2025-01-22 星期三 Vol-2025-019
1. 行为准则:IT巨头正在构建互联网新秩序
2. 从定性到量化:转变关键基础设施的网络风险管理
3. 商务部发布人工智能数据可访问性指南,推动公共数据集开放利用
4. 特朗普撤销拜登人工智能安全命令、电动汽车授权及排放标准
5. 多伦多学生特殊教育和纪律记录因PowerSchool漏洞可能泄露
6. 俄罗斯电信巨头Rostelecom调查承包商涉嫌网络攻击事件
7. Cloudflare成功缓解创纪录的5.6 Tbps DDoS攻击
8. 承包商失败:Rostelecom 正在调查数据泄露事件
9. Debian 11 Tryton服务器漏洞使攻击者能够发起Zip Bomb攻击
10. Brave浏览器漏洞使恶意网站冒充合法网站
11. Apache CXF漏洞使攻击者可触发系统DoS状态
12. 警惕!假冒SBI奖励APK攻击用户传播Android恶意软件
13. 拉赫曼案:机密数据泄露使美国安全面临风险
14. 守卫放了小偷:macOS系统工具突然成为黑客攻击的帮凶
15. 陆军利用数据共享工具优化武器供应链管理
政策法规
1. 行为准则:IT巨头正在构建互联网新秩序
【SecurityLab网站1月21日消息】多家主要科技公司签署了更新后的《行为准则》,旨在加大打击网络仇恨内容的力度。该准则已纳入欧盟技术立法,包括《数字服务法》(DSA)。自2016年首次创建以来,Meta、Google、Microsoft、TikTok等公司已支持该准则。根据修订后的准则,科技公司需与非营利或公共组织合作,监控投诉流程并确保在24小时内处理至少60%的仇恨内容通知。此外,公司将实施自动检测工具以减少仇恨内容,并提供推荐系统性能及非法内容传播的数据。各国还将发布基于种族、民族、宗教、性别认同和性取向等因素的仇恨内容分类信息。这一举措被视为在欧盟法律框架下构建更安全、更包容的互联网环境的重要一步。
2. 从定性到量化:转变关键基础设施的网络风险管理
【Cyberscoop网站1月21日消息】随着针对关键基础设施的网络攻击日益普遍,传统的网络风险管理(CRM)方法已无法应对当前的安全挑战。传统的定性方法通过主观评分评估风险,缺乏精确性,无法量化潜在损失。为此,行业正转向网络风险量化(CRQ),通过将风险影响以财务术语表示,帮助组织更有效地确定风险优先级并指导投资决策。CRQ通过将网络风险量化为潜在损失,解决了传统方法的不足。例如,特权账户管理漏洞可能导致2500万美元的潜在损失,而实施控制措施的成本为1000万美元,每投入1美元可避免2.5美元的损失。这种方法使网络安全投资从沉没成本转变为关键投资,最大限度地减少运营中断和财务损失。美国运输安全管理局(TSA)2024年11月提出的新法规要求管道和铁路运营商建立全面的CRM计划,并报告网络安全事件及其潜在影响。CRQ可集成到事件管理流程中,通过预先量化特定威胁场景的潜在损失,帮助组织更客观地决定何时披露事件。
3. 商务部发布人工智能数据可访问性指南,推动公共数据集开放利用
【ExecutiveGov网站1月21日消息】美国商务部发布《生成人工智能和开放数据:指南和最佳实践》,旨在推动公共数据集更易于生成人工智能工具利用。该79页指南提供了可操作步骤,包括提高文档可用性和可访问性、提供人类和机器可读的数据文档,以及适当使用开源软件和格式。指南还建议各机构发布结构化和广泛的元数据,并探索数字签名以保护数据完整性。商务部数据治理委员会组建的专家工作组于2023年底启动指南起草工作,并于2024年5月公布四份安全人工智能开发草案。未来更新将重点关注数据资产的人工智能准备程度评估指标。
4. 特朗普撤销拜登人工智能安全命令、电动汽车授权及排放标准
