5th域安全微讯早报【20250117】015期

2025-01-17  星期五       Vol-2025-015

1. 拜登签署行政命令加强国家网络安全创新

2. 拜登网络安全行政令获赞誉，但未来执行存疑

3. 拜登签署网络安全行政命令，灵感来自近期网络攻击案例

4. CISA与微软合作发布扩展云日志实施手册，助力网络安全防御

5. 美国国防部、NASA和GSA就受控非机密信息拟议规则征求意见

6. 生物科技公司Enzo Biochem以750万美元和解勒索软件攻击集体诉讼

7. 德国国防部和外交部暂停在X平台的活动

8. Wolf Haldenstein律师事务所数据泄露影响350万人，敏感信息遭窃取

9. 黑客泄露15,000台FortiGate设备配置和VPN凭据

10. 隧道协议漏洞曝光，超400万台互联网主机和VPN面临劫持风险

11. 新UEFI安全启动漏洞CVE-2024-7344曝光，系统面临Bootkit攻击风险

12. Veeam Azure备份解决方案漏洞CVE-2025-23082曝光，攻击者可枚举网络

13. 人工智能防护的致命弱点：验证码与二维码结合失效，网络钓鱼攻击升级

14. 2024年俄罗斯7.1亿条公民数据泄露，政府加大处罚力度

15. LastPass应用程序被指存在跟踪器和危险权限，引发隐私担忧

16. 人工智能助力抗蛇毒研究，开发新型救命蛋白质

17. Meta推出Seamless系统，AI实现多语言实时语音翻译

18. 俄罗斯开发AI工具Apparatus Sapiens，用于Telegram内容分析与去匿名化

1. 拜登签署行政命令加强国家网络安全创新

【白宫网站1月16日报道】美国总统拜登签署了一项名为《关于加强和促进国家网络安全创新的行政命令》的政策文件，旨在应对日益严峻的网络威胁，特别是来自中国的网络攻击。该命令强调保护美国关键基础设施、提升软件供应链透明度、加强联邦系统网络安全，并推动人工智能在网络安全中的应用。命令要求联邦机构采用安全的软件开发实践，确保软件供应商遵守安全标准，并通过第三方验证机制提高透明度。此外，命令还要求加强联邦通信系统的加密和身份管理，推动量子计算和后量子密码技术的应用，以应对未来网络安全挑战。命令还特别提到，将利用人工智能技术提升网络防御能力，并通过试点项目探索其在关键基础设施中的应用。最后，命令要求各机构在采购过程中纳入最低网络安全标准，并推动联邦信息系统向零信任架构过渡。

2. 拜登网络安全行政令获赞誉，但未来执行存疑

【Cyberscoop网站1月16日报道】美国总统拜登签署了一项全面的网络安全行政命令，旨在加强联邦系统和关键基础设施的网络安全，推动人工智能和后量子加密技术的应用。该命令获得了多数正面评价，前国家网络主管克里斯·英格利斯称其“积极大胆”，民主党议员本尼·汤普森也对其表示赞赏。然而，共和党众议员马克·格林批评该命令在拜登政府任期尾声发布，可能影响特朗普政府的网络安全议程。行业团体希望特朗普政府能与私营部门合作，继续推进网络安全政策。尽管命令强调了防御性网络安全措施，但其未来执行仍存不确定性，尤其是在特朗普政府可能转向更具攻击性网络战略的背景下。专家指出，命令中的紧迫时间表和新政府的态度将决定其最终影响。

3. 拜登签署网络安全行政命令，灵感来自近期网络攻击案例

【Nextgov网站1月16日报道】美国总统拜登签署了一项新的网络安全行政命令，旨在应对近年来针对联邦系统和私营部门（尤其是医疗保健领域）的重大网络攻击。该命令赋予网络安全和基础设施安全局（CISA）更多权力，以追踪政府网络中的威胁，并要求各机构及承包商提高软件库存的安全性。命令还要求软件供应商提供安全实践证明，并推动联邦机构使用数字身份证件验证公共福利申请者。此外，命令还涉及太空地面系统的网络安全改进，并要求在2027年前采购带有“网络信任标志”认证的设备。尽管命令在特朗普政府就职前发布，但白宫表示愿意与新政府就网络安全政策进行讨论。

