网络安全国内安全动态

DYNAMIC SECURITY

01

漏洞频发、故障率高 应系统排查英特尔产品网络安全风险

中国网络安全空间协会发文指出，英特尔产品存在安全漏洞频发、故障率高的问题，建议系统排查英特尔产品的网络安全风险。

该协会在10月16日发布的文章中详细列出了英特尔产品的多个安全问题，包括CPU瞬态执行侧信道漏洞、高危漏洞Reptar以及多款产品的稳定性问题‌。

具体来说，英特尔CPU存在的安全漏洞包括Downfall漏洞和Reptar漏洞。Downfall漏洞允许攻击者通过特定指令获取敏感数据，影响多代酷睿、赛扬、奔腾系列CPU以及部分至强处理器。Reptar漏洞则可以在多租户虚拟化环境中获取个人账户、卡号和密码等敏感信息，甚至引发系统挂起或崩溃‌。此外，英特尔产品还存在其他漏洞如GhostRace、NativeBHI、Indirector等，显示出英特尔在产品质量和安全管理方面存在重大缺陷‌。

除了安全漏洞问题，英特尔产品还面临可靠性差的问题。从2023年底开始，大量用户反映使用第13、14代酷睿i9系列CPU玩特定游戏时会出现崩溃问题。游戏厂商甚至在游戏中添加了弹窗处理，警告使用这些CPU的用户。视觉特效工作室ModelFarm的故障率高达50%，英特尔最终承认是由于错误的微代码算法导致的问题‌。

此外，英特尔还被指控假借远程管理之名行监控用户之实，以及暗设后门等问题。英特尔与惠普等厂商设计的IPMI技术规范存在高危漏洞，可能导致服务器被攻击控制。管理引擎（ME）被认为是一个后门，允许远程访问用户计算机，给用户的网络安全带来巨大威胁‌。

综上所述，中国网络空间安全协会建议对英特尔产品进行网络安全审查，以维护国家安全和消费者权益。

参考中国空间安全协会

近日，上海市网信办接到线索，反映属地某医疗科技公司所属系统存在网络安全漏洞，致使系统大量个人信息数据发生泄漏被境外IP访问窃取。针对这一问题线索，上海市网信办立即赴涉事企业开展现场核查。经查实，该企业的确存在数据泄漏问题，暴露出公司未能履行好网络安全、数据安全保护义务，上海市网信办依据《数据安全法》对该公司予以立案调查。通过调查核实，涉事医疗科技公司为民营医疗机构，主要从事医疗领域教育培训的技术开发服务，涉事系统为该企业内部生产测试系统，部署于云服务平台，系统数据库内存储大量个人信息数据，包含姓名、单位名称、所属省市、所在乡镇/街道、手机号（已采取加密措施）等。该系统未采取有效网络安全防护措施，存在未授权访问漏洞，网络和数据安全管理制度不完善，网络日志留存不足6个月，造成数据泄漏被窃取，违反了《数据安全法》第二十七条规定。针对以上违法情况，上海市网信办依据《数据安全法》第四十五条规定对该医疗科技公司给予警告，并处以罚款的行政处罚。数据安全关乎人民群众切身利益，企业在开展数据处理活动中应当采取必要的保护措施，保障数据安全。医疗行业机构及相关企业因业务需求，需要收集存储大量医疗人员及患者相关个人信息等敏感数据，一旦泄露或被非法利用，容易导致人员的人格尊严受到侵害甚至会危害到人身、财产安全，因此，企业更应该遵守法律、法规，诚实守信，主动承担社会责任，切实履行好数据安全保护义务。下一步，上海市网信办将依法持续加大网络安全、数据安全、个人信息保护等领域执法力度，依法打击各类违法行为，切实维护网络安全、数据安全和个人信息合法权益，进一步营造安全稳定的网络环境。

参考安全内参

净网专项行动|涉案流水1亿！“网络水军”抓住了！

近日，四川内江市中区公安打掉一个涉案金额超1亿元的“网络水军”团伙。

今年3月内江市中区公安网警在工作中发现一款名为“某某战队”的微信小程序打着“99看播”“躺赚”等噱头，招募全国各地人员充当“网络水军”，从事网络虚假刷单行为。

进一步侦察发现，“某某战队”的新会员入会时，须缴纳199至2999元不等的会员费，根据缴纳会员费的多少获得创始人、董事、学员等不同层级称号，从而分配业务员、刷手、客服等不同职务，并用类似传销的手法通过网络快速发展新会员。同时，为规避风险，“某某战队”都会按照购物平台的要求进行完整的流程交易，但从不实际购买商品刷单任务开始后，商家会邮寄空包裹进行虚假发货，待快递显示签收，客服立即联系刷手给予商品五星好评。创始人、董事、刷手则分别从商家支付的刷单费中获取每单1-50元不等的佣金。 

