网络空间安全动态第159期

（2022-05-16 来源：国信中心）

一、发展动向热讯

1、信安标委就《个人信息跨境处理活动认证技术规范》征求意见

4月29日，全国信息安全标准化技术委员会发布《网络安全标准实践指南 个人信息跨境处理活动认证技术规范（征求意见稿）》。该文件适用于跨国公司或同一经济、事业实体内部的个人信息跨境处理活动，及《中华人民共和国个人信息保护法》第三条第二款规定的境外个人信息处理者，在境外处理境内自然人个人信息的活动。该文件从基本原则、相关方在跨境处理活动中应遵循的要求、个人信息主体权益保障等方面提出了要求，为认证机构实施个人信息跨境处理活动认证提供依据，并为个人信息处理者规范个人信息跨境处理活动提供参考。（信息来源：信安标委网站）

2、信安标委发布《移动互联网APP收集个人信息基本要求》

4月29日消息，全国信息安全标准化技术委员会发布《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求（GB/T 41391-2022）》。该标准适用于App运营者规范其个人信息收集活动，及监管部门、第三方评估机构等的监督、管理和评估，App包括移动智能终端预置、下载安装的应用程序和小程序。该标准给出了39种常见类型App必要个人信息范围和使用要求，及12种特定类型个人信息收集要求。该标准将App收集个人信息的要求细化为7个主要方面：App功能划分、最小必要收集、告知同意、系统权限、特定类型个人信息收集、第三方收集管理、常见类型App必要个人信息的使用要求。（信息来源：信安标委网站）

3、美国和全球60个合作伙伴发布《互联网未来宣言》

4月28日，美国和全球60个合作伙伴签署并发布《互联网未来宣言》，中国台湾地区是其中之一。该宣言内容主要包括：保护所有人的人权和基本自由；促进全球互联网信息自由流动；推进包容、可负担的互联互通，使所有人都能从数字经济中受益；通过保护隐私等方式，促进各方对全球数字生态系统的信任；保护和加强多利益攸关方参与治理的方式，让互联网运作符合所有人的利益等。我国外交部就此呼吁，相关国家应共同探讨制定反映各方意愿，尊重各方利益的互联网和数字治理国际规则，共同建立真正的多边、民主、透明的全球互联网治理体系，构建和平、安全、开放、合作、有序的网络和数字空间。（信息来源：美国白宫网站、外交部网站）

4、拜登签署两项指令以推进量子信息技术发展

5月4日，美国总统拜登签署两项指令，以推进美国量子信息信息技术发展，并使美国在这一领域继续保持领导地位。第一项指令为总统行政令，旨在通过加强美国国家量子倡议咨询委员会的领导力，促进尖端科学技术的进步，该委员会直接向白宫负责，确保美国总统、国会、联邦部门等及时、准确获得量子技术相关信息。第二项指令为国家安全备忘录，概述了政府应如何应对量子计算机给美国网络安全造成的风险，并明确美国国家标准与技术研究院发布新的抗量子加密标准以应对未来攻击。（信息来源：美国白宫网站）

5、美国国家人工智能咨询委员会成立5个工作组

5月4日，美国国家人工智能咨询委员会（NAIAC）举行第一次会议，成立5个工作组以提高效率，并制定了各组的工作目标及愿景。5个工作组涵盖可信赖的人工智能领导力、研发领导力、支持美国劳动力并提供机会、美国竞争力和国际合作等方面。此外，NAIAC还将成立一个小组委员会，负责与执法有关的人工智能发展问题，并将在数据偏差和安全等领域提供指导。（信息来源：美国国家人工智能倡议网站）

6、拜登政府发布《促进使用公平数据》建议书

5月6日消息，美国拜登政府发布《促进使用公平数据》建议书，旨在促进美国制定一项可用于增加公平统计和代表美国公众数据多样性的公平数据治理战略。该战略五项实施建议包括：隐私保护和数据分类的常态化、完善现有基础设施以利用未充分使用的数据、为政策制定和计划实施建立强有力的公平评估机制、激励各级政府和学界建立多样化伙伴关系、对美国公众负责。（信息来源：美国白宫网站）

