安全资讯汇总：2024.11.4-2024.11.8

安全专栏

2024/11/4-2024/11/8

江南信安网络安全汇总专栏，每周为您提供网络安全领域「标准规范、安全热点、行业发展、深度好文、融资信息」等最新资讯的追踪与共享。

标准规范

1.《终端计算机通用安全技术规范》等3项网络安全国家标准获批发布

根据2024年10月26日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2024年第24号），全国网络安全标准化技术委员会归口的3项网络安全国家标准正式发布。具体清单如下：

安全热点

1.施耐德电气开发平台遭入侵，40GB敏感数据恐遭泄露

施耐德电气近日确认，公司的一个开发者平台遭到入侵，黑客声称从该公司的JIRA服务器窃取了40GB数据。施耐德电气表示，该公司正在调查一起针对其内部项目执行跟踪平台的网络安全事件，该平台位于隔离环境中。施耐德电气全球事件响应团队已立即投入应对，目前该公司的产品和服务均未受到影响。

作为一家法国跨国公司，施耐德电气主要生产能源和自动化产品，产品范围涵盖从大型商场销售的家用电气组件到企业级工业控制和楼宇自动化产品。不久前，一名自称"Grep"的威胁行为者在社交平台X上宣称，其使用暴露的凭证入侵了施耐德电气的Jira服务器；获取访问权限后，他们使用 REST API抓取了40万行用户数据，其中包括7.5万个独特的电子邮件地址，以及施耐德电气员工和客户的完整姓名。

值得注意的是，Grep还表示，他们最近成立了一个名为国际合约机构（ICA）的新黑客组织，该名称源自游戏《杀手：代号47》。该组织声称不会勒索被入侵的公司，但如果公司在48小时内不承认遭到入侵，他们就会泄露所窃取的数据。

2.麻省理工技术评论遭黑客入侵，29万用户数据或泄露

黑客"Intel "近日声称通过第三方承包商成功入侵麻省理工技术评论网站，并在黑客论坛 上泄露了290,762名用户的个人数据。据分析，这些泄露的数据可能来自该网站的资讯通讯订阅者名单。

经过验证，泄露的数据包括用户全名、活动日期、教育背景和电子邮件地址（去重后共1343个）。虽然泄露的信息中并未包含密码、社会安全号码或金融数据等高度敏感信息，但这些个人身份信息仍可能被用于钓鱼诈骗或身份验证攻击，对用户隐私构成威胁。

作为麻省理工学院旗下的知名科技类出版物，麻省理工技术评论以其对新兴技术及其社会影响的深入分析而闻名。此次数据泄露不仅可能影响该平台的读者和贡献者的隐私，还可能对出版物的声誉造成挑战。

3.诺基亚遭遇重大数据泄露，供应链攻击威胁再次暴露

近日，有消息称诺基亚的源代码及其他敏感信息在地下黑客论坛上被公开出售。据称，黑客使用默认凭据访问了诺基亚第三方供应商的服务器，下载了客户项目，包括属于诺基亚的项目。被窃取的数据据称包括 SSH 密钥、源代码、RSA 密钥、 凭据、 *** TP 帐户、 和硬编码凭据。

诺基亚已就此事作出回应:"诺基亚已注意到有人声称获取了某些第三方承包商数据，可能还包括诺基亚的数据。诺基亚对此严正声明，并展开调查。到目前为止，我们的调查未发现任何系统或数据受到影响的证据。我们将继续密切关注此事。"

该事件的影响可能超出诺基亚自身系统。据网络安全资讯媒体"国际网络文摘"报道，此次事件可能还影响到诺基亚与印度更大电信运营商 Idea (VIL) 相关的4G/5G产品数据。

如果事实证实，这起被指控的数据泄露事件可能会产生广泛影响。源代码和内部凭证的泄露，可能导致诺基亚产品被逆向工程，揭示未来攻击者可能利用的漏洞。

4.高通芯片组曝严重安全缺陷，或影响数百万设备

日前，谷歌公司在最新的安全公告中官方披露了两个正在被黑客积极利用的零日安全缺陷，并呼吁用户立即更新设备系统。

其中，其中一个缺陷（CVE-2024-43047）是一个影响高通芯片组的高危漏洞，CVSS评分达到7.8。这个存在于高通驱动程序中的释放后使用（use-after-free）漏洞可能被攻击者利用来执行任意代码，进而实现未授权访问和权限提升。该漏洞影响包括骁龙8（之一代）在内的数十款高通芯片组，波及摩托罗拉、三星、、OPPO、小米和中兴等品牌的众多手机。

另一个安全缺陷也被报告正在遭受积极利用，但由于仍在进行正式审查和文档编制，目前关于该缺陷的详细信息有限。针对以上缺陷，谷歌和高通公司目前已经联合发布了修复补丁，建议相关设备制造商尽快部署这些补丁，同时也建议用户立即检查并安装最新的安全更新。

行业动态

1.发布2024年中国技术成熟度曲线：LLM即将步入成熟期，复合式AI是中国企业最务实的选择

近期，发布的2024年中国数据、分析和人工智能技术成熟度曲线显示，未来两到五年，大量具有颠覆性或较高影响力的创新技术可能会实现主流采用。其中AI相关的创新包括复合型AI、决策智能、国产AI芯⽚、LLM和多模态GenAI。

毋庸置疑，生成式AI、大模型一定是当前最受关注的热点技术。由此，也带动了AI芯片、多模态GenAI、决策智能等一系列创新技术的发展。近期，发布的2024年中国数据、分析和人工智能技术成熟度曲线显示，未来两到五年，大量具有颠覆性或较高影响力的创新技术可能会实现主流采用。其中AI相关的创新包括复合型AI、决策智能、国产AI芯⽚、LLM和多模态GenAI。

