| 安全资讯导视 |
|---|
• 国家网信办《小型个人信息处理者个人信息保护简化措施规定》公开征求意见 |
• 能源水务等关基工控设施遭破坏性网络攻击,美国政府紧急发布警报 |
• Anthropic新模型让传统网络防御失效,AI主导网络安全的时代正在降临 |
1.OpenPrinting CUPS多个高危漏洞安全风险通告
4月9日,奇安信CERT监测到官方修复OpenPrinting CUPS 远程代码执行漏洞(CVE-2026-34980)以及OpenPrinting CUPS 认证绕过漏洞(CVE-2026-34990)。OpenPrinting CUPS 远程代码执行漏洞(CVE-2026-34980)产生的原因是CUPS在处理打印任务属性时存在输入验证缺陷。系统在序列化和反序列化打印选项过程中,未能正确处理特殊字符的转义逻辑,导致攻击者可以通过构造特定的打印请求,将恶意数据注入到队列配置中;OpenPrinting CUPS 认证绕过漏洞(CVE-2026-34990)产生的原因是CUPS在处理本地打印机创建和认证令牌管理时存在逻辑缺陷,系统在创建临时打印机和验证设备URI时,未能正确验证打印机属性的变更请求,导致攻击者可以捕获管理令牌并绕过文件设备安全策略创建并覆盖任意文件。目前该漏洞PoC已公开,鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
2.OpenAM远程代码执行漏洞安全风险通告
4月9日,奇安信CERT监测到官方修复OpenAM远程代码执行漏洞(CVE-2026-33439),该漏洞产生的原因是OpenAM在修复历史漏洞时,仅对部分参数应用了白名单过滤机制,而忽略了框架中其他反序列化入口点。OpenAM 16.0.5及之前版本中的相关组件在处理特定HTTP参数时,直接进行反序列化操作,未实施有效的类白名单限制,导致用户可控的序列化数据被直接反序列化。目前该漏洞PoC及技术细节已公开,鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
3.Apache ActiveMQ远程代码执行漏洞安全风险通告
4月8日,奇安信CERT监测到官方修复Apache ActiveMQ远程代码执行漏洞(CVE-2026-34197),该漏洞源于Jolokia API对ActiveMQ MBean的权限配置过于宽松,允许调用addNetworkConnector操作。该操作能够接受包含brokerConfig参数的vm://传输URI,当连接到不存在的broker时,ActiveMQ会通过BrokerFactory.createBroker()加载远程Spring XML配置文件,从而执行其中的恶意代码。在ActiveMQ 6.0.0-6.1.1版本中可配合CVE-2024-32114实现未授权远程代码执行。奇安信鹰图资产测绘平台数据显示,该漏洞关联的国内风险资产总数为8925个,关联IP总数为3004个。目前该漏洞PoC已公开。鉴于该漏洞影响较大,建议客户尽快做好自查及防护。
4.Vite WebSocket任意文件读取漏洞安全风险通告
4月8日,奇安信CERT监测到官方修复Vite WebSocket任意文件读取漏洞(CVE-2026-39363),Vite开发服务器WebSocket中的fetchModule方法未实施server.fs访问控制,导致攻击者可通过WebSocket连接并读取服务器上的任意文件。奇安信鹰图资产测绘平台数据显示,该漏洞关联的国内风险资产总数为69817个,关联IP总数为20038个。目前该漏洞PoC已公开,鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
1.Fortinet FortiClient EMS 访问控制不当漏洞(CVE-2026-35616)
4月6日,Fortinet 针对另一个已被实际利用的零日漏洞部署了紧急补丁。
该安全漏洞编号为 CVE-2026-35616,由网络安全公司 Defused 发现。该公司将其描述为一种预身份验证 API 访问绕过漏洞,攻击者可以利用该漏洞完全绕过身份验证和授权控制。Fortinet 发布了紧急热修复程序来解决该漏洞,并表示该安全问题源于访问控制方面的不足,未经身份验证的攻击者可以利用该不足通过精心构造的请求来执行代码或命令。该公司还警告称,威胁行为者一直在利用该漏洞进行零日攻击,并警告 IT 管理员尽快通过应用热修复程序或在 FortiClient EMS 版本 7.4.7 可用时升级到该版本来保护其 EMS 实例。
Kohonen 解释称:“雷达本质上是一个大规模异常检测器,它试图从我们接收的大量蜜罐数据中发现零日漏洞和其他有趣的趋势。其目的是向 Defused 用户展示有趣的事件、有效载荷等等,因为即使我们拥有所有过滤选项,接收到的原始事件数量仍然非常庞大。”
