工业网络安全周报（2024年第50期）

本期摘要

政策法规方面，本周观察到国外网络安全相关政策法规6项，值得关注的有《珠江委数据安全管理办法 (试行)》印发实施。

漏洞态势方面，本周监测到漏洞动态12条，值得关注的有Fortinet紧急修复FortiManager和FortiWLM产品中的高危漏洞。

安全事件方面，本周监测到重大网络安全事件22起，其中典型的事件有美国国防巨头通用动力公司遭钓鱼攻击、日本航空遭网络攻击致航班延误。

风险预警方面，朝鲜黑客组织拉撒路集团(Lazarus Group)利用CookiePlus恶意软件攻击核电部门、AI生成恶意软件变体可达88%逃避率。

1、《珠江委数据安全管理办法 (试行)》印发实施

12月21日，据媒体报道，珠江委发布《珠江委数据安全管理办法(试行)》，旨在加强数据安全管理，落实党中央和水利部的数据安全要求，推进数字孪生珠江建设。《办法》明确了数据安全保护职责，细化了全生命周期的安全防护要求，并强化了对外部单位的安全管理。珠江委将严格执行《办法》，提升数据安全能力，保障水利高质量发展。

资料来源：https://www.secrss.com/articles/73813

2、联大通过《联合国打击网络犯罪公约》

12月24日，据媒体报道，联合国大会通过了《联合国打击网络犯罪公约》，这是20多年来首个此类国际条约，旨在加强国际合作打击网络犯罪。公约将于2025年在河内开放签署，并在40国批准后生效。

资料来源：https://www.secrss.com/articles/73939

3、美国参议院提出了《维护美国在人工智能领域的主导地位法案》

12月19日，据媒体报道，美国参议院提出了《维护美国在人工智能领域的主导地位法案》，旨在通过设立人工智能安全审查办公室来保护AI技术免受滥用，并确保美国在AI领域的领导地位。该办公室将与行业合作，评估AI模型风险，提供技术援助，研究未来风险，并要求数据中心报告信息以保护AI模型。同时，法案强调了与商务部的人工智能安全研究所合作，推进AI安全科学的重要性。

资料来源：https://www.secrss.com/articles/73814

4、锐捷网络云平台漏洞危及50,000台设备安全

12月25日，据媒体报道，Claroty研究人员在锐捷网络的云管理平台中发现了多个安全漏洞，这些漏洞可能使攻击者控制网络设备。Claroty研究人员发现10个漏洞，并设计了名为“芝麻开门”的攻击方式，可入侵物理上靠近云的接入点，获得未授权网络访问。其中3个漏洞被评为“严重”，包括CVE-2024-47547(CVSS评分9.4)、CVE-2024-48874(CVSS评分9.8)和CVE-2024-52324(CVSS评分9.8)。锐捷网络已修复所有发现的漏洞，约50,000台云连接设备可能受影响。

资料来源：https://thehackernews.com/2024/12/ruijie-networks-cloud-platform-flaws.html

5、Apache修复MINA、HugeGraph-Server和Traffic Control三大严重漏洞

12月26日，据媒体报道，Apache Software Foundation发布安全更新，修复了影响MINA、HugeGraph-Server和Traffic Control的三个严重漏洞。其中一个MINA的漏洞(CVE-2024-52046)因不安全的Java反序列化可能导致远程代码执行，评分为10分。HugeGraph-Server的身份验证绕过问题(CVE-2024-43441)和Traffic Control的SQL注入问题(CVE-2024-45387)也已修复。建议尽快升级至最新版本以减少假期期间被攻击的风险。

资料来源：http://63p2m.dz114.sbs/6a7IXzk

6、Adobe紧急修复ColdFusion严重路径遍历漏洞CVE-2024-53961

12月24日，Adobe发布了针对ColdFusion中的一个严重漏洞CVE-2024-53961的带外安全更新，该漏洞的CVSS评分为7.4，并且已有概念验证(PoC)漏洞利用代码公开。这个路径遍历漏洞影响Adobe ColdFusion 2023和2021版本，可能允许攻击者读取易受攻击服务器上的任意文件。Adobe建议用户将ColdFusion更新至最新版本，以修复这一关键漏洞。

资料来源：https://securityaffairs.com/172281/security/adobe-coldfusion-flaw-poc.html

7、美国国防巨头通用动力公司遭钓鱼攻击

12月26日，据媒体报道，美国航空航天和国防巨头通用动力公司遭受网络钓鱼攻击，数十名员工福利账户被入侵。攻击者通过第三方托管的登录门户访问并更改了员工福利账户，获取了员工的个人信息，包括姓名、出生日期、政府颁发的身份证号码、社会安全号码、银行账户信息和残疾状况。通用动力公司已通知受影响账户的所有者，并提供两年免费信用监控服务。

