文章总结: 本周国外网络安全态势回顾显示,NSA发布零信任实施指南。FortiSIEM与Cisco邮件网关零日漏洞遭在野利用,BodySnatcher漏洞可劫持AI代理。多起数据泄露波及Instagram及医疗机构,波兰电网遭攻击。此外发现针对蓝牙与云环境的新型攻击技术。建议组织及时修补漏洞,参考零信任框架加强安全建设。 综合评分: 86 文章分类: 威胁情报,漏洞分析,漏洞预警,数据安全,安全建设
国外:一周网络安全态势回顾之第134期, NSA发布首份零信任实施指南
原创
铸盾安全 铸盾安全
河南等级保护测评
2026年1月18日 00:00 河南
以下是本周新闻:
BodySnatcher智能AI劫持
BodySnatcher(CVE-2025-12420)是一个影响ServiceNow的代理AI劫持漏洞,由AppOmni发现,ServiceNow已于2025年10月修复。在线托管服务的用户无需采取任何措施。本地部署用户应确保使用最新版本的ServiceNow组件。AppOmni已公布该漏洞的完整详细信息。
Fortinet FortiSIEM漏洞被利用
Defused Cyber报告称,Fortinet FortiSIEM本周修复的一个漏洞正被恶意利用。该漏洞编号为CVE-2025-64155,未经身份验证的攻击者可利用此漏洞执行任意代码。Defused的蜜罐已于1月15日开始记录攻击尝试。Horizon3已发布CVE-2025-64155的技术细节和PoC漏洞利用程序,该公司已将此漏洞报告给Fortinet。
TelegramIP暴露
针对有关Telegram存在可利用漏洞获取用户IP地址的报告,Telegram已在用户点击代理链接时添加警告。该漏洞的利用方式是发送伪装成用户名的链接。当受害者点击该链接时,会连接到指定的代理服务器,从而暴露其IP地址。Telegram指出,此问题并非其平台独有,但为了提醒用户注意伪装链接,Telegram决定添加警告。
俄罗斯被指控对波兰电力系统发动网络攻击
据路透社报道,2025年12月下旬,波兰电网遭遇多年来最大规模的网络攻击,目标是可再生能源设施与配电运营商之间的通信。波兰官员表示,此次协同攻击行动已被成功击退,并未造成停电或关键基础设施受损。官员称,俄罗斯黑客很可能是此次破坏行动的幕后黑手。
委内瑞拉国民因ATM机巨额奖金案被起诉
五名委内瑞拉籍男子因参与跨州ATM机诈骗团伙而认罪或被判刑。该团伙利用复杂的恶意软件,在佐治亚州、佛罗里达州和肯塔基州窃取了数千美元。他们通过利用ATM机的漏洞触发取款,目标是多家金融机构。所有成员都将面临监禁,刑满释放后立即被驱逐出境。
法国电信公司被罚款4200万欧元
法国数据监管机构CNIL对电信运营商Free和Free Mobile处以创纪录的4200万欧元罚款,原因是这两家公司在2024年的一次网络攻击中未能保护2400万用户的个人数据。调查显示,这两家公司采取的安全措施不足,例如VPN认证薄弱,并且在客户合同到期后仍非法保留了数百万条前客户的记录。
来自CISA和NSA的OT安全和零信任指南
美国网络安全和基础设施安全局(CISA)和国家安全局(NSA)发布了新的战略框架,旨在实现关键基础设施和国家安全系统防御的现代化。CISA的指南引入了八项“安全连接原则”,为运营技术(OT)提供了一套路线图,帮助组织管理将物理工业系统连接到数字网络的风险。NSA则发布了一系列“零信任实施指南”,为从传统的边界防御过渡到持续认证和监控模式提供了切实可行的步骤。
肖恩·普兰基再次获得CISA主任提名
唐纳德·特朗普总统再次提名肖恩·普兰基担任网络安全和基础设施安全局(CISA)局长。普兰基是白宫本周在新闻稿中公布的数十位提名人之一。普兰基的提名于2025年7月获得美国参议院委员会的批准,但由于涉及海岸警卫队的一份合同,遭到共和党参议员里克·斯科特的阻挠。
门罗大学数据泄露事件影响32万人
位于纽约的门罗大学本周披露了一起发生在一年前的数据泄露事件,该事件影响了超过32万人。黑客于2024年12月入侵了该大学的系统,并窃取了包含个人信息的文件。
关键漏洞使航运科技公司的系统面临黑客攻击风险
伊顿·兹维尔(Eaton Zveare)是一位研究员,他以发现汽车公司平台的安全漏洞而闻名。近日,他发现Bluspark Global公司的Bluvoyix平台存在严重漏洞。该平台被全球数百家公司用于海运物流和供应链管理。这些漏洞可能使黑客完全控制该平台,并访问客户和货运数据。目前这些漏洞已被修复,但兹维尔研究员在负责任地披露其发现方面遇到了一些困难。
国防独角兽公司融资1.36亿美元
