专栏名称: 网空闲话plus

原《网空闲话》。主推网络空间安全情报分享，安全意识教育普及，安全文化建设培育。将陆续推出网安快讯、网安锐评、网安政策、谍影扫描、APT掠影、密码技术、OT安全等专集。

5th域安全微讯早报【20240801】184期

网空闲话plus · 公众号 · · 2024-08-01 07:10

正文

2024-08-01 星期四 Vol-2024-184

今日热点导读

1. 美国 NTIA 发布 AI 透明度与风险监控建议：倡导开放权重模型

2. 美国参议院通过 KOPSA 法案，加强儿童网络隐私和安全保护

3. 俄罗斯合法化加密货币挖矿，央行探索跨境支付

4. 俄罗斯 Roskomnadzor 提出新规则限制 VPN 科学信息

5. 美国引领人工智能安全标准化新纪元

6. 美国海关发布面部识别技术选择退出指南

7. 美国主要血液中心遭勒索软件攻击，数百家医院面临血液短缺

8. 万维网联盟反对谷歌保留第三方 Cookie

9. 全球领先白银生产商弗雷斯尼洛遭遇网络攻击

10. 全球信用卡用户遭遇来自 Shopify-charge.com 的神秘费用

11. 西悉尼大学数据泄露影响扩大，敏感信息曝光

12. 微软警示大规模攻击： 20,275 个 VMware ESXi 实例暴露于漏洞

13. GeoServer RCE 漏洞威胁全球数千台服务器

14. SMTP 服务器漏洞使黑客可绕过身份验证发送欺骗邮件

15. BingoMod 恶意软件：窃取银行账户后清除设备数据的新型威胁

16. 人工智能揭示 HDMI 信号安全漏洞

资讯详情

政策法规

1. 美国NTIA 发布AI透明度与风险监控建议：倡导开放权重模型

2024年7月31日，美国商务部国家电信和信息管理局（NTIA）发布了一份关于AI透明度和风险监控的政策建议报告。报告主张开放权重模型，以促进创新和技术获取，同时强调需要对其潜在风险进行持续监控。NTIA建议联邦政府建立新机制，通过广泛的证据基础和具体风险指标，评估开放权重模型在不同行业中的边际风险。报告还呼吁制定标准、强制审计、披露和透明度，并支持对基础模型的安全性、可靠性和可信度进行研究。此外，报告强调在必要时限制模型权重的可用性，以应对可能加剧的风险。美国商务部长吉娜·雷蒙多和NTIA局长艾伦·戴维森都表示，该报告为负责任的AI创新提供了路线图，并建议政府积极监控以应对未来挑战。报告提出了一条谨慎乐观的道路，平衡了技术广泛使用的好处与潜在风险。

来源：https://industrialcyber.co/ai/ntia-releases-policy-recommendations-for-ai-transparency-risk-monitoring-advocates-for-open-weight-models/

2. 美国参议院通过KOPSA法案，加强儿童网络隐私和安全保护

美国参议院近日以压倒性多数通过了《儿童网络安全和隐私法案》（KOPSA），这是一项具有里程碑意义的立法，旨在大幅加强17岁以下儿童的网络隐私和安全保护。KOPSA法案合并了两项先前的法案，包括《儿童和青少年网络隐私保护法案》（COPPA 2.0）和《儿童网络安全法案》（KOSA）。COPPA 2.0要求网站在收集或使用13岁以下儿童数据时必须获得家长同意，并禁止向17岁以下儿童发送定向广告，同时要求青少年同意数据收集。KOSA则规定了网站保护儿童免受有害内容侵害的义务，并赋予父母更多对孩子在线浏览内容的控制权。尽管COPPA 2.0得到了包括美国儿科学会、美国教师联合会等组织的广泛支持，但KOPSA法案在公民自由团体和儿童安全倡导者之间产生了分歧。

来源：https://therecord.media/senate-passes-landmark-bill-children

3. 俄罗斯合法化加密货币挖矿，央行探索跨境支付

俄罗斯政府通过两项法律，使加密货币挖矿合法化，并为央行使用加密货币进行国际支付铺平道路。新法允许法人和企业家进行挖矿，个人在能源限额内无需注册即可挖矿。矿工需向金融监控服务机构报告活动，并提供钱包地址。另一法案将于9月生效，允许俄罗斯央行创建“实验性”基础设施，用于跨境支付中使用加密货币。俄罗斯在入侵乌克兰后面临全球制裁，迫使其转向加密货币以规避制裁。总统普京强调数字货币的重要性，呼吁建立法律框架和基础设施。尽管新法出台，加密货币支付禁令、广告限制和服务公司禁令仍然存在。普京还指出矿工导致布里亚特和伊尔库茨克地区电力短缺，能源部提议提高矿工电费以避免赤字。

