5th域安全微讯早报【20250124】021期

2025-01-24  星期五 Vol-2025-021

1. 特朗普政府要求情报监督委员会民主党成员辞职，引发监督职能担忧

2. 爱达荷国家实验室白皮书探讨利用网络信息工程确保电池储能系统（ BESS ）安全

3. 微软改变登录规则：安全与便利的权衡

4. ChatGPT 全球大规模宕机，数百万用户无法访问服务

5. ICICI 银行数据泄露： BASHE 勒索软件组织涉嫌危害并公开客户信息

6. 纳斯达克官方 X 账户遭黑客攻击，用于推广欺诈性 Memecoin

7. 大规模数据泄露影响格鲁吉亚全体人口

8. SonicWall 严重漏洞 CVE-2025-23006 被攻击者利用，可执行任意操作系统命令

9. Rails 应用程序文件写入漏洞使攻击者可远程执行代码

10. Next.js 框架漏洞导致网站遭受缓存中毒和 XSS 攻击

11. Palo Alto 防火墙曝严重漏洞，黑客可绕过安全启动并操控固件

12. QNAP 修复 HBS 备份应用中的六个 rsync 漏洞，防止远程代码执行

13. Ivanti 云服务设备中的连锁漏洞引发严重网络攻击

14. 专家发现 Morpheus 与 HellCat 勒索软件共享代码库

15. 参议院确认约翰·拉特克利夫担任中央情报局局长

16. 五角大楼将启动非地面网络和协议研究

1. 特朗普政府要求情报监督委员会民主党成员辞职，引发监督职能担忧

【 Recorded Future News 网站 1 月 23 日报道】特朗普政府已要求情报监督委员会（ PCLOB ）的所有民主党成员辞职。 PCLOB 是一个由五人组成的独立两党机构，负责监督美国政府的情报活动。目前，委员会中有三名民主党成员，他们的辞职将使委员会无法达到法定人数，从而影响其监督职能。消息人士透露，白宫要求这三名成员在周四前辞职。如果辞职生效， PCLOB 将无法启动或关闭任何情报项目，尽管已批准的项目仍可继续。民主党参议员罗恩·怀登批评此举是特朗普政府将情报机构政治化的表现，削弱了独立监督能力。白宫未对此事发表评论。

2. 爱达荷国家实验室白皮书探讨利用网络信息工程确保电池储能系统（ BESS ）安全

【 Industrial Cyber 网站 1 月 23 日报道】爱达荷国家实验室（ INL ）发布了一份白皮书，探讨如何通过网络信息工程（ CIE ）原则确保电池储能系统（ BESS ）技术的安全。白皮书分析了 BESS 的架构和通信，提出了一个评估风险和解决方案的框架，旨在帮助资产所有者和运营商评估其 BESS 实施的安全性。白皮书指出，尽管 BESS 技术对电网稳定性和可持续性至关重要，但其供应链中大量依赖外国关注实体（ FEOC ）组件，引发了网络安全和地缘政治风险。 INL 建议通过 CIE 原则增强 BESS 的安全性，包括网络分段、访问控制、固件验证等措施，并结合工程控制减少网络安全入侵的影响。白皮书还强调了短期和长期缓解策略的重要性，建议通过模块化评估框架优先考虑供应链组件的安全性，并评估其成本影响。 INL 呼吁将网络安全工程纳入 BESS 的整个生命周期，从设计到运营，以应对不断变化的威胁环境。

3. 微软改变登录规则：安全与便利的权衡

【 SecurityLab 网站 1 月 23 日报道】微软将于 2024 年 2 月更改其授权系统，即使用户关闭浏览器，其账户仍将保持登录状态。这一变化旨在简化用户体验，但同时也带来了潜在的安全风险，尤其是在公共设备上使用时。根据新规则，用户通过浏览器或应用程序登录微软账户后，授权将默认保留，这意味着后续用户可能访问 Outlook 电子邮件、 OneDrive 文件和搜索历史记录。微软建议在公共设备上使用隐私浏览模式以避免保存授权数据，并启用双因素身份验证以增强安全性。尽管这一变化为个人设备用户提供了便利，但在公共设备上使用时需格外警惕，手动注销以防止数据泄露。微软尚未公开解释这一变化的原因，但推测其目的是优化浏览器版本服务的用户体验。

