5项网络安全推荐性国家标准计划下达；谷歌拟以230亿美元收购以色列初创云安全公司Wiz|牛览

点击蓝字·关注我们 / aqniu

新闻速览

• 5项网络安全推荐性国家标准计划下达

• 国家标准《数据安全技术 个人信息保护合规审计要求》公开征求意见

• 美国国家安全局线上培训平台被曝存在跨站请求伪造缺陷

• PHP安全漏洞被频繁用于恶意软件传播与攻击

• 新兴威胁组织CrystalRay的行动规模已快速扩大10倍

• Citrix惊现9.4分高危漏洞，建议组织立刻修复

• Snowflake将强制用户实施多因素身份验证

• 谷歌拟以230亿美元收购以色列初创云安全公司Wiz

• 亚马逊将为新一代AI技术应用构建安全护栏

• 富士通否认受到勒索软件攻击 

特别关注

5项网络安全推荐性国家标准计划下达

近日，国家标准化管理委员会下达了最新推荐性国家标准计划，其中包括5项由全国网络安全标准化技术委员会（全国网安标委）归口的标准项目。

全国网安标委要求，相关项目所属工作组制定项目推进计划，并督促项目牵头承担单位按计划抓紧落实，在计划执行中要加强协调，广泛征求意见，确保标准质量和水平，按要求完成国家标准制修订任务。

原文链接：

https://mp.weixin.qq.com/s/WH9sGyC0wIY4oRiZcr2l8A

国家标准《数据安全技术 个人信息保护合规审计要求》公开征求意见

日前，全国网络安全标准化技术委员会归口的国家标准《数据安全技术 个人信息保护合规审计要求》现已形成标准征求意见稿。

根据《全国网络安全标准化技术委员会标准制修订工作程序》要求，全国网络安全标准化技术委员会秘书处现已将该项标准征求意见稿面向社会公开征求意见。标准相关材料已发布在网安标委网站（网址https://www.tc260.org.cn/front/bzzqyjList.html?start=0&length=10），如有意见或建议请于2024年9月11日24:00前反馈秘书处。

联系人：

王丹丹 18811126578 wangdd@cesi.cn

张博然 13051502670 zhangbr@cesi.cn

原文链接:

https://mp.weixin.qq.com/s/rXkdU6Bffq_TcI9Wi31XOw

网络攻击

美国国家安全局线上培训平台被曝存在跨站请求伪造缺陷

研究人员日前在美国国家安全局在GitHub上的开源SkillTree培训平台上发现了一个中等严重性的跨站请求伪造（CSRF）漏洞。该漏洞已被标识为CVE-2024-39326，可被利用来进行未经授权的培训内容修改。

研究人员发现，这个漏洞的危害主要在于SkillTree在状态更改操作中缺乏足够的CSRF保护，这使得攻击者可以利用这个漏洞传播错误信息并干扰培训过程。美国国家安全局的安全维护人员已通过新的SkillTree版本强化CSRF防御来解决这个问题，但这类漏洞进一步凸显了开源项目中的安全风险。

原文链接：

https://www.scmagazine.com/brief/unauthorized-content-alteration-bug-found-in-nsa-platform 

PHP安全漏洞被频繁用于恶意软件传播与攻击

近日，Imperva公司披露，PHP安全漏洞CVE-2024-4577频繁被攻击者用来传送远程访问木马、加密货币挖矿程序和分布式拒绝服务（DDoS）僵尸网络。该漏洞同时还被TellYouThePass勒索软件行为者利用，用于传播文件加密恶意软件.NET的变种。

据了解，该漏洞于2024年6月初被公开披露，允许攻击者利用中文和日文语言环境在Windows系统上远程执行恶意命令。Akamai研究人员分析，CVE-2024-4577漏洞存在于Unicode字符转换为ASCII的过程中，攻击者可以通过生成特定的Unicode字符序列来绕过转换过程的限制，将参数传递给PHP进行解释和执行，在受影响的系统上执行任意恶意命令。

安全专家建议用户和组织应将PHP更新到最新版本以防范当前威胁。

原文链接：

https://thehackernews.com/2024/07/php-vulnerability-exploited-to-spread.html

新兴威胁组织CrystalRay的行动规模已快速扩大10倍

Sysdig威胁研究团队（TRT）近日发布的报告显示，新兴威胁组织CrystalRay目前的行动规模扩大了10倍，通过大规模扫描，利用多个漏洞，使用多个开源安全工具（例如zmap、asn、httpx、nuclei、platypus和SSH-Snake）来放置后门。该组织的目标受害者数量已经超过1500个。

Sysdig威胁研究团队（TRT）于2024年2月首次发现CrystalRay。该组织专注于收集和出售凭证在黑市进行交易，部署加密货币挖矿程序，并在受害者环境中长久保留。

据了解，相比传统的僵尸网络，该组织能够以更精确的方式针对特定国家的IP网络地址进行攻击，而主要的攻击目标（超过54%）位于美国和中国。在攻击活动中，攻击者会大量使用ASN工具进行侦察，查询Shodan以获取有关目标的数据，以更好地规划他们的攻击。他们还使用来自Marcel Bischoff的country-ip-blocks存储库的数据，针对特定国家生成IPv4/IPv6 CIDR块以发动更精准的攻击。

