5th域安全微讯早报【20250116】014期

2025-01-16  星期四 Vol-2025-014

1. 中情局局长提名人拉特克利夫力挺《外国情报监视法》第 702 条，称其为“不可或缺”

2. 欧盟发布应对医院勒索软件攻击行动计划，未提供新资金支持

3. FTC 严惩 GoDaddy 网络安全漏洞，要求加强信息安全措施

4. 俄克拉荷马大学因网络异常活动隔离系统，勒索软件团伙声称窃取数据

5. 疑似乌克兰黑客组织冒充俄政府部门，瞄准俄罗斯工业企业

6. 乌克兰网络机构报告：俄罗斯间谍与金融盗窃活动加剧

7. 标签巨头 Avery 网站遭黑客攻击，客户信用卡信息被盗

8. Windows 行式打印机守护程序（ LPD ）漏洞可能导致远程代码执行

9. Palo Alto Networks Expedition 工具漏洞导致明文防火墙密码泄露

10. 超过 66 万台 Rsync 服务器面临远程代码执行攻击风险

11. WordPress 网站遭大规模攻击，黑客伪装图片上传窃取数据

12. 五角大楼网络防御部门成立十周年，寻求改进作战方式

13. 海军陆战队计划采用现成生成式 AI 工具，无需大规模研发投入

14. OMB 发布国内芯片制造供应链信息请求

15. 空军部长弗兰克·肯德尔强调核威慑与人工智能能力需求

1. 中情局局长提名人拉特克利夫力挺《外国情报监视法》第 702 条，称其为“不可或缺”

【 Therecord 网站 1 月 16 日报道】中情局提名人约翰·拉特克利夫在参议院情报委员会听证会上强烈支持《外国情报监视法》（ FISA ）第 702 条，称其为“不可或缺的国家安全工具”。拉特克利夫指出，该条款为总统提供了大量可操作的外国情报，且中情局对“美国人查询”的遵守率高达 99.6% 。尽管存在对美国公民隐私的担忧，拉特克利夫强调，情报机构必须确保适当的保障措施。他还反对在进入 702 数据库时增加授权要求，认为这会延误关键的国家安全行动。拉特克利夫的立场可能与特朗普提名的其他国家安全官员产生分歧，尤其是联邦调查局局长提名人卡什·帕特尔和国家情报总监提名人塔尔西·加巴德，后者曾反对该条款。国会预计将在 2026 年重新审议第 702 条的续期问题。

2. 欧盟发布应对医院勒索软件攻击行动计划，未提供新资金支持

【 Therecord 网站 1 月 16 日报道】欧盟委员会宣布了一项旨在降低医疗保健行业网络攻击风险的“行动计划”。该计划针对近年来欧洲医疗行业频发的勒索软件攻击，提出了一系列指导措施，但未提供新的资金支持，而是建议利用现有资源。欧盟委员会承认，网络安全资金有限且是普遍挑战，医疗系统的安全保障主要依赖成员国自身。该计划要求欧盟网络安全局（ ENISA ）建立专门针对医院和医疗保健提供者的网络安全支持中心，提供指导和服务目录，但不会直接提供支持。成员国被建议通过网络安全券等方式为医疗机构提供财务援助。此外，计划还指出，许多医疗机构缺乏实施云服务安全措施的资源，并建议云服务提供商将基本安全措施作为标准功能。欧盟委员会表示，网络安全应被视为保护患者护理和数据的投资，而非开支。医院可通过“数字欧洲”和“地平线欧洲”等现有计划获得资金支持。该计划目前进入磋商阶段，预计于 2025 年第四季度完善并实施。

3. FTC 严惩 GoDaddy 网络安全漏洞，要求加强信息安全措施

【 Therecord 网站 1 月 16 日报道】美国联邦贸易委员会（ FTC ）宣布对网络托管巨头 GoDaddy 采取严厉措施，要求其加强网络安全计划，以解决 2019 年至 2022 年间多次重大安全漏洞问题。 FTC 指控 GoDaddy 未能采用行业标准安全措施，并欺骗客户其网络托管产品的安全性。 FTC 指出，黑客入侵 GoDaddy 客户网站并访问数据，导致消费者被引导至恶意网站并遭受损失。 GoDaddy 还被指控未能跟踪软件更新、分析威胁、记录网络安全事件以及隔离不安全平台。此外，该公司虚假宣传其安全措施符合国际框架要求。作为和解协议的一部分， GoDaddy 被禁止夸大其安全措施，并被要求制定全面的信息安全计划，同时每两年聘请外部公司进行评估。 FTC 消费者保护局局长塞缪尔·莱文强调，数百万企业依赖 GoDaddy 等托管服务提供商，确保其安全性至关重要。

4. 俄克拉荷马大学因网络异常活动隔离系统，勒索软件团伙声称窃取数据

【 Therecord 网站 1 月 16 日报道】俄克拉荷马大学在发现其 IT 网络存在“异常活动”后，迅速隔离了部分系统并展开调查。该校拥有超过 34,000 名学生，其数据出现在一个勒索软件团伙的泄密网站上，该团伙声称窃取了 91 GB 的数据，包括员工信息和财务数据等。学校未透露事件的具体原因、受影响系统范围以及是否会支付赎金。此次事件发生在新学期开学之际，此前因暴风雪导致校园关闭并转为远程办公。专家指出，声称对此事件负责的勒索软件团伙 Fog 曾多次利用被盗的 VPN 凭证攻击高等教育机构。该团伙自 2024 年 5 月出现以来，主要针对美国教育机构， 80% 的受害者属于教育领域。俄克拉荷马大学等大型高校因假期期间 IT 团队人手不足，常成为勒索软件攻击的目标。此前，斯坦福大学、密歇根大学等也曾遭遇类似攻击。

