一、发展动向热讯
1、2023年世界互联网大会乌镇峰会开幕习近平发表视频致辞
11月8日,以“建设包容、普惠、有韧性的数字世界——携手构建网络空间命运共同体”为主题的2023年世界互联网大会乌镇峰会在浙江乌镇开幕。国家主席习近平发表视频致辞。习近平主席科学分析了全球互联网发展治理面临的新形势新要求,提出构建更加普惠繁荣、更加和平安全、更加平等包容网络空间的“三个倡导”,为携手推动构建网络空间命运共同体提供了重要指引。本届峰会围绕全球发展倡议数字合作、数字化绿色化协同转型、人工智能等议题举办20场分论坛。来自120多个国家和地区的1800多名嘉宾以线上线下方式参会。(信息来源:新华社)
2、财政部、网信办就会计师事务所数据安全管理办法征求意见
11月13日消息,财政部、国家网信办联合起草《会计师事务所数据安全管理暂行办法(征求意见稿)》。《办法》拟明确适用范围、数据定义和各方主体,加强会计师事务所数据管理,完善会计师事务所网络保障,加强监督检查。《办法》共5章36条。第一部分为总则,主要包括制定依据、适用范围、责任主体、监管机构等内容。第二部分为数据管理,包括总体责任、数据分级分类、数据存储、数据加密管理、数据备份、出境底稿内部管理等内容。第三部分为网络管理,主要包括网络管理制度、资源投入、系统账户管理等内容。第四部分为监督检查,包括信息共享、重点检查对象、行政处罚等内容。第五部分为附则,包括涉密信息处理、个人信息处理等内容。(信息来源:中国信息安全)
3、信安标委就粤港澳大湾区跨境个人信息保护要求征求意见
11月1日,信安标委发布《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求(征求意见稿)》,面向社会公开征求意见。该实践指南旨在促进粤港澳大湾区个人信息跨境安全有序流动,适用于大湾区内个人信息处理者依据备忘录以认证方式开展个人信息跨境处理活动,规定了粤港澳大湾区跨境处理个人信息应遵循的基本原则和保护要求,为实施粤港澳大湾区个人信息保护认证提供了认证依据,也为大湾区个人信息处理者规范个人信息跨境处理活动提供参考。意见反馈截止日期为2023年11月15日。(信息来源:信安标委网站)
4、中国等28国、欧盟签署《布莱切利宣言》
11月1日,首届全球人工智能(AI)安全峰会在英国布莱切利庄园开幕,会议为期2天,包括中国、美国、英国在内的28个国家及欧盟共同签署了《布莱切利宣言》,承诺以安全、以人为本、值得信赖和负责任的方式设计、开发、部署和使用AI。这是全球第一份针对人工智能这一快速新兴技术的国际性声明,旨在关注对未来强大人工智能模型构成人类生存威胁的担忧,以及对人工智能当前增强有害或偏见信息的担忧。(信息来源:英国政府网站)
5、美总统拜登签署首项AI监管行政令
11月1日消息,美总统拜登签署《关于安全、可靠和可信的AI行政命令》,为人工智能安全制定了新标准,这是拜登政府对人工智能技术采取的第一项具有约束力的重大行动。该行政令对8个方面进行了规定:建立AI安全的新标准;保护美国民众的隐私;促进公平和公民权利;维护消费者、病患和学生的权益;支持劳动者;促进创新和竞争;提升美国在海外的领导力;确保美国政府负责任且有效地使用AI。该行政命令要求大公司在人工智能系统正式发布之前与美国政府分享安全测试结果。(信息来源:美白宫网站)
6、美CISA发布了第一份人工智能路线图
11月14日,美CISA发布第一份人工智能路线图,作为拜登关于安全、可靠和可信的AI行政命令工作的一部分,该路线图概述了五项战略工作路线:负责任地使用AI来支持其使命;评估和保证AI系统;保护关键基础设施免受AI的恶意使用;与机构间、国际合作伙伴和公众就关键的AI工作进行协作和沟通;在员工队伍中扩展AI专业知识。CISA将致力于利用人工智能的潜力来改善美国的网络防御,并为生成式人工智能的红队制定建议。(信息来源:CISA官网)
