摘要：近日，明朝万达安元实验室发布了2024年第十二期《安全通告》。该份报告收录了2024年12月最新的网络安全前沿新闻和最新漏洞追踪，其中重点内容包括：

近日，明朝万达安元实验室发布了2024年第十二期《安全通告》。该份报告收录了2024年12月最新的网络安全前沿新闻和最新漏洞追踪，其中重点内容包括：

网络安全前沿新闻

1、意大利数据保护监管机构因ChatGPT数据管理违规对OpenAI处以1500万欧元罚款

意大利隐私监管机构Garante per la protezione dei dati personali（简称Garante）在调查ChatGPT个人数据收集行为后，决定对美国公司OpenAI处以1500万欧元的罚款。此外，Garante还要求OpenAI在六个月内开展一项信息宣传活动，以提高公众对其数据管理和用户权利的认识。这一决定基于2023年3月启动的调查，并遵循了欧洲数据保护委员会（EDPB）关于人工智能驱动服务和个人数据处理的指导方针。

在发布的新闻稿中，Garante指出：“根据意大利数据保护局的调查结果，创建和管理生成式人工智能聊天机器人的美国公司OpenAI未能及时通报2023年3月发生的数据泄露事件。此外，OpenAI在未明确法律依据的情况下处理用户的个人数据来训练ChatGPT，违反了透明度原则和向用户提供相关信息的义务。同时，OpenAI缺乏有效的年龄验证机制，可能导致13岁以下儿童使用该服务时面临不适当的回应风险。”

2、罗马尼亚国民因参与NetWalker勒索软件攻击被判处20年监禁

30岁的罗马尼亚公民Daniel Christian Hulea因参与NetWalker勒索软件攻击，于6月20日承认了计算机欺诈阴谋和电汇欺诈阴谋罪名，被判处20年监禁。在新冠疫情期间，Hulea参与了针对全球组织（包括医疗保健机构）的NetWalker勒索软件攻击，他承认通过这些攻击勒索了1,595个比特币（约合2,150万美元）作为赎金。

美国司法部发布的新闻稿中指出：“今天，一名罗马尼亚男子因在NetWalker勒索软件攻击中扮演的角色被判处20年监禁，并被命令没收2,150万美元以及他在印度尼西亚巴厘岛一家有限责任公司和在建豪华度假酒店的权益，这些资产是他用攻击所得资金资助的商业项目。此外，他还被命令支付14,991,580.01美元的赔偿金。”

3、Sophos修复了其防火墙产品中的关键漏洞

Sophos在其Sophos防火墙解决方案中解决了三个关键安全漏洞，这些漏洞分别被跟踪为CVE-2024-12727、CVE-2024-12728和CVE-2024-12729。受影响的产品包括Sophos Firewall v21.0 GA（21.0.0）及更早版本。

公告中写道：“Sophos已解决了Sophos防火墙中的三个独立安全漏洞。”对于启用了“允许自动安装修补程序”功能的客户，无需采取任何额外行动，因为默认设置为启用该功能。因此，这些客户的系统将自动更新至修复版本。

为了缓解CVE-2024-12728，建议用户将SSH访问限制为专用的高可用性（HA）链接，并使用强随机密码。针对CVE-2024-12729，应避免将用户门户和Webadmin暴露于广域网（WAN）。

Sophos表示，目前尚未发现有攻击者利用这些漏洞进行攻击的迹象。

4、Raccoon Infostealer运营商被判60个月监禁

美国司法部判处28岁的乌克兰国民Mark Sokolovsky（马克·索科洛夫斯基）60个月的联邦监禁，因其参与传播Raccoon Infostealer恶意软件。

根据美国司法部发布的新闻稿：“作为10月份认罪协议的一部分，索科洛夫斯基同意没收23,975美元，并支付至少910,844.61美元的赔偿金。”

索科洛夫斯基在美国法院承认了自己经营Raccoon Infostealer的事实。2020年10月，他被指控犯有计算机欺诈罪，据称其使用Raccoon Infostealer感染了数百万台计算机。当时，他被关押在荷兰，并对引渡至美国的决定提出上诉，但最终还是被引渡到美国接受审判。

Raccoon Infostealer首次出现在2019年4月，旨在窃取受害者的信用卡数据、电子邮件凭据、加密货币钱包以及其他敏感信息。该恶意软件以“恶意软件即服务”（MaaS）的形式出售，提供了一个易于使用的自动化后端面板，以及防弹托管和24/7的俄语及英语客户支持。每月订阅费用为200美元。