今年4月至8月，内江市中区公安组织骨干民警成立专案组赴多地对刷手、代理推广、技术维护、平台经营等人员进行抓捕，抓获嫌疑人23名，查扣资金300万余元，查获大量手机、电脑、电话卡、银行卡等作案工具。

经查，该团伙自2022年3月以来，通过虚假下单、刷好评等方式已为抖音、小红书、拼多多、淘宝等平台1000余户商家“刷单控评”，其涉案金额高达1亿元

。目前，涉案犯罪嫌疑人已被依法采取刑事强制措施，案件正在进一步侦办中。

参考公安部网安局

中国首发！量子计算机破解RSA加密已具备现实攻击能力

安全内参10月15日消息，中国研究人员宣布，他们利用D-Wave量子退火系统成功破解了一种经典加密算法，这一突破可能加速量子计算机对现有广泛使用的加密系统构成现实威胁的时间表。这一进展对全球网络安全敲响了警钟。

该研究成果发表于国内刊物《计算机学报》上，论文名为《基于D-Wave Advantage的量子退火公钥密码攻击算法研究》。研究团队详细阐述了如何利用D-Wave机器破解RSA加密，并对对称加密系统发起攻击，这也提出了未来网络安全面临的重大挑战。

这项研究具有深远的意义。长期以来，专家们一直认为量子计算机最终会破解现有的加密技术，但该研究表明，量子计算威胁的到来可能比预期更快。

“秘密入侵”几乎涉所有中国主要城市！重磅报告揭露美国网络攻击

10月14日，我国网络安全机构第三次发布专题报告，进一步公开美国政府机构和“五眼联盟”国家针对中国和德国等其他国家，以及全球互联网用户实施网络间谍窃听、窃密活动，并掌握了美国政府机构通过各种手段嫁祸他国的相关证据，另外还有他们采取“供应链”攻击，在互联网设备产品中植入后门等事实，彻底揭穿所谓“伏特台风”这场由美国联邦政府自导自演的政治闹剧。

报告显示，长期以来，美国在网络空间积极推行“防御前置”战略，并实施“前出狩猎”战术行动，也就是在对手国家周边地区部署网络战部队，对这些国家的网上目标进行抵近侦察和网络渗透。为适应这种战术需要，美国情报机构专门研发了掩盖自身恶意网络攻击行为、嫁祸他国的隐身“工具包”，代号“大理石”。“大理石”的主要功能是对这种网络武器，也就是像间谍软件或者恶意程序代码中的可识别特征进行混淆，甚至是擦除。就像是把开发者的指纹给擦除了，也相当于像把枪械武器的膛线改变了，所以导致从技术上对这种武器的溯源变得非常困难。

通过栽赃、虚构的手段，美国网络战部队和情报机构的黑客就能任意变换身份、变更形象，通过冒充其他国家的身份在全球实施网络攻击窃密活动，然后将这些行为栽赃给被冒充的非美国 “盟友”的国家。

技术团队通过掌握的证据发现，“伏特台风”行动就是一个典型的、精心设计的、符合美国资本集团利益的虚假信息行动，也就是所谓的“假旗”行动，其技战术与美国和“五眼联盟”国家情报机构所采用技战术完全吻合。

参考央视新闻

美国州政府利用漏洞奖励强化防护体系，安全众测成为联合防御最佳实践

安全内参10月16日消息，美国马里兰州信息技术部15日公布了其首个漏洞赏金计划的成果。参与该计划的黑客在州政府网站上共发现了40多个漏洞。该漏洞赏金计划于7月30日正式启动，最初仅限于评估该州少数几个数字“资产”。随后，计划的范围扩大，涵盖了托管在Maryland.gov、md.gov以及state.md.us平台上的12个数字资产。在该计划运行期间（截至8月28日），通过州政府和网络安全公司HackerOne的共同审查，黑客们发现了40多个漏洞。这些漏洞在被威胁行为者利用之前，州政府已迅速完成修复。