7、美国NIST更新网络安全供应链风险管理实践指南

5月5日，美国国家标准与技术研究院（NIST）发布更新的网络安全供应链风险管理实践指南。新指南概述了实体在识别、评估和应对供应链不同阶段风险时应采用的主要安全控制措施和做法。此次更新是根据美总统拜登于2021年5月发布的“改善国家网络安全（14028）”行政令做出的，该行政令要求政府机构采取措施提高软件供应链的安全性和完整性，优先解决关键软件问题。（信息来源：NIST网站）

8、拜登签署《优化网络犯罪度量法》

5月5日，美国总统拜登签署《优化网络犯罪度量法》，旨在提升网络犯罪数据可见性、提高网络犯罪打击效率。该法从网络犯罪分类、网络犯罪报告、全国犯罪被害调查、网络犯罪指标研究四方面，改善联邦政府追踪、衡量、分析、起诉网络犯罪的方式，帮助执法机构更好地识别网络安全威胁、防范黑客勒索攻击、起诉网络犯罪案件。要点包括美司法部与国家科学院签订协议制定可供执法部门使用的网络犯罪分类方法，建立网络犯罪专门类别确保国家突发事件报告系统包含全面的网络犯罪报告，调查网络犯罪被害情况，评估当前网络犯罪报告机制有效性等。（信息来源：美国国会网站）

9、美国通过第5部州级隐私法

5月10日，美国康涅狄格州州长签署《康涅狄格州数据隐私法（CTDPA）》，成为第5个通过全面消费者隐私立法的州。该法适用于在康涅狄格州开展业务或生产针对康涅狄格州居民的产品或服务，并且在上一年中控制或处理至少10万名消费者的个人数据，不包括仅为完成支付交易而控制或处理的个人数据；或控制或处理至少2.5万名消费者的个人数据，且其总收入的25%以上来自个人数据出售的实体。康涅狄格州消费者享有访问、纠正、删除、可传输和拒绝处理个人数据五项主要权利。该法自2023年7月1日起生效。（信息来源：IAPP网站）

10、美国与立陶宛完成“前出狩猎”联合网络防御行动

5月5日消息，美国网络司令部一支网络国家任务部队团队与立陶宛网络部队完成为期3个月的“前出狩猎”行动，是美国和立陶宛首次合作开展的防御性网络行动。双方网络作战人员共同在立陶宛关键国防系统和外交部网络上观察、识别和搜寻威胁两国的恶意网络活动，并利用所获信息加强国土防御并提高关键网络弹性。此次行动是美国针对俄乌冲突的第二项“前出狩猎”任务。（信息来源：奇安网情局）

11、普京签署总统令立即成立IT安全部门

5月1日，俄罗斯总统普京签署了确保俄罗斯信息安全额外措施的总统令，要求在每个部门、机构和骨干组织里设立IT安全部门。根据规定，从2025年1月1日起，俄罗斯国有企业和机构禁止使用不友好国家生产的信息安全设备。普京当日还签署了限制俄罗斯信贷机构向外国提供信息的新法律。（信息来源：央视财经）

12、韩国正式加入北约合作网络防御卓越中心

5月5日，韩国国家情报院（以下简称“国情院”）代表韩国作为正式会员加入北大西洋公约组织的合作网络防御卓越中心，成为首个加入该机构的亚洲国家。韩国情院曾于2019年提交加入意向书，并从2020年起连续两年出席合作网络防御卓越中心主办的全球最大规模网络演习“锁盾”。韩国加入后，该机构正式会员国增至32个，包括北约27个成员国和其他5个非成员国。韩国情院将代表韩国同各国情报机构一起参与演习和研究。（信息来源：参考消息）