【The Register网站1月21日消息】美国总统唐纳德·特朗普上任第一天即撤销了近80项拜登时代的行政命令,包括第14037号(电动汽车授权)和第14110号(人工智能安全标准)。拜登的人工智能行政命令要求基础模型公司向政府报告进展,并制定安全标准以防止人工智能被用于制造大规模毁灭性武器或虚假信息。特朗普政府认为这些措施阻碍了创新,并承诺支持“植根于言论自由和人类繁荣的人工智能发展”。此外,特朗普还取消了拜登的电动汽车目标,包括到2030年将一半美国道路上的乘用车转变为零排放汽车的计划,并暂停了电动汽车基础设施资金。他还签署了“释放美国能源”行政命令,暂停了2022年通胀削减法案和基础设施投资与就业法案的资金支付,特别是用于电动汽车基础设施的部分。特朗普还采取了一系列其他措施,包括赦免与2021年1月6日骚乱相关的罪犯、将墨西哥湾改名为美国湾、暂停风能项目租赁和许可、冻结政府招聘(军队和国家安全部门除外),并宣布南部边境进入国家紧急状态。
安全事件
5. 多伦多学生特殊教育和纪律记录因PowerSchool漏洞可能泄露
【The Record网站1月22日消息】多伦多地区教育局(TDSB)近日通报称,教育软件公司PowerSchool发生数据泄露事件,可能导致自2017年以来数百万学生的特殊教育安排、纪律记录、医疗信息等敏感数据被黑客获取。此外,1985年至2017年期间就读于多伦多公立学校的学生及其紧急联系人的个人信息也可能遭到泄露。PowerSchool表示,黑客于2024年12月28日访问了其客户门户PowerSource,但多伦多学区直到1月7日才得知此事。该公司声称已支付赎金,并认为黑客删除了被盗数据。泄露的信息可能包括学生姓名、出生日期、健康卡号、家庭住址、电话号码以及校长和副校长的“笔记”等。PowerSchool的云软件被全球数千个学区用于财务、招生管理和记录存储,涉及约6000万名学生和教师的数据。加拿大隐私专员也表示对此事件感到担忧,并与PowerSchool保持联系。
6. 俄罗斯电信巨头Rostelecom调查承包商涉嫌网络攻击事件
【The Record网站1月22日消息】俄罗斯大型电信提供商Rostelecom正在调查一起针对其承包商的疑似网络攻击事件。此前,一个名为“Silent Crow”的黑客组织声称泄露了Rostelecom的数据,并公布了一份包含数千份客户电子邮件和电话号码的数据转储。该承包商负责维护Rostelecom的公司网站和采购门户,据报道这两个网站均遭到黑客攻击。Rostelecom表示,初步调查显示未发生高度敏感的个人数据泄露,但建议相关网站用户重置密码并启用双因素身份验证作为预防措施。俄罗斯数字发展部也确认,此次事件未影响国家服务门户网站,且运营商用户的敏感数据未在网上泄露。Silent Crow的起源和动机尚不明确,但其近期频繁攻击俄罗斯知名组织。本月早些时候,该组织声称入侵了俄罗斯政府机构Rosreestr和阿尔法银行的一家子公司。此外,其他黑客组织如Yellow Drift、乌克兰网络联盟和Cyber Anarchy Squad也声称对俄罗斯企业和机构的网络攻击负责。
7. Cloudflare成功缓解创纪录的5.6 Tbps DDoS攻击
【Bleeping Computer网站1月21日消息】Cloudflare成功缓解了迄今为止最大的分布式拒绝服务(DDoS)攻击,峰值达到5.6 Tbps。此次攻击由基于Mirai的僵尸网络发起,涉及13,000台受感染设备,目标为东亚的一家互联网服务提供商(ISP),旨在使其服务下线。尽管攻击持续了80秒,但由于Cloudflare的自动检测和缓解系统,目标未受影响且未触发警报。此次UDP攻击发生在2024年10月29日,打破了Cloudflare在2024年10月初报告的3.8 Tbps攻击记录。Cloudflare指出,超大规模DDoS攻击在2024年第三季度开始变得更加频繁,第四季度攻击流量超过1 Tbps,季度环比增长1,885%。同时,超过1亿包每秒(pps)的攻击增加了175%,其中16%超过10亿pps。Cloudflare警告称,DDoS攻击持续时间越来越短,约72%的HTTP攻击和91%的网络层攻击在10分钟内结束,而仅有22%的HTTP攻击和2%的网络层攻击持续超过1小时。这种短时高流量攻击通常发生在使用高峰期,如节假日和促销活动期间,为勒索DDoS攻击提供了条件。
8. 承包商失败:Rostelecom 正在调查数据泄露事件