7、美国防部发布《数据、分析和人工智能采用战略》
11月2日消息,美国防部发布《数据、分析和人工智能采用战略》,以取代2018年的人工智能战略和2020年的数据战略,通过加速数据、分析和人工智能的采用,继续推动国防部数字化转型。该战略由首席数字和人工智能办公室制定,重点关注以下目标:投资可互操作的联合基础设施;推进数据、分析和人工智能生态系统;扩大数字人才管理;改善基础数据管理;为企业业务和联合作战影响提供能力;加强治理,消除政策障碍。(信息来源:美国防部网站)
8、美国土安全部制定新的供应商网络安全规则
11月1日,美国国土安全部发布通知,公开新的“网络安全准备度评估因素”的详细信息。通知确认,美国土安全部计划采用自己的方法来评估承包商的网络安全,不再采用美国防部的网络安全成熟度模型认证(CMMC)计划。新的评估因素有助于美国土安全部在适用合同招标前,评估承包商的网络安全状况,进行价值权衡,做出最佳决策。(信息来源:安全内参)
9、欧洲议会通过《数据法案》
11月9日,欧盟议会表决通过《数据法案》,如后续获得欧盟理事会批准,该法案将正式成为法律。《数据法案》旨在规范联网产品或关联服务所产生的数据的流通利用,明确了可访问、共享上述数据的主体范围及实施访问、共享活动的条件,以推动此类数据的流通利用。同时,该法案明确了此类数据流通利用过程中的商业秘密保护规则。此外,该法案还通过互操作性等制度安排,提升了用户在云服务商之间的切换能力,防止用户被特定服务商“锁定”,以促进云服务市场的公平、自由竞争。(信息来源:欧洲议会官网)
10、英国将投资3亿英镑发展人工智能超级计算能力
11月2日消息,英国政府在首届全球人工智能安全峰会上宣布,将“人工智能研究资源”的资金从之前的1亿英镑增加到3亿英镑,以使英国超级计算能力提高30倍以上。英国将建造并连接两台新的超级计算机,这两台超级计算机连接后将于2024年开始运行,用于分析先进的人工智能模型以测试安全特性,并推动药物发现和清洁能源方面的突破。(信息来源:路透社)
11、美韩日决定建立网络协商机构应对朝鲜黑客攻击
11月6日,美韩日决定建立一个网络问题高级协商机构,主要应对朝鲜的网络活动。该机构每季度举行一次会议,主要目的是加强“针对全球网络威胁的实际联合应对能力,包括共同制定措施,阻止被滥用为朝鲜武器开发(如核武器和大规模杀伤性武器)提供主要资金来源的网络活动”。同时,韩国还将与澳大利亚成立双边工作组,以帮助识别共同威胁并协调各国的应对措施。(信息来源:俄罗斯卫星通讯社)
二、安全事件聚焦
12、中国工商银行美国子公司遭LockBit勒索软件攻击
11月10日消息,中国工商银行在美全资子公司—工银金融服务有限责任公司(ICBCFS)在官网发布声明称,11月8日,ICBCFS遭勒索软件攻击,导致部分系统中断。ICBCFS表示,发现攻击后立即切断并隔离了受影响系统,已展开彻底调查并向执法部门报告。ICBCFS称,已成功结算周三执行的美国国债交易和周四完成的回购融资交易,中国工商银行及其他国内外附属机构的系统未受此次事件影响,中国工商银行纽约分行也未受影响。此次网络攻击疑为犯罪集团LockBit发起。(信息来源:安全内参)
13、俄罗斯联邦储蓄银行遭100万次RPS DDoS攻击