4. CISA与微软合作发布扩展云日志实施手册，助力网络安全防御

【The Cyber Express网站1月16日报道】美国网络安全和基础设施安全局（CISA）与管理和预算办公室（OMB）、国家网络总监办公室（ONCD）及微软合作，发布了《Microsoft扩展云日志实施手册》。该手册旨在帮助公共和私营部门组织利用Microsoft Purview Audit（标准）日志，增强威胁检测和事件响应能力。手册提供了详细的日志启用指南、威胁搜寻场景、最佳实践和分析方法，帮助组织检测基于身份的攻击和复杂网络威胁。微软于2023年扩展了其云日志功能，使更多组织能够访问高级日志，无论其许可层级如何。CISA主任Jen Easterly和国家网络总监Harry Coker Jr.强调了这一资源对提升网络安全防御的重要性。该手册适用于使用Microsoft E3/G3及以上许可的政府机构和企业，帮助其启用日志、集成SIEM工具、检测威胁并支持事件响应。

5. 美国国防部、NASA和GSA就受控非机密信息拟议规则征求意见

【ExecutiveGov网站1月16日报道】美国国防部、国家航空航天局（NASA）和总务管理局（GSA）就一项拟议规则开始征求意见，该规则旨在实施国家档案和记录管理局关于联邦受控非机密信息（CUI）计划的最终规定。拟议规则将引入新的标准形式，统一承包商在管理和保护CUI方面的流程，并明确机构和承包商在CUI位于政府设施或承包商系统中的责任。规则还包括两个新条款和一项规定，以促进承包商在联邦招标和合同中的报告和合规责任。公众可在3月17日前提交意见，回应机构还特别询问了组织在不同时间表下遵守CUI事件报告要求的具体情况。

6. 生物科技公司Enzo Biochem以750万美元和解勒索软件攻击集体诉讼

【TheRecord网站1月17日报道】生物科技公司Enzo Biochem因2023年4月遭受的勒索软件攻击，同意以750万美元和解集体诉讼。此次攻击泄露了近250万人的诊断测试信息和个人数据，包括约60万个社会安全号码。Enzo Biochem在提交给美国证券交易委员会的文件中表示，和解金将确保公司免于任何索赔，并已完成数据保护系统的升级。此前，该公司已向三个州政府支付450万美元以应对同一事件。调查显示，攻击者通过共享登录凭证访问公司网络，且公司未使用多因素身份验证。医疗行业正面临日益严格的勒索软件攻击审查，美国卫生与公众服务部数据显示，自2018年以来，涉及勒索软件的大规模违规行为增加了264%。

7. 德国国防部和外交部暂停在X平台的活动

【TheRecord网站1月16日报道】德国国防部和外交部宣布暂停在埃隆·马斯克的社交媒体平台X上的账号活动，称在该平台上进行“基于事实的争论交流”变得“越来越困难”。国防部表示，未来将使用WhatsApp、Instagram、YouTube等多种平台进行沟通，而外交部则转向X的竞争对手Bluesky。这一决定发布之际，马斯克因支持德国极右翼政党德国选择党（AfD）及其对德国总理奥拉夫·肖尔茨的批评言论引发争议。德国安全部门将AfD列为潜在的“极端主义”政党，并允许对其进行监视。目前尚不清楚德国部委的决定是否与马斯克的言论直接相关。

