安全热点周报：思科ISE漏洞遭在野利用，远程攻击可感染主机系统

安全资讯导视
• 国常会审议通过《关于深入实施“人工智能+”行动的意见》
• 国家网信办就H20算力芯片漏洞后门安全风险约谈英伟达公司
• 俄罗斯航空因大规模网络攻击停飞，超50个航班被取消

PART 01

漏洞情报

1.用友U8cloud任意文件上传漏洞安全风险通告

7月29日，奇安信CERT监测到官方修复用友U8cloud ServiceDispatcherServlet 任意文件上传漏洞(QVD-2025-29445)，该漏洞源于用友U8cloud ServiceDispatcherServlet反序列化补丁修复不完善，攻击者可绕过鉴权并实现任意文件上传获取服务器权限。奇安信鹰图资产测绘平台数据显示，该漏洞关联的国内风险资产总数为11882个，关联IP总数为1645个。奇安信威胁情报中心安全研究员已成功复现。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

PART 02

新增在野利用

1.Cisco ISE 和 Cisco ISE-PIC API 身份验证绕过漏洞(CVE-2025-20281)&Cisco ISE 和 Cisco ISE-PIC 未授权远程代码执行漏洞(CVE-2025-20337)

7月28日，安全研究员 Bobby Gould 发表了一篇博客文章，展示了 CVE-2025-20281 的完整漏洞利用链。文章中，他演示了如何通过序列化的 JavaString[]有效负载触发 Cisco ISE 中的命令注入缺陷，利用 Java 的 Runtime.exec() 的行为并使用 ${IFS} 绕过参数标记化问题，在 Docker 容器内以 root 身份实现任意命令执行。最终，他还展示了如何使用基于 cgroups 和 release_agent 的 Linux 容器转义技术，从特权 Docker 容器中逃逸并获得主机系统的 root 访问权限。

思科身份服务引擎（ISE）和 ISE-PIC 3.3 及 3.4 版本被曝出存在一个严重的未经身份验证的远程代码执行漏洞（CVE-2025-20281）。该漏洞源于 enableStrongSwanTunnel() 方法中的不安全反序列化和命令注入，允许未经身份验证的远程攻击者将任意文件上传至目标系统并以 root 权限执行。

三周后，供应商在同一公告中又添加了一个与之相关的漏洞 CVE-2025-20337，它将原本的漏洞细分为两部分，即 CVE-2025-20281（命令注入）和 CVE-2025-20337（反序列化）。思科已提供修补程序，但强烈建议用户更新到 3.3 补丁 7 和 3.4 补丁 2 以彻底解决这两个漏洞。

7月22日，思科发出警告，CVE-2025-20281 和 CVE-2025-20337 正被积极利用于攻击中，再次敦促管理员尽快应用安全更新。尽管 Bobby Gould 的文章不是可以直接插入攻击链的武器化漏洞利用脚本，但它提供了黑客重新创建整个漏洞利用所需的所有技术细节和有效载荷结构。鉴于此漏洞已发现在野利用，该文章的发布可能会进一步增加恶意活动。由于此漏洞没有解决方法，因此强烈建议按照供应商公告中的指示尽快应用修补程序。

参考链接：

https://www.bleepingcomputer.com/news/security/exploit-available-for-critical-cisco-ise-bug-exploited-in-attacks/

PART 03

安全事件

1.美情报机构频繁对我国防军工领域实施网络攻击窃密

8月1日中国网络空间安全协会消息，国家互联网应急中心（CNCERT）监测发现，近年来，美国情报机构将网络攻击窃密的重点目标瞄准我高科技军工类的高校、科研院所及企业，试图窃取我军事领域相关的科研数据或设计、研发、制造等环节的核心生产数据等敏感信息，目标更有针对性、手法更加隐蔽，严重威胁我国防军工领域的科研生产安全甚至国家安全。自2022年西北工业大学遭受美国NSA网络攻击被曝光后，美情报机构频繁猖獗对我国防军工领域实施网络窃密攻击。本次选取利用微软Exchange邮件系统零日漏洞实施攻击、利用电子文件系统漏洞实施攻击2起典型事件予以公布，为重要行业领域提供安全预警。