来源：https://therecord.media/Russia-legalizes-cryptomining

4. 俄罗斯Roskomnadzor提出新规则限制 VPN 科学信息

2024年7月30日，俄罗斯通信监管机构Roskomnadzor发布了一项新命令草案，拟对有关用于绕过封锁的VPN服务的科学、技术和统计信息进行限制。根据该草案，从2025年3月1日起，除了用于提供安全远程访问的VPN服务外，所有与VPN创建和安装相关的科学信息都将被视为禁止的内容。这一修改旨在限制提供对被封锁信息资源访问的VPN服务，符合第149号“信息”法，该法律禁止提供绕过信息封锁的方式和方法的信息。草案指出，VPN服务可以用于保护机密信息和数据安全，例如政府和金融机构用于安全通信。因此，草案建议对相关条款进行修改，以确保不影响用于数据保护的VPN服务。该命令草案的公开讨论将持续到8月5日，计划于2025年3月1日生效，有效期至2029年9月1日。

来源：https://www.securitylab.ru/news/550651.php

5. 美国引领人工智能安全标准化新纪元

美国商务部宣布推出新指南和软件工具，旨在提高人工智能系统的安全性、可靠性和信任度。这一举措响应了拜登总统270天前签署的行政命令。美国国家标准与技术研究院（NIST）发布了三项最终指南，并推出了Dioptra软件包，后者是一个测试AI可靠性的新工具，专注于评估攻击对AI系统性能的影响，确保实验的可重复性和可追溯性。Dioptra通过REST API提供测试、研究实验、审计和合规性监控等功能，同时注重防止两用模型的滥用风险。NIST还发布了关于管理两用模型滥用风险的指南草案，提供了降低AI模型滥用风险的关键方法和透明度建议。此外，Dioptra平台允许测试AI模型对数据中毒等攻击的恢复能力，识别和量化性能降低情况。NIST还发布了AI RMF生成式AI配置文件，帮助组织识别和管理与生成式AI相关的风险。同时，《生成人工智能和双重用途基础模型的安全软件开发实践》文档扩大了安全软件开发的范围，提供了数据分析和攻击建议。

来源：https://www.securitylab.ru/news/550660.php

6. 美国海关发布面部识别技术选择退出指南

美国海关和边境保护局（CBP）近日发布了旅行者面部识别技术选择退出指南，详细说明了如何在机场和其他入境口岸选择不使用生物识别面部识别技术。该技术已在所有国际机场和53个机场位置的离境程序中实施，同时扩展到39个海港和南北边界口岸的所有步行通道。虽然CBP强调此技术有助于提升旅行安全和效率，但承认部分美国公民可能不愿参与面部识别。CBP保证，其面部识别技术不是监控工具，明确标示的摄像头和指示牌通知乘客该技术的使用。此外，CBP遵守所有隐私规则，仅在身份验证后保留美国公民照片不超过12小时。根据指南，旅客如不愿接受面部识别，可以要求进行传统的人工身份验证，适用于国内和国际旅行者。指南的发布旨在增强旅行安全的同时，保护旅行者的隐私权利。

来源：https://thecyberexpress.com/customs-and-border-protection-guide-opt-out/

安全事件

7. 美国主要血液中心遭勒索软件攻击，数百家医院面临血液短缺

美国最大的血液中心之一OneBlood遭受勒索软件攻击，导致其运营能力下降，并要求服务的250多家医院启动紧急血液短缺协议。OneBlood当地时间7月31日发布声明，称其通过手动流程维持运营，但效率大大降低，影响库存可用性。该组织正与网络安全专家及政府官员合作应对危机，尽管仍在继续收集、检测和分发血液。AABB灾难工作组和其他血液组织已伸出援手，目前急需O型血和血小板捐献。此次事件也引发对佛罗里达州医院可能出现血液短缺的警告。上月，英国血液检测提供商和南非国家实验室服务也遭受类似攻击，凸显勒索软件对全球医疗供应链的严重威胁。OneBlood正全力恢复系统功能，并呼吁公众尽快捐献血液。

来源：https://therecord.media/ransomware-attack-blood-center-shortage-protocols-hospitals

