5th域安全微讯早报【20250206】032期

2025-02-06  星期四 Vol-2025-032

1. 两党法案要求联邦承包商采用漏洞披露政策，提升网络安全标准

2. 美国情报机构提供变相离职延期计划， DIA 、 NGA 等加入

3. 美国陆军发布信息系统软件保障政策，支持 DevSecOps 与风险管理框架

4. 国土安全部监察长审计指出 AI 治理不足，需加强管理与资源投入

5. 2024 年勒索软件支付金额显著下降，执法行动成效初显

6. 巴西工伤事故通讯系统遭遇重大数据泄露， 3900 万用户信息曝光

7. 威 胁行为者“ 888 ”泄露法国 Nutergia 实验室敏感数据，医疗保健领域数据安全再受挑战

8. 暗网上的 dk0m 声称出售政府和执法机构的电子邮件

9. Netgear 路由器曝严重远程代码执行漏洞，用户需立即更新固件

10. CISA 发布九项公告，详述 ICS 漏洞和利用情况

11. Microsoft Sysinternals 工具中的 0-Day 漏洞允许攻击者发起 DLL 注入攻击

12. Veeam 备份解决方案中的关键漏洞允许攻击者执行任意代码获取 root 权限

13. 研究人员仅用 30 美元复制 DeepSeek 的 R1-Zero 模型

14. 谷歌悄然删除“不开发危险人工智能”承诺，引发伦理争议

15. Telegram 再遭钓鱼攻击，虚假“安全服务”窃取用户账户

16. 俄罗斯信息安全市场面临人才短缺危机，需求激增但专家匮乏

1. 两党法案要求联邦承包商采用漏洞披露政策，提升网络安全标准

【 Industrial Cyber 网站 2 月 5 日消息】美国众议员南希·梅斯（ Nancy Mace ）再次提出一项两党法案《 2025 年联邦承包商网络安全漏洞削减法案》，要求联邦承包商实施漏洞披露政策（ VDP ），以弥补现有网络安全标准的漏洞。该法案旨在扩展联邦机构已有的漏洞披露要求，覆盖所有民用和国防承包商，确保他们在网络安全方面遵循美国国家标准与技术研究所（ NIST ）的标准。法案要求管理和预算办公室（ OMB ）更新《联邦采购条例》（ FAR ），国防部更新《国防联邦采购条例补充》（ DFARS ），以强制执行这一政策。梅斯强调，此举是为了在网络安全威胁演变为灾难性漏洞之前降低风险，保护敏感数据和关键基础设施。

2. 美国情报机构提供变相离职延期计划， DIA 、 NGA 等加入

【 Nextgov 网站 2 月 5 日消息】国防情报局（ DIA ）和国家地理空间情报局（ NGA ）已向其员工提供延期辞职的机会，类似于人事管理办公室（ OPM ）向联邦民事机构提出的提议。该计划允许员工在 2 月 6 日前辞职，但仍可领取工资至 9 月 30 日。中央情报局（ CIA ）和国家安全局（ NSA ）也已向其员工提供类似计划。此举被视为特朗普政府缩减联邦劳动力规模的举措之一。参议院情报委员会民主党议员对此表示反对，认为绕过机密信息协议可能带来反情报和安全风险。

3. 美国陆军发布信息系统软件保障政策，支持 DevSecOps 与风险管理框架

【 ExecutiveGov 网站 2 月 5 日消息】美国陆军首席信息官 Leonel Garciga 签署并发布了一份备忘录，详细介绍了陆军信息系统的软件保障政策。该政策旨在支持陆军和国防部的 DevSecOps 计划以及风险管理框架（ RMF ）流程。备忘录要求所有陆军系统的软件保障要求必须根据 NIST 特别出版物 800-53 进行验证，并通过 RMF 流程报告。信息系统所有者需使用经过认证的 DevSecOps 平台执行软件保证。陆军首席信息安全官与副参谋长 G-6 合作制定相关指南和基线要求，授权官员需将软件保证风险纳入整体授权决策中。

4. 国土安全部监察长审计指出 AI 治理不足，需加强管理与资源投入

【 ExecutiveGov 网站 2 月 5 日消息】美国国土安全部（ DHS ）监察长办公室发布审计报告，指出 DHS 在人工智能（ AI ）使用方面的治理存在不足。尽管 DHS 已采取发布 AI 指南、任命首席 AI 官及成立 AI 工作组等措施，但仍缺乏实施计划和足够资源以确保 AI 使用符合隐私及公民权利要求。审计发现， DHS 未能充分追踪和报告 AI 使用情况，且缺乏证据证明其 AI 使用符合联邦要求。监察长办公室提出 20 条建议， DHS 已全部同意，以加强对 AI 的适当和持续治理。

