一、发展动向热讯
1、国家数据局等四部门联合开展全国数据资源调查
2月19日,国家数据局、中央网信办、工业和信息化部、公安部联合开展全国数据资源情况调查,调研各单位数据资源生产存储、流通交易、开发利用、安全等情况,为相关政策制定、试点示范等工作提供数据支持。调查对象包括:省级数据管理机构、工业和信息化主管部门、公安厅(局);各省重点数据采集和存储设备商、消费互联网平台和工业互联网平台企业、大数据和人工智能技术企业、应用企业、数据交易所、国家实验室等单位;中央企业;行业协会商会;国家信息中心。(信息来源:新华社)
2、《2024年提升全民数字素养与技能工作要点》发布
2月21日消息,中央网信办、教育部、工业和信息化部、人力资源社会保障部联合印发《2024年提升全民数字素养与技能工作要点》,明确了年度工作目标:到2024年底,我国全民数字素养与技能发展水平迈上新台阶,数字素养与技能培育体系更加健全,数字无障碍环境建设全面推进,群体间数字鸿沟进一步缩小,智慧便捷的数字生活更有质量,网络空间更加规范有序,助力提高数字时代我国人口整体素质,支撑网络强国、人才强国建设。(信息来源:网信中国)
3、工信部发布工业领域数据安全能力提升实施方案
2月23日,工业和信息化部印发《工业领域数据安全能力提升实施方案(2024—2026年)》,提出到2026年底,我国工业领域数据安全保障体系基本建立,关键指标包括:基本实现各工业行业规上企业数据安全要求宣贯全覆盖;开展数据分类分级保护的企业超4.5万家,至少覆盖年营收在各省(区、市)行业排名前10%的规上工业企业;立项研制数据安全国家、行业、团体等标准规范不少于100项;数据安全培训覆盖3万人次,培养工业数据安全人才超5000人等。(信息来源:工信微报)
4、拜登签署关于防止有关国家访问美敏感数据行政令
2月28日,美总统拜登签署“关于防止有关国家访问美国敏感数据”的行政令,限制向中国、俄罗斯和另外四个国家出售美国敏感数据。新行政命令限制有关国家通过商业方式获取美国个人和政府的敏感信息,主要针对的是“数据承包商”等成批处理、出售或转让美国个人数据的公司。该行政令要求司法部与国土安全部合作制定限制“敏感数据”流动的具体措施,特别是限制敏感数据被用于“外国人工智能训练”。该行政令规定的“敏感数据”类型包括:个人信息、健康和基因信息以及其他交易中存在的相关信息。(信息来源:美白宫网站)
5、拜登签署加强海事网络安全的行政令
2月21日消息,美总统拜登签署“关于修订与保护美船舶、港口及海滨设施的有关规定”的行政令,加强港口、船舶、海滨设施的网络安全。该行政令将赋予美海岸警卫队检查船只和海滨设施的权力,使其有权控制对美海上基础设施构成网络威胁的相关实体。该行政令要求相关机构向美FBI、CISA、海岸警卫队官员强制报告涉及或危及美国任何船舶、港口或海滨设施的网络事件。美海岸警卫队将针对性开展三项行动:一是发布一项海事安全指令;二是更新发布一项海事公告;三是发布关于海上运输系统网络安全拟议规则制定通知。(信息来源:美白宫网站)
6、美白宫发布2024年版《关键技术和新兴技术清单》
2月20日消息,美白宫科技政策办公室(OSTP)发布2024年版《关键技术和新兴技术清单》,概述了为美国创新开辟新道路并加强国家安全的技术。新版清单包括先进计算、先进工程材料、人工智能等18项技术,与2022年版本相比,删除了先进核能技术、金融技术、网络化传感器和感知等3项技术,新增了数据隐私、数据安全和网络安全技术定位、导航和授时技术等2项技术。(信息来源:美白宫网站)
7、美CISA发布JCDC 2024年优先事项
2月12日,美网络安全与基础设施安全局(CISA)发布联合网络防御合作组织(JCDC)2024年优先事项,将重点关注:(1)防御APT行动,特别是发现并防御中国支持的APT行为者在美国基础设施上的恶意滥用行为,并为重大网络事件做好准备;(2)提高关键基础设施所有者和运营商的基线保护,尽可能降低勒索软件对关键基础设施的影响;(3)预测新兴技术和风险,降低人工智能对关键基础设施构成的风险。(信息来源:美CISA网站)