8. 万维网联盟反对谷歌保留第三方Cookie

万维网联盟（W3C）近日明确反对谷歌停止弃用第三方Cookie的决定，并更新了技术架构小组（TAG）的调查结果，重申了删除第三方Cookie的重要性。W3C认为第三方Cookie存在隐私问题，因为它们可以跨网站追踪用户，导致隐私泄露和监视。这一立场与监管机构和隐私组织的担忧一致，第三方Cookie的隐形跟踪能力可能破坏用户隐私并影响社会动态。尽管W3C一直与谷歌的Chrome隐私沙盒团队及其他W3C社区成员合作开发替代方案，但谷歌的最新声明被认为破坏了合作努力，可能延迟有效替代方案的开发，并对改善网络隐私的更广泛目标产生负面影响。W3C呼吁谷歌重新考虑其立场，并继续致力于删除第三方Cookie，以增强网络隐私和用户体验。

来源：https://gbhackers.com/world-wide-web-consortium-opposed/

9. 全球领先白银生产商弗雷斯尼洛遭遇网络攻击

全球最大的白银生产商弗雷斯尼洛公司（Fresnillo PLC）近期遭受了网络攻击，攻击者未授权访问了其系统上存储的数据。该公司在周二的公告中披露了这一事件，并表示已经采取了应对措施，与外部取证专家合作调查和评估事件影响。弗雷斯尼洛强调，尽管遭受攻击，但其运营并未受到影响，预计不会有财务或物质损失。公司承诺将全面调查此事件并采取适当措施。弗雷斯尼洛在墨西哥经营八个矿山，并在伦敦和墨西哥证券交易所上市，同时在墨西哥、秘鲁和智利拥有采矿特许权和勘探项目。值得注意的是，这并非矿业公司首次遭受网络攻击，上个月澳大利亚矿业公司Northern Minerals和加拿大铜山矿业公司（CMMC）也分别披露了安全漏洞和勒索软件攻击事件，显示矿业领域正成为网络犯罪分子的目标之一。

来源：https://www.bleepingcomputer.com/news/security/world-leading-silver-producer-fresnillo-discloses-cyberattack/

10. 全球信用卡用户遭遇来自Shopify-charge.com的神秘费用

全球多地用户报告称，他们的信用卡账单上出现了来自Shopify-charge.com的不明1美元或0美元费用，而这些用户并未进行任何购买。这些费用涉及多种信用卡品牌，包括Discover、Monzo、Capital One等Visa卡，甚至包括已停用的旧卡。收费活动自7月21日起开始，且受影响人数随时间增长。用户在Reddit和Shopify论坛上广泛报告此问题，并有人指出在银行创建新的虚拟卡后不久即收到此类费用。费用尝试被收取的地址和电话号码指向的是美国德克萨斯州的5715 Will Clayton Pkwy和866-938-2427，但地址似乎不存在，电话号码则联系到了一家债务追讨公司Halsted Financial。Shopify-charge.com是Shopify运营的合法网站，通常解释费用为订阅或购买，尽管有些用户声称未在Shopify使用过信用卡。Shopify最近经历了供应商的第三方数据泄露，但泄露数据不包含信用卡或支付信息。

来源：https://www.bleepingcomputer.com/news/security/credit-card-users-get-mysterious-shopify-chargecom-charges/

11. 西悉尼大学数据泄露影响扩大，敏感信息曝光

西悉尼大学（WSU）确认其Isilon存储平台中的个人信息也遭受了未授权访问，这是继2024年5月公布的Microsoft Office 365环境数据泄露事件后的进一步发展。Isilon平台存储了包括“我的文档”信息、部门共享文件夹以及一些备份和归档数据。初步调查显示，大约580TB的数据在83个目录中被访问，时间跨度从2023年7月9日至2024年3月16日。泄露的数据包括个人身份信息（PII），如姓名、联系方式、出生日期、健康信息、工作场所行为、政府身份证明文件、税号、退休金详情和银行账户信息。目前，大学未收到任何披露私有信息的威胁或隐私保护的交换要求，暗网监控也未发现数据被上传的证据。自采取补救措施以来，未检测到对Isilon的进一步未授权访问。大学继续与当局合作，调查Isilon事件的肇事者。作为响应，大学已采取多项措施，包括密码重置、增强监测、增加防火墙保护、扩大网络安全团队、审查数据存储和保留实践。7月31日，大学通过电子邮件直接与学生、员工和校友沟通，提供保护措施信息和支持服务。

来源：https://thecyberexpress.com/western-sydney-university-data-breach-2/

漏洞预警

12. 微软警示大规模攻击：20,275个VMware ESXi实例暴露于漏洞

微软紧急警告，20,275个VMware ESXi实例存在严重身份验证绕过漏洞CVE-2024-37085，该漏洞已被多个勒索软件组织利用，造成大规模网络安全威胁。此漏洞允许攻击者绕过身份验证，获得ESXi的完全管理权限，进而加密文件系统、中断服务、泄露数据，并在网络中横向移动。微软研究人员发现多个勒索软件组织利用此漏洞，包括Storm-0506、Storm-1175、Octo Tempest和Manatee Tempest。特别是Storm-0506组织通过部署Black Basta勒索软件，利用该漏洞造成严重破坏。攻击者通过Qakbot感染获得初始访问权限，然后利用Windows CLFS漏洞提升权限，使用Cobalt Strike和Pypykatz等工具窃取凭据和横向移动，最终利用ESXi漏洞。Broadcom已发布补丁，强烈推荐立即更新。未修补版本需调整VMware高级设置以缓解风险。同时，建议加强账户安全措施，如实施多因素认证，以降低攻击风险。