Defense Unicorns公司完成B轮融资,筹集1.36亿美元,用于扩展其专为高安全性、物理隔离的军事环境设计的“软件骨干网”。此次融资使该公司估值达到10亿美元。其平台能够安全部署和持续更新任务关键型应用程序,从而弥补了传统安全措施无法覆盖的偏远地区(例如潜艇和前沿作战基地)的网络安全漏洞。
Cisco Secure Email Gateway零日漏洞被在野利用
Cisco披露其Secure Email Gateway存在高危零日远程代码执行漏洞,攻击者可通过构造恶意 HTTP 请求绕过身份验证并执行任意命令。该漏洞已被实战利用,对企业邮件系统与内网安全构成严重威胁。
WordPress插件关键漏洞导致未授权管理员接管
研究人员发现一款流行WordPress插件存在未认证权限提升漏洞,攻击者无需登录即可直接获取管理员权限。该漏洞已被黑客大规模利用,凸显插件生态在安全审计与更新机制上的长期风险。
Instagram数据泄露波及1750万用户
暗网流出的数据表明,约1750万个Instagram账户的敏感信息遭到泄露,涉及用户标识与关联数据。事件再次引发对大型社交平台数据保护能力及内部安全治理的广泛关注。
X平台官方账号被暂停引发账号安全讨论
社交平台X因违反平台规则暂停了官方@twitter账号。虽然并非传统网络攻击事件,但该举动引发外界对账号控制权、内部权限管理及平台安全治理透明度的讨论。
Cloudflare收购开源框架Astro团队
Cloudflare宣布收购流行开源Web框架Astro的核心团队,意在强化云端开发与安全能力。该交易对开源生态和云安全格局产生深远影响,也引发对集中化风险的讨论。
WhisperPair 攻击可劫持数百万蓝牙音频设备
研究人员披露了一种被称为WhisperPair的攻击方法,可利用谷歌 Fast Pair 实现不当的蓝牙音频配对机制,将目标耳机或扬声器等设备强制连接到攻击者控制的设备上。该漏洞影响大量采用 Fast Pair 协议的设备,攻击者可借此在用户不知情的情况下接入音频设备并可能监听或篡改音频流。安全专家建议供应商修补 Fast Pair 实现中的不足并强化配对认证流程。
StackWarp 新型攻击威胁 AMD 机密虚拟机安全
安全研究人员公开了一种新的硬件相关漏洞攻击技术,称为StackWarp,可针对 AMD 机密虚拟机(Confidential VMs)环境实施攻击。在这些受保护的虚拟化环境中,StackWarp 能使远程攻击者绕过现有隔离机制,实现对受害 VM 的代码执行,从而威胁在云环境中运行的敏感工作负载安全。厂商及用户需关注相关微架构补丁与缓解措施,以减少漏洞被滥用风险。
新型 “Reprompt” 攻击偷泄 Microsoft Copilot 数据
安全界披露了一种针对微软Copilot的信息泄露攻击,被称为Reprompt。这一攻击手法能够绕过现有的语言模型数据泄露防护,当用户关闭 Chat 会话后依然悄然外泄敏感信息。攻击者可借此持续获取之前会话的数据,由于它不触发表面上的访问日志,检测与防护难度显著增大。企业需对 Copilot 部署的安全设置与日志策略进行严格检查。
Central Maine Healthcare 数据泄露事件影响 14.5 万人
位于美国缅因州的医疗机构Central Maine Healthcare披露其系统遭遇数据泄露事件,约145,000 名患者的个人、治疗及保险信息被泄露。事发后机构启动调查与通知受影响用户,同时加强安全控制措施。医疗保健数据因其敏感性极高,此类泄露可能导致身份盗用及合规风险,强调医疗行业需持续提升防护与监测能力。
全球 CEO 关注点变化:网络欺诈超越勒索软件风险
根据世界经济论坛最新报告,网络欺诈已经成为全球企业 CEO 和安全领导者比勒索软件更为关心的安全威胁。尽管勒索软件攻击仍然造成严重业务中断与损失,但网络欺诈,尤其结合社交工程、身份滥用及金融诈骗等攻击手法,在整体风险和经济影响方面正持续攀升。这反映出安全战略正从单一威胁防护向多维风险管理转型。
FortiSIEM 漏洞利用与其它边缘安全事件
SecurityWeek 本周还报道了 FortiSIEM 安全信息与事件管理平台存在可被利用的漏洞,攻击者可通过该缺陷侵入目标网络。此外,俄罗斯针对波兰电网的攻击尝试、AI 代理劫持(BodySnatcher)、Telegram IP 泄露等次要安全动态也被曝光。这些事件强调了多种安全技术栈中的潜在威胁,并提醒组织在 SIEM、通信平台与工业系统中加强监控与补丁管理。
美国国家安全局发布首份零信任实施指南
马里兰州米德堡——美国国家安全局 (NSA) 发布了一系列零信任实施指南 (ZIG) 中的前两份产品,旨在提供切实可行的建议,以促进零信任 (ZT) 的实施。