8、美国防部发布国际盟友网络标准指南
2月14日消息,美国防部发布关于信息共享、最佳实践和培训的《外国合作伙伴标准指南》,以支持国际盟友建立和运营可信网络,并确保信息系统的安全性和可用性。指南为国际合作伙伴提供了学习、制定和加强其优先领域标准的参考,包括网络安全;云;指挥、控制和通信能力;网络劳动力等。指南中还包括相关国际网络安全标准信息及人工智能和数据等主题。(信息来源:美国防部网站)
9、美NIST更新发布《网络安全框架2.0》
2月27日消息,美国家标准与技术研究院(NIST)发布《网络安全框架(CSF)2.0》,是2014年发布后的首次重大更新,旨在帮助更多类型的组织管理和降低网络安全风险。新版框架在现有的“识别、保护、检测、响应和恢复”基础上新增“治理”功能,目的是将网络安全风险与其它企业风险放在同等重要位置。CSF 2.0参考工具还简化了组织实施CSF的方式,提供了快速入门指南、成功案例以及可搜索的信息参考目录等资源。(信息来源:美NIST网站)
10、蒂莫西·霍正式掌舵美网络司令部和国家安全局
2月2日,美网络司令部副司令、空军中将蒂莫西·霍正式接替保罗·中曾根,出任美网络司令部司令、国家安全局局长和中央安全局局长。蒂莫西·霍在担任美网络司令部副司令期间,领导了联合网络作战架构的开发和构建,同时促成美网络国家任务部队升格为次级统一司令部;担任美网络国家任务部队指挥官时,领导了保护2018年中期选举免遭外国黑客攻击的工作。(信息来源:美国家安全局网站)
11、欧盟委员会成立欧洲人工智能办公室
2月21日,欧盟委员会成立欧洲人工智能办公室,主要任务包括:开发用于评估通用人工智能模型能力的工具、方法和基准;监测通用人工智能模型和系统规则的实施和应用;监测由通用人工智能模型产生的不可预见的风险;调查可能违反通用人工智能模型和系统规则的行为;与相关部门的立法机构协调,助力禁止部分人工智能行为和高风险人工智能系统的规则的实施。该办公室将推动《人工智能法案》的实施和统一适用,为人工智能监管沙盒的建立、运行和协调提供技术支持、建议和工具。(信息来源:欧盟委员会网站)
12、英国陆军举行“国防网络奇迹3”年度网络演习
2月9日至17日,英国陆军举行“国防网络奇迹3”年度网络演习,旨在发展网络防御能力,建立国防领域可持续的网络安全体系,并兼容北约和欧盟标准。此次演习主会场位于爱沙尼亚塔林的北约合作网络防御卓越中心,共有来自17个国家的127支队伍参加了此次演习,包括菲律宾、日本、新加坡、韩国等。演习包括对关键基础设施和信息系统进行网络攻击的模拟场景,特别关注量子技术等尖端技术,展示量子计算在保护关键网络方面的实际应用。(信息来源:奇安网情局)
二、安全事件聚焦
13、美英法等11国联合打击勒索软件组织LockBit
2月20日,美、法、英等11国执法机构联合对头号勒索软件组织LockBit展开大规模清剿,由英国国家犯罪局领导,欧洲刑警组织和欧洲司法局协调,取得了以下成果:两名LockBit运营者在波兰和乌克兰被捕;执法部门扣押了超过200个加密钱包;执法部门从查获的LockBit服务器中获取了超过1000个解密密钥;查获了LockBit的服务器和基础设施,接管了其数据泄露站点用于发布解密工具和悬赏通知;法国和美国司法当局针对其他LockBit攻击者发出三份国际逮捕令和五项起诉书。执法部门还宣布查获了34台LockBit服务器,这些服务器位于荷兰、德国、芬兰、法国、瑞士、澳大利亚、美国和英国。(信息来源:英NCA网站)
14、俄黑客组织“TAG-70”攻击欧洲80多个实体
