要闻速览

1、一图读懂工信部《工业领域数据安全能力提升实施方案 (2024—2026年)》

2、《中华人民共和国保守国家秘密法》2024修订版发布

3、全球知名AI 平台Hugging Face “惊现”上百个恶意ML模型

4、WordPress 插件存在漏洞，500 万网站面临严重安全风险

5、黑客劫持超 8000 个可信域名，每日发送数百万封恶意电子邮件

6、俄罗斯APT28组织隐秘攻击Ubiquiti路由器，以逃避安全检测

一周政策要闻

一图读懂工信部《工业领域数据安全能力提升实施方案 (2024—2026年)》

近日，工业和信息化部近日印发《工业领域数据安全能力提升实施方案（2024—2026年）》，提出到2026年底，我国工业领域数据安全保障体系基本建立。数据安全保护意识普遍提高，重点企业数据安全主体责任落实到位，重点场景数据保护水平大幅提升，重大风险得到有效防控。数据安全政策标准、工作机制、监管队伍和技术手段更加健全。数据安全技术、产品、服务和人才等产业支撑能力稳步提升。关键指标包括：基本实现各工业行业规上企业数据安全要求宣贯全覆盖；开展数据分类分级保护的企业超4.5万家，至少覆盖年营收在各省（区、市）行业排名前10%的规上工业企业；立项研制数据安全国家、行业、团体等标准规范不少于100项；遴选数据安全典型案例不少于200个，覆盖行业不少于10个；数据安全培训覆盖3万人次，培养工业数据安全人才超5000人。

《中华人民共和国保守国家秘密法》2024修订版发布

2月27日，《中华人民共和国保守国家秘密法》由中华人民共和国第十四届全国人民代表大会常务委员会第八次会议正式修订通过，自2024年5月1日起施行。

全国人大常委会法工委国家法室负责人介绍，保密法此次修订坚持总体国家安全观，统筹发展与安全，将党的十八大以来保密工作成熟有效的政策措施和实践经验上升为法律制度，对于推动保密工作高质量发展，维护国家主权、安全、发展利益具有重要而深远的意义。新修订的保密法在总则中规定“坚持中国共产党对保守国家秘密工作的领导”，明确中央保密工作领导机构领导全国保密工作，研究制定、指导实施国家保密工作战略和重大方针政策，统筹协调国家保密重大事项和重要工作，推进国家保密法治建设。此次修订吸收了一些工作实践中定密和解密的成熟做法，包括：明确保密事项范围的确定应当遵循必要、合理原则，科学论证评估，并根据情况变化及时调整；完善定密责任人制度和定密授权机制，并对密点标注作出原则规定，进一步推动定密精准化、科学化；完善国家秘密审核制度，将定期审核修改为每年审核，并明确了未履行解密审核责任造成严重后果的法律责任，进一步压实定密机关、单位主体责任，便利信息资源合理利用。新修订的保密法还体现出对于保密科技创新和科技防护的重视，在总则中明确国家鼓励和支持保密科学技术研究和应用，提升自主创新能力，依法保护保密领域的知识产权。此次修订还明确，涉密信息系统应当按照国家保密规定和标准规划、建设、运行、维护，应按规定检查合格方可投入使用，并定期开展风险评估。为适应当前涉密人员管理的新特点、新要求，此次修订补充细化了涉密人员基本条件、权益保障和管理要求等方面的规定。

业内新闻速览

全球知名AI 平台Hugging Face “惊现”上百个恶意ML模型

近日，JFrog 的安全团队发现Hugging Face 平台上至少 100 个恶意人工智能 ML 模型实例，其中一些可以在受害者的机器上执行代码，为攻击者提供了一个持久的后门，构成了数据泄露和间谍攻击的重大风险。

Hugging Face 是一家从事人工智能（AI）、自然语言处理（NLP）和机器学习（ML）的技术公司，它提供了一个平台，用户可以在这个平台上协作和共享模型、数据集和完整的应用程序。尽管 Hugging Face 采取了包括恶意软件识别、pickle 和机密扫描在内的安全措施，并对模型的功能进行了仔细检查，但仍然没能阻止安全事件发生。