11月9日消息,俄罗斯联邦储蓄银行Sberbank表示,其面临近代历史上最强大的DDoS攻击,攻击达到了每秒100万个请求(RPS)。俄罗斯联邦储蓄银行是一家国有银行和金融服务公司,持有该国约三分之一的资产。俄罗斯中央银行国家支付卡系统运营公司NSPK称,攻击者未能窃取任何敏感的客户数据,支付系统未受攻击影响。乌克兰网络联盟的黑客和DumpForums组织宣布对此次攻击负责,并声称窃取了31GB的数据。(信息来源:安全客)
14、美国抵押贷巨头遭网络攻击影响430万用户
11月9日消息,美国最大非银行抵押贷款服务商之一库珀集团遭网络攻击,导致数百万用户的贷款支付和其他交易中断,该集团为430万用户提供抵押贷款服务。库珀集团称,攻击发生后已采取措施锁定自身系统,禁止用户在线支付贷款或访问个人账户信息,尚不确定用户个人信息是否失窃,但此次攻击不会对业务或财务产生重大影响。库珀集团已设立专门网站,向用户提供了通过电话、邮件、西联或速汇金进行支付的选项,目前在线支付系统已恢复。(信息来源:纽约时报)
15、新加坡银行系统因数据中心故障导致服务中断
11月8日消息,Equinix数据中心因冷却系统技术问题,导致新加坡星展银行和花旗银行的支付服务中断,约250万笔支付和ATM交易无法完成。故障发生后,两家银行立即开始恢复IT系统和业务流程,但两家银行均未达到新加坡金融管理局(MAS)对于关键IT系统弹性的标准。MAS对星展银行实施了严厉制裁,包括禁止在未来六个月内减少其分行和ATM网络、对IT系统进行小幅改动以及开设新业务线等。(信息来源:安全客)
16、德国大规模勒索软件攻击致70个市政服务瘫痪
11月3日消息,德国地方市政服务提供商Südwestfalen IT公司服务器遭勒索软件攻击,为阻止恶意软件传播,该公司限制了70多个城市对基础设施的访问权限,政府服务陷入瘫痪,受限城市主要位于德国西部的北莱茵-威斯特法伦州。Südwestfalen IT公司发表声明称,德国城市锡根大部分IT系统停止运行,管理部门的大部分在线服务不可用,韦默尔斯基兴和布尔沙伊德市政府的网站也无法访问。攻击影响了该市的财务、居民、公墓和民政等工作。(信息来源:安全内参)
17、国际物流巨头遭网络攻击约3万个集装箱滞留码头
11月14日消息,国际物流巨头DP World澳洲公司遭网络攻击,约3万个集装箱滞留港口,严重扰乱澳大利亚多个大型港口正常货运,预计损失达数百万美元。DP World公司在声明中提到了数据泄露的可能性,但尚未得到证实。攻击发生后,该公司立即启动应急计划,及时关闭码头并与网络安全专家合作解决该事件,目前正在测试恢复正常业务运营所需的关键系统。DP World负责运营40个国家的82个海运和内陆码头,年收入超100亿美元。(信息来源:安全内参)
18、国内数百个非法涉外气象探测站点向境外传输数据
10月31日,国家安全部发布《国家安全机关会同有关部门开展涉外气象探测专项治理》文章称,发现数百个广泛分布在全国20多个省份的非法涉外气象探测站点实时向境外传输气象数据,对我国家安全造成风险隐患。这些非法涉外气象探测站点,有的探测项目受境外政府直接资助,部分观测点设立在军事单位、军工企业等敏感场所周边,进行海拔核准和GPS定位;有的布设在我主要粮食产区,关联分析我农作物生长和粮食产量;有的甚至长时间、高频次、多点位实时传输至外国官方气象机构,服务于外国国土安全和气象监测。国家安全机关联合气象、保密部门,依法对相关非法活动进行查处,及时阻断气象数据出境的违法行为。(信息来源:安全内参)
19、中国跨境电商暴露300多万用户隐私数据
