5th域安全微讯早报【20250122】019期

2025-01-22  星期三 Vol-2025-019

1. 行为准则： IT 巨头正在构建互联网新秩序

2. 从定性到量化：转变关键基础设施的网络风险管理

3. 商务部发布人工智能数据可访问性指南，推动公共数据集开放利用

4. 特朗普撤销拜登人工智能安全命令、电动汽车授权及排放标准

5. 多伦多学生特殊教育和纪律记录因 PowerSchool 漏洞可能泄露

6. 俄罗斯电信巨头 Rostelecom 调查承包商涉嫌网络攻击事件

7. Cloudflare 成功缓解创纪录的 5.6 Tbps DDoS 攻击

8. 承包商失败： Rostelecom 正在调查数据泄露事件

9. Debian 11 Tryton 服务器漏洞使攻击者能够发起 Zip Bomb 攻击

10. Brave 浏览器漏洞使恶意网站冒充合法网站

11. Apache CXF 漏洞使攻击者可触发系统 DoS 状态

12. 警惕！假冒 SBI 奖励 APK 攻击用户传播 Android 恶意软件

13. 拉赫曼案：机密数据泄露使美国安全面临风险

14. 守卫放了小偷： macOS 系统工具突然成为黑客攻击的帮凶

15. 陆军利用数据共享工具优化武器供应链管理

1. 行为准则： IT 巨头正在构建互联网新秩序

【 SecurityLab 网站 1 月 21 日消息】多家主要科技公司签署了更新后的《行为准则》，旨在加大打击网络仇恨内容的力度。该准则已纳入欧盟技术立法，包括《数字服务法》（ DSA ）。自 2016 年首次创建以来， Meta 、 Google 、 Microsoft 、 TikTok 等公司已支持该准则。根据修订后的准则，科技公司需与非营利或公共组织合作，监控投诉流程并确保在 24 小时内处理至少 60% 的仇恨内容通知。此外，公司将实施自动检测工具以减少仇恨内容，并提供推荐系统性能及非法内容传播的数据。各国还将发布基于种族、民族、宗教、性别认同和性取向等因素的仇恨内容分类信息。这一举措被视为在欧盟法律框架下构建更安全、更包容的互联网环境的重要一步。

2. 从定性到量化：转变关键基础设施的网络风险管理

【 Cyberscoop 网站 1 月 21 日消息】随着针对关键基础设施的网络攻击日益普遍，传统的网络风险管理（ CRM ）方法已无法应对当前的安全挑战。传统的定性方法通过主观评分评估风险，缺乏精确性，无法量化潜在损失。为此，行业正转向网络风险量化（ CRQ ），通过将风险影响以财务术语表示，帮助组织更有效地确定风险优先级并指导投资决策。 CRQ 通过将网络风险量化为潜在损失，解决了传统方法的不足。例如，特权账户管理漏洞可能导致 2500 万美元的潜在损失，而实施控制措施的成本为 1000 万美元，每投入 1 美元可避免 2.5 美元的损失。这种方法使网络安全投资从沉没成本转变为关键投资，最大限度地减少运营中断和财务损失。美国运输安全管理局（ TSA ） 2024 年 11 月提出的新法规要求管道和铁路运营商建立全面的 CRM 计划，并报告网络安全事件及其潜在影响。 CRQ 可集成到事件管理流程中，通过预先量化特定威胁场景的潜在损失，帮助组织更客观地决定何时披露事件。

3. 商务部发布人工智能数据可访问性指南，推动公共数据集开放利用

【 ExecutiveGov 网站 1 月 21 日消息】美国商务部发布《生成人工智能和开放数据：指南和最佳实践》，旨在推动公共数据集更易于生成人工智能工具利用。该 79 页指南提供了可操作步骤，包括提高文档可用性和可访问性、提供人类和机器可读的数据文档，以及适当使用开源软件和格式。指南还建议各机构发布结构化和广泛的元数据，并探索数字签名以保护数据完整性。商务部数据治理委员会组建的专家工作组于 2023 年底启动指南起草工作，并于 2024 年 5 月公布四份安全人工智能开发草案。未来更新将重点关注数据资产的人工智能准备程度评估指标。

4. 特朗普撤销拜登人工智能安全命令、电动汽车授权及排放标准

【 The Register 网站 1 月 21 日消息】美国总统唐纳德·特朗普上任第一天即撤销了近 80 项拜登时代的行政命令，包括第 14037 号（电动汽车授权）和第 14110 号（人工智能安全标准）。拜登的人工智能行政命令要求基础模型公司向政府报告进展，并制定安全标准以防止人工智能被用于制造大规模毁灭性武器或虚假信息。特朗普政府认为这些措施阻碍了创新，并承诺支持“植根于言论自由和人类繁荣的人工智能发展”。此外，特朗普还取消了拜登的电动汽车目标，包括到 2030 年将一半美国道路上的乘用车转变为零排放汽车的计划，并暂停了电动汽车基础设施资金。他还签署了“释放美国能源”行政命令，暂停了 2022 年通胀削减法案和基础设施投资与就业法案的资金支付，特别是用于电动汽车基础设施的部分。特朗普还采取了一系列其他措施，包括赦免与 2021 年 1 月 6 日骚乱相关的罪犯、将墨西哥湾改名为美国湾、暂停风能项目租赁和许可、冻结政府招聘（军队和国家安全部门除外），并宣布南部边境进入国家紧急状态。

