5th域安全微讯早报【20250103】003期

2025-01-03  星期五 Vol-2025-003

1. 美国拟加强无人机外国信息技术监管以应对中俄威胁

2. 从色情到 VPN ：美国互联网的新现实

3. 美国国防部宣布完成识别医疗人工智能漏洞的试点

4. 日本最大移动运营商 NTT Docomo 遭遇网络攻击致服务中断

5. 苹果支付 9500 万美元和解 Siri 隐私诉讼

6. 德国起诉三名俄罗斯裔公民从事间谍和破坏活动

7. 全球行动利用创新门户针对 PlugX 恶意软件进行清理

8. 趋势科技 Apex One 漏洞修复，防止权限提升攻击

9. Microsoft Dynamics 365 和 Power Apps Web API 中存在严重安全漏洞

10. 跨域攻击：现代安全的重大威胁及应对策略

1. 美国拟加强无人机外国信息技术监管以应对中俄威胁

【 TheRecord 网站 1 月 3 日消息】美国商务部提出一项新规则，旨在加强对无人机使用的外国信息技术监管，以应对中国和俄罗斯等外国对手的威胁。该规则由工业和安全局制定，重点关注无人机信息技术可能带来的国家安全风险，例如对手远程访问设备并泄露美国敏感数据的可能性。规则详细说明了外国在无人机供应链中的参与，特别是来自中国和俄罗斯的潜在威胁。美国商务部长吉娜·雷蒙多强调，确保无人机系统技术供应链的安全对维护国家安全至关重要。公众对该规则的反馈截止日期为 2025 年 3 月 4 日。此前，拜登政府已于 2024 年 9 月出台类似规定，保护联网汽车免受中俄进口软件和硬件的影响。 2025 年初， FBI 和 CISA 也发布了关于中国制造无人机潜在威胁的警告。

2. 从色情到 VPN ：美国互联网的新现实

【 Securitylab 网站 1 月 2 日消息】美国多州实施的成人内容年龄验证法正在改变互联网的使用方式。自路易斯安那州首次引入第 440 号法案（ HB 142 ）以来，佛罗里达州、田纳西州和南卡罗来纳州等 17 个州已通过类似法律，要求网站使用“合理的年龄验证方法”以防止未成年人访问成人内容。 Aylo 公司（旗下拥有 Pornhub 、 Brazzers 等网站）选择在有此类法律的州屏蔽用户，以保护数据隐私，导致这些州的流量大幅下降。用户转而使用审核较少、安全性较低的替代网站或通过 VPN 绕过限制。尽管法律旨在保护儿童，但批评者认为其增加了盗版风险并威胁成年用户的隐私。亚利桑那州州长否决了类似法案，认为其违反美国宪法第一修正案。与此同时，欧盟根据《数字服务法》（ DSA ）对成人网站实施了更严格的监管。未来，围绕年龄验证法的争议将继续发酵，观察者将密切关注其发展。

3. 美国国防部宣布完成识别医疗人工智能漏洞的试点

【 Nextgov 网站 1 月 2 日消息】美国国防部首席数字和人工智能办公室（ CDAO ）宣布成功完成了一项生成人工智能试点项目，旨在识别使用大型语言模型（ LLM ）增强军事医疗服务过程中的漏洞。该试点由 Humane Intelligence 组织通过其众包 AI 红队保证计划实施，吸引了 200 多名参与者，包括临床提供者和医疗保健分析师。试点项目发现，在使用 LLM 进行临床记录总结和医疗咨询聊天机器人时存在 800 多个潜在漏洞和偏见。 CDAO 表示，这些发现将用于评估未来供应商和工具的性能，并制定国防部负责任使用生成式人工智能（ GenAI ）的政策和最佳实践。该试点项目是 CDAO 加速和扩展人工智能工具在国防部部署的重要一步。