11月8日消息,安全研究人员发现一家跨境电商店铺数据库暴露在互联网,未受密码保护可任意访问,数百万中国用户隐私数据遭泄露。该数据库属于杭州橙子信息科技有限公司,该公司专门从国外进口商品。数据库包含了2015年到2020年之间超过330万订单,包括用户电话、送货地址、身份证号码及大量身份证复印件等。目前尚不清楚这个数据库暴露了多长时间。研究人员联系该网店负责人后,称漏洞已得到处理。(信息来源:安全内参)
20、斯坦福大学遭勒索软件攻击430GB数据被窃取
11月6日消息,Akira勒索软件组织声称攻击了斯坦福大学并窃取了430GB的数据,包括斯坦福大学的私人信息和机密文件,并威胁如不支付赎金,将泄露被盗信息。斯坦福大学证实遭攻击一事,并表示此次攻击仅限于斯坦福大学公共安全部(SUDPS),遭攻击的系统已得到保护。SUDPS负责处理存储与学生、教职员工以及其他社区成员有关的人员、案件报告、风险评估和犯罪数据。目前尚不清楚有多少数据失窃或被勒索软件加密。(信息来源:安全内参)
21、新加坡金沙集团66.5万名客户数据遭黑客窃取
11月8日消息,新加坡滨海湾金沙豪华度假村和赌场证实遭网络攻击,黑客获取了客户忠诚度计划的会员数据,导致66.5万名客户数据被盗,包括姓名、电话号码、电子邮件地址、居住国以及会员号码等。截止目前,暂无证据表明未经授权的第三方滥用数据对客户造成伤害。该集团正与网络安全公司合作解决该事件,并已上报新加坡和其他国家当局。(信息来源:HackerNews网)
三、安全风险警示
22、威联通QTS操作系统和应用程序存在高危漏洞
11月7日消息,威联通(QNAP)Systems发布了针对两个关键命令注入漏洞CVE-2023-23368(CVSS评分9.8)和CVE-2023-23369(CVSS评分9.0)的安全公告。远程攻击者可利用上述漏洞通过网络执行命令,影响QTS操作系统的多个版本及其网络附加存储(NAS)设备上的应用程序。鉴于NAS设备经常被用来存储数据,攻击者会利用上述漏洞窃取或加密敏感数据。强烈建议QNAP用户尽快更新设备。(信息来源:HackerNews网)
23、Veeam ONE监控平台被曝存在严重漏洞
11月7日消息,Veeam发布修补程序以解决该公司Veeam ONE IT基础设施监控和分析平台中的4个安全漏洞。其中两个严重漏洞CVE-2023-38547和CVE-2023-38548,CVSS评分为9.8和9.9,未经身份验证的攻击者可利用上述漏洞获取有关Veeam ONE用于访问其配置数据库的SQL服务器连接的信息,在SQL服务器上远程执行代码,并从易受攻击的服务器窃取NTLM哈希值。其余两个漏洞CVE-2023-38549和CVE-2023-41723为中危级别,需要用户交互或影响有限。Veeam公司表示,其软件已被全球超45万家客户使用。建议管理员尽快修复漏洞。(信息来源:HackerNews网)
24、Atlassian Confluence身份绕过漏洞安全风险通告
11月7日消息,360CERT监测发现Atlassian发布了Confluence身份绕过漏洞CVE-2023-22518(CVSS评分9.1)安全风险通告。该漏洞存在于Atlassian Confluence Data Center&Server中,由于子组件Struts2继承关系处理不当导致,攻击者在未授权的情况下可利用该漏洞,构造恶意数据进行认证绕过,获取服务器最高权限,进而接管服务器。Atlassian Confluence是一个团队工作区,主要功能是创建、收集和协同处理任何项目或创意。目前仍有超过24000个Confluence实例暴露在互联网。建议管理员立即修复漏洞。(信息来源:360CERT)
25、Microsoft Exchange中存在4个0day漏洞