5. 多伦多学生特殊教育和纪律记录因 PowerSchool 漏洞可能泄露

【 The Record 网站 1 月 22 日消息】多伦多地区教育局（ TDSB ）近日通报称，教育软件公司 PowerSchool 发生数据泄露事件，可能导致自 2017 年以来数百万学生的特殊教育安排、纪律记录、医疗信息等敏感数据被黑客获取。此外， 1985 年至 2017 年期间就读于多伦多公立学校的学生及其紧急联系人的个人信息也可能遭到泄露。 PowerSchool 表示，黑客于 2024 年 12 月 28 日访问了其客户门户 PowerSource ，但多伦多学区直到 1 月 7 日才得知此事。该公司声称已支付赎金，并认为黑客删除了被盗数据。泄露的信息可能包括学生姓名、出生日期、健康卡号、家庭住址、电话号码以及校长和副校长的“笔记”等。 PowerSchool 的云软件被全球数千个学区用于财务、招生管理和记录存储，涉及约 6000 万名学生和教师的数据。加拿大隐私专员也表示对此事件感到担忧，并与 PowerSchool 保持联系。

6. 俄罗斯电信巨头 Rostelecom 调查承包商涉嫌网络攻击事件

【 The Record 网站 1 月 22 日消息】俄罗斯大型电信提供商 Rostelecom 正在调查一起针对其承包商的疑似网络攻击事件。此前，一个名为“ Silent Crow ”的黑客组织声称泄露了 Rostelecom 的数据，并公布了一份包含数千份客户电子邮件和电话号码的数据转储。该承包商负责维护 Rostelecom 的公司网站和采购门户，据报道这两个网站均遭到黑客攻击。 Rostelecom 表示，初步调查显示未发生高度敏感的个人数据泄露，但建议相关网站用户重置密码并启用双因素身份验证作为预防措施。俄罗斯数字发展部也确认，此次事件未影响国家服务门户网站，且运营商用户的敏感数据未在网上泄露。 Silent Crow 的起源和动机尚不明确，但其近期频繁攻击俄罗斯知名组织。本月早些时候，该组织声称入侵了俄罗斯政府机构 Rosreestr 和阿尔法银行的一家子公司。此外，其他黑客组织如 Yellow Drift 、乌克兰网络联盟和 Cyber Anarchy Squad 也声称对俄罗斯企业和机构的网络攻击负责。

7. Cloudflare 成功缓解创纪录的 5.6 Tbps DDoS 攻击

【 Bleeping Computer 网站 1 月 21 日消息】 Cloudflare 成功缓解了迄今为止最大的分布式拒绝服务（ DDoS ）攻击，峰值达到 5.6 Tbps 。此次攻击由基于 Mirai 的僵尸网络发起，涉及 13,000 台受感染设备，目标为东亚的一家互联网服务提供商（ ISP ），旨在使其服务下线。尽管攻击持续了 80 秒，但由于 Cloudflare 的自动检测和缓解系统，目标未受影响且未触发警报。此次 UDP 攻击发生在 2024 年 10 月 29 日，打破了 Cloudflare 在 2024 年 10 月初报告的 3.8 Tbps 攻击记录。 Cloudflare 指出，超大规模 DDoS 攻击在 2024 年第三季度开始变得更加频繁，第四季度攻击流量超过 1 Tbps ，季度环比增长 1,885% 。同时，超过 1 亿包每秒（ pps ）的攻击增加了 175% ，其中 16% 超过 10 亿 pps 。 Cloudflare 警告称， DDoS 攻击持续时间越来越短，约 72% 的 HTTP 攻击和 91% 的网络层攻击在 10 分钟内结束，而仅有 22% 的 HTTP 攻击和 2% 的网络层攻击持续超过 1 小时。这种短时高流量攻击通常发生在使用高峰期，如节假日和促销活动期间，为勒索 DDoS 攻击提供了条件。

8. 承包商失败： Rostelecom 正在调查数据泄露事件

【 SecurityLab 网站 1 月 21 日消息】俄罗斯电信巨头 Rostelecom 报告称，其承包商的基础设施可能存在数据泄露问题。初步调查显示，事件未涉及客户特别敏感的个人数据。 Rostelecom 表示，此次泄露可能与承包商的基础设施有关，并已采取措施消除威胁。受影响的资源包括 company.rt.ru 和 zakupki.rostelecom.ru 网站，这些网站主要用于企业服务，不包含私人客户的个人数据。尽管初步调查未发现特别敏感信息泄露， Rostelecom 仍建议用户重置密码并启用双因素身份验证。此前，黑客组织 Silent Crow 声称攻击了这些网站，并获取了 15.4 万个唯一电子邮件地址和 10.1 万个电话号码的数据。

12. 警惕！假冒 SBI 奖励 APK 攻击用户传播 Android 恶意软件

【 Cybersecurity News 网站 1 月 21 日消息】网络安全专家发现一种新的 Android 恶意软件活动，通过假冒的 SBI 奖励应用程序攻击用户。该恶意 APK 文件伪装成印度国家银行（ SBI ）官方奖励应用，通过 WhatsApp 消息传播，诱骗用户下载并安装。攻击者声称用户的 SBI 奖励积分即将到期，提供链接下载名为“ SBI REWARDZ POINT 1.apk ”的文件（ 4.20 MB ）。一旦安装，该应用会请求过多权限，包括访问短信、联系人、通话记录和存储等，这些权限通常被恶意软件滥用。动态分析显示，该应用与两个命令与控制（ C2 ）服务器建立连接，用于窃取设备制造商、型号、 Android 版本、 SIM 卡详情和手机号码等敏感数据。此外，该应用还模仿合法 SBI 登录页面，窃取用户名、密码、借记卡 / 信用卡信息以及交易 OTP ，并将数据发送至服务器 superherocloud[.]com 。该 APK 在 VirusTotal 上被 67 个杀毒引擎中的 25 个标记为木马。研究人员建议用户避免从未经验证的来源下载 APK 文件，通过官方渠道验证可疑消息，仅从 Google Play 商店安装应用，并使用杀毒软件检测恶意应用。