新闻速览

•六部门联合印发《促进和规范金融业数据跨境流动合规指南》

•NIST更新隐私框架，强化与网络安全框架协同效应

•美国前网络安全局局长因特朗普行政令离开SentinelOne

•警惕高级钓鱼攻击：黑客利用Gamma平台和Cloudflare  Turnstile窃取Microsoft凭证

•Firefox修复高危内存损坏漏洞，无需用户交互即可被利用

•紧急警报：SonicWall SMA网关高危漏洞被黑客积极利用

•微软NTLM哈希漏洞补丁发布数日后即被利用攻击东欧国家

•已被在野积极利用，苹果紧急修复两个“极其复杂”的高危零日漏洞

•Erlang/OTP SSH实现存在满分严重漏洞，OT/IoT设备面临严重安全风险

特别关注

六部门联合印发《促进和规范金融业数据跨境流动合规指南》

为贯彻落实党的二十届三中全会精神，推动金融高水平开放，中国人民银行、金融监管总局、中国证监会、国家外汇局、国家网信办、国家数据局近期联合印发《促进和规范金融业数据跨境流动合规指南》（以下简称《指南》）。

《指南》旨在促进中外资金融机构金融业数据跨境流动更加高效、规范，进一步明确数据出境的具体情形以及可跨境流动的数据项清单，便利数据跨境流动。《指南》要求金融机构采取必要的数据安全保护管理和技术措施切实保障数据安全。

下一步，中国人民银行将会同相关部门根据《指南》实施情况及效果，不断优化完善，持续推动金融高水平开放。

原文链接：
https://mp.weixin.qq.com/s/4knEGzLuwT0ogzvd3LhSAg

热点观察

NIST更新隐私框架，强化与网络安全框架协同效应

美国国家标准与技术研究院（NIST）近日发布了《NIST隐私框架1.1初步公开草案》，旨在满足当前隐私风险管理需求，保持与NIST最新更新的网络安全框架的一致性，并提高可用性。该框架首次发布于五年前，主要帮助组织在利用个人数据的同时保护个人隐私。

此次更新部分源于隐私框架与广泛使用的NIST网络安全框架（CSF）的密切关系，后者已于2024年2月完成更新。由于隐私风险与网络安全风险密切相关且常有重叠，两个框架共享相同的高级结构，使其易于共同使用。NIST应用网络安全部门主任Julie Chua表示，隐私框架可以独立用于管理隐私风险，但也保持了与CSF 2.0的兼容性，使组织能够共同使用它们来管理全方位的隐私和网络安全风险。

隐私框架1.1草案的主要更新包括：对核心部分的有针对性修订，新增人工智能与隐私风险管理章节，以及将使用指南迁移至网站。

原文链接：

https://www.nist.gov/news-events/news/2025/04/nist-updates-privacy-framework-tying-it-recent-cybersecurity-guidelines

美国前网络安全局局长因特朗普行政令离开SentinelOne

前美国网络安全和基础设施安全局(CISA)局长Chris Krebs于周三（4月16日）宣布辞去网络安全公司SentinelOne的首席情报和公共政策官职务。此举发生在特朗普总统上周签署针对Krebs的行政令一周后。该行政令要求政府暂停与Krebs相关实体的安全许可，并点名提及了SentinelOne。

特朗普在4月9日的行政令中将Krebs描述为”滥用政府权力的恶意行为者”，指责他”通过CISA，错误且毫无根据地否认2020年大选被操纵和窃取”。该行政令指示司法部长、国家情报总监和”所有其他相关机构”暂停”与Krebs相关实体（包括SentinelOne）的个人持有的任何有效安全许可”。Krebs在给SentinelOne员工的电子邮件中写道：”对于了解我的人，你们知道我不会回避艰难的斗争。但我也知道这是一场我需要完全投入的斗争——在SentinelOne之外。这将需要我完全的专注和精力。这是为民主、言论自由和法治而战。”

Krebs于2018年至2020年11月担任首任CISA局长，在宣称2020年总统大选是”美国历史上最安全的”后被解职。他于2023年底在SentinelOne收购其咨询公司后加入该公司。SentinelOne是一家市值56亿美元的网络安全公司，使用人工智能检测威胁并防止网络攻击。

原文链接：

https://www.cnbc.com/2025/04/16/former-cisa-chief-krebs-leaves-sentinelone-after-trump-exec-order.html

