网安周讯 | 境外间谍机关，渗透窃密我国航天领域（十月第4期 ）

【网安周讯，每周精选全球网安热点资讯。网安加社区安全员安仔带您洞悉全球安全趋势脉搏，直击网安时事前沿，掌握网络威胁最新动态，深挖防护策略精髓，共同守护我们的数字疆土。】

1.Fortinet安全产品曝高危零日漏洞

网络安全公司Fortinet披露其软件产品FortiManager存在一个高危的关键零日漏洞CVE-2024-47575，该漏洞允许未经授权的远程攻击者通过发送特制请求，执行任意代码或命令，且据报告该漏洞已被恶意利用。此漏洞的严重性极高，CVSS评分达到9.8，波及多个版本的FortiManager及FortiManager Cloud。Fortinet发布了针对性的安全补丁，并列举了多项缓解措施，供用户采纳使用。【阅读原文】

2.联合国发生重大数据泄露事件

联合国终止暴力侵害妇女信托基金的数据库在互联网上意外公开，因缺乏必要的密码保护或访问控制措施，致使超过115,000份敏感文件面临风险。这些文件涉及与联合国妇女署合作或受其资助的全球众多组织，它们广泛分布于不同国家和地区，专注于为弱势群体提供服务。泄露的信息涵盖了人员资料、合同详情、通信信函，甚至是详尽的财务审计报告。【阅读原文】

3.LinkedIn因数据处理违规被罚款

爱尔兰数据保护委员会（DPC）因LinkedIn非法处理用户数据，违反多项GDPR原则，对其处以高达3.1亿欧元的罚款，并要求其实施经济制裁及运营方面的变革措施。【阅读原文】

4.美国颁布史上最严数据安全规定

美国网络安全与基础设施安全局（CISA）出台了一项极其严格的数据安全规定，旨在防止敌对势力获取美国政府和公民的敏感信息。该规定主要针对那些处理涉及美国政府及个人隐私敏感数据的科技企业，特别是那些存在数据泄露风险的企业。【阅读原文】

5.国际五大加密云存储服务集体曝出严重漏洞

研究人员披露了包括Sync、pCloud、Icedrive、Seafile及Tresorit在内的多款热门加密云存储平台存在的重大安全隐患。这些平台被发现存在漏洞，使得攻击者一旦控制服务器，便能读取、篡改或注入文件，实现对用户数据的非法访问与篡改。【阅读原文】‍

6.卡西欧遭遇大规模勒索攻击

日本知名手表制造商卡西欧遭遇了勒索软件的恶意攻击，导致多个核心系统陷入瘫痪状态，且恢复没有进展，这对其公司的整体运营构成了重大冲击，产品交付严重延误，财务报表也不得不推迟约一周时间发布。发起此次攻击的黑客组织还声称，已成功窃取卡西欧公司高达204.9GB的数据，并公开了部分数据作为证据。【阅读原文】‍

7.新型漏洞迫使GPU无限循环

研究人员发现了名为ShadyShader的新型漏洞，该漏洞能让攻击者连续冻结苹果设备的GPU，进而可能导致系统全面崩溃。任何配备GPU和浏览器的系统均存在遭受类似攻击的风险。【阅读原文】

8.三星设备曝出高危漏洞

三星高危零日漏洞曝光，并发现已存在被利用的情况。该漏洞位于三星移动处理器中，攻击者可利用漏洞在设备中提升权限，执行任意代码。据称，商业间谍软件供应商已准备利用此漏洞瞄准三星设备。【阅读原文】

9.意大利最大银行信息被窃取

意大利联合圣保罗银行披露内部员工通过非法手段窃取了数千名客户的账号信息与数据，侵害了包括意大利总理等知名人士的银行账号安全。【阅读原文】

10.Gophish被滥用传播远程访问木马程序

开源网络钓鱼工具包Gophish正被不法分子利用，以制作针对俄罗斯用户的DarkCrystal RAT和PowerRAT远程访问木马。Gophish原本旨在帮助组织通过简易模板测试网络钓鱼防御，并启动电子邮件追踪活动。然而，攻击者却利用它构建网络钓鱼邮件，伪装成Yandex Disk的链接以及模仿俄罗斯主流社交网络VK的HTML页面，以此诱骗用户上钩。【阅读原文】

11.境外间谍机关渗透窃密我国航天领域

境外间谍情报机构利用利诱、攀拉、胁迫等多种手段，企图窃取我国航天领域的最新研究成果，这对我国太空领域的关键技术与数据构成了严重的泄露风险。针对此类行为，国家安全机关已依法严肃查处相关案件，坚决捍卫了我国的太空主权、安全与发展利益。【阅读原文】‍

12.高通64款芯片被曝存在零日漏洞

高通公司披露了一项重大安全漏洞，影响多达64款芯片组，编号为CVE-2024-43047。该漏洞波及范围广泛，包括众多搭载骁龙芯片的Android智能手机、平板电脑以及物联网设备等。据报告，该漏洞已被针对性地利用，使攻击者能在未被发现的情况下侵入系统，窃取数据或执行恶意代码。【阅读原文】

13.黑客入侵超6000个WordPress网站

WordPress网站近日被黑客非法入侵并安装恶意插件，这些插件会伪装成软件更新提示和错误信息，诱导用户下载并安装窃取信息的恶意软件。【阅读原文】

14.实习生投毒字节大模型

网传字节跳动大模型训练遭实习生恶意注入破坏代码，导致训练成果失效，需要重训，并称损失超千万美元。字节跳动回应称，该实习生确实干扰了研究项目训练，但未波及正式项目及线上业务，并且损失被严重夸大，目前该实习生已被辞退。【阅读原文】‍

【网安加社区搜集整理，以上信息均来自互联网】