2025年第42周安全周报 | 本周安全要闻速览

哈佛大学日前官方证实遭受Cl0p勒索组织攻击，但试图淡化此事件的影响，称安全漏洞似乎仅限于一个小型行政单位，目前无其他系统遭入侵的证据。Cl0p勒索软件组织稍早前在其数据泄露网站上公布了哈佛大学成为了针对甲骨文E - Business Suite（EBS）漏洞利用攻击活动的目标，并宣称将公开从哈佛大学窃取的1.3TB数据。谷歌威胁情报小组和Mandiant分析此次勒索活动发现，攻击者利用了7月已修复的EBS漏洞及可能的零日漏洞（CVE - 2025 - 61882），向公司高管发送勒索邮件。攻击者或通过入侵用户邮箱、利用EBS默认密码重置功能窃取有效凭证。 相关攻击披露后，甲骨文公司已针对CVE - 2025 - 61882发布了紧急补丁提醒。

健康领域协调委员会（HSCC）下属网络安全工作组发布 “医疗行业网络安全领域映射与风险工具包（SMART）”，由 80 家跨领域医疗相关机构历经 16 个月协作完成，核心用于帮助各规模医疗组织（含中小机构）跟踪管理支撑核心流程的第三方服务系统性风险，响应《2024-2029 年医疗行业网络安全战略计划》第三方风险管理要求。工具包分两阶段实施：第一阶段通过 “组建跨领域团队、定义重要性、定制职能映射表、识别供应商依赖、开展中断模拟” 识别高风险第三方；第二阶段通过 “供应商风险评估、分级管理、标准化流程、制定整改计划、合同优化” 缓解风险。目前暂未单独纳入 AI 风险，正联合 AI 专项小组研究，相关成果 2026 年发布。此前 HSCC 曾指出资源受限医疗机构面临 “人员短缺、系统过时、资金不足” 等安全挑战，此次工具包旨在通过结构化方法提升医疗生态系统韧性，保障业务连续性与患者安全，推动第三方服务安全标准提升。

澳大利亚网络安全中心（ACSC）发布《2024-25 财年网络威胁年度报告》，核心揭示澳大利亚关键基础设施面临的严峻网络威胁：国家支持的网络行为体、网络犯罪者及黑客活动分子持续将其作为目标，2024-25 财年关键基础设施相关事件占比 13%（同比 + 2%），恶意活动通报次数增长 111%，主要威胁包括资产入侵（55%）、DoS/DDoS 攻击（23%）、凭证被盗（19%），勒索软件仍是最具破坏性的网络犯罪类型（ACSC 响应 138 起）。报告指出，威胁呈现三大新趋势：生成式 AI 被用于自动化攻击、伪造内容以提升诈骗成功率；国家支持行为体与网络犯罪者界限模糊，均利用系统漏洞与相似工具；关键基础设施的 IT/OT 复杂网络及供应链扩大攻击面。同时，“具有密码学意义的量子计算机（CRQC）” 临近，需提前准备后量子密码学（PQC）。应对层面，ACSC 提出四大关键举措（实施最佳日志记录、替换遗留 IT、管理第三方风险、准备 PQC），推出 “CI Fortify” 指南助关键基础设施应对危机；澳大利亚政府通过 “REDSPICE 项目” 强化网络能力，首次对俄罗斯网络犯罪支持实体实施制裁，并强调国际协作的重要性，同时呼吁个人与企业采取基础防御措施（启用 MFA、更新软件等），以提升整体网络韧性。

美国 CISA 发布紧急指令26-01，应对 “国家支持的威胁行为体入侵F5系统” 引发的联邦网络安全危机 —— 该行为体窃取了F5 BIG-IP源代码及未披露漏洞信息，可能利用这些信息攻击使用 F5 设备的联邦网络，获取凭证、横向移动甚至完全控制系统。指令要求联邦民事行政部门（FCEB）机构在 10月 22日前完成F5 BIG-IP产品清点、公网暴露评估与更新补丁应用，10月31日前完成剩余设备补丁与加固，同时停用已淘汰的公网F5设备，并分阶段向 CISA 提交报告；F5则确认暂未发现漏洞被活跃利用，且软件供应链未遭篡改，将协助受影响客户应对风险。尽管面临政府停摆与相关法案失效，CISA 仍强调需立即行动，同时提醒所有使用F5技术的组织警惕同类风险，避免关键系统遭灾难性入侵。

加州州长纽瑟姆签署两项核心网络安全法案：一是《数字年龄保障法》，要求设备首次设置时家长提供孩子年龄，制造商将用户分四个年龄段同步给应用，无需家长下载同意或用户提供照片 ID，违规企业最高罚 7500 美元 / 受影响儿童（尽力合规则免担失误责任），获多家科技公司支持，且区别于德州、犹他州涉隐私争议的法案；二是要求聊天机器人运营商建 “预防自杀意念” 系统（如引导至预防热线），呼应联邦议员关注及 FTC 对 “儿童使用聊天机器人安全” 的审查。同时，Instagram 同步推出儿童内容管控计划，将内容划分为 PG-13 级，限制儿童浏览范围，青少年需家长同意才能取消该设置。整体举措聚焦儿童网络安全，平衡保护与隐私，强化科技企业责任。