一、近期网络与信息安全风险提示

（一）近期，某黑客组织针对国内重要单位攻击事件频发。攻击者通过替换图片的方式张贴标语，并在境外社交媒体发布截图以造成不良影响。请各党政机关、企事业单位、大专院校提高重视，加强所辖门户网站、重要信息系统的监测巡查和加固防护，加强值班值守，严防内容篡改类事件发生，做好以下工作：

1、及时更新操作系统、开发框架、应用组件、各类综合管理或内控软件版本，防范漏洞利用攻击。

2、做好暴露面收敛，强化访问控制限制，不建议直接将网站内容管理系统（CMS）后台登录页面暴露在互联网侧。

3、做好弱口令账户，闲置系统及测试系统的清理。

4、减少页面不必要的用户交互，如删除不必要的在线编辑工具或文件上传点。

若发现网络安全异常情况，第一时间开展应急处置，并向主管单位、市互联网信息办公室进行报告。

（二）近日，境外黑客组织“匿名者”对我境内多个网站和电子广告牌系统发起网络攻击，篡改页面植入涉政有害信息，造成不良影响。

请各地高度重视，督促有关单位加强防范，同时加强值班值守，组织技术力量加强本地重要网站和系统尤其是电子广告牌系统的网络安全监测，做好应急准备，快速处置突发事件，及时消除影响。重要情况及时报告。

（三）大华智慧园区综合管理平台存在远程代码执行漏洞。近期，部分版本的大华智慧园区综合管理平台曝出存在远程代码执行漏洞，由于特定文件上传接口过滤不严谨，攻击者可通过构造恶意数据实现任意文件上传，并通过远程执行代码获取服务器权限。大华智慧园区管理平台是一套在大型企业和学校单位广泛使用的智能化园区综合管理系统，系统内的视频监控数据，人员车辆信息相对敏感，当前漏洞验证工具已在互联网上公开，建议涉及使用相关产品的单位尽快将平台升级至安全版本。

（四）金融类仿冒App事件高发。近期，国家互联网应急中心接到多起涉我省ICP备案域名或IP涉嫌传播仿冒App事件的申诉，被仿冒对象包括招商银行、平安银行、中心银行及人民银行等单位，攻击者利用部分省内单位闲置域名，构造虚假下载站或二维码链接，传播仿冒手机银行及数据人民币客户端，意在窃取用户凭据或引导用户使用不相关的金融服务。建议各级单位做好网络安全意识培训教育，通过官方渠道下载手机应用，养成良好使用习惯，避免个人信息泄露和财产损失；另一方面开办网站的单位应做好自身域名的全生命周期管理，避免网站或系统下线后，域名处置不当被不法分子利用。

（五）畅捷通T+存在远程命令执行及SQL注入漏洞。近期，用友旗下的畅捷通T+管理软件曝出存在反序列化漏洞及SQL注入漏洞，未经过身份认证的攻击者可以利用相关漏洞，通过构造恶意的请求在目标服务器上执行任意命令或SQL查询操作，对业务可用性及数据保密性造成严重影响。 畅捷通T+是国内使用较为广泛的财务业务一体化应用，两个漏洞的技术细节已在互联网上公开，且目标探测的难度较低，潜在的攻击风险升高，建议涉及使用该产品的单位尽快参照官方指导进行补丁更新。

（六）注意加强网站内容管理系统的管理和防护。近期，云南互联网应急中心检测发现或接报多起省内重要单位网站内容管理系统（CMS）安全问题，主要涉及弱口令和权限绕过两类，攻击者可利用相关漏洞直接获取网站控制权限，获取配置信息，破坏业务可用性，并编辑发布非法或不实信息，存在较高的管理风险。建议网站运营单位加强管理，重点关注由第三方单位托管支撑的系统，做好访问控制限制，避免直接将管理后台暴露在互联网侧，同时应定期开展漏洞和弱口令清排，重要网站管理用户登陆鉴权应执行双因子认证。