2.美国联邦机构发布全新零信任数据安全指南

美国联邦首席数据官（CDO）和首席信息安全官（CISO）委员会近日联合发布了一份全新的联邦零信任指导文件，重点关注数据安全加强工作。据报道，该指南的发布恰逢各联邦机构需要向国家网络主任办公室和管理预算办公室提交更新后的零信任采用计划之际。

这份指导文件不仅详细阐述了数据保护措施以及数据识别、定义和分类技术，还重点强调了网络安全威胁、数据存储故障等相关安全风险，并提供了数据实践的更佳建议。

联邦能源监管委员会CDO兼CDO委员会主席 表示："本指南凝聚了一线机构从业者在实施零信任和保护组织数据方面的宝贵经验。我们正在建立数据与网络安全之间的协作关系，以应对这一 *** 范围内的挑战，最终确保公众数据的安全。"

3.突破性进展！ AI首次发现内存漏洞

日前，由 Zero和Deep Mind团队合作开发的"Big Sleep"大语言模型（LLM）项目，在广泛使用的开源数据库引擎的生产版本中发现了一个内存安全漏洞，这是该类AI工具首次取得的重大突破。

据介绍，Big Sleep在的公开发布版本代码中发现了一个潜在的边缘情况模式，这需要所有使用该字段的代码进行特殊处理。在处理包含"rowid"列约束的查询时，代码中的一个函数未能正确处理这一边缘情况，导致出现可利用的堆栈缓冲区下溢漏洞。已于10月初向开发团队报告了这一漏洞，开发团队当天就完成了修复，在正式版本发布前解决了这一问题。

指出，虽然模糊测试（）已显著减少了生产软件中的漏洞，但变体分析更适合当前的LLM，因为它为搜索提供了明确的起点。 Big Sleep虽然仍处于研究阶段，但其成功表明AI在软件漏洞发现方面具有巨大潜力，这可能最终帮助防御者获得不对称优势。

4.首份数字广州规划正式出炉

近日，广州市人民 *** 印发了《数字广州建设总体规划》（以下简称《规划》），这是广州首次从顶层设计维度，高标准、多角度、全方位描绘了“数字广州”发展蓝图。

《规划》共7章24节，提出了“13535”的总体架构，涵盖了数字经济、数字政务、数字文化、数字社会、数字生态文明“五位一体”全域数字化转型的方方面面。《规划》提出，到2030年，力争建成数字中国标杆城市，数字基础设施建设保持全国领先，数据要素市场化配置改革成效显著，城市全域数字化转型全面突破，形成一批具有世界影响力的数字产业集群。展望2035年，力争成为全球数字科技及产业创新高地，数字活力全面激发，数字基础设施达到世界先进水准，走出一条超大城市全域数字化转型新路径，人民群众享有更加美好的数字生活，率先实现社会主义现代化。

深度好文

1.基于密码的5G数据安全防护体系研究

5G作为数字经济全面发展的新引擎，极大丰富了数据内容和数据维度，但数据流动与安全保护相互影响，使得5G数据安全防护问题日益突出。首先，从政策和标准规范2个方面对国内外5G数据安全的研究现状进行介绍；其次，对5G数据面临的安全威胁进行分析，以密码技术为核心，提出了一种基于密码的5G数据安全防护体系，包括终端数据安全、核心网数据安全、无线数据安全和通用数据安全等多个方面；最后，对推动5G数据安全的发展提出针对性的建议，为构建适应我国5G发展阶段和基本国情的5G数据安全治理体系，形成5G数据安全保障能力奠定基础。

2.特朗普会抛弃拜登的“网络安全遗产”吗？

特朗普胜选后，业界普遍预测“跛脚鸭总统”拜登很有可能赶在在年底之前颁布第二道网络安全总统行政令，以在卸任前完成更多网络安全政策的布局。

据消息人士透露，这项总统命令预计将在国会“跛鸭期”内（年末）发布，覆盖从“安全设计”倡议到供应链责任、IT和操作技术安全、互联网路由、密码管理、身份管理、人工智能以及网络安全人才培养等一系列主题，新的总统行政令的重点和看点如下：

3.Wi-Fi测试套件漏洞入侵商用路由器 背后原因剖析

近期，网络安全领域再次敲响警钟，一个影响Wi-Fi测试套件的高危漏洞被公开，编号为CVE-2024-41992。这一漏洞允许未经验证的本地攻击者通过发送特制数据包，在特定路由器上执行任意代码，并获取更高级别的root权限。令人担忧的是，这一本应仅用于测试环境的工具，却被发现部署在了一些商用路由器上，引发了广泛的安全担忧。

SSD 曾在2024年8月公布了该漏洞的细节，描述其为一个命令注入案例，可能使攻击者能够以root权限执行命令。该漏洞最初是在2024年4月报告给Wi-Fi联盟的。CERT/CC强调，成功利用这个漏洞的攻击者可以完全控制受影响的设备，包括修改系统设置、破坏关键网络服务或完全重置设备，这可能导致服务中断、网络数据泄露，以及所有依赖受影响网络的用户可能失去服务。

4.数据基础设施构建与密码技术支撑

在全球数字化转型的浪潮中，数据要素已经成为国家间竞争的关键资源之一。国内近期密集出台了一系列与数据相关的政策和战略，包括《关于加快公共数据资源开发利用的意见》、《可信数据空间发展行动计划（2024-2028年）》（征求意见稿）。这些政策在逐步勾勒出我国未来数据要素领域的总体规划蓝图，同时也为数据基础设施的建设与数字安全的提供了更清晰的技术路线。

本文将从数据要素未来规划的宏观层面切入，深入剖析数据基础设施的技术支撑，并探讨密码安全技术在数据基础设施中的核心作用及价值。