恶意人工智能 ML 模型：

JFrog 开发并部署了一套先进的扫描系统，专门用于检查 Hugging Face 上托管的 PyTorch 和 Tensorflow Keras 模型，发现其中 100 个模型具有某种形式的恶意功能。JFrog在报告中写道：一般我们说的"恶意模型 "特指那些容纳了真正有害有效载荷的模型。以此标准来统计排除了误报，确保真实反映了在 Hugging Face 上为 PyTorch 和 Tensorflow 制作恶意模型的分布情况。

一个名为 "baller423 "的用户最近上传了一个 PyTorch 模型，该模型已从 HuggingFace 中删除，其中一个突出案例包含的有效载荷使其能够建立一个指向指定主机（210.117.212.93）的反向外壳。恶意有效载荷使用 Python 的 pickle 模块的"__reduce__"方法在加载 PyTorch 模型文件时执行任意代码，通过将恶意代码嵌入可信序列化过程来逃避检测。

JFrog 发现相同的有效载荷在不同情况下会连接到其他 IP 地址，并且有证据表明其操作者可能是人工智能研究人员而非黑客。为此，分析人员部署了一个 HoneyPot 来吸引和分析这些活动，以确定操作者的真实意图，但在建立连接期间（一天）无法捕获任何命令。

JFrog表示，有一些恶意上传可能是安全研究的一部分，目的是绕过 "拥抱脸谱 "上的安全措施并收集漏洞赏金，但既然这些危险的模型已经公开，那么风险就是真实存在的，必须引起重视。人工智能 ML 模型可能会带来巨大的安全风险，而利益相关者和技术开发人员还没有意识到这些风险，也没有认真讨论过这些风险。JFrog 此次的发现更加说明了问题的重要性，他呼吁大家提高警惕并采取积极措施，以保护生态系统免受恶意行为者的侵害。

消息来源：FREEBUF  https://www.freebuf.com/news/392830.html

WordPress 插件存在漏洞，500 万网站面临严重安全风险

网络安全研究人员近期发现 WordPress  LiteSpeed Cache 插件中存在一个安全漏洞，该漏洞被追踪为 CVE-2023-40000，未经身份验证的威胁攻击者可利用该漏洞获取超额权限。

LiteSpeed Cache 主要用于提高网站性能，据不完全统计已经有 500 多万安装用户。

Patchstack 研究员 Rafie Muhammad 表示，LiteSpeed Cache 插件中存在未经身份验证的全站存储的跨站脚本安全漏洞，可能允许任何未经身份验证的威胁攻击者通过执行单个 HTTP 请求，在 WordPress 网站上获取超额权限，从而获取受害者的敏感信息。

WordPress 方面指出，CVE-2023-40000 安全漏洞出现的原因是缺乏用户输入”消毒"和转义输出，安全漏洞已于 2023 年 10 月在 5.7.0.1 版本升级时得到了解决。

CVE-2023-40000 漏洞源于一个名为 update_cdn_status() 的函数，可在默认安装中重现，Muhammad表示，由于 XSS 有效载荷被设置为了管理通知，而且管理通知可以显示在任何 wp-admin 端点上，因此任何可以访问 wp-admin 区域的用户都可以轻易触发 CVE-2023-40000 漏洞。

Wordfence 频频曝出安全漏洞：

2023 年 7 月 18 日，安全研究人员发现拥有 500 万安装用户的 WordPress 网站数据迁移插件 All-in-One WP Migration 存在未经身份验证的访问令牌操作漏洞，攻击者可借此访问网站敏感的数据信息。好消息是，由于 All-in-One WP Migration 只在网站迁移项目中使用，通常不会在其它任何时候激活，因此在一定程度上缓解了漏洞带来的安全问题。

All-in-One WP Migration 是一款流行的 WordPress 网站迁移工具，适用于非技术和经验不足的用户，允许将数据库、媒体、插件和主题无缝导出到一个易于在新目的地恢复的单个存档中。

安全漏洞被追踪为 CVE-2023-40004，允许未经身份验证的“用户”访问和操纵受影响扩展上的令牌配置，使网络攻击者将网站迁移数据转移到自身的第三方云服务账户或恢复恶意备份，一旦成功利用 CVE-2023-40004 ，导致包括用户详细信息、关键网站数据和专有信息等数据信息泄露。