二、安全事件聚焦

13、俄罗斯电视台在胜利阅兵日疑遭网络攻击

5月11日消息，俄罗斯部分电视台在胜利阅兵日疑遭网络攻击，黑客组织获取权限后，破坏了俄罗斯在线电视时间表页面，并在普京发表讲话时发布反战信息。此次攻击影响了包括第一频道、Rossiya-1等俄罗斯主要媒体。“匿名者”黑客组织第一时间公布了此次网络攻击的消息，但尚不清楚哪个组织发动攻击。（信息来源：SecurityAffairs网）

14、攻击者劫持WordPress网站对乌克兰发起攻击

4月29日消息，乌克兰计算机应急小组（CERT-UA）发布公告，称攻击者正在破坏WordPress网站，并注入恶意Java代码，对亲乌克兰网站和政府门户网站进行DDoS攻击。攻击者使用的恶意脚本放置在WordPress网站主要文件的HTML结构中，并采用base64编码，以逃避检测。CERT-UA正采取积极措施应对此次攻击。（信息来源：BleepingComputer网）

15、罗马尼亚政府网站遭黑客组织“Killnet”攻击

4月29日，罗马尼亚政府和金融机构部分网站遭DDoS攻击，导致网站在几小时内无法使用。亲俄罗斯“Killnet”黑客组织称此次攻击是对于罗马尼亚参议院主席承诺向乌克兰提供军事援助的回应。该组织此前也因类似政治原因对美国、捷克、爱沙尼亚、德国和波兰的网站发起DDoS攻击，要求停止向乌克兰供应军事武器和装备。目前所有网站已恢复运行。（信息来源：BleepingComputer网）

16、美国农机制造商AGCO遭勒索软件攻击

5月6日消息，美国农机制造商AGCO宣布其遭勒索软件攻击，部分生产设施受影响。AGCO为防止攻击蔓延，关闭了部分IT系统，但没有披露详细信息。AGCO现有2.1万名员工，拥有Fendt、Massey Ferguson、Challenger等品牌，年收入超过90亿美元。5月5日，该公司宣布向乌克兰受战争影响区域的农民捐赠资金和种子，不排除俄罗斯黑客组织对此实施报复性攻击的可能性。（信息来源：BleepingComputer网）

17、西班牙首相和防长手机被“飞马”间谍软件窃听

5月5日消息，西班牙政府证实该国首相和国防部长手机在一次“非法的、外部的”干预中被以色列软件监控公司NSO的“飞马”间谍软件窃听。“飞马”间谍软件可轻而易举地入侵苹果和安卓系统，并轻松截取手机里的各类讯息、图片、视频、电邮内容、通话记录，甚至可秘密开启麦克风进行实时录音，可能是目前最强大的间谍软件。虽遭多方调查，但NSO对此予以否认。（信息来源：环球网）

18、德国汽车租赁公司Sixt遭网络攻击致业务中断

5月5日消息，德国国际汽车租赁公司Sixt遭网络攻击，部分系统被迫临时中断，业务陷入混乱，客服中心和部分分支机构受影响较大。Sixt称在公司IT系统上检测到可疑活动后，立即限制了对IT系统的访问，同时启动恢复流程，确保对公司运营与服务的影响被降至最低。Sixt在全球110多个国家/地区拥有2000多个业务点。目前已对该事件展开调查。（信息来源：SecurityWeek网）

19、美国公用事业公司Riviera泄露客户信息

5月2日，美国阿拉巴马州公用事业公司Riviera发生数据泄露事件，其员工电子邮件账户被非法访问，包括姓名、州身份证号码、医疗信息、信用卡或借记卡号码、社会安全号码等客户个人信息遭泄露。Riviera立即与外部网络安全专家合作展开调查，通知受影响客户并为其提供免费的信用监控服务。Riviera表示目前没有证据表明任何个人信息遭滥用。（信息来源：TheDailySwig网）