来源：https://cybersecuritynews.com/20275-vmware-esxi-vulnerable/

13. GeoServer RCE漏洞威胁全球数千台服务器

基于 Java 的开源软件服务器GeoServer 存在严重漏洞 CVE-2024-36401，导致全球 6,635 台服务器面临风险。该漏洞允许未经身份验证的用户通过发送恶意 XPath 表达式的 POST 请求，远程执行任意代码，从而对地理空间数据基础设施构成重大威胁。受影响版本包括 2.23.6、2.24.0 至 2.24.3 和 2.25.0 之前的版本。GeoServer 开发团队已确认并发布补丁，建议用户立即更新至最新版本 2.23.6、2.24.4 或 2.25.1。管理员应检查服务器日志和实施额外安全措施，如网络分段和入侵检测系统，以减轻风险。网络安全专家呼吁 GeoServer 用户迅速采取行动，确保地理空间数据环境的安全。

来源：https://cybersecuritynews.com/hackers-actively-exploiting-geoserver/

14. SMTP服务器漏洞使黑客可绕过身份验证发送欺骗邮件

最新研究发现，多个托管的出站SMTP服务器存在安全漏洞，允许攻击者绕过身份验证并发送带有伪造发件人信息的电子邮件。这些漏洞被标识为CVE-2024-7208和CVE-2024-7209，利用了SPF和DKIM机制中的弱点，使得基于域的邮件认证、报告和一致性（DMARC）被规避。漏洞源于SMTP协议的不安全性，特别是RFC 5321中提到的，以及托管服务提供商未能充分验证经过身份验证的发件人身份。这些漏洞的影响广泛，攻击者可以伪造电子邮件身份，绕过DMARC、SPF和DKIM策略，导致电子邮件冒充和信任破坏，给组织带来声誉和财务损失。为了解决这些问题，域名托管服务提供商必须实施更严格的验证措施，确保验证经过身份验证的发件人身份，并使用可靠的方法来验证网络发件人身份与邮件头的一致性。

来源：https://cybersecuritynews.com/multiple-smtp-servers-vulnerable/

恶意软件

15. BingoMod恶意软件：窃取银行账户后清除设备数据的新型威胁

2024年7月31日，研究人员发现了一种名为“BingoMod”的新型Android恶意软件。该软件通过短信伪装成合法的移动安全工具传播，每次交易可窃取高达15,000欧元。BingoMod利用辅助功能服务权限，窃取登录凭据、截屏并拦截短信，进行几乎实时的远程操作。其使用VNC机制和基于HTTP的通道，实现远程操控，包括点击、输入文本和启动应用。恶意软件还可删除设备中的安全应用，甚至清除系统数据。BingoMod目前版本为1.5.1，处于早期开发阶段，推测为罗马尼亚开发者所作，但可能有其他国家的开发者参与。Cleafy建议用户对可疑短信保持警惕，避免安装来路不明的应用。

来源：https://www.bleepingcomputer.com/news/security/new-android-malware-wipes-your-device-after-draining-bank-accounts/

新兴技术

16. 人工智能揭示HDMI信号安全漏洞

乌拉圭共和国大学的科学家们最新研究表明，通过特定设备和人工智能，可以成功拦截并解密通过HDMI传输的数字视频信号。尽管数字信号比模拟信号更难被截获，但电磁波的泄漏仍为黑客提供了机会。研究人员通过训练AI模型，能够将检测到的电磁泄漏解码成可读图像，文本恢复的准确率约为70%，足以识别敏感信息如密码和财务数据。实验中，AI模型的文本识别软件将恢复精度提高了60%，表明攻击的有效性。此外，HDMI信号的电磁泄漏可以在几十米外被检测到，增加了远程窃听的可能性。尽管对于政府机构和工业设施而言，采取保护措施的成本较高，但对于普通家庭或办公室用户，实施此类窃听攻击的难度和成本仍然较高。该研究揭示了数字视频传输中存在的安全风险，并提醒需要采取相应的防护措施。

来源：https://www.securitylab.ru/news/550657.php

5th域安全微讯早报【20240801】184期

正文

请到「今天看啥」查看全文