州政府根据发现的漏洞严重程度向参与者支付了奖金，但未公开具体的支付金额。官员们表示，此次计划帮助信息技术部与私营部门的网络安全领导者建立了重要合作关系，这将为未来的漏洞赏金计划及其他网络安全漏洞项目打下坚实基础。许多联邦机构也已推出类似的漏洞赏金计划。根据州政府的新闻稿，马里兰州的漏洞赏金计划参考了美国国防部数字服务部门实施的一个项目，该项目专注于发现国防系统中的漏洞。在去年担任马里兰州首席信息官之前，Katie Savage曾负责领导国防数字服务部，该部门成功运行了“黑掉五角大楼”（Hack the Pentagon）等漏洞赏金计划。Savage在新闻稿中表示：“漏洞赏金计划彻底改变了联邦政府识别和修复网络安全漏洞的方式。通过实施美国有史以来最广泛的州级漏洞赏金计划，马里兰州能够更快速地发现漏洞，建立与安全研究人员社区的强大长期联系，并确保我们的州更加安全。”该计划得到了由州首席信息安全官Gregory Rogers领导的州安全管理办公室的全力支持。Rogers表示，该漏洞赏金计划是州级网络安全战略和信息安全计划的重要组成部分。Rogers在新闻稿中提到：“州安全管理办公室正在通过采用最新的战略、创新和政策框架，来实现全州范围内的网络安全防御，并抵御威胁行为者的攻击。通过加强我们与美国国内蓬勃发展的安全研究人员社区的联系，我们正在建设一个不仅能自我保护，还能保护其公民的安全州，不论现在还是未来。”

参考安全内参

近日，一波以星巴克优惠券为诱饵的网络钓鱼攻击正在全球多个国家蔓延，引发安全行业的高度关注。英国国家欺诈和网络报告中心表示，仅过去两周内就接到超过900份相关报告。

这些伪造的电子邮件声称收件人可获得免费的星巴克咖啡优惠礼包，实则包含恶意链接，意图窃取个人和财务信息或在受害者设备上植入恶意软件。Immersive Labs的技术产品管理总监David Spencer指出，网络犯罪分子实施此类网络钓鱼攻击的成本极低。攻击者只需创建一封仿真度高的星巴克邮件和虚假登录页面，就能大规模发送恶意邮件。即使只有极小比例的收件人上当，也足以使攻击者获利。

值得注意的是，今年早些时候就曾发生过一起类似的星巴克礼品优惠骗局。该骗局通过声称"朋友"订购了特别礼物来吸引受害者，实则附带了一种Zeus银行木马变种，一旦打开就会安装难以移除的rootkit。网络安全公司KnowBe4的首席安全意识倡导者Javvad Malik强调，骗子冒充知名品牌是因为熟悉感会产生信任。他提醒用户，像星巴克这样的公司极少通过电子邮件索要敏感信息，要对看似优厚的优惠信息保持警惕。

参考安全牛

上市公司科沃斯旗下扫地机被黑并发出骚扰声：用户受惊 官方回应

安全内参11月14日消息，据澳大利亚媒体ABC 新闻日前报道，今年早些时候，黑客获取了科沃斯地宝X2 Omni 扫地机器人在多个美国城市的控制权，利用这些机器人追赶宠物并向主人大喊种族歧视性言论。媒体采访了多位地宝 X2 用户。这些用户表示，他们的地宝 X2 在今年 5 月份遭到黑客入侵。明尼苏达州的律师Daniel Swenson是其中之一。他回忆道，有一天他和家人正在看电视，突然从扫地机器人扬声器中传出“像收音机信号不佳时一样断断续续的”噪音。他表示，在他重置密码并重新启动机器人后，这种声音再次出现，且更加清晰。这一次，声音似乎来自一名青少年，内容充满了侮辱性言论。美国多地城市均发生了类似案例，比如埃尔帕索和洛杉矶的用户。洛杉矶的一位用户报告称，有人通过控制地宝 X2 骚扰他家的一只狗，不仅大喊大叫，还追赶它。科沃斯公司在一份声明中对媒体表示，经过调查，他们确认了一次“凭证填充攻击”事件，并已屏蔽了相关的 IP 地址。公司还强调，目前“没有证据显示”攻击者获得了用户的用户名和密码。去年，有研究人员发现了一个漏洞，该漏洞允许攻击者绕过地宝 X2的PIN码验证，从而控制扫地机器人。科沃斯在声明中提到，这个问题已得到解决，并计划在今年 11 月发布一项更新，以“进一步加强安全性”。不过，目前尚不清楚这次更新是否会修复媒体早些时候报道的蓝牙漏洞。近年来，随着云连接的智能家居设备普及，类似事件频发。部分情况是黑客入侵所致，部分则是凭证泄露，甚至有时是软件问题导致用户可以意外看到其他人的摄像头画面，仿佛是收到了一份“意外的小礼物”。随着越来越多的智能家居设备需要持续连接互联网才能正常运行，而且设备制造商还没有提供有效安全漏洞报告途径，这类问题似乎变得不可避免。

参考安全内参

思科重大数据泄露，多家知名大厂数据已在暗网出售

黑客Intel Broker称思科发生重大数据泄露，涉及Verizon、AT&T、微软等全球多家大厂的源代码、机密文件和登录凭证。

这些被窃取的数据现已在Breach Forums论坛上出售，以换取加密货币门罗币（XMR）。

2024年10月14日，黑客Intel Broker在网络犯罪平台Breach Forums上表示已经入侵思科，数据泄露发生在2024年10月10日，他们通过这次入侵获取了大量来自思科系统的敏感信息。