二、近期国内外网络安全事件

（一）安卓、鸿蒙指纹识别曝安全漏洞，可无限次暴力破解。近日，腾讯玄武实验室与浙江大学研究人员发现了一种攻击技术，可以利用该技术对智能手机上的指纹进行暴力破解，以绕过用户认证并获得对设备的控制。该攻击方法被称为BrutePrint，通过利用智能手机指纹认证（SFA）框架中的两个零日漏洞，绕过身份验证。这两个漏洞分别为"匹配失败后取消"（CAMF）和 "匹配后锁定"（MAL）。在破解前要拥有一个指纹数据库和一个由微控制器板和一个可以劫持指纹传感器数据的自动采集器装置，这些设备总价仅需15美元。BrutePrint 攻击位于指纹传感器与可信执行环境（TEE）之间，利用 CAMF 漏洞来操纵智能手机指纹认证的多点采样和错误取消机制。CAMF 在指纹数据上注入一个错误的校验和以停止认证过程。因此，攻击者可以在目标设备上不断尝试指纹输入，但手机保护机制并不会记录错误的尝试次数，最终实现无限次的尝试。在实验设置中，BrutePrint针对苹果、华为、OnePlus、OPPO、三星、小米和vivo的10种不同的智能手机型号进行了评估，在安卓和HarmonyOS上产生了无限次尝试，在iOS设备上产生了10次额外的尝试（最高15次）。

（二）北美MCNA牙科公司泄露了 890 万用户的敏感信息。近日，Bleeping Computer网站披露，北美MCNA牙科公司在其网站上发布一份数据泄露告示，通知近900 万患者个人数据泄露了。MCNA在通告中声称2023年3月6日内部人员发现其计算机系统遭到未经授权访问后，立即展开了调查，结果显示某黑客在 2023年2月26日侵入了MCNA的内部网络系统。在此期间，黑客窃取近900万用户的个人信息数据包括：全名、地址、出生日期、电话、电子邮件、社会安全号码、驾照号码、政府颁发的身份证号码、健康保险（计划信息、保险公司、会员号码、医疗补助--医疗保险身份证号码）、牙齿或牙套的护理（访问、牙医姓名、医生姓名、过去的护理、X射线/照片、药物和治疗）、账单和保险单。MCNA在意识到遭受了网络攻击后，立刻向缅因州总检察长办公室报告了攻击事件。此次攻击事件影响了包括病人、父母、监护人或担保人在内的8923662人。MCNA 表示目前公司内部已经采取了一切可用措施补救，并加强了内部系统的安全性，以防止未来发生类似事件。此外，在发送给受影响用户的通知中附有可通过 IDX 获得12个月免费身份盗窃保护和信用监控服务的使用激活说明书。（坏消息是，MCNA没有每个人的现居住地址，不能保证每个受影响的个人都会收到通知）。MCNA还联系了执法部门，以帮助阻止黑客滥用被盗信息。

（三）德国军火商莱茵金属遭遇勒索软件攻击，民用业务遭重创。近日，德国汽车和武器制造商莱茵金属公司称其遭遇了BlackBasta勒索软件攻击，影响了其民用业务。莱茵金属是一家德国汽车、军用车辆、武器、防空系统、发动机和各种钢铁产品的制造商，拥有超过2.5万名员工，年收入超过70亿美元。5月20日，BlackBasta在其勒索网站上发布了莱茵金属公司的信息，并附上了黑客窃取的数据样本，包括保密协议、技术原理图、护照扫描和采购订单。莱茵金属公司的发言人公开回应了此事，称该公司确实遭遇了攻击，但此次攻击只影响到了其民用部门。莱茵金属公司正在努力解决因此次攻击造成的问题，首次攻击是在2023年4月14日发现的，影响到了集团的民用业务。由于集团内部IT基础设施均是分离管控，所以莱茵金属的军事业务并没有受到此次攻击的影响。该公司已经通知了相关的执法部门，并向科隆检察院提起了刑事申诉。BlackBasta攻击活动频繁：2022年4月，BlackBasta勒索软件团伙开始开展攻击行动，针对很多知名企业实施了多次攻击。2023年5月7日，该威胁组织宣称其攻击了行业领先的电气化和自动化技术企业ABB。2023年4月，BlackBasta入侵了加拿大目录出版商黄页集团，并窃取了其敏感文件和数据。2023年3月22日，黑客入侵了英国外包巨头Capita的企业网络，该公司曾与英国政府和军队的多个部门签订了合同。5月13日，Capita担心BlackBasta会泄露他们的客户数据，所以也给客户做了风险预警告知。