安全研究人员在发现安全漏洞后，立刻报告给了 ServMask ，2023 年 7 月 26 日，供应商 ServMask 发布了安全更新，为 init 函数引入了权限和非 nonce 验证。

插件供应商 ServMask 提供的各种高级扩展都包含相同的易受攻击代码片段，这些代码片段在 init 函数中缺乏权限和 nonce 验证。（该代码还存在于 Box 扩展、Google Drive 扩展、One Drive 扩展和 Dropbox 扩展中，这些扩展都是为了方便使用上述第三方平台的数据迁移过程而创建。）不久后， WordPress 又被爆出一个安装了超过 9 万次的 WordPress 插件中存在一个严重的安全漏洞，威胁攻击者能够利用该漏洞获得远程代码执行权限，从而完全控制有漏洞的网站。该插件名为 "Backup Migration"，可帮助管理员自动将网站备份到本地存储或 Google Drive 账户上。安全漏洞被追踪为 CVE-2023-6553，严重性评分为 9.8/10，由一个名为 Nex Team 的漏洞“猎人”团队发现，主要影响 Backup Migration 1.3.6 及以下的所有插件版本。该团队发现漏洞后依据最近推出的漏洞悬赏计划，立刻向 WordPress 安全公司 Wordfence 报告了漏洞问题。接收到漏洞通知后，Wordfence 方面表示威胁攻击者能够控制传递给 include 的值，然后利用这些值来实现远程代码执行，这使得未经身份验证的威胁攻击者可以在服务器上轻松执行代码。通过提交特制的请求，威胁攻击者还可以利用 CVE-2023-6553 安全漏洞来“包含”任意的恶意 PHP 代码，并在 WordPress 实例的安全上下文中的底层服务器上执行任意命令。2023 年12 月 6 日，安全研究人员又发现高级 WordPress 插件 Brick Builder 中的存在关键远程代码执行 (RCE) 漏洞，威胁攻击者能够利用漏洞在易受攻击的网站上执行恶意 PHP 代码。（Brick Builder 被“誉为”是创新的、社区驱动的可视化网站构建工具，拥有约 25000 个有效安装，可促进网站设计的用户友好性和定制化。）接到安全漏洞通知后，Wordfence 立刻向 BackupBliss（备份迁移插件背后的开发团队）报告了这一重大安全漏洞，开发人员在数小时后发布了补丁。

消息来源：CSDN  https://blog.csdn.net/FreeBuf_/article/details/136352014

黑客劫持超 8000 个可信域名，每日发送数百万封恶意电子邮件

IT之家 2 月 28 日消息，Guardio Labs 近日发布报告，曝光了名为 SubdoMailing 的网络攻击活动，通过劫持 8000 多个可信域名，每日发送了数百万封恶意电子邮件。

报告称这项活动最早可以追溯到 2022 年，攻击者劫持了属于合法公司和机构的 8000 多个域名和 13000 个子域的控制权，其中包括 MSN、VMware、McAfee、经济学人、康奈尔大学、哥伦比亚广播公司、漫威、斯沃琪、赛门铁克、美国公民自由联盟、普华永道、美国商业促进局、联合国儿童基金会和 eBay 等在内的一些知名品牌和机构。研究人员 Nati Tal 和 Oleg Zaytsev 透露，攻击者利用劫持的这些域名发送数百万封恶意电子邮件。这些恶意电子邮件包含隐藏恶意链接的嵌入式按钮，用户一旦点击该按钮，就会在后台执行一系列重定向操作，攻击者就可以通过恶意广告或欺诈性广告获得收入。

研究人员说：这些重定向会检查你的设备类型和地理位置，从而指向为实现利润最大化而定制的内容。然而，并非所有的重定向都是为了欺诈性广告浏览而指向合法域名，因为其中一些链接还将用户导向了钓鱼网站。在某些情况下，这些网站下载了恶意软件，目的是骗取用户的钱财。据报道，该活动至少从 2022 年开始运作，利用 SPF 和 DKIM 电子邮件策略，每天通过安全电子邮件网关发送数百万封网络钓鱼电子邮件。攻击者还将整封邮件设计成图片，以躲避基于文本的垃圾邮件过滤器，而这些邮件来自可信域的事实也有助于绕过检测。