5. 疑似乌克兰黑客组织冒充俄政府部门，瞄准俄罗斯工业企业

【 Therecord 网站 1 月 16 日报道】俄罗斯网络安全公司 FACCT 发现，一个疑似与乌克兰有关的黑客组织 Sticky Werewolf 正发起新的网络间谍活动，目标是俄罗斯科学和工业企业。该组织通过冒充俄罗斯工业和贸易部发送欺诈性电子邮件，诱使目标下载包含 Ozone 远程访问恶意软件的附件，从而控制受感染设备。 FACCT 报告指出， Sticky Werewolf 主要针对俄罗斯、波兰和白俄罗斯的政府机构、研究机构及工业企业，其工具包包括 Darktrack 、 Ozone 、 Glory Stealer 和 MetaStealer 等恶意软件。尽管基辅未公开承认与该组织有关联，但以色列网络安全公司 Morphisec 认为，地缘政治背景表明其可能与亲乌克兰的网络间谍组织有联系。此次攻击活动始于新年假期后，研究人员本周发现相关钓鱼邮件。目前尚不清楚此次行动的成功率。

6. 乌克兰网络机构报告：俄罗斯间谍与金融盗窃活动加剧

【 Therecord 网站 1 月 15 日报道】乌克兰国家特别通信和信息保护局（ SSSCIP ）发布报告称，过去一年俄罗斯黑客组织对乌克兰的网络攻击显著增加，攻击手段更加复杂，主要目标为间谍活动、金融盗窃和心理伤害。报告指出，三个与俄罗斯有关的黑客组织（ UAC-UAC-0006 和 UAC-0050 ）是主要攻击者。 UAC-0010 （又名 Gamaredon ）是最活跃的国家支持黑客组织，针对乌克兰国家机构和国防企业， 2024 年共发起 277 起网络事件。 UAC-0006 则以金融盗窃为主，使用 Smokeloader 恶意软件攻击金融机构和政府组织。 UAC-0050 则专注于信息攻击、间谍活动和金融盗窃。 SSSCIP 在过去一年处理了 1,042 起网络安全事件，涉及政府、国防和关键服务领域。报告预测，尽管俄罗斯当前专注于间谍和金融盗窃，但对能源设施等关键基础设施的破坏性攻击可能持续。

7. 标签巨头 Avery 网站遭黑客攻击，客户信用卡信息被盗

【 Bleepingcomputer 网站 1 月 15 日报道】美国标签制造商 Avery Products Corporation 警告称，其网站遭到黑客攻击，导致客户信用卡和个人信息被盗。 Avery 主要生产自粘标签、服装品牌元素并提供印刷服务。 Avery 在发送给受影响客户的数据泄露通知中表示，攻击发生在 2024 年 12 月 9 日。经过数字取证专家的内部调查，发现黑客早在 2024 年 7 月 18 日就在 Avery 的在线商店域名“ avery.com ”上植入了信用卡窃取程序。因此， 2024 年 7 月 18 日至 12 月 9 日期间在 Avery 网站上输入的支付信息被窃取。泄露的数据包括客户姓名、账单和送货地址、电子邮件地址、电话号码、支付卡号、 CVV 码和有效期以及购买金额。社会安全号码、驾照号码和政府颁发的身份证号码未受影响。 Avery 已为 61,193 名受影响客户提供 12 个月的免费信用监控服务，并建议客户警惕可疑通信，及时报告账户异常活动。

10. 超过 66 万台 Rsync 服务器面临远程代码执行攻击风险

【 Bleepingcomputer 网站 1 月 15 日报道】超过 66 万台暴露的 Rsync 服务器可能受到六个新漏洞的攻击，其中包括一个严重程度极高的堆缓冲区溢出漏洞（ CVE-2024-12084 ），允许攻击者在服务器上执行远程代码。 Rsync 是一款广泛使用的开源文件同步工具，支持本地和远程文件传输，常用于备份系统和云管理操作。这些漏洞由 Google Cloud 和独立研究人员发现，影响 3.4.0 以下版本。最严重的漏洞允许攻击者通过匿名读取访问执行任意代码。其他漏洞包括信息泄露、路径遍历和符号链接竞争条件问题。 CERT/CC 警告称，攻击者可通过恶意服务器读取或写入客户端文件，甚至提取敏感数据或执行恶意代码。 Shodan 数据显示，全球有超过 66 万个 IP 地址暴露了 Rsync 服务器，其中中国占 52.1 万个。建议用户尽快升级至 3.4.0 版本，或配置服务器要求身份验证，并阻止 TCP 端口 873 的远程访问。

11. WordPress 网站遭大规模攻击，黑客伪装图片上传窃取数据

【 Securitylab 网站 1 月 15 日报道】超过 5,000 个 WordPress 网站遭到大规模攻击，黑客通过创建虚假管理员账户、安装恶意插件并伪装图片上传窃取数据。网络脚本安全公司 c/side 发现，攻击者使用 wp3[.]xyz 域名传输数据，并创建名为 wpx_admin 的管理员账户，随后下载并激活恶意插件 plugin.php ，收集管理员凭据和日志信息。 c/side 建议用户采取以下措施防范攻击：阻止 wp3[.]xyz 域名、检查特权账户和插件、加强 CSRF 防护并设置多重身份验证。此次攻击凸显了定期安全检查和主动保护的重要性。