原文链接：

https://mp.weixin.qq.com/s/MjIlXBYK0kK2ysU6a78BAg

2.国家网信办就H20算力芯片漏洞后门安全风险约谈英伟达公司

7月31日网信中国消息，国家互联网信息办公室发文称，英伟达算力芯片近日被曝出存在严重安全问题。此前，美议员呼吁要求美出口的先进芯片必须配备“追踪定位”功能。美人工智能领域专家透露，英伟达算力芯片“追踪定位”“远程关闭”技术已成熟。为维护中国用户网络安全、数据安全，依据《网络安全法》《数据安全法》《个人信息保护法》有关规定，国家互联网信息办公室于2025年7月31日约谈了英伟达公司，要求英伟达公司就对华销售的H20算力芯片漏洞后门安全风险问题进行说明并提交相关证明材料。

原文链接：

https://mp.weixin.qq.com/s/4SfjclOEbZOcus-TXc0KUw

3.“黑猫”团伙利用搜索引擎传播捆绑远控木马的知名应用安装包，CNCERT发布风险提示

7月30日国家互联网应急中心CNCERT消息，CNCERT等近期监测到由“黑猫”黑灰产团伙发起的针对性攻击。该团伙将包含钓鱼软件的恶意网站推送到搜索结果前列，并诱导搜索引擎错误地将部分钓鱼网站标注为“官方”，极大地增强了其欺骗性。用户在访问这些高排名或带有“官方”标签的钓鱼页面后，极有可能会下载捆绑恶意程序的安装包。一旦运行安装，该程序会在用户不知情的情况下植入远程控制木马，导致设备被攻击者控制。通过监测分析发现，我国境内于2025年6月1日至7月28日期间，“黑猫”黑灰产团伙通过案例一木马投放导致主机被控数量约2.88万台，境内日上线肉鸡数量最高达2328台，肉鸡C2日访问量最高达18913次。CNCERT已协调搜索引擎厂商对部分钓鱼网站搜索结果进行处置。

原文链接：

https://mp.weixin.qq.com/s/FT3Px7VWewoN0JnufMnmDw

4.成都3家企业因网站被篡改、敏感数据公网暴露被罚20.5万元

7月30日网信成都消息，成都市互联网信息办公室向社会公开通报了3起典型案例。成都市某商贸企业OA系统被境外黑客篡改并张贴政治标语。经调查核实，该企业OA系统未采取防范计算机病毒和网络攻击、网络入侵等危害网络安全行为的技术措施，且未制定内部管理制度和操作规程，未制定网络安全事件应急预案，导致OA系统遭受网络入侵，登录页面被篡改并传播，造成不良影响。根据《中华人民共和国网络安全法》第二十一条、第二十五条、第五十九条，对该公司处以2.5万元罚款，对相关网络安全责任人处以5千元罚款。成都市某增值电信企业所属信息系统疑似发生数据泄露。经调查核实，该企业存储个人敏感信息的相关信息系统ElasticSearch数据库9200端口存在未授权访问漏洞，且日志配置文件未配置日志服务，未健全网络安全和数据安全管理制度。根据《中华人民共和国数据安全法》第二十七条、第四十五条规定，给予该企业警告处罚，并处5万元罚款。成都市某互联网企业所属信息系统疑似发生数据泄露。经调查核实，该企业存储大量消费金融领域个人敏感信息的MySQL数据库3306端口存在弱口令漏洞，且未建立健全全流程数据安全管理制度，未采取相应的技术措施和其他必要措施保障数据安全。根据《中华人民共和国数据安全法》第二十七条、第四十五条规定，给予该企业警告处罚，并处15万元罚款。

