最大的商用服务机器人制造商之一,普渡机器人向餐厅、酒店、医院、办公室和零售店提供多种产品,包括送餐机器人、清洁机器人、配备紫外线和化学喷雾器的消毒机器人以及搭载机械臂可乘坐电梯的楼宇配送机器人等。该漏洞被披露数周后仍未获修复。(信息来源:安全内参)
24
9月2日消息,奇安信CERT监测到官方修复用友U8Cloud文件上传漏洞QVD-2025-33710(CVSS评分9.8)。该漏洞源于用友U8cloud ServiceDispatcherServlet反序列化补丁修复不完善,攻击者可绕过鉴权将非Web目录下的文件移动到Web目录下以实现任意文件上传获取服务器权限。用友U8Cloud是用友网络科技股份有限公司推出的新一代云ERP解决方案,主要聚焦成长型、创新型企业,提供企业级云ERP整体解决方案。鉴于该漏洞影响范围较大,建议用户尽快做好自查及防护。(信息来源:奇安信CERT)
25
9月3日消息,启明星辰集团VSRC监测到H2O-3存在JDBC反序列化漏洞CVE-2025-6507(CVSS评分9.8),该漏洞源于不受信任数据的反序列化,可能导致远程代码执行和系统文件被读取。攻击者可绕过用于防止恶意参数注入的正则表达式过滤器来利用该漏洞,尤其是在JDBC连接中,还可操控参数中间的空格绕过检测机制,执行未经授权的命令或访问受限文件,获得对目标系统的控制权限。H2O-3是由H2O.ai开发的开源分布式机器学习平台,支持大规模数据处理与建模,提供广泛的算法,能够在大数据环境下高效运行,并支持多种编程接口。目前,官方已发布修复版本,建议受影响用户尽快更新。(信息来源:启明星辰安全简讯)
26
8月30日消息,启明星辰集团VSRC监测到CrushFTP存在HTTP(S)远程代码执行漏洞CVE-2025-54309(CVSS评分9.8)。攻击者可通过逆向分析CrushFTP的代码更新,实现远程代码执行,还可通过HTTP(S)请求获取管理权限并植入恶意脚本,创建异常随机管理员账户、篡改版本号显示以及隐藏界面按钮等。CrushFTP是一款跨平台的高性能文件传输服务器软件,支持FTP、FTPS、SFTP、HTTP、HTTPS、WebDAV、SCP等多种协议,广泛应用于企业级安全文件共享、自动化文件传输和数据集成场景。官方已发布安全补丁,建议用户尽快更新。(信息来源:启明星辰安全简讯)
本文来源:国家信息技术安全研究中心官方网站
本文编辑:林青
往期推荐
点赞在看转发是对我们最好的支持
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...