20、可口可乐公司疑遭Stormous黑客组织入侵

5月4日消息，全球最大软饮制造商可口可乐公司疑遭Stormous黑客组织入侵。该组织在暗网公布了大约161 GB数据，要求支付1.65比特币（约6.4万美元）赎金。被盗数据包括压缩文件、带有管理员电子邮件和密码的文本文件、公司账本和支付压缩文件及其他敏感信息。可口可乐公司尚未证实其数据被盗，目前正与执法部门合作展开调查。（信息来源：BleepingComputer网）

三、安全风险警示

21、F5 BIG-IP中存在严重的RCE漏洞

5月7日，国家信息安全漏洞共享平台（CNVD）收录了F5 BIG-IP iControl REST身份认证绕过漏洞CNVD-2022-35519，对应CVE-2022-1388，综合评级为高危。攻击者可利用该漏洞在未授权的情况下执行任意系统命令，创建或删除文件以及禁用服务。F5 BIG-IP是美国F5公司一款集成网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。该漏洞影响的产品版本包括BIG-IP 16.x: 16.1.0-16.1.2、BIG-IP 15.x: 15.1.0-15.1.5等。目前已发布补丁，建议用户立即更新。（信息来源：CNVD网站）

22、开源内容管理软件dotCMS中存在严重RCE漏洞

5月5日消息，研究人员发现开源内容管理软件dotCMS中存在预认证远程代码执行漏洞CVE-2022-26352，CVSS评分9.8，源自执行文件上传时触发的目录遍历攻击，可导致攻击者在底层系统上执行任意命令。dotCMS由全球70多个国家的1万多名客户使用，包括财富500强公司和中等企业。目前，该漏洞已在版本22.03、5.3.8.10和21.06.7中被修复。（信息来源：TheHackerNews网）

23、VMware RCE漏洞遭在野利用

5月4日消息，研究人员发现高级黑客和APT组织正在积极利用影响VMware Workspace ONE Access的关键远程代码执行漏洞CVE-2022-22954，随后VMware也确认该漏洞遭在野利用。攻击者通过利用CVE-2022-22954获得对环境的初始访问权限，在易受攻击的服务上执行PowerShell命令，并将Core Impact（一种合法的渗透测试工具代理）加载到系统内存中。此类攻击可能会绕过一些特有的防御措施，包括端点检测和响应。目前，该漏洞已被修复。（信息来源：BleepingComputer网）

24、uClibc库存在DNS漏洞影响数百万物联网设备

5月5日消息，研究人员在uClibc库的域名系统(DNS)组件中发现高危漏洞CVE-2022-05-02。攻击者可利用该漏洞进行DNS中毒或DNS欺骗攻击，并将受害者重定向到恶意网站。uClibc库是嵌入式系统的C标准库，广泛应用于各物联网产品中，包括Linksys、Netgear等Linux发行版，数百万物联网设备面临DNS中毒攻击风险。该漏洞还影响所有版本uClibc-ng库的DNS实现，该库是专门为OpenWRT设计的一个分支，OpenWRT是用于各种关键基础设施部门的路由器通用操作系统。该漏洞目前尚未被修复。（信息来源：SecurityAffairs网）

25、思科NFV基础设施软件存在严重虚拟机逃逸漏洞

5月9日消息，思科NFV基础设施软件NFVIS中存在严重漏洞CVE-2022-20777，CVSS评分为9.9，位于该软件的下一代输入/输出特性中。思科NFVIS一般位于组织机构内网中间并为攻击者在企业环境中横向移动提供了跳转点。攻击者若成功利用该漏洞从虚拟机发送API调用，即可完全接管NFVIS主机。思科已修复该漏洞，建议用户尽快采取措施。（信息来源：DarkReading网）