消息来源：IT之家  https://baijiahao.baidu.com/s?id=1792113739751842291&wfr=spider&for=pc

俄罗斯APT28组织隐秘攻击Ubiquiti路由器，以逃避安全检测

Bleepingcomputer网站消息，近日，美国联邦调查局与国家安全局、美国网络司令部及国际合作伙伴联合发布警告称，俄罗斯军方黑客正通过被入侵的Ubiquiti EdgeRouters来逃避检测。

早在2018年4月，美国和英国当局已经联合发布报告称，俄罗斯黑客正在攻击家用及企业级路由器。该报告强调，俄罗斯黑客长期以来一直将互联网路由器作为攻击目标，通过这些设备发起中间人攻击以支持其间谍活动，保持对受害者网络的持续访问，并为进一步的攻击活动奠定基础。
这些黑客属于俄罗斯总参谋部情报总局（GRU）下的26165军事单位，也被称为APT28和Fancy Bear。他们利用这些受到攻击的路由器创建了大型的僵尸网络，以便窃取登录凭证、搜集NTLMv2认证信息，并用作恶意流量的中转站。此外，在针对全球各地的军事、政府及其他机构的秘密网络行动中，APT28还利用EdgeRouters部署定制工具和设置钓鱼网站的登录页面。联合警告指出，EdgeRouters通常以默认的登录凭据出售，并且为了方便无线互联网服务提供商（WISPs）的使用，这些路由器的防火墙保护非常有限或几乎不存在。除非用户进行设置，否则EdgeRouters不会自动更新其固件。本月早些时候，美国联邦调查局（FBI）破坏了一个由网络罪犯创建的僵尸网络，该网络由感染了Moobot恶意软件的Ubiquiti EdgeRouters组成。虽然被破坏的僵尸网络与APT28无关，但后来该组织重新利用这些路由器，构建了一个具有全球影响力的网络间谍工具。在调查被黑路由器的过程中，FBI发现了各种APT28发起攻击使用的多种工具和痕迹，其中包括用来窃取网络邮件凭据的Python脚本、用来搜集NTLMv2认证摘要的程序，以及自动将钓鱼流量重定向到攻击专用基础设施的定制路由规则。

APT28：

APT28是一个声名狼藉的俄罗斯黑客组织，自成立以来，已经被查明是多起高调网络攻击的幕后黑手。

2016年，该组织入侵了德国联邦议院（Deutscher Bundestag），并在美国总统选举前对民主党国会竞选委员会（DCCC）和民主党全国委员会（DNC）发起了攻击。

两年后（即2018年），APT28成员因参与DNC和DCCC的攻击在美国被起诉。

2020年10月，欧洲联盟理事会因APT28成员参与德国联邦议院黑客事件对其实施了制裁。

如何“恢复”被入侵的Ubiquiti EdgeRouters：

FBI及其合作机构在通告中建议采取以下措施，以消除恶意软件感染并阻止APT28访问被入侵的路由器：

1、将硬件恢复出厂设置以清除恶意文件；

2、升级到最新的固件版本；

3、更改所有默认的用户名和密码；

4、在广域网（WAN）侧接口部署策略性防火墙规则，避免远程管理服务被不当访问。

目前，联邦调查局正在搜集有关APT28在被黑的EdgeRouters上的活动信息，目的是为了阻止这些攻击技术的进一步使用，并对相关责任者进行问责。

如果发现任何与这些攻击有关的可疑或非法行为，应立即向当地的FBI办公室或联邦调查局的互联网犯罪投诉中心（IC3）进行报告。

消息来源：FREEBUF  https://www.freebuf.com/news/392782.html

来源:本安全周报所推送内容由网络收集整理而来，仅用于分享，并不意味着赞同其观点或证实其内容的真实性，部分内容推送时未能与原作者取得联系，若涉及版权问题，烦请原作者联系我们，我们会尽快删除处理，谢谢！