8. Wolf Haldenstein律师事务所数据泄露影响350万人，敏感信息遭窃取

【Bleeping Computer网站1月16日报道】美国知名律师事务所Wolf Haldenstein Adler Freeman & Herz（简称Wolf Haldenstein）于2023年12月13日遭遇数据泄露事件，近350万人的个人信息被黑客窃取。泄露的数据包括姓名、社会安全号码（SSN）、员工识别号、医疗诊断和医疗索赔信息等高度敏感内容。尽管该公司表示目前没有证据表明这些数据被滥用，但受影响个人面临网络钓鱼、诈骗和社会工程攻击的风险显著增加。由于数据分析和取证工作的复杂性，调查直到2024年12月3日才完成，且许多受影响者的联系信息无法获取，导致通知工作延迟。Wolf Haldenstein已在其官方网站发布数据泄露通知，并为受影响者提供为期一年的免费信用监控服务。该公司还建议受影响者设置欺诈警报或安全冻结，以进一步保护个人信息。此次泄露事件的具体影响范围尚不明确，泄露数据可能涉及客户、员工或其他与事务所有业务往来的个人。Bleeping Computer已联系Wolf Haldenstein以获取更多细节，并将根据回复更新报道。

9. 黑客泄露15,000台FortiGate设备配置和VPN凭据

【BleepingComputer网站1月15日报道】名为“贝尔森集团”的黑客组织首次公开，公开泄露了超过15,000 台 FortiGate 设备的敏感配置文件、IP 地址和 VPN 设备。这些数据在其披露的内容中发布托尔网站上，提供其他网络犯罪分子利用泄露。的数据包含配置文件（configuration.conf）和VPN凭据（vpn-passwords.txt），其中一些密码为纯文本格式，暴露了防火墙规则、私钥和设备的其他重要信息。此次泄漏与2022年发现的CVE-2022-40684零日漏洞相关。该漏洞允许攻击者从FortiGate设备下载配置文件，并在设备上添加名为“fortigate-tech-support”的恶意超级管理员账户。 尽管数据是在 2022 年收集的，但直到 2025 年才公开发布。 网络安全专家Kevin Beaumont确认，此次泄漏的设备仍将使用FortiOS固件版本7.0.0至7.2.2，其中7.2.2版本已修复了该漏洞。专家指出，泄露的配置文件和帐号如果更新，仍对全球范围内的FortiGate设备构成重大安全风险。FortiGate管理员应立即更改先前设备的防火墙规则和VPN凭证，以防止进一步的网络攻击。

13. 人工智能防护的致命弱点：验证码与二维码结合失效，网络钓鱼攻击升级

【SecurityLab网站1月16日报道】Cofense Intelligence发布报告指出，传统基于语法错误和侵入性通信方式识别网络钓鱼邮件的方法已失效。攻击者利用ChatGPT等AI工具生成无可挑剔的文本，使网络钓鱼邮件更难被检测。尽管AI在识别拼写错误技术和可疑邮件逻辑方面取得了一定成功，但其依赖历史数据的训练模式难以应对快速演变的新威胁。报告强调，攻击者通过自动化工具收集员工信息，并利用AI模仿受害者写作风格，结合被黑账户回复现有邮件线程，大幅降低了目标的警惕性。此外，深度造假技术使攻击者能够模仿可信联系人的声音和外表，进一步增加了攻击的成功率。Cofense Intelligence举例称，某公司因攻击者模仿高管声音，在电话会议中被骗走2500万美元。AI在分析需要用户操作的邮件（如扫描二维码）时表现不佳，攻击者通过在PDF中嵌入恶意链接或二维码，并利用验证码绕过自动分析，成功规避安全防护。专家警告，攻击性AI的发展速度将远超防御性AI，因其不受法律、版权或道德标准的限制。

14. 2024年俄罗斯7.1亿条公民数据泄露，政府加大处罚力度

【SecurityLab网站1月16日报道】俄罗斯通信监管机构Roskomnadzor在2024年记录了135起数据库泄露事件，涉及超过7.1亿条俄罗斯公民的个人数据。为应对日益严重的网络攻击和数据泄露问题，俄罗斯总统于2024年11月签署法律，加大对个人数据泄露和非法交易的处罚力度。新法律规定，泄露1,000至10,000条数据的罚款最高可达500万卢布，泄露10万至100万条数据的罚款最高可达1,000万卢布，泄露超过100万条数据的罚款最高可达公司年收入的3%，最低2,000万卢布，最高5亿卢布。对于特殊类别的数据泄露，罚款最高可达1,500万卢布，重复违规者罚款可达年收入的3%，最低2,500万卢布。此外，非法传输数据的罚款从公民5万卢布到组织300万卢布不等。《刑法》还新增条款，规定对非法使用个人数据的处罚，严重跨境泄露事件可判处最高10年监禁。