（四）英国曼彻斯特大学遭遇网络攻击，机密数据或遭窃！。近日，曼彻斯特大学声称遭遇了一次网络攻击，威胁者很可能从大学网络中窃取了机密数据。曼彻斯特大学是一所公共研究机构，也是英国最大、最成功的教育和研究中心之一，拥有1万多名员工和超过4.5万名学生。曼彻斯特大学在其网站上发表的一份声明中表示，他们于上周二（6月6日）发现了这一漏洞，并立即展开了调查。该大学在其网站声明中写道：很遗憾地告诉大家，我们确实是此次网络事件的受害者。学校系统被未经授权的入侵者访问，数据很可能已被复制。目前内部专家和外部支持人员正对此事进行排查，并努力及时恢复系统。学校方面表示，他们已经通知了所有相关部门，包括信息专员办公室、国家网络安全中心(NCSC)和国家犯罪局，有关安全和数据泄露的情况。目前首要任务就是解决这个问题，并尽快向受影响的人提供信息，校方正在集中手上所有可用的资源来尽快解决此事。此外，曼彻斯特大学表示，其安全事件与最近的MOVEit Transfer数据盗窃攻击或Zellis的相关数据泄露无关。虽然该大学的声明没有提供有关攻击的任何进一步细节，但据BleepingComputer最新消息，此次攻击或是源于勒索软件。

（五）门禁巨头遭勒索攻击，北约、阿里集团等多个实体受到影响。近日，疑似与俄罗斯有关的勒索软件团伙 ALPV/BlackCat袭击了安全门禁制造商Automatic Systems，北约、阿里巴巴、泰雷兹等多个实体组织可能受到影响。攻击事件发生后，ALPV/BlackCat 在暗网泄露网站上发布了安全门禁制造商 Automatic Systems 受影响客户的所谓机密数据，其中包括从保密协议到护照副本一百多个被盗数据样本。很快，Automatic Systems 公司在其网站上发布消息承认遭受了网络攻击，并表示网络入侵发生在6月3日，威胁攻击者的目标是“其部分服务器” ，意识到遭遇攻击后，公司立即采取保护措施来阻止勒索软件的传播。ALPPV/BlackCat称其窃取了大量Automatic Systems公司合作伙伴和客户的个人信息、财务数据、护照详细信息和其他信息。该组织在暗网博客上发布帖子称被盗的数据包括与北约合作、为军事公司采购设备的机密文件，以及此类设备的安装和使用的详细计划。此外，帖子显示了阿里巴巴似乎和受害者Automatic Systems有业务关系。Automatic Systems公司声称目前在正在调查中，已与总部所在地比利时的执法部门取得联系。

（六）ALPHV BlackCat勒索团伙非法窃取谷歌、Meta互动机密信息。近日，ALPHV/BlackCat勒索软件团伙声称访问到了大量敏感数据，包括某科技巨头处理特殊服务信息请求的方式以及特殊代理商的凭据。攻击者表示，他们还攻击了法律技术平台Casepoint，这样就可以访问到2TB敏感数据，包括执法部门与谷歌和Facebook母公司Meta等科技公司互动的方式等。5月下旬，ALPHV/BlackCat勒索软件卡特尔涉嫌破坏美国法院，证券交易委员会（SEC）和国防部（DoD）使用的Casepoint。攻击者还提到，他们可以访问Cellebrite的产品的内部运作，Cellebrite是一家专门从事数字取证的以色列公司。执法机构使用Cellebrite的工具，如通用取证提取设备（UFED），从移动设备中提取数据。网络犯罪分子坚称，他们获取了警方的“Operation Blooming Onion”特别行动数据，这是一项由美国几家执法机构牵头的人口贩运调查，揭示农业组织是如何将外国工人偷运到美国。ALPHV/BlackCat筛选了被盗数据，发现了员工使用的加密硬盘。他们表示安全设备的使用并不安全，Casepoint的员工可能会将解密的驱动器留在电脑上数天甚至数周。据推测，该团伙获得了极其敏感的数据，比如特工和主管的姓名，以及与该行动有关的交易照片。Casepoint是一家受欢迎的法律技术公司，法律部门、律师事务所和公共机构都会使用它来浏览数据。用户将文档上传到Casepoint的云数据库，该库可对数据进行流畅的分析。该公司拥有许多知名客户，如美国国家信用合作社管理局(NCUA)、酒店运营商万豪、德国工业巨头蒂森克虏伯、学术医疗中心梅奥诊所、铁路运营商BNSF铁路等。

普洱学院信息中心

2023年7月3日