5、美国出于网络安全考虑禁止TP-Link路由器

据《华尔街日报》报道，美国政府正在调查与网络攻击有关的TP-Link路由器是否构成国家安全风险，并考虑从2025年开始禁止这些设备。作为占据美国市场65%份额的品牌，TP-Link不仅是亚马逊的首选，还为国防部的互联网通信提供支持。

8月，两名美国议员敦促拜登政府调查TP-Link，担心其设备可能被用于网络攻击。据路透社报道，商务部、国防部和司法部已对该公司展开单独调查，最早可能在明年禁止在美国销售TP-Link路由器。知情人士透露，今年早些时候，国防部对中国制造的路由器进行调查时，商务部的一个办公室甚至传唤了TP-Link。约300多家美国互联网服务提供商默认提供TP-Link路由器，这些设备被广泛应用于国防部、NASA和缉毒局等政府机构。

6、德克萨斯理工大学数据泄露影响140万人

德克萨斯理工大学（Texas Tech University）披露了一起严重的数据泄露事件，该事件在网络攻击后影响了超过140万人。此次泄露暴露了其健康科学中心（Health Science Center, HSC）及其埃尔帕索分校（El Paso Campus）的个人、健康和财务信息。

根据大学的报告，埃尔帕索健康科学中心的数据泄露影响了815,000人，而主校区的健康科学中心则影响了650,000人。事件发生在2024年9月，暂时影响了计算机系统和应用程序。

学校立即采取措施确保其基础设施的安全，并启动了全面调查。调查显示，未经授权的访问导致了某些文件和文件夹被访问或删除。HSC发布的安全漏洞通知中写道：“调查确认，网络安全事件导致的技术问题使攻击者在2024年9月17日至9月29日期间访问或删除了HSC网络中的某些文件和文件夹。因此，HSC对相关系统进行了详细审查，以确定可能包含的信息及受影响的人员。”

7、ConnectOnCall数据泄露影响90多万人

ConnectOnCall是一家提供远程医疗服务和下班后随叫随到服务的平台，旨在增强医疗服务提供者与患者之间的沟通。该平台提供自动患者呼叫跟踪、符合HIPAA标准的聊天功能，并与电子健康记录（EHR）系统集成，以简化下班后的呼叫和护理协调。

近日，该公司披露了一起数据泄露事件，暴露了超过90万人的个人信息和医疗信息。

ConnectOnCall于2024年5月12日发现了这一安全漏洞，并立即启动了调查。调查显示，在2024年2月16日至5月12日期间，一个未知的第三方可以访问ConnectOnCall平台及其应用程序中的某些数据，包括提供者-患者通信中的部分信息。

为应对此次事件，ConnectOnCall聘请了网络安全专家，暂时将产品下线，并在安全环境中进行恢复工作。联邦执法部门也已收到通知。

8、美国CISA将Cleo Harmony、VLTrader和LexiCom漏洞添加到其已知漏洞目录中

美国网络安全和基础设施安全局（CISA）将影响多个Cleo产品的漏洞CVE-2024-50623（CVSS评分8.8）添加到其已知漏洞（KEV）目录中。

公告中写道：“Cleo发现了一个不受限制的文件上传和下载漏洞（CVE-2024-50623），该漏洞可能导致远程代码执行。Cleo强烈建议所有客户立即将Harmony、VLTrader和LexiCom的实例升级到最新发布的补丁（版本5.8.0.21），以解决发现的该漏洞的其他潜在攻击媒介。”

9、大众汽车集团信息娱乐单元的多个缺陷导致车辆受损

网络安全公司PCAutomotive的一组安全研究人员在大众汽车集团的部分车辆中使用的信息娱乐单元中发现了多个漏洞。远程攻击者可以利用这些漏洞实现某些控制，并实时跟踪汽车的位置。

由Danila Parnishchev和Artem Ivachev领导的研究团队在MIB3信息娱乐系统中发现了12个漏洞。该系统自2021年推出，目前广泛应用于大众集团的多款车型中。

大众汽车集团并不生产MIB3信息娱乐系统，而是从一级供应商处采购。该系统存在多种版本，包括普瑞汽车连接有限公司、LG和安波福的型号。专家们专注于普瑞汽车连接有限公司生产的MIB3单元。