15. LastPass应用程序被指存在跟踪器和危险权限，引发隐私担忧

【SecurityLab网站1月16日报道】LastPass应用程序版本6.21.0.11584被发现包含4个跟踪器和29个权限，引发用户隐私和安全方面的担忧。跟踪器包括Google CrashLytics、Google Firebase Analytics、Pendo和Segment，用于收集用户数据和分析行为。此外，应用程序请求的29个权限中，部分被Google安全框架评为“危险”或“特殊”，例如访问网络状态、录音、显示系统警报窗口、使用生物识别设备和控制NFC功能等。报告基于APK文件的静态分析，无法完全确认跟踪器的实际活动，且未提及X.509认证的存在。专家建议关注隐私的用户考虑替代方案，并联系开发商获取更多信息。

16. 人工智能助力抗蛇毒研究，开发新型救命蛋白质

【SecurityLab网站1月16日报道】华盛顿大学的研究团队利用人工智能技术开发新型抗蛇毒蛋白质，旨在替代传统抗体疗法。蛇毒中的三指毒素（Three-Finger Toxins）是主要攻击成分，能够破坏细胞膜或阻断神经信号传递，导致组织坏死或呼吸麻痹。研究团队使用基于Rosetta Fold算法的RFdiffusion、ProteinMPNN和AlphaFold 2等工具，设计了能够中和毒素的蛋白质结构，并通过实验验证了其有效性。在小鼠实验中，这些蛋白质成功中和了毒素，甚至在中毒30分钟后仍能发挥作用。

尽管研究仍处于实验阶段，且蛇毒成分复杂，但这一成果展示了人工智能在生物学和医学领域的巨大潜力。未来，这种技术有望大幅缩短抗蛇毒药物的开发时间，并降低生产成本，为全球蛇咬伤患者提供更高效、更经济的治疗方案。

17. Meta推出Seamless系统，AI实现多语言实时语音翻译

【SecurityLab网站1月16日报道】Meta公司推出名为Seamless的新一代AI系统，旨在解决机器翻译中的语言障碍问题。该系统通过将语音和文本转换为多维向量，实现了36种语言之间的实时语音翻译。Seamless的核心技术SONAR（句子级多模态和语言无关表示）将所有语言的文本和语音数据映射到同一向量空间，使AI能够理解并翻译多种语言。Seamless系统包括多个模型：SEAMLESSM4T v2支持101种语言的语音识别和96种语言的文本翻译；SeamlessStreaming实现实时流式翻译；SeamlessExpressive则保留说话者的语气和情感，目前支持英语、西班牙语、法语和德语。尽管SeamlessStreaming和SeamlessExpressive功能尚不能同时使用，但该系统已在在线平台上开放试用。Meta的研究表明，Seamless在文本翻译质量上比现有解决方案高出8%，在语音翻译上高出23%。这一技术突破为全球多语言交流提供了新的可能性。

18. 俄罗斯开发AI工具Apparatus Sapiens，用于Telegram内容分析与去匿名化

【SecurityLab网站1月16日报道】俄罗斯开发人员推出了一款名为Apparatus Sapiens的人工智能工具，旨在分析Telegram上的内容并检测犯罪活动。该工具的初始版本于2023年发布，2025年更新后新增去匿名化功能，能够将危险内容与特定作者关联。Apparatus Sapiens通过分析Telegram上的公开消息，识别非法活动迹象，并下载作者的所有公开消息以分析其性别、年龄和居住地等信息。该工具可访问5800万Telegram用户的电话号码数据，并监控2200万条聊天记录。去匿名化功能可提供作者的手机号码、地理位置和连接数据，甚至分析其昵称、姓名和照片的变更历史。尽管该工具在快速分析大量数据和识别潜在威胁方面具有显著优势，但专家强调需要严格控制其使用，防止滥用。俄罗斯已有政府系统用于监控社交网络内容，而私有工具则主要用于对抗网络威胁。