六方云 安全态势周刊丨第259期

1、国内首个《云原生安全配置基线规范》标准正式发布

2023年7月25日，由中国信息通信研究院（以下简称“中国信通院”）、中国通信标准化协会主办的第十届可信云大会在北京成功举办。会上正式发布了由云计算开源产业联盟归口的国内首个《云原生安全配置基线规范》标准。

https://pan.baidu.com/s/1ISmM1yp4cjlZo698WM2ORA?pwd=cnsl

2、谷歌发布2022年在野利用0day年度回顾报告

2022年遭在野利用的0day漏洞共计 41个，是自2014年年中统计以来数量最多的第二个年份，虽然不敌2021年检测出的数量69个。虽然说数量比2021年减少了40%，似乎安全性得到明显提升，但实际情况要复杂得多。

https://security.googleblog.com/2023/07/the-ups-and-downs-of-0-days-year-in.html

3、美股上市公司新规 重大网络安全事件需在4天内披露

美国证券交易委员会（SEC）于26日通过新规，要求上市公司在4天内披露所有可能影响其利润的网络安全违规事件。如果立即披露会带来严重危及国家安全或公共安全，可延迟披露。

https://apnews.com/article/sec-cybersecurity-breach-disclosure-risk-hacking-bb6252463637793bfdc8ace5bfcbe7df

4、思科、飞塔、Juniper等11家企业联合成立网络弹性联盟

7 月 25 日，网络安全和服务提供商领域的11家科技行业领导者发起了网络弹性联盟，以解决网络硬件和软件弹性的持续缺乏问题。该联盟正在通过鼓励及时更新和修补以及更好的沟通来解决这个问题。网络弹性联盟成员包括 AT&T、博通、BT Group、思科、Fortinet、Intel、瞻博网络、Lumen Technologies、Palo Alto Networks、Verizon 和VMware。其目标是提供开放和协作的技术，以帮助提高整个行业网络硬件和软件的安全性。

https://www.secrss.com/articles/57165

5、2022年广州市网络安全十大典型案例

2022年，广州警方以“净网”专项行动为抓手，强力推进打击突出网络违法犯罪、网络安全执法检查等工作，全面治理网络乱象，不断净化网络生态，有力确保了网络空间平安稳定和清理有序。在此选取2022年广州市网络安全十大典型案例，以期起到警示作用。

https://www.secrss.com/articles/57107

1、软件公司Ortivus遭到攻击影响英国救护车服务机构

瑞典软件公司Ortivus遭到网络攻击，导致至少两家英国救护车服务机构无法访问电子病历。攻击发生于7月18日晚上，影响了其托管数据中心环境中的英国客户系统，导致电子病历无法使用，目前被迫使用手动系统进行处理。Ortivus称，替代系统在攻击发生后24小时内就准备好了，没有客户信息泄露。该公司没有透露受影响救护车服务的名称，但据透露，分别是South Western Ambulance Service Trust和South Central Ambulance Service Trust，它们为约1200万常住人口提供服务。

https://securityaffairs.com/148847/cyber-crime/ambulance-services-cyberattack.html

2、马来西亚水务公司Ranhill数据库和备份被DESORDEN删除

DESORDEN团伙声称攻击了马来西亚主要的水务和供电公司Ranhill Utilities Berhad。攻击者称其击攻击了Ranhill的计费业务和供水业务，影响了100多万客户。并透露攻击始于2021年11月，之后DESORDEN一直存在于他们的系统中。今年7月17日，攻击者入侵了该公司的实时计费系统LIVE Billing，并于7月18日到19日，窃取了计费系统中的所有数据库，并删除了备份和数据库。DESORDEN称已经窃取数百GB的数据，Ranhill尚未对此时作出回应。

https://www.databreaches.net/major-malaysian-water-utilities-company-hit-by-hackers-ranhill-offline-hackers-claim-databases-and-backups-deleted/

1、武汉地震监测中心疑似遭到来自美国的网络攻击

2023年7月26日，武汉市应急管理局发布声明称，该局所属的武汉市地震监测中心遭遇到来自境外组织的网络攻击。这是继2022年6月份西北工业大学遭受境外网络攻击后的又一国家单位。目前，中国国家计算机病毒应急处理中心和360公司组成的专家已赴武汉开展取证工作，初步证据显示攻击来自美国，疑似由具有政府背景的黑客组织和不法分子发起。此外，武汉市公安局江汉分局随即发布警情通报，证实在武汉市地震监测中心发现了源于境外的木马程序，该木马程序能非法控制并窃取地震速报前端台站采集的地震烈度数据，对国家安全构成严重威胁。江汉分局已对此案立案侦查，并对提取到的木马样本进一步开展技术分析。

https://mp.weixin.qq.com/s/4GZ0mo3DPpWlVLOAMaiONg

2、雅马哈加拿大分公司遭到Black Byte和Akira的攻击

雅马哈加拿大分公司承认其遭到一次网络攻击，导致了未经授权的访问和数据泄露。该公司表示其迅速采取措施遏制攻击，并通知了受影响的个人。6月14日，该公司被列入Black Byte勒索团伙的被攻击者列表。上周五，该公司又出现在Akira勒索团伙的网站上。研究人员称，组织被两个不同的勒索团伙列出的情况越来越常见，这是今年的一个主要趋势。

https://therecord.media/yamaha-confirms-cyberattack-after-multiple-ransomware-gangs-claim

3、研究人员发现利用Citrix漏洞针对美国基础设施的攻击

CISA提醒利用Citrix NetScaler ADC和Gateway中漏洞攻击美国关键基础设施的活动。此次攻击发生在6月份，黑客利用了RCE漏洞（CVE-2023-3519），在目标的非生产NetScaler应用交付控制器(ADC)设备上植入Webshell。该后门可用来枚举AD对象，包括网络上的用户、组、应用程序和设备，并窃取AD数据。然而，由于目标NetScaler ADC设备位于隔离环境中，攻击者无法横向移动到域控制器。CISA发布了一份包含TTP以及检测方法的通告，并建议管理员应用最新的Citrix更新。

https://securityaffairs.com/148690/security/cisa-citrix-netscaler-adc.html