最近披露的漏洞影响了斯柯达Superb III轿车的最新型号。研究人员在最近的欧洲黑帽大会上展示了他们的研究结果。

这项研究建立在之前的研究基础上，后者在2022年发现了大众汽车的21个漏洞，其中9个于2023年被披露。

研究人员发现了一个通过蓝牙进行电话簿同步过程中的问题，电话簿由一系列具有特定结构的vCard组成。他们在处理联系人照片时发现了一个关键缺陷：转换与联系人相关的照片可能会触发缓冲区溢出，从而可能导致任意代码执行。

10、爱尔兰数据保护委员会（DPC）因2018年数据泄露对Meta处以2.51亿欧元罚款

爱尔兰数据保护委员会（DPC）对Meta Platforms Ireland Limited（以下简称“Meta”）处以2.51亿欧元（约2.63亿美元）的罚款，原因是2018年发生的一次数据泄露事件影响了全球约2900万个Facebook账户，其中约300万个位于欧盟/欧洲经济区。

根据DPC发布的新闻稿：“此次数据泄露涉及用户的全名、电子邮件地址、电话号码、位置、工作地点、出生日期、宗教信仰、性别、时间线上的帖子、用户所属的团体以及儿童的个人数据。”

2018年10月，Facebook宣布黑客访问了2900万用户的数据，这一数字远低于最初估计的5000万。该公司表示，此次攻击未影响Facebook旗下的Messenger、Messenger Kids、Instagram、WhatsApp、Oculus、Workplace、Pages、支付、第三方应用程序或广告及开发者账户。

攻击者利用了Facebook“查看方式”功能中的一个漏洞，该漏洞允许他们窃取用户的访问令牌，使他们能够查看其他人如何查看用户的个人资料。本月早些时候，Facebook透露黑客利用了三个漏洞入侵平台。

网络安全最新漏洞追踪

Apache Hive & Spark信息泄露漏洞（CVE-2024-23945）

一、漏洞概述

Apache Hive 和 Apache Spark 是两个广泛用于大数据生态系统的开源框架，主要用于处理和分析大规模数据集。

2024年12月24日，监测到Apache Hive 和 Apache Spark中存在一个敏感信息泄露漏洞（CVE-2024-23945），该漏洞的CVSS评分为8.7。

Apache Hive 和 Apache Spark 的CookieSigner 逻辑存在安全漏洞，当签名验证失败时，系统错误地将正确的签名值暴露给用户，导致攻击者可以通过构造错误的 Cookie 请求触发签名验证失败并获取有效签名，成功利用该漏洞可能允许攻击者伪造合法的 Cookie，从而绕过认证机制，导致未授权访问，并可能进一步引发会话劫持、权限提升等攻击。

二、影响范围

1.2.0

2.0.0

3.0.0

3.4.0

Apache Spark 3.5.0

受影响的组件如下：

* org.apache.hive:hive-service

* org.apache.spark:spark-hive-thriftserver_2.11

* org.apache.spark:spark-hive-thriftserver_2.12

三、修复建议

参考链接:

Apache Tomcat远程代码执行漏洞（CVE-2024-56337）

一、漏洞概述

Apache Tomcat是一个流行的开源Web服务器和Java Servlet容器。

2024年12月21日，监测到Apache Tomcat中存在一个远程代码执行漏洞（CVE-2024-56337），该漏洞源于对先前CVE-2024-50379的缓解措施不完善，可能需要额外的配置来完全缓解CVE-2024-50379，具体取决于与Tomcat一起使用的Java版本。

当Apache Tomcat运行在区分大小写的文件系统上，且Apache Tomcat的默认servlet启用了写权限（readonly初始化参数被设置为false）以及系统属性sun.io.useCanonCaches为true时（Java 8或Java 11默认为true、Java 17默认为false、Java 21及更高版本不受影响），攻击者可能利用该漏洞在Tomcat服务器上写入恶意文件，从而实现远程代码执行。

二、影响范围

Apache Tomcat 11.0.0-M1 - 11.0.1

Apache Tomcat 10.1.0-M1 - 10.1.33

Apache Tomcat 9.0.0.M1 - 9.0.97

三、修复建议

目前Apache Tomcat官方已发布了修复版本，受影响用户可升级到以下版本并将系统属性 sun.io.useCanonCaches 设置为 false。

Apache Tomcat >= 11.0.2

Apache Tomcat >= 10.1.34

Apache Tomcat >= 9.0.98

下载链接：

参考链接:

BeyondTrust RS & PRA命令注入漏洞（CVE-2024-12356）