据Hackread研究团队报道，Intel Broker列出了据称泄露中被盗的大量数据，包括：

源代码：来自GitHub、GitLab和SonarQube的项目，对Cisco的开发工作至关重要。

硬编码凭证：源代码中嵌入的敏感信息，如登录详细信息。

证书和密钥：SSL证书以及对安全通信至关重要的公钥和私钥。

机密文档：分类为“Cisco 机密”的内部文档和信息。

API令牌和存储桶：可用于访问关键系统的AWS私有存储桶、Azure存储桶和API令牌。

其他敏感信息：还列出了Jira票证、Docker版本和Cisco高级产品。

Intel Broker还分享了一份公司名单，据称这些公司的生产源代码在泄露期间被窃取。该名单包括几家备受瞩目的公司，尤其是在电信和金融领域，例如：

电信公司：Verizon、AT&T（美国和墨西哥）、英国电信、T-Mobile（美国和波兰）、沃达丰（阿尔巴尼亚和澳大利亚）和 Turkcell。

金融机构：美国银行、巴克莱银行和澳大利亚国民银行。

科技与健康：Microsoft、Liberty Global 和 Dignity Health。

参考E安全

近日，线上快速身份认证联盟（FIDO）提出了一项重要提议，旨在解决密码钥匙在不同设备和平台间交换的难题。这一举措有望进一步推动密码钥匙技术的普及和应用，为用户提供更加便捷和安全的身份认证方式。

作为传统密码的替代方案，密码钥匙因其更强大的安全性和便利性，受到包括苹果、谷歌和微软在内的科技巨头以及众多安全机构的欢迎。然而，密码钥匙技术的推广仍面临一个重要障碍：缺乏在不同设备间导入导出密码钥匙的标准化方法。

为解决这一问题，FIDO联盟近日公布了一套新的安全凭证交换规范草案，包括凭证交换协议（CXP）和凭证交换格式（CXF）。这些规范定义了一种标准格式，使用户能够安全地将密码、密码钥匙等凭证从一个凭证管理器转移到另一个提供商，同时确保传输过程的安全性和隐私性。这一草案的参编单位还包括1Password、苹果、Bitwarden、Dashlane、Enpass、谷歌、微软、NordPass、Okta、三星和SK电信等知名企业代表。

参考安全牛

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-40518

https://www.cnvd.org.cn/flaw/show/CNVD-2024-40520

https://www.cnvd.org.cn/flaw/show/CNVD-2024-40519

https://www.cnvd.org.cn/flaw/show/CNVD-2024-40521

https://www.cnvd.org.cn/flaw/show/CNVD-2024-40523

https://www.cnvd.org.cn/flaw/show/CNVD-2024-40522

https://www.cnvd.org.cn/flaw/show/CNVD-2024-40525

https://www.cnvd.org.cn/flaw/show/CNVD-2024-40524

Microsoft产品安全漏洞

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-39657

https://www.cnvd.org.cn/flaw/show/CNVD-2024-39656

https://www.cnvd.org.cn/flaw/show/CNVD-2024-39671

https://www.cnvd.org.cn/flaw/show/CNVD-2024-39672

https://www.cnvd.org.cn/flaw/show/CNVD-2024-39673

https://www.cnvd.org.cn/flaw/show/CNVD-2024-39674

https://www.cnvd.org.cn/flaw/show/CNVD-2024-39676

https://www.cnvd.org.cn/flaw/show/CNVD-2024-39677

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-39915

https://www.cnvd.org.cn/flaw/show/CNVD-2024-39914

https://www.cnvd.org.cn/flaw/show/CNVD-2024-39913

https://www.cnvd.org.cn/flaw/show/CNVD-2024-39912

https://www.cnvd.org.cn/flaw/show/CNVD-2024-39916

https://www.cnvd.org.cn/flaw/show/CNVD-2024-39920

https://www.cnvd.org.cn/flaw/show/CNVD-2024-39919

https://www.cnvd.org.cn/flaw/show/CNVD-2024-39918

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-39682

https://www.cnvd.org.cn/flaw/show/CNVD-2024-39683

https://www.cnvd.org.cn/flaw/show/CNVD-2024-39684

https://www.cnvd.org.cn/flaw/show/CNVD-2024-39686

https://www.cnvd.org.cn/flaw/show/CNVD-2024-39688

https://www.cnvd.org.cn/flaw/show/CNVD-2024-39738

https://www.cnvd.org.cn/flaw/show/CNVD-2024-39741

https://www.cnvd.org.cn/flaw/show/CNVD-2024-39746

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-40408