互联网安全监督组织 Shadowserver 目前追踪到近2000个暴露在网络上的 FortiClient EMS 实例,其中超过1400个 IP 地址位于美国和欧洲。然而,目前尚无关于其中有多少实例已打补丁或存在安全漏洞的详细信息。
Fortinet 产品已成为各种威胁行为者的热门目标,他们经常迅速利用已披露的漏洞,使组织几乎没有时间进行修补。 即使没有新的 CVE 漏洞可供利用,攻击者仍然会以 Fortinet 产品为目标。今年2月,亚马逊网络服务(AWS)的研究人员发现,攻击者利用人工智能技术入侵了数百台 FortiGate 设备,利用了薄弱的凭证、暴露的端口和其他安全漏洞。
建议受影响客户尽快升级至补丁版本来避免漏洞带来的影响。
参考链接:
https://www.bleepingcomputer.com/news/security/cisa-orders-feds-to-patch-fortinet-flaw-exploited-in-attacks-by-friday/
1.能源水务等关基工控设施遭破坏性网络攻击,美国政府紧急发布警报
4月7日Wired消息,在特朗普对伊朗威胁不断加码的同时,美国联邦调查局等多个政府机构联合警告称,伊朗相关黑客组织正对美国关键基础设施实施了大规模网络攻击。相关组织已对多个能源、水及污水处理、政府等关键基础设施中使用的工业控制设备发动攻击。攻击者试图入侵可编程逻辑控制器(PLC),比如工控巨头罗克韦尔自动化公司的相关设备,试图篡改工业控制系统显示界面的信息,这种行为在某些情况下可能导致系统停机、设备受损,甚至引发安全事故。相关攻击活动在少数情况下已经造成运营中断和财务损失,但未披露具体损失程度。据悉,相关组织疑似为CyberAv3ngers,其具备丰富的工控设施网络攻击经验,曾多次成功攻击以色列和美国的工控设施。
原文链接:
https://www.wired.com/story/iran-linked-hackers-are-sabotaging-us-energy-and-water-infrastructure/
2.俄电信巨头被黑致使互联网瘫痪,银行、政务、娱乐等数字服务无法访问
4月7日The Record消息,俄罗斯国有电信巨头Rostelecom在6日晚间遭受了一次大规模DDoS攻击,导致全国数十个城市的网上银行、政府平台以及其他数字服务一度受到干扰。Rostelecom表示,攻击已被迅速遏制,互联网服务中断是为缓解攻击而采取紧急流量过滤措施所造成的结果。当晚,俄罗斯约30个城市的用户反映,其Rostelecom家庭互联网服务出现异常。包括游戏平台Steam、政府服务门户Gosuslugi、视频平台Rutube以及多项银行服务在内的主要在线服务均一度无法访问。
原文链接:
https://therecord.media/rostelecom-cyberattack-disrupts-russian-internet-access
3.员工未授权访问客户数据超2年,意大利银行巨头被罚超2.5亿元
3月31日The Record消息,意大利数据保护局日前宣布,对该国最大金融机构之一联合圣保罗银行股份有限公司(Intesa Sanpaolo SpA)处以3180万欧元(约合人民币2.52亿元)的罚款。处罚原因是,在长达两年多的时间内,该机构内部存在不当访问行为,涉及超过3500名客户的银行信息。据悉,在2022年2月至2024年4月期间,该行一名员工在缺乏正当理由的情况下,访问了3573名客户的银行信息。上述未授权访问行为未被内部控制系统及时发现,暴露出该行监测与防范机制存在重大弱点,现行操作模式允许工作人员以循环方式查询整个客户群体,但缺乏足够的控制手段来防止并识别未授权访问。值得关注的是,被访问账户的客户被认定为高风险群体,其中包括多位知名公众人物。监管机构认为,该行应对这类客户实施更严格的安全控制措施。
原文链接:
https://therecord.media/italian-regulator-fines-financial-giant-36-million
1.《网络安全技术 网络安全威胁信息评价方法》等3项国家标准公开征求意见
4月9日,全国网络安全标准化技术委员会归口的3项国家标准现已形成标准征求意见稿,现面向社会公开征求意见。其中,《网络安全技术 物理不可克隆功能安全技术规范》规定了物理不可克隆功能(PUF)的安全技术要求,包括PUF在稳定性、随机性、唯一性、抗攻击性、不可模拟性和不可克隆性等方面的要求,描述了相应的测试与评估方法;《网络安全技术 网络安全威胁信息评价方法》描述了网络安全威胁信息规范性、完整性、重要性、准确性、时效性、活跃性、来源置信度、应用时效性的评价方法;《网络安全技术 区块链系统安全实施指南》确立了区块链系统安全实施框架,提供了技术措施、管理措施和措施有效性验证等方面的实施指南。
原文链接:
https://www.secrss.com/articles/89255
2.日本拟修订个人信息保护法,放宽数据使用以推动人工智能发展