原文链接：

https://securityaffairs.com/165607/cyber-crime/crystalray-operations-scaled-10x.html

Citrix惊现9.4分高危漏洞，建议组织立刻修复

日前，美国网络安全和基础设施安全局（CISA）和爱尔兰国家网络安全中心（NCSC）都发布了安全提醒，指出在Citrix 云端管理工具NetScaler Console中存在一个关键漏洞（CVE-2024-6235），可能导致攻击者未经授权访问敏感数据，构成重大安全风险。这个高危漏洞在通用漏洞评分系统（CVSS）上得分为9.4，建议相关用户立即修复这个漏洞。

漏洞源于NetScaler Console内部的身份验证控制不当，可能允许获取了控制台IP地址访问权限的攻击者绕过安全措施并窃取敏感信息。版本号低于14.1-25.53的NetScaler Console 14.1版本都受该漏洞的影响。鉴于NetScaler此前曾被利用为攻击目标，以及此次漏洞的严重性，立即修复所有受影响的Citrix产品至关重要。

原文链接：

https://thecyberexpress.com/critical-severity-bug-in-netscaler-console/

产业动态

Snowflake将强制用户实施多因素身份验证

在众多账户受到黑客攻击一个月后，美国云存储公司Snowflake近日强制要求所有用户账户必须实施多因素身份验证（MFA），包括曾受攻击的Ticketmaster和桑坦德银行账户。

Snowflake官方表示，客户可以根据自身的喜好具体选择认证因素，但建议优先采用OAuth和其他密钥对身份验证系统。Snowflake还推出了新的Snowflake Trust Center，旨在更好地跟踪符合已发布的多因素身份验证政策的采用情况。

目前，Snowsight已在管理登录界面中明确提醒用户启用多因素身份验证。对于还没有启用多因素身份验证的用户，他们会在登录时收到提示，并被引导完成相关的配置工作。

原文链接：

https://www.scmagazine.com/brief/mandatory-mfa-option-unveiled-by-snowflake

谷歌拟以230亿美元收购以色列初创云安全公司Wiz

据知情人士透露，谷歌母公司Alphabet正在与网络安全初创公司Wiz深入谈判，拟以约230亿美元的价格收购后者。如果交易达成，这将是这家科技巨头迄今为止最大的收购案。

Wiz成立于以色列，目前公司运营总部位于纽约，是近年来全球发展最快的初创安全公司之一，主要提供基于云的新型网络安全解决方案，并基于人工智能提供实时的威胁检测和响应能力。根据Wiz的官方网站资料显示，该公司2023年营收约为3.5亿美元，与40%的财富100强企业均有合作。Wiz在最近一轮私募融资中筹集10亿美元，估值达到120亿美元。

观察人士认为，本次收购意向凸显了谷歌对网络安全领域明确而持续的关注。2022年，该公司就曾以54亿美元收购了网络安全公司Mandiant。

原文链接：

https://www.infoworld.com/article/2336527/google-to-merge-angular-and-wiz-frameworks.html

亚马逊将为新一代AI技术应用构建安全护栏

亚马逊公司在近日举办的年度AWS峰会上，再次强调安全性是AWS生成式AI技术应用的最高优先事项。为了解决用户对生成式AI技术应用幻觉的担忧，亚马逊宣布在其Guardrails for Amazon Bedrock上引入上下文验证检查功能。

Bedrock是亚马逊的生成式AI托管平台，Guardrails旨在帮助用户构建AI安全护栏。Guardrails现有一组生成式人工智能参数，用于减少有害输出。上下文验证检查将检测和阻止RAG和摘要功能中模型响应中的幻觉，同时确保模型的响应源自正确的企业源数据，并与用户的原始查询相关。亚马逊Web服务（AWS）报告称，Guardrails可以过滤掉高达75%的幻觉。为了扩大其负责任人工智能的范围，AWS宣布推出Guardrails功能的API版本，使客户能够在非由Bedrock托管的基础模型上应用该功能。

AWS还宣布了其负责任人工智能计划的进展更新，其中包括视觉水印技术、政策指南和使用培训资源等。

原文链接:

https://www.zdnet.com/article/amazon-updates-ai-enterprise-solutions-with-guardrails-at-aws-summit/

富士通否认受到勒索软件攻击

日前，日本富士通（Fujitsu）公司官方宣布，已结束对发生于今年 3 月的网络攻击事件调查。结果显示，攻击者发起攻击的原因并不是为了财务勒索，而是通过一种复杂机制来逃避检测，从而窃取公司的敏感数据。

公告指出：“经调查发现，受影响的计算机并非通过富士通提供的云服务进行管理的。此外，没有发现富士通向客户提供的服务被非法访问。因此本次攻击的损害并未蔓延到公司商用计算机之外，包括客户的网络环境。”

尽管如此，这次攻击还是导致了部分公司数据的泄露，其中包括“某些客户的个人或业务相关信息”的文件。该公司表示，目前已经加强了安全防护措施，包括对所有商用电脑实施针对未命名恶意软件的安全监控规则，并增强病毒检测软件的功能和更新。

原文链接：

https://www.darkreading.com/endpoint-security/fujitsu-suffers-worm-attack-not-ransomware

合作电话：18311333376

合作微信：aqniu001

投稿邮箱：editor@aqniu.com