【SecurityLab网站1月21日消息】俄罗斯电信巨头Rostelecom报告称,其承包商的基础设施可能存在数据泄露问题。初步调查显示,事件未涉及客户特别敏感的个人数据。Rostelecom表示,此次泄露可能与承包商的基础设施有关,并已采取措施消除威胁。受影响的资源包括company.rt.ru和zakupki.rostelecom.ru网站,这些网站主要用于企业服务,不包含私人客户的个人数据。尽管初步调查未发现特别敏感信息泄露,Rostelecom仍建议用户重置密码并启用双因素身份验证。此前,黑客组织Silent Crow声称攻击了这些网站,并获取了15.4万个唯一电子邮件地址和10.1万个电话号码的数据。
漏洞预警
9. Debian 11 Tryton服务器漏洞使攻击者能够发起Zip Bomb攻击
【Cybersecurity News网站1月21日消息】Debian长期支持(LTS)团队发布安全公告(DLA-4022-1),修复了Tryton企业资源规划(ERP)系统组件Tryton-Server中的一个严重漏洞。该漏洞由Cédric Krier发现,涉及服务器处理未经身份验证请求的压缩内容,使其容易受到Zip Bomb攻击。Zip Bomb是一种恶意压缩文件,解压后会消耗大量系统资源,导致服务器崩溃或资源耗尽。Debian已发布修复版本Tryton-Server 5.0.33-2+deb11u3和Tryton-Client 5.0.33-1+deb11u1,建议运行Debian 11(Bullseye)的系统管理员立即升级以缓解漏洞。用户可通过Debian安全跟踪器检查Tryton-Server的状态,并在Debian LTS Wiki上获取应用安全更新的详细指南。
10. Brave浏览器漏洞使恶意网站冒充合法网站
【Cybersecurity News网站1月21日消息】Brave浏览器中发现一个严重漏洞(CVE-2025-23086),影响Brave桌面版1.70.x至1.73.x版本。该漏洞涉及浏览器在文件上传或下载提示期间,文件选择器对话框中显示站点来源的方式存在缺陷,可能导致恶意网站冒充受信任域,诱骗用户下载有害文件。漏洞源于Brave在文件选择器对话框中显示网站来源的功能未能正确推断来源,结合开放重定向漏洞,攻击者可设计场景使用户误以为在与合法网站交互,从而引发网络钓鱼攻击或恶意软件传播。漏洞猎人Syarif Muhammad Sajjad向Brave Software披露了该漏洞。Brave Software已在1.74.48版本中修复此问题,改进了站点来源显示方式和开放重定向验证机制。建议用户保持警惕,验证下载提示和文件来源的真实性,并启用自动更新以确保及时防范新漏洞。
11. Apache CXF漏洞使攻击者可触发系统DoS状态
【Cybersecurity News网站1月21日消息】Apache CXF(一种广泛使用的开源Web服务框架)中发现一个严重漏洞(CVE-2025-23184),攻击者可利用CachedOutputStream类导致系统资源耗尽,从而引发拒绝服务(DoS)攻击。该漏洞由Apache官方标识为CXF-7396,源于CachedOutputStream实例管理不当,在某些边缘情况下,这些流可能未关闭,尤其是当临时文件支持时,导致文件系统存储过度消耗,最终引发系统故障或不可用。CachedOutputStream类设计用于缓冲大数据流,当超过阈值时从内存切换到临时文件存储。然而,如果这些临时文件未正确关闭和清理,可能会累积并填满磁盘空间,使服务器和客户端均面临风险。利用此漏洞的DoS攻击可能通过未关闭的临时文件消耗所有可用磁盘空间,或导致资源耗尽阻止合法用户访问服务。受影响的版本包括Apache CXF 3.5.10之前版本、3.6.0至3.6.5之前版本以及4.0.0至4.0.6之前版本。Apache已发布修复版本3.5.3.6.5和4.0.6,建议用户立即更新以缓解漏洞风险,并通过监控资源使用情况维护系统可用性。
风险预警
12. 警惕!假冒SBI奖励APK攻击用户传播Android恶意软件