2月20日消息,研究人员发现与俄罗斯有关联的黑客组织“TAG-70”以乌克兰、格鲁吉亚和波兰的邮件服务器为攻击目标,利用Roundcube网络邮件服务器中的跨站点脚本漏洞,绕过政府和军事组织的防御,获得对目标邮件服务器的未经授权访问,收集有关欧洲政治和军事活动情报,80多个组织的电子邮件服务器遭破坏,主要涉及乌克兰(30.9%)、格鲁吉亚(13.6%)和波兰(12.3%)。研究人员警告称,针对包括Roundcube在内的网络邮件软件平台的网络间谍组织可能会泄露有关乌克兰国防计划、伙伴国家和第三方合作的敏感信息。(信息来源:E安全网)
15、美多家移动运营商发生大范围网络中断
2月23日消息,美多个主要移动通讯运营商,包括AT&T、Cricket Wireless、Verizon和T-Mobile,均大范围出现网络中断现象,部分用户无法拨打电话、发送短信或上网,此次网络中断事件影响数以万计的用户。AT&T是此次受影响最严重的运营商,已产生超过7.3万个故障报告。AT&T旗下子公司Cricket Wireless也受影响,其故障报告超1.3万个。AT&T和Cricket表示,正紧急开展服务恢复工作,并鼓励用户在恢复之前使用Wi-Fi通话功能。截至目前,各家美国运营商尚未给出断网原因。(信息来源:美联社)
16、美医疗支付关键供应商遭攻击致众多药店网络中断
2月23日消息,美医疗支付关键供应商Change Healthcare遭网络攻击,造成大范围网络中断,导致许多药店无法处理处方,对美医疗系统产生重大影响。该公司超过100个应用程序受影响,包括牙科、药房、医疗记录、临床服务、注册、患者参与、收入和付款等服务。Change Healthcare是美国最大的医疗IT公司之一,负责处理全国医疗服务提供者和支付方的支付流程,可访问约三分之一的美国患者的医疗记录,每年处理数十亿笔医疗交易。Change Healthcare表示,公司已断开系统连接,预计中断至少将持续一整天。(信息来源:SecurityWeek网)
17、德国知名物流流程软件制造商遭勒索软件攻击
2月22日消息,德国知名物流流程软件制造商PSISoftware SE证实其遭勒索软件攻击,内部基础设施遭严重破坏,公司被迫中断了包括电子邮件在内的多个内部IT系统,以降低数据丢失风险。PSI公司专门为大型能源供应商提供软件解决方案,包括运营管理、网络利用和能源交易等。目前,PSI公司正在进行事件响应和修复工作。(信息来源:BleepingComputer网)
18、知名品牌遭勒索软件攻击致3500万客户信息被盗
2月15日消息,Vans、Timberland和Supreme等知名服饰和鞋类品牌母公司VF Corporation表示,去年12月份发生的勒索软件攻击事件,导致超过3500万客户个人信息被盗,但社会安全号码、银行账户信息或支付卡信息未遭窃取。攻击者通过加密部分IT系统破坏了公司的业务运营,零售店库存补充中断,订单执行和部分发货延迟。VF Corporation被迫关闭了部分系统以控制事件波及范围。目前,VF Corporation公司正在调查该事件,但尚未向客户通报详细情况。(信息来源:BleepingComputer网)
19、黑客组织声称窃取了1.5TB施耐德内部数据
2月20日消息,黑客组织Cactus Ransomware声称其成功入侵了施耐德电气可持续发展业务部门的访问权限,窃取了约1.5TB数据。Cactus在暗网公布了25MB被盗数据作为凭证,其中包括几名美国公民护照和保密协议文件的扫描件。该黑客组织威胁称,如不支付赎金,将会泄露所有被盗数据。研究人员推测被盗数据可能涵盖了客户工业控制和自动化系统的敏感信息以及有关环境和能源法规合规性的信息。(信息来源:安全威胁纵横)
20、澳电信供应商Tangerine 23万客户数据被盗