该系列报告概述了实施相关技术和流程的步骤,以支持实现美国战争部 (DoW) 首席信息官 (CIO) 零信任框架中描述的目标级零信任能力、活动和预期成果。
今天发布的入门指南和探索阶段指南是零信任实施的门户,为各组织提供指导和方向,确保他们在第一阶段和第二阶段零信任实施指南发布后能够充分理解并实施这些指南。
入门指南概述了制定零信任实施指南所采用的策略和原则,并提供了一种全面的方法,以最大限度地利用该系列指南。值得注意的是,零信任实施指南采用模块化设计,允许处于不同零信任成熟度级别的组织选择并实施最符合其环境需求的功能。
探索阶段旨在帮助组织建立基础可见性,了解架构中存在的关键数据、应用程序、资产和服务,以及访问和授权活动。此初始阶段的目标是通过创建可靠的基线,支持有效的零信任架构 (ZT) 实施,从而实现基于信息的优先级排序和规划。
系统所有者、网络安全专业人员和利益相关者应审阅这些基础指南,以便更深入地了解零信任架构活动及其组织的运营环境,为发布第一阶段和第二阶段零信任指南做好准备。
—往期回顾—
2025收集更新信通院白皮书系列合集(665个)下载
——等级保护
数据安全风险评估培训杂谈
打破“一考定终身”测评师迎来严峻挑战
欲等保定级先数据分类分级
2025公安部网安局等保工作最新要求逐条解析
公网安〔2025〕1846号文:风险隐患及工作方案释疑浅谈
公网安〔2025〕1846号文:数据摸底调查释疑浅谈
公网安〔2025〕1846号文:第五级网络系统释疑浅谈
公网安〔2025〕1846号文:定级备案的最新释疑浅谈
关于25年定级备案公安部网安局释疑的一点浅谈
公网安〔2025】1846号关于对网络安全等级保护有关工作事项进一步说明的函
新等保测评真的取消打分了吗?一点杂谈!
新定级备案模板明确数据安全纳入等级保护体系
等保定级新模板新要求,2025定级工作新变化
2025新形势下新等保备案如何开展
测评机构老板与销售注意:浅谈测评机构如何更好的满足属地网安监管?
网络安全等级保护:等级保护工作、分级保护工作、密码管理工作三者之间的关系
河南省新规定测评与密评预算再调低
四川省等级测评与商密评估预算计算方法
广西壮族自治区等级测评与商密评估预算为几何?
黑龙江财政关于等级测评与商密评估预算为几何?
和Deepseek一起共同探讨《国家信息化领导小组关于加强信息安全保障工作的意见》
和Deepseek一起共同探讨《关于信息安全等级保护工作的实施意见》
与Deepseek一起谈开展等级测评的必要性!
——数据安全
《网络数据安全管理条例》解读
跟着DAMA专家看数据管理的未来
市场监管总局印发《网络交易合规数据报送管理暂行办法》
数据安全知识:什么是数据安全?
网警提醒 | 3.31世界备份日:重视你的数据安全
网络和数据安全合规:15部门发布指导意见助力中小企业全面合规
数码复印机数据安全:企业指南
《数据安全法》中有关数据安全保护的法律义务
——错与罚
江苏涟水农村商业银违反网络安全与数据安全管理规定等被罚114.5万
网络安全无小事!某企业因疏于防护被依法查处
江苏灌南农商行因违反数据安全管理规定等被罚97.5万
网安企业“内鬼”监守自盗,窃取个人信息2.08亿条
郑州3家公司未履行网络安全保护义务被网信部门约谈
25年郑州新增两家公司违反《网络安全法》被市网信办行政处罚
驻马店市委网信办就网络安全问题依法约谈相关责任单位
两家银行因数据安全相关问题,被罚款
河北保定竞秀区委网信办依法约谈网站负责人
贵港市网信办公布2起网络安全违法违规典型案例
公安机关依法严厉打击侵犯公民个人信息犯罪,10起典型案例公布
重庆网信部门近期就企业违法违规情况开展多起约谈与处罚
新华社:中国电信、中国移动、中国联通,集体回应!
重庆网信部门就一企业系统遭境外组织攻击,开展联合公安约谈
——其他
浅谈网络“四法四条例四办法一意见”与山东数字政府建设改革方案
精彩回顾:祺印说信安2024之前
祺印说信安2024年一年回顾
网警提醒 | 3.31世界备份日:重视你的数据安全
网络安全知识:什么是技术债务?
网络安全知识:网络威胁情报解析
5月1日起,《国家秘密定密管理规定》正式施行
黑客攻击远程服务器十大弱口令
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:河南等级保护测评 铸盾安全 铸盾安全《国外:一周网络安全态势回顾之第134期, NSA发布首份零信任实施指南》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论