【Cybersecurity News网站1月21日消息】网络安全专家发现一种新的Android恶意软件活动,通过假冒的SBI奖励应用程序攻击用户。该恶意APK文件伪装成印度国家银行(SBI)官方奖励应用,通过WhatsApp消息传播,诱骗用户下载并安装。攻击者声称用户的SBI奖励积分即将到期,提供链接下载名为“SBI REWARDZ POINT 1.apk”的文件(4.20 MB)。一旦安装,该应用会请求过多权限,包括访问短信、联系人、通话记录和存储等,这些权限通常被恶意软件滥用。动态分析显示,该应用与两个命令与控制(C2)服务器建立连接,用于窃取设备制造商、型号、Android版本、SIM卡详情和手机号码等敏感数据。此外,该应用还模仿合法SBI登录页面,窃取用户名、密码、借记卡/信用卡信息以及交易OTP,并将数据发送至服务器superherocloud[.]com。该APK在VirusTotal上被67个杀毒引擎中的25个标记为木马。研究人员建议用户避免从未经验证的来源下载APK文件,通过官方渠道验证可疑消息,仅从Google Play商店安装应用,并使用杀毒软件检测恶意应用。
13. 拉赫曼案:机密数据泄露使美国安全面临风险
【SecurityLab网站1月21日消息】美国前中央情报局分析师阿西夫·威廉·拉赫曼(Asif William Rahman)因未经授权转移高度敏感机密材料被定罪。调查显示,拉赫曼自2016年起接触机密文件,2024年秋季非法获取并转移了多份“绝密”文件,通过修改家庭设备掩盖来源,将材料提供给未经授权的第三方。法庭记录显示,拉赫曼多次泄露信息,包括2024年10月涉及美国盟友军事行动计划的“绝密”文件在社交网络上曝光。拉赫曼已承认两项故意持有和传播机密信息的罪名,可能面临长达十年监禁,最终判决预计于2024年5月中旬公布。此案引发美国政府对安全审查程序的关注,国会正考虑加强对高安全级别员工的管控及心理检查,并加大对未经授权复制和转移材料的刑事处罚力度。2024年底,美国已推出多项立法举措以加强政府信息保护,执法机构强调对此类犯罪的“零容忍”政策。
14. 守卫放了小偷:macOS系统工具突然成为黑客攻击的帮凶
【SecurityLab网站1月21日消息】Kandji研究团队发现了一个针对macOS的潜在恶意下载程序Purrglar,该程序于1月10日上传至VirusTotal。Purrglar专注于窃取Chrome浏览器和Exodus加密货币钱包的相关文件,利用macOS的安全框架API访问钥匙串数据。尽管目前数据仅传输至本地主机,专家认为其可能被用于未来数据窃取。Purrglar通过“system_profiler”命令收集设备序列号等系统数据,并与时间戳结合生成文件传输URL。目标文件包括Chrome的cookie、密码、账户信息以及Exodus钱包的敏感数据。程序在访问钥匙串时会提示用户授权,若用户同意,则获取Chrome相关密钥并传输数据;若拒绝,则提示输入密码。文件通过Curl API以multipart/form-data格式发送至服务器。研究人员认为Purrglar可能处于实验阶段,但其结构和行为表明其未来可能被用于数据窃取恶意软件。专家建议用户保持警惕,关注此类应用程序的安全风险。
其他动态
15. 陆军利用数据共享工具优化武器供应链管理
【ExecutiveGov网站1月21日消息】美国陆军开发了陆军物资指挥预测分析套件(APAS),以加强与国防后勤局(DLA)的数据共享,解决武器供应链问题。APAS于2024年12月投入使用,通过应用程序编程接口(API)实现实时数据交换,使陆军能够跟踪DLA的零件交付时间表和采购预算,优化库存管理,确保武器系统持续运行。陆军物资司令部供应链管理主任理查德·马丁表示,APAS为DLA提供了陆军消耗数据,帮助其做出更精准的采购决策。DLA后勤运营副主任克里斯汀·弗伦奇指出,API使该机构能够预测陆军未来的采购需求。此外,国防部正利用数据分析平台ADVANA,通过性能数据指标提前向军队提供物资支持。
2025-01-14
2025-01-16
2025-01-17
2025-01-20
2025-01-21