26、Atlassian称Jira软件中存在身份验证绕过漏洞

5月2日消息，澳大利亚软件公司Atlassian发布安全公告，称其Jira软件中存在严重漏洞CVE-2022-0540，CVSS评分为9.9，位于Jira的身份验证框架Jira Seraph中。攻击者可利用该漏洞绕过身份验证，还可通过向易受攻击的软件发送特制的HTTP请求来触发该漏洞。受影响产品包括Jira核心服务器、软件数据中心、软件服务器、服务管理服务器和管理数据中心，但Jira和Jira Service Management的云版本不受影响。Atlassian目前已修复该漏洞。（信息来源：SecurityAffairs网）

27、开源组件Netatalk存在多个严重漏洞

4月29日消息，网络存储解决方案提供商Synology称某些NAS设备易受多个严重Netatalk漏洞CVE-2022-23121（CVSS评分9.8）、CVE-2022-23122、CVE-2022-23125和CVE-2022-0194影响，可使远程攻击者通过Synology DiskStation Manager和Synology Router Manager的可疑版本获取敏感信息并在未修复设备上远程执行任意代码。Netatalk是一款开源的AFP实现，可使运行*NIX/*BSD的系统作为macOS客户端的AppleShare文件服务器。目前，上述漏洞已被修复（信息来源：BleepingComputer网）

28、新型蠕虫恶意软件通过USB驱动器传播

5月5日消息，研究人员发现一款攻击企业的新型蠕虫恶意软件Raspberry Robin，可通过被感染的外部USB驱动器传播到Windows PC。当用户将受感染的USB驱动器连接到计算机时，该蠕虫就开启传播。同时，还会将自己伪装成.lnk快捷方式文件，然后调用Windows命令提示符（cmd.exe）来启动恶意软件。该蠕虫会通过从C2服务器安装恶意的动态链接库文件，以维持长期潜伏状态。目前尚不明确该恶意软件是如何利用USB驱动器实现传播的。（信息来源：RedCanary网）

29、美国国土安全部系统发现122个安全漏洞

5月2日消息，美国国土安全部（DHS）透露，加入Hack DHS漏洞赏金项目的赏金猎人已在国土安全部的外部系统中发现122个安全漏洞，其中27个被评估为严重级别。国土安全部已向450多名经审查的安全研究人员和白帽黑客发放了总计12.56万美元的奖金。Hack DHS项目的建立借鉴了美国联邦政府和私营部门类似成果的经验。（信息来源：BleepingComputer网）

四、前沿技术瞭望

30、“墨子号”实现相距1200公里量子态远程传输

5月6日消息，中国科学技术大学潘建伟团队利用“墨子号”量子科学实验卫星在远距离的量子态传输方面取得重要实验进展。该实验首次实现了地球上相距1200公里两个地面站之间的量子态远程传输，向构建全球化量子信息处理和量子通信网络迈出重要一步。为克服远距离湍流大气传输后的量子光干涉难题，实验团队利用光学一体化粘接技术实现了具有超高稳定性的光干涉仪，无需主动闭环即可长期稳定。利用该技术突破，结合基于双光子路径-偏振混合纠缠态的量子隐形传态方案，在云南丽江站和德令哈地面站之间完成了远程量子态的传输验证。实验中对六种典型的量子态进行了验证，传送保真度均超越了经典极限。千公里的距离为目前地表量子态传输的新纪录。该工作为未来构建全球化的量子信息处理网络奠定了重要基础。（信息来源：中国科学技术大学网站）

31、哈佛创造量子比特数量新纪录

5月5日，哈佛大学与QuEra Computing、麻省理工学院、因斯布鲁克大学等机构的科学家合作，展示了中性原子量子处理器在解决实际使用问题方面的突破性应用。他们不仅在真正的量子计算机上部署了高效量子优化的首次实现，而且还展示了前所未有的量子硬件能力。此次实验使用的量子处理器拥有289个（17×17阵列）量子比特，打破了此前该团队保持的256个量子比特的记录。结果证明量子系统在发现新算法方面的潜力，并突出了一些新的科学方向。（信息来源：光子盒研究院）