原文链接：

https://mp.weixin.qq.com/s/15bzl-Z5bsFrvvbsnHaRCQ

5.网络攻击引发药业混乱！俄罗斯全国药店被迫大规模停业

7月30日The Record消息，俄罗斯最大的两家连锁药店遭受网络攻击，导致支付系统中断，患者无法进行药品预约服务，全国各地数百上千家药店被迫停业。Stolichki连锁药店在全国拥有约1000家门店，该公司证实29日导致运营中断的技术故障实为黑客攻击所致，目前约一半门店已恢复营业。另一家大型连锁药店Neofarm在莫斯科和圣彼得堡共运营逾110家门店，该公司也暂停了运营，并在各门店张贴了“技术故障”通知。两家连锁药店的线上服务，包括药品预约和会员积分计划，同样受到影响中断，员工则被安排居家待命。

原文链接：

https://therecord.media/cyberattack-shuts-down-russian-pharmacies

6.俄罗斯航空因大规模网络攻击停飞，超50个航班被取消

7月28日路透社消息，俄罗斯航空公司因网络攻击当天被迫取消大量航班，严重影响了国内航空出行。据悉，俄航当日执飞的260个航班，至少54个被取消，其他继续执飞的也有许多出现延误。克里姆林宫称这一事态“令人担忧”，议员们则表示，这是对俄罗斯的一次警示。检察机关已确认，俄航业务中断系黑客行为所致，并已启动刑事调查。“沉默的乌鸦”“白俄罗斯网络游击队”两个亲乌黑客组织声称对此负责，表示经过一年的渗透行动已深度侵入俄航网络，摧毁了7000台服务器，并窃取了大量敏感数据。

原文链接：

https://www.reuters.com/en/pro-ukrainian-hackers-claim-massive-cyberattack-russias-aeroflot-2025-07-28/

PART 04

政策法规

1.中国人民银行、证监会发布《金融基础设施监督管理办法》

8月1日，中国人民银行、中国证监会印发了《金融基础设施监督管理办法》，自2025年10月1日起施行。该文件要求，金融基础设施运营机构应当建立完善的技术系统及管理机制，包括完善的数据安全保护和数据备份措施、有效的网络安全管理制度等；金融基础设施运营机构应当加强数据安全管理，承担数据安全管理主体责任，建立和完善有效的内部数据安全管理制度和问责办法，对金融基础设施参与者的业务数据、相关资料，以及提供服务过程中产生的其他数据进行保护；金融基础设施运营机构应当建立健全应急预案，涵盖网络安全事件、数据安全事件等可能影响持续稳健经营的极端情形，以及相应情形下拟采取的应急处置措施。

原文链接：

http://www.pbc.gov.cn/tiaofasi/144941/144957/5798411/index.html

2.《全国一体化算力网安全保护要求》技术文件公开征求意见

8月1日，全国数据标准化技术委员会秘书处牵头研制了《全国一体化算力网安全保护要求》技术文件，现公开征求意见。该文件规定了全国一体化算力网的安全保护要求，包括通用安全要求、算力网资源安全要求、算力网调度安全要求、算力网监测平台安全要求、算力网运营安全要求和算力网数据安全要求等，适用于全国一体化算力网的安全能力建设、改造与优化。该文件提出了全国一体化算力网安全框架，以“安全可控、纵深防御、动态适应”为核心思想，通过六大安全维度要求，构建多层次、全方位、可持续的安全保障体系，确保全国一体化算力网在复杂多变的网络环境中，能够安全、稳定、高效的运行并提供服务。

原文链接：

https://mp.weixin.qq.com/s/wNbnLsfUQFD87IaOAWbbNw

3.国常会审议通过《关于深入实施“人工智能+”行动的意见》

7月31日，国务院总理李强主持召开国务院常务会议，审议通过《关于深入实施“人工智能+”行动的意见》。会议指出，当前人工智能技术加速迭代演进，要深入实施“人工智能+”行动，大力推进人工智能规模化商业化应用，充分发挥我国产业体系完备、市场规模大、应用场景丰富等优势，推动人工智能在经济社会发展各领域加快普及、深度融合，形成以创新带应用、以应用促创新的良性循环。政府部门和国有企业要强化示范引领，通过开放场景等支持技术落地。要着力优化人工智能创新生态，强化算力、算法和数据供给，加大政策支持力度，加强人才队伍建设，构建开源开放生态体系，为产业发展壮大提供有力支撑。要提升安全能力水平，加快形成动态敏捷、多元协同的人工智能治理格局。