4月7日,日本个人信息保护委员会发布消息称,《个人信息保护法等一部修正法律案》已经完成内阁会议决定,并提交国会。此次修订核心调整为取消部分个人数据共享前的“事先同意”要求,允许机构在特定情形下不经用户同意使用个人信息,适用范围限定为对个人权利侵害风险较低、用于统计分析与科学研究的数据。健康相关数据若有助于提升公共健康水平,也可纳入适用范畴。新规同时放宽人脸数据使用规范,企业可收集面部图像并需明确使用方式,不再强制设置用户“退出”选项;针对16岁以下未成年人数据,仍需取得监护人同意,且使用时需遵循最有利于未成年人的评估标准。修订案明确了违规惩处机制,企业若存在不当收集、恶意使用个人信息造成损害,或通过欺诈手段获取数据等行为,将被处以与违法所得相当的罚款。
原文链接:
https://www.secrss.com/articles/89286
3.《国务院关于产业链供应链安全的规定》印发
4月7日,国务院公布《国务院关于产业链供应链安全的规定》。该文件提出,国家引导产业链供应链合理有序布局,推进产业链供应链数字化、智能化,提升产业链供应链安全可控水平,促进产业链供应链高质量发展;国家建立健全关键领域产业链供应链安全风险的监测预警制度、防范制度、应急管理制度。该文件要求,国务院有关部门推动关键领域产业链供应链信息共享,强化信息平台支撑,引导行业、企业间加强关键领域产业链供应链信息互联互通,并采取有效措施保障数据安全;企业、科研机构等应当完善风险防控体系,实现核心技术及相关信息系统、数据的安全可控。有关部门应当加强指导和培训。
原文链接:
https://www.secrss.com/articles/89230
4.商务部等六部门印发《关于更好服务实体经济 推进电子商务高质量发展的指导意见》
4月6日,商务部、中央网信办、工业和信息化部、农业农村部、文化和旅游部、市场监管总局等六部门印发《关于更好服务实体经济 推进电子商务高质量发展的指导意见》。该文件提出5方面16条举措,构建电子商务高质量发展框架体系。该文件要求,推动电商平台建立健全中小商家权益受损申诉救济机制。督促电商平台落实安全主体责任,依法依规履行网络和重要数据安全保护义务;健全完善数据跨境流动机制,持续优化数据出境安全管理、个人信息保护。推动相关部门间跨境电商数据资源整合与共享。
原文链接:
https://www.secrss.com/articles/89174
5.国家网信办《小型个人信息处理者个人信息保护简化措施规定》公开征求意见
4月3日,国家互联网信息办公室起草了《小型个人信息处理者个人信息保护简化措施规定(征求意见稿)》,现向社会公开征求意见。该文件共22条,重点对个人信息保护总体要求、个人信息处理规则简化、小型个人信息处理者义务简化、不予和从轻或者减轻处罚等作出规定。本文件规定,小型个人信息处理者是指处理不满10万人个人信息的个人信息处理者。支持小型个人信息处理者采取与其规模、能力等相当的简化措施保障个人信息安全,保护个人信息权益。
原文链接:
https://www.secrss.com/articles/89097
6.工信部等十部门印发《人工智能科技伦理审查与服务办法(试行)》
4月2日,工业和信息化部、国家发展改革委、教育部、科技部等十部门印发《人工智能科技伦理审查与服务办法(试行)》。该文件提出建立和完善人工智能科技伦理标准体系,支持人工智能科技伦理审查技术创新,强化以技术手段防范人工智能科技伦理风险。该文件要求,开展人工智能科技伦理审查,重点关注人类福祉、公平公正、可控可信、透明可解释、责任可追溯、隐私保护6个方面。该文件规定,三类人工智能科技活动需要开展科技伦理专家复核,一是对人类主观行为、心理情绪和生命健康等具有较强影响的人机融合系统的研发;二是具有舆论社会动员能力和社会意识引导能力的算法模型、应用程序及系统的研发;三是面向存在安全、人身健康风险等场景的具有高度自主能力的自动化决策系统的研发。
原文链接:
https://www.secrss.com/articles/89137
7.国家药监局发布《关于“人工智能+药品监管”的实施意见》
4月2日,国家药监局发布《关于“人工智能+药品监管”的实施意见》。该文件包括总体要求、数智赋能重点监管场景、“人工智能+药品监管”基础支撑、组织实施四个部分。该文件单章要求,筑牢安全防护体系。具体内容包括:严格落实安全责任制,升级网络安全防护体系,健全网络安全态势感知、信息共享、联合研判、威胁预警、追踪溯源机制,运用人工智能技术提升网络安全主动防护能力,构建智能化、协同化防护体系。建立健全数据安全管理体系,明确核心和重要数据目录,完善数据安全保护技术体系。强化人工智能风险监测评估,制定算法透明度要求和模型验证规范,加强模型算法、数据资源、基础设施、应用系统等安全能力建设,强化人工智能应用风险评估和监测处置,防止涉密信息和敏感信息输入非涉密模型,推动人工智能应用合规、透明、可信赖。
原文链接:
https://www.secrss.com/articles/89166
本期周报内容由安全内参&虎符智库&奇安信CERT联合出品!
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...