4. 日本最大移动运营商 NTT Docomo 遭遇网络攻击致服务中断

【 TheRecord 网站 1 月 3 日消息】日本最大移动运营商 NTT Docomo 宣布其部分服务因网络攻击而暂时中断，目前正在努力恢复。该公司在声明中表示，从当地时间周四清晨至下午晚些时候，用户无法访问其新闻网站、视频流媒体平台、移动支付、网络邮件服务以及一个高尔夫爱好者网站。尽管大部分服务已恢复，但部分内容更新可能仍会延迟。 NTT Docomo 尚未将此次事件归因于任何特定威胁行为者。 2023 年，该公司曾遭受臭名昭著的勒索软件团伙 Ransomed.vc 的攻击。此次事件是日本企业近期遭遇的一系列网络攻击中的最新一例。 2024 年 12 月，日本航空公司（ JAL ）也曾报告类似事件。此外，日本主要非寿险公司三井住友保险、知名手表制造商卡西欧以及电动机制造商 Nidec 等企业近期均遭受网络攻击。日本主要金融机构，包括三菱 UFJ 银行、 Resona 银行和瑞穗银行，也未能幸免。这些事件凸显了日本企业在网络安全方面面临的严峻挑战，亟需加强防护措施以应对日益复杂的网络威胁。

5. 苹果支付 9500 万美元和解 Siri 隐私诉讼

【 TheRecord 网站 1 月 3 日消息】苹果公司同意支付 9500 万美元以和解一项集体诉讼，该诉讼指控其声控 Siri 功能在未经用户同意的情况下记录对话并与第三方共享，侵犯用户隐私。诉讼源于 2019 年 7 月《卫报》的报道，揭露 Siri 录制的对话包括医患机密、商业交易、性接触等敏感内容，且录音附有用户位置、联系方式和应用数据。苹果公司虽否认不法行为，但同意和解以避免进一步法律纠纷。根据和解协议，数千万集体诉讼成员将为其拥有的每台支持 Siri 的设备获得最高 20 美元的赔偿。苹果公司曾向《卫报》承认录音行为，但强调数据与用户 Apple ID 无关，且分析过程在安全设施中进行。诉讼指出，苹果公司利用 Siri 掩盖其隐私实践，例如当用户询问“ Siri 是否一直在监听”时， Siri 会回答“只在被呼唤时监听”。苹果公司 2024 财年净收入接近 940 亿美元，此次和解金额对其财务影响有限。

6. 德国起诉三名俄罗斯裔公民从事间谍和破坏活动

【 CybersecurityNews 网站 1 月 2 日消息】德国联邦检察官办公室对三名俄罗斯裔德国公民 Dieter S. 、 Alexander J. 和 Alex D. 提起诉讼，指控他们从事间谍和破坏活动，旨在破坏德国对乌克兰的军事支持。主要嫌疑人 Dieter S. 现年 40 岁，曾是乌克兰亲俄民兵组织“顿涅茨克人民共和国”（ DPR ）成员，该组织被德国认定为恐怖组织。自 2023 年 10 月起， Dieter S. 与一名俄罗斯情报人员讨论了对德国军事基础设施和工业场所实施爆炸、纵火及破坏铁路线的计划。三人被指控侦察了巴伐利亚州的多个目标，包括训练乌克兰士兵的格拉芬沃尔美军训练场和一家武器制造厂，并将相关照片和视频提供给俄罗斯情报部门。 2024 年 4 月， Dieter S. 和 Alexander J. 被捕， Dieter S. 目前仍被拘留，而 Alexander D. 仍在逃。此案引发德俄外交纠纷，德国总理奥拉夫·肖尔茨强调打击俄罗斯间谍威胁的重要性。案件凸显了俄罗斯针对北约国家的混合战争策略，以及德国在支持乌克兰背景下维护国家安全的决心。

7. 全球行动利用创新门户针对 PlugX 恶意软件进行清理

【 Infosecurity-magazine 网站 1 月 2 日消息】在国际当局的合作下，一项针对 PlugX 蠕虫恶意软件的全球清理行动已启动。此次行动由 Sekoia 威胁检测与研究团队领导，旨在清理多个国家的受感染系统。 PlugX 蠕虫通常与 Mustang Panda 组织相关，通过受感染的闪存驱动器传播，具有极强的渗透性。 2023 年， Sekoia 研究人员控制了关键的命令与控制（ C2 ）服务器，并提出了两种消毒方法：自删除命令和高级代码执行。行动采用了侵入性较低的方法以降低风险。在巴黎检察官办公室和法国宪兵国家网络部队的监督下，十个国家参与了消毒行动。 Sekoia 开发了专用消毒门户，允许参与国查看受感染资产并启动消毒活动。整个行动期间，共向 5539 个 IP 地址发送了 59,475 个有效载荷。此次行动不仅展示了主权网络安全伙伴关系的潜力，也为未来消毒工作开创了先例。