11月6日消息,趋势科技的ZDI团队披露了Microsoft Exchange中的4个0day漏洞,CVSS评分介于7.1-7.5之间。(1)不受信任数据反序列化远程代码执行漏洞ZDI-23-1578,允许远程攻击者在受影响的Microsoft Exchange安装上执行任意代码。(2)ZDI-23-1579,位于DownloadDataFromUri方法中,攻击者可利用该漏洞访问Exchange服务器中的敏感信息。(3)ZDI-23-1580,位于DownloadDataFromOfficeMarketPlace方法中,由于URI验证不当可能导致未授权信息泄露。(4)ZDI-23-158,位于CreateAttachmentFromUri方法中,允许远程攻击者泄露有关受影响的Exchange安装的敏感信息。趋势科技已向微软报告上述漏洞,但至今尚未修复。(信息来源:HackerNews网)
26、Apache ActiveMQ远程代码执行漏洞遭利用
11月7日消息,暴露于互联网的Apache ActiveMQ关键远程代码执行漏洞(CVE-2023-46604)遭利用。该漏洞是ActiveMQ可扩展开源消息代理中的一个最严重错误,未经身份验证的攻击者可利用该漏洞在易受攻击的服务器上执行任意shell命令。目前在线暴露的Apache ActiveMQ服务器超过9200个,其中超过4770个服务器易遭攻击。建议管理员立即将设备升级到最新版本。(信息来源:安全客)
27、Juniper设备被曝存在4个安全漏洞
11月14日消息,Juniper(瞻博网络)通知客户Juniper J-Web界面中存在4个安全漏洞:CVE-2023-36844、CVE-2023-36845、CVE-2033-36846和CVE-2023-236847,上述漏洞已被攻击者成功利用。目前有超过10000台Juniper设备易受攻击的J-Web接口暴露在互联网,其中大多数来自韩国。CISA已将上述漏洞添加到其已知漏洞目录中,标记为恶意网络攻击者的频繁攻击载体,并警告美国各联邦机构警惕网络攻击者利用上述漏洞发动远程代码执行攻击。鉴于该漏洞危害极大,Juniper敦促管理员立即将JunOS升级到最新版本,或禁止访问J-Web界面。(信息来源:FreeBuf网)
28、SysAid IT支持软件被曝存在0day漏洞且已遭利用
11月10日消息,微软发现以传播Clop勒索软件而闻名的Lace Tempest黑客组织,近日利用SysAid IT支持软件的零日漏洞CVE-2023-47246实施了攻击。Lace Tempest黑客组织利用该漏洞,通过SysAid软件发出命令,为Gracewire恶意软件提供加载器,从而窃取数据并部署勒索软件。目前,SysAid已在23.3.36版软件中修复了该漏洞,建议用户尽快更新。(信息来源:FreeBuf网)
四、前沿技术瞭望
29、苹果Find My功能可被滥用并窃取键盘记录的密码
11月6日消息,研究人员两年前首次发现Find My可以被滥用来传输除设备位置外的其他信息。研究人员近期将一个键盘记录器和ESP32蓝牙传输器融合到一个USB键盘中来,表明通过Find My网络和蓝牙可以中继键盘输入的密码和其他敏感数据。蓝牙传输比WLAN键盘记录器和Raspberry Pi设备更加隐秘。此外,FindMy平台可以利用广泛存在的苹果设备进行信息传输的中继。Find My网络和应用是苹果提出的用于帮助用户定位丢失的苹果设备的一款功能,该功能依赖全球数百万苹果设备的GPS和蓝牙数据以找出丢失的、被窃的设备,即使设备处于非在线状态。苹果暂未就此事进行回复。(信息来源:BleepingComputer网)