4. ChatGPT 全球大规模宕机，数百万用户无法访问服务

【 Cybersecurity News 网站 1 月 23 日报道】 OpenAI 的 ChatGPT 服务今日凌晨发生全球性大规模宕机，导致数百万用户无法访问这一流行的 AI 聊天机器人服务。此次宕机影响了包括印度和美国在内的多个国家和地区的用户，引发了社交媒体平台（尤其是 X 平台）上的大量投诉和调侃。用户报告和跟踪网站数据显示，问题范围从完全无法访问到与 ChatGPT 交互时收到“内部服务器错误”提示。此次宕机不仅对个人用户造成不便，还影响了依赖 ChatGPT API 的企业和开发者。许多用户在 X 平台上幽默地表示，不得不回归传统搜索引擎，甚至“用自己的大脑”完成通常由 ChatGPT 辅助的任务。 OpenAI 尚未发布官方声明说明宕机原因或预计恢复时间，但 X 平台上的帖子表明公司已意识到问题。此次宕机并非 ChatGPT 首次出现大规模服务中断， 2024 年也曾发生类似事件，凸显了用户对 AI 服务的依赖性。

5. ICICI 银行数据泄露： BASHE 勒索软件组织涉嫌危害并公开客户信息

【 Cybersecurity News 网站 1 月 23 日报道】印度央行联盟 ICICI 银行疑似遭到了 BASHE 勒索软件组织的攻击。该组织自称窃取了该银行的大量客户数据，并要求在 1 月 24 日前支付赎金，否则将泄露敏感信息。组织（又名 APT73 或 Eraleig ）自 2024 年以来活跃，主要通过基于 TOR 的泄露网站对关键行业进行数据勒索，曾针对银行、医疗、技术等高价值目标展开复杂攻击。 ICICI 银行尚未公开承认数据泄露，但该事件引发了社交媒体和网络安全界的广泛关注，尤其是印度政府在 2022 年将 ICICI 作为“关键信息基础设施”后，该事件可能对国家安全构成威胁。网络安全专家建议 ICICI 银行采取紧急措施，包括加强安全防护、通知用户及与相关机构合作追查犯罪分子。印度 CERT- 尚未对此事发表评论，但政府干预或将突然出现。目前，该事件尚在进一步调查中， ICICI 银行对数据泄露的真实性保持沉默。

6. 纳斯达克官方 X 账户遭黑客攻击，用于推广欺诈性 Memecoin

【 Cybersecurity News 网站 1 月 23 日报道】纳斯达克的官方 X 账户遭到黑客攻击，被用于推广一种名为“ STONKS ”的欺诈性 Memecoin 。该事件发生于 1 月 22 日，黑客利用被盗账户错误地将 STONKS 代币宣传为纳斯达克的附属项目，导致其市值在数小时内飙升至 8000 万美元。然而，随着骗局被识破，代币价值迅速下跌。攻击者创建了一个虚假 X 账户冒充纳斯达克合作伙伴，并从纳斯达克官方账户转发有关 STONKS 代币的帖子。许多投资者因此蒙受损失，其中一名用户声称损失了 20 万美元，并计划采取法律行动。该事件引发了 X 平台上对大型机构账户安全性的广泛担忧，用户呼吁加强网络安全实践，包括更强大的双因素认证（ 2FA ）和持续账户监控。这是近期一系列利用名人或机构账户推广欺诈性加密货币的案例之一。纳斯达克已重新控制账户并删除了欺诈性内容，但尚未公布黑客入侵的具体细节。

7. 大规模数据泄露影响格鲁吉亚全体人口

【 SecurityLab 网站 1 月 23 日报道】格鲁吉亚发生了一起大规模数据泄露事件，约 500 万条个人数据记录和 720 多万个电话号码被公开。此次泄露的数据包括身份证号码、全名、出生日期、保险证书号码等敏感信息，影响了格鲁吉亚全国约 400 万人口。部分数据源自 2020 年的泄露事件，现已与包含 145 万车主信息的新记录合并。泄露的数据库托管在德国云提供商的服务器上，因未受保护而被公开。尽管服务器在发现后已被关闭，但泄露的数据仍可能被用于身份盗窃、金融欺诈和社会工程攻击。网络安全专家警告，在当前地缘政治局势下，此类数据可能被用于政治操纵和虚假信息传播。目前，数据库的所有者尚未确定，调查工作面临困难。此次事件凸显了加强个人数据保护措施和严格遵守数据保护法的重要性。

13. Ivanti 云服务设备中的连锁漏洞引发严重网络攻击

【 Infosecurity Magazine 网站 1 月 23 日报道】威胁行为者正在积极利用 Ivanti 云服务设备（ CSA ）中的连锁漏洞（ CVE-2024-8963 、 CVE-2024-9379 、 CVE-2024-8190 和 CVE-2024-9380 ），以破坏系统、执行远程代码（ RCE ）、窃取凭据并部署 Webshell 。美国网络安全和基础设施安全局（ CISA ）与联邦调查局（ FBI ）联合发布报告，指出攻击者通过两种不同的漏洞链实现其目标，放大了攻击的影响。 CISA 和 FBI 建议使用