2月26日消息,澳大利亚电信供应商Tangerine遭网络攻击,攻击者利用承包商的登录凭据成功访问了一个遗留客户数据库,该数据库中存储了约23万客户的账户信息,包括姓名、出生日期、电子邮件地址、手机号码和Tangerine账号。Tangerine表示,驾驶执照号码、身份证件详细信息、银行详细信息或密码未遭泄露,其服务和多重身份验证保护的客户账户也未受影响。Tangerine自2月21日起通知受影响客户,提醒客户保持警惕。(信息来源:SecurityWeek网)
21、宝马被曝云存储配置错误导致内部敏感数据暴露
2月20日消息,威胁情报公司SOCRadar安全研究人员发现宝马的一个云存储服务器配置错误,可能导致公司敏感信息暴露。该服务器中包含了Azure容器访问信息、访问私有存储桶地址的密钥以及其他云服务的详细信息。暴露数据包括宝马在中国、欧洲和美国的云服务私钥,以及宝马生产和开发数据库的登录凭据。宝马公司随后承认了该事件,确认数据暴露影响了基于存储开发环境的Microsoft Azure存储桶,但未透露具体数据量及时间。(信息来源:安全内参)
三、安全风险警示
22、runc容器逃逸漏洞安全风险通告
2月1日,runc官方发布安全公告,披露runc 1.1.11及更早版本中存在4个容器逃逸漏洞:CVE-2024-21626(CVSS评分8.6)、CVE-2024-23651(CVSS评分8.7)、CVE-2024-23652(CVSS评分10.0)和CVE-2024-23653(CVSS评分9.8)。攻击者可利用上述漏洞获得对底层主机操作系统的未授权访问,导致容器逃逸。runc是一种CLI工具,用于根据OCI规范在Linux上生成和运行容器,可与各种容器工具和平台集成,如Docker、Kubernetes等。runc官方已发布补丁,建议用户升级到最新版本(1.1.12)。(信息来源:启明星辰)
23、PgJDBC SQL注入漏洞安全风险通告
2月21日,启明星辰VSRC监测到PgJDBC中存在一个SQL注入漏洞CVE-2024-1597(CVSS评分10.0)。PgJDBC受影响版本中,当使用简单查询模式时存在SQL注入漏洞,当SQL绑定占位符带有(-)前缀时,负值的直接替换可能导致生成的标记被视为行注释(如:SELECT-?,?),如果第一个数值占位符的参数值为负值(如-1,-123等)且第二个字符串值占位符的参数中带有换行符的恶意文本可能导致命令执行。攻击者可利用该漏洞执行SQL注入攻击,获取敏感信息或执行未授权操作等。PgJDBC允许Java程序使用标准的、独立于数据库的Java代码连接到PostgreSQL数据库。官方已发布补丁,建议尽快升级。(信息来源:启明星辰)
24、ConnectWise ScreenConnect存在两个安全漏洞
2月22日,研究人员发现ConnectWise ScreenConnect中存在两个安全漏洞:(1)身份验证绕过漏洞CVE-2024-1709(CVSS评分10.0),由于身份验证过程并未针对所有访问路径进行安全防护,攻击者可通过特制请求访问已配置的ScreenConnect实例上的设置向导,从而创建新的管理员账户并使用它来控制ScreenConnect实例。(2)目录遍历漏洞CVE-2024-1708,拥有管理员访问权限的威胁者可使用扩展功能,将文件写入ScreenConnect\App_Extensions中的任意位置,某些情况下可能导致代码执行。上述漏洞已被修复,受影响用户可升级到更高版本。(信息来源:启明星辰)
25、微软Exchange服务器高危漏洞影响近10万台设备
2月20日消息,微软Exchange服务器被曝存在高危漏洞CVE-2024-21410且已遭野外利用。该漏洞严重威胁到全球约9.7万台Exchange服务器,这些服务器广泛用于企业环境,提供邮件、日历、联系人管理和任务管理等服务。攻击者利用该漏洞提升权限,访问敏感数据,甚至将服务器作为跳板进行进一步攻击。受影响最严重国家是德国(22,903例)、美国(19,434例)和英国(3,665例),中国也有超1000台服务器在线暴露。(信息来源:安全内参)