原文链接：

https://www.gov.cn/yaowen/liebiao/202507/content_7034689.htm

4.港澳联同亚太七私隐保障机构发布《个人资料匿名化入门指南》

7月31日，香港私隐专员公署以及澳门个人资料保护局，联同来自澳洲（维多利亚省）、加拿大（联邦及英属哥伦比亚省）、日本、韩国、新西兰及新加坡的七个私隐或资料保障机构，一致通过发布《个人资料匿名化入门指南》。匿名化一般是指将个人资料转化为无法再用作识别个人身份的资料。2024年6月，香港私隐专员公署发布了《人工智能：个人资料保障模范框架》，建议机构可在适当情况下，将个人资料输入至其AI 模型前，先进行匿名化处理。该指南介绍了匿名化的基本概念，并概述机构进行匿名化处理资料的建议步骤。该指南还通过个案分析，阐释机构如何在实际运作中应用这些匿名化步骤。

原文链接：

https://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/appa_anonymisation_guide072025.pdf

5.《网络安全技术工业控制系统网络安全防护能力成熟度模型》等5项国家标准公开征求意见

7月29日，全国网络安全标准化技术委员会归口的5项国家标准现已形成标准征求意见稿，现面向社会公开征求意见。5项标准包括《网络安全技术工业控制系统网络安全防护能力成熟度模型》《网络安全技术嵌入式操作系统安全技术规型》《网络安全技术操作系统安全技术规范型》《网络安全技术移动互联网未成年人模式技术要求型》《数据安全技术未成年人产品和服务个人信息保护要求》。

原文链接：

https://mp.weixin.qq.com/s/8_BG0mM59EF6-FboVM5vUg

6.《政务大模型应用安全规范》技术文件公开征求意见

7月28日，全国网络安全标准化技术委员会组织制定的技术文件《政务大模型应用安全规范》已形成征求意见稿，现面向社会公开征求意见。该文件规定了政务大模型应用的安全要求，包括模型选用、模型部署、模型运行等，适用于政务大模型的选用、部署及运行活动，可为政务大模型应用安全提供指导。该文件指出，政务大模型应用常见安全风险包括内容安全风险、数据安全风险、系统安全风险，建设政务大模型应用前，应参照GB/T 20984—2022和GB/T 45577—2025有关要求，对可能带来的安全风险进行分析，并在落实现有系统安全、数据安全、内容安全相关防护要求基础上，采取针对性的安全防护措施。

原文链接：

https://www.tc260.org.cn/upload/2025-07-28/1753699924605068212.pdf

7.“两高一部”发布《关于办理帮助信息网络犯罪活动等刑事案件有关问题的意见》

7月28日，最高人民法院、最高人民检察院、公安部联合发布《关于办理帮助信息网络犯罪活动等刑事案件有关问题的意见》。该文件共五部分十六条，就办理帮信犯罪及其关联犯罪的总体要求、依法认定帮信犯罪、准确把握刑事政策、坚持综合治理等问题进行了全面系统规定。该文件对涉“两卡”犯罪“情节严重”认定标准进行了整合调整，将原规定的出售、出租本人银行账户、支付账户并达到相应流水金额的“情节严重”标准，明确为出售、出租本人三个银行账户、支付账户并达到相应流水金额的“情节严重”标准。同时，针对当前涉电话卡违法犯罪活动高发的新情况，还将原规定的收购、出售、出租他人电话卡20张以上属于“情节严重”情形，调整为不再区分他人、本人，只要收购、出售、出租电话卡20张以上，即认定属于“情节严重”情形，进一步严密刑事法网。

原文链接：

https://www.court.gov.cn/zixun/xiangqing/472121.html

往期精彩推荐

本期周报内容由安全内参&虎符智库&奇安信CERT联合出品！