资料来源：http://pti9n.dz115.sbs/LmMhoBD

8、日本航空遭网络攻击致航班延误

12月26日，日本航空(JAL)遭受网络攻击，导致系统故障，国内和国际航班机票销售暂停，部分航班延误,，公司股价跳水。JAL确认飞行安全未受影响，并已查明路由器故障为问题根源，正在恢复系统。航班已逐步恢复，无组织声称负责，也无客户信息泄露。

资料来源：http://9yavn.dz115.sbs/wCVByDe

9、斯坦福大学服务器遭黑客攻击泄露数据

12月26日，据媒体报道，威胁行为者antigov声称拥有斯坦福大学190多台服务器的sudo SSH访问权限，并在暗网论坛以10万美元出售，包括管理权限、数据访问等。该行为者提供了终端会话截图以验证其声称，但真实性未得到证实。若情况属实，可能导致斯坦福大学的机密研究、个人身份信息(PII)和敏感机构数据泄露。此次事件凸显了教育机构面临的网络安全风险，以及对强大监控、频繁审计和严格身份验证协议的需求。

资料来源：https://breachforums.st/User-antigov

10、英国情报文件泄露

12月26日，据GrayZone披露报道，英国情报文件泄露，泄露的文件显示伦敦秘密支持与基地组织有联系的叙利亚“解放组织”(HTS)，试图建立“温和反对派”并推动社会服务与媒体网络。英国通过承包商投入资金进行心理战，塑造反对派形象，但行动反而助长了HTS的崛起和影响力，特别是在伊德利卜地区。英国的双重政策在国际舞台上对叙利亚政治局势产生影响。

资料来源：https://thegrayzone.com/2024/12/26/leaked-files-uk-syria-jolanis-hts/

11、美国匹兹堡地区交通因勒索软件攻击遭遇重大服务中断

12月25日，据媒体报道，美国匹兹堡地区交通局(PRT)近期遭受勒索软件攻击，导致公共交通服务出现重大中断。该机构在12月19日首次检测到攻击，并正在积极应对。虽然铁路服务短暂中断后已恢复，但客户服务中心仍受影响，无法处理Senior和Kid's ConnectCards。PRT的IT官员正在检查是否有数据被盗，并承诺提供公开更新。此次攻击导致火车延误超过20分钟，影响了匹兹堡和阿勒格尼县700多辆公共汽车、80辆轻轨车辆等的正常运营。

资料来源：http://gzjon.dz115.sbs/qMFKvsy

12、印尼政府遭遇大规模数据泄露：82GB敏感信息被盗

12月25日，据GBHackers News报道，黑客从印度尼西亚政府的区域财务管理信息系统(SIPKD)中窃取并提取了大量82GB的敏感数据。敏感数据包括财务、管理和个人数据，引发了严重的安全和隐私问题。

资料来源：http://ewogn.dz115.sbs/zgYcS4G

15、朝鲜黑客利用CookiePlus恶意软件攻击核电部门

12月24日，据媒体报道，朝鲜黑客组织拉撒路集团(Lazarus Group)近期将攻击目标扩展至核工业组织，这是其“Operation Dream Job”行动的一部分。该行动以提供虚假工作机会为诱饵，通过社会工程手段诱骗目标下载并执行含有恶意软件的文件。拉撒路集团利用这一策略，已经成功感染了包括国防、政府公司在内的多个部门和特定员工。他们创建虚假的LinkedIn账号，发送电子邮件到目标的个人地址，并与目标进行直接对话，以实现感染和渗透目标系统。此外，该组织还引入了名为“CookiePlus”的新型下载器，这种基于插件的恶意软件主要在内存中运行，动态加载恶意负载，增加了网络安全工具的检测难度，显示该组织不断更新武器库以逃避安全检测。

资料来源：https://hackread.com/lazarus-group-nuclear-industry-cookieplus-malware/

16、AI生成恶意软件变体可达88%逃避率

12月23日，据媒体报道，Palo Alto Networks Unit 42团队的安全研究人员发现，利用大型语言模型(LLM)可以大规模生成新型恶意JavaScript代码变体，这些变体更难被安全防护设备检测。研究人员指出，尽管LLM难以独立创建恶意软件，但犯罪分子能利用它们重写或混淆现有恶意软件，加大检测难度。通过大量转换，这种方法可能降低恶意软件检测系统的性能，甚至使其误判恶意代码为良性。Unit 42表示，他们利用LLM反复重写现有恶意软件样本，成功创造了10000种新JavaScript变体，且功能不变。这些重写的JavaScript代码在上传至VirusTotal平台时，也成功逃避了其他恶意软件分析设备的检测。

资料来源：https://thehackernews.com/2024/12/ai-could-generate-10000-malware.html