5. 2024 年勒索软件支付金额显著下降，执法行动成效初显

【 Therecord 网站 2 月 6 日消息】据 Chainalysis 的最新报告， 2024 年勒索软件支付金额出现了显著下降，从 2023 年的 12.5 亿美元降至 8.1255 亿美元，降幅约 35% 。这一变化主要发生在下半年，此前上半年数据显示 2024 年可能成为“有记录以来最糟糕的一年”。报告指出，执法部门对勒索软件团伙及加密洗钱服务的干扰是导致这一下降的主要原因。特别是对 LockBit 和 AlphV/BlackCat 集团的打击行动，不仅破坏了这些主要勒索软件集团的运营，还在整个犯罪市场中灌输了不信任感，导致受害者更倾向于不支付赎金。此外，受害者的防护意识和准备也有所提高。然而， Chainalysis 警告称，尽管有所下降，勒索软件攻击仍然频繁且危险，新的攻击者和漏洞不断出现，形势依然严峻。

6. 巴西工伤事故通讯系统遭遇重大数据泄露， 3900 万用户信息曝光

【 Cyberpres 网站 2 月 5 日消息】巴西工伤事故通讯（ CAT ）系统发生了一起严重的数据泄露事件。据 BreachForums 论坛成员披露，泄露的数据量高达 88 GB ，涉及超过 3900 万条用户记录，包括姓名、工作电话号码、出生日期、 CTPS 号码、 CPF 号码等敏感信息。这些数据与巴西国家社会保障局（ INSS ）的工伤事故通讯管理平台相关。此次泄露使数百万用户面临身份盗窃、欺诈和网络钓鱼攻击的风险。巴西《通用数据保护法》（ LGPD ）要求组织在发现数据泄露后两个工作日内通知国家数据保护局（ ANPD ），并可能对违规行为处以高额罚款。尽管 BreachForums 曾因执法行动受挫，但其仍作为数据交易平台活跃，凸显了网络犯罪论坛的持续威胁。受影响的用户被建议加强账户监控和安全措施。

7. 威 胁行为者“ 888 ”泄露法国 Nutergia 实验室敏感数据，医疗保健领域数据安全再受挑战

【 Cyberpress 网站 2 月 5 日消息】一个名为“ 888 ”的威胁行为者声称泄露了法国微量营养公司 Nutergia Laboratory 的敏感数据。这一事件在一个暗网论坛上曝光，引发了医疗保健和营养领域数据安全的广泛关注。 Nutergia 实验室由克劳德·拉加德博士于 1986 年创立，专注于微量营养和健康补充剂，并获得了 ISO 质量和环境标准认证。尽管泄露数据的具体细节尚未完全披露，但可能涉及客户、员工或专有研究信息。此次事件是医疗保健领域网络攻击趋势的一部分，近年来类似事件频发，如荷兰医疗实验室 130 万条记录泄露和 Enzo Biochem 的 250 万条临床测试数据泄露。 Nutergia 的泄露可能导致数据滥用、监管审查和声誉损害。目前， Nutergia 尚未就此事件发表官方声明。这一事件再次凸显了医疗保健系统在网络安全方面的脆弱性，强调了加强数据保护措施的重要性。

8. 暗网上的 dk0m 声称出售政府和执法机构的电子邮件

【 Cyberpress 网站 2 月 5 日消息】暗网上的一个实体“ dk0m ”声称正在出售来自政府安全、国防和警察部门的敏感电子邮件数据，以及与执法和开源情报（ OSINT ）行业相关的信息。这一行为引发了对国家安全和公共安全的严重担忧。如果这些声称属实，泄露的电子邮件可能会暴露机密行动或机密信息，甚至可能被犯罪分子用于冒充警察或扰乱调查。此外， OSINT 相关数据的泄露可能会被用于恶意目的，例如针对性攻击或监视。此次事件还涉及 Snusbase ，这是一个常与泄露数据相关的数据库搜索引擎。尽管 Snusbase 将自己定位为验证数据泄露的合法资源，但其在这一事件中的滥用引发了道德和法律问题。为了防范暗网威胁，个人和组织必须采取主动措施，包括进行暗网监控、采用强大的安全实践（如定期更新密码和使用多因素身份验证），并制定事件响应计划以迅速应对潜在的数据泄露。