26、Fiber Go web框架中间件CORS中存在严重漏洞
2月23日消息,研究人员发现Fiber Go web框架中间件CORS中存在一个严重漏洞CVE-2024-25124(CVSS评分9.4),是因为在同步启用凭据时允许CORS配置中出现通配符Origin(“*”)导致。使用Fiber 2.52.1之前版本的任何应用均易受攻击。Fiber是基于Go语言开发的快速、灵活且高性能的web框架,基于快速的HTTP路由器和高性能的HTTP处理程序。CORS是一种重要的机制,使web应用能够在不同域名之间安全地共享资源。建议使用Fiber Go web框架的开发人员立即修复漏洞。(信息来源:TheHackerNews网)
27、Mastodon漏洞可导致攻击者接管任意账号
2月4日消息,免费开源的去中心化社交网络平台Mastodon修复一个严重漏洞CVE-2024-23832(CVSS评分9.4)。该漏洞是由Mastodon中的来源验证不充分造成的,可导致攻击者模拟用户并接管其账号,影响3.5.17、4.0.13、4.1.13和4.2.5之前的所有Mastodon版本。Mastodon目前拥有近1200万名用户,遍布1.1万个服务器。Mastodon上的服务器由提供该基础设施并以服务器管理员的身份行动的所有人控制。该漏洞已修复,建议Mastodon服务器管理员尽快更新。(信息来源:BleepingComputer网)
28、开源Wi-Fi软件中存在两个身份验证绕过漏洞
2月23日消息,研究人员发现安卓、Linux和ChromeOS设备的开源Wi-Fi软件中存在两个身份验证绕过漏洞CVE-2023-52160和CVE-2023-52161。允许攻击者诱骗受害者连接到受信任网络的恶意“克隆”中,并拦截其流量,最终在没有密码的情况下加入其他安全网络。漏洞CVE-2023-52161还允许攻击者未经授权访问受保护的Wi-Fi网络,使现有用户和设备面临恶意软件感染、数据盗窃和商业电子邮件泄露等潜在网络攻击,影响IWD 2.12及更低版本。漏洞CVE-2023-52160影响2.10及以前版本的wpa_supplicant。Red Hat(1)和Ubuntu(1,2)等主要Linux发行版已发布更新,ChromeOS 118及更高版本也已解决该问题,安卓尚未发布更新。(信息来源:FreeBuf网)
四、前沿技术瞭望
29、中科院上海光学精密机械研究所诞生“超级光盘”
2月23日消息,中科院上海光学精密机械研究所与上海理工大学等科研单位紧密合作,在超大容量超分辨三维光存储研究中取得的突破性进展,研发出“超级光盘”。该研究团队经过长达7年坚持不懈的攻坚克难,利用国际首创的双光束调控聚集诱导发光超分辨光存储技术,实验上首次在信息写入和读出均突破光学衍射极限的限制,实现了点尺寸为54nm、道间距为70nm的超分辨数据存储,并完成了100层的多层记录,单盘等效容量达Pb量级。经老化加速测试,光盘介质寿命大于40年。(信息来源:新华社)
30、汽车雷达可被“伪造信号”欺骗无法识别道路车辆
2月20日消息,杜克大学电气与计算机工程学研究团队开发的“疯狂雷达”(MadRadar)系统,仅需不到1/4秒即可准确检测一辆车的雷达参数,并按照参数发出伪造的雷达信号,欺骗目标车辆的雷达,使其产生“幻觉”。这项技术可以隐藏正在靠近的车辆、制造不存在的幻影车,甚至让雷达相信真实的车辆在快速偏离实际路线。这项技术成为迄今为止对雷达安全性最棘手的威胁。研究人员表示,“疯狂雷达”的推出意味着制造商必须立即采取措施,更好地保护他们的产品。(信息来源:安全内参)