网络攻击

警惕高级钓鱼攻击：黑客利用Gamma平台和Cloudflare Turnstile窃取Microsoft凭证

网络安全专家近日发现了一个复杂的多阶段钓鱼活动，该活动利用AI驱动的演示工具Gamma来发起针对Microsoft账户用户的凭证窃取攻击。

攻击始于一封看似无害的电子邮件，通常从受信任个人或组织的被入侵合法账户发送。邮件包含看似PDF附件但实际上是超链接的内容。当用户点击此链接时，会被重定向到Gamma平台上托管的专业制作的演示文稿，其中包含组织品牌和一个醒目的行动号召按钮，标记为”查看PDF”或”审阅安全文档”。

点击此按钮后，受害者会被引导至一个带有Microsoft品牌并受Cloudflare Turnstile（一种无CAPTCHA的机器人检测机制）保护的中间页面。这一设计有双重目的：阻止自动安全工具分析恶意内容，同时增加页面的感知合法性。感染链最终指向一个令人信服的Microsoft SharePoint登录门户复制品，页面设计模仿Microsoft的UI模式，在模糊背景上叠加模态风格的登录窗口。

分析表明，攻击者实施了中间人(AiTM)框架，可实时验证凭证，使其能够不仅收集凭证，还能捕获会话cookie，潜在地绕过多因素认证保护。安全专家提醒，组织需要实施高级安全解决方案，以检测基于上下文的威胁，而不是仅仅依赖传统的入侵指标。

原文链接：

Hackers Weaponize Gamma Tool Via Cloudflare Turnstile to Steal Microsoft Credentials

Firefox修复高危内存损坏漏洞，无需用户交互即可被利用

Mozilla近日发布了Firefox浏览器的重要安全更新，修复了一个可能导致可利用内存损坏的高危漏洞（CVE-2025-3608）。此次更新解决了浏览器HTTP事务处理组件中的一个竞争条件问题，安全研究人员警告称，攻击者可能利用该漏洞来入侵受影响的系统。

该漏洞存在于Firefox的nsHttpTransaction组件中，该组件负责处理浏览器与网络服务器之间的HTTP网络事务。根据Mozilla的安全公告，这种竞争条件漏洞可能被利用导致内存损坏，潜在地创造可被攻击者利用执行任意代码的条件。竞争条件发生在多个进程或线程同时访问和操作共享数据时，当操作的时间变得关键时，可能导致不可预测的行为。在Firefox的案例中，nsHttpTransaction中的竞争条件可能导致内存在被释放后被访问，或在被另一个进程使用时被修改。

该漏洞需要某些复杂条件才能利用，但不需要特权或用户交互，如果成功利用，可能导致机密性、完整性和可用性的完全妥协。安全专家强烈建议用户立即更新到Firefox 137.0.2以降低被利用的风险。

原文链接：

Firefox High-Severity Vulnerability Leads to Memory Corruption – Update Now!

紧急警报：SonicWall SMA网关高危漏洞被黑客积极利用

美国网络安全和基础设施安全局(CISA)周三（4月16日）将一个影响SonicWall Secure Mobile Access(SMA) 100系列网关的安全漏洞（CVE-2021-20035）添加到其已知被利用漏洞(KEV)目录中，基于该漏洞正被积极利用的证据。

这个高危漏洞涉及操作系统命令注入问题，可能导致代码执行。SonicWall在2021年9月发布的公告中表示：”SMA100管理界面中特殊元素的不当中和允许远程认证攻击者以’nobody’用户身份注入任意命令，这可能导致代码执行。”

受影响的设备包括SMA 200、SMA 210、SMA 400、SMA 410和SMA 500v(ESX、KVM、AWS、Azure)，运行以下版本：

• 10.2.1.0-17sv及更早版本(已在10.2.1.1-19sv及更高版本中修复)
• 10.2.0.7-34sv及更早版本(已在10.2.0.8-37sv及更高版本中修复)
• 9.0.0.10-28sv及更早版本(已在9.0.0.11-31sv及更高版本中修复)

虽然目前关于CVE-2021-20035被利用的具体细节尚不清楚，但SonicWall已修改公告，确认”这个漏洞可能正在野外被利用”。

原文链接：

https://thehackernews.com/2025/04/cisa-flags-actively-exploited.html

微软NTLM哈希漏洞补丁发布数日后即被利用攻击东欧国家

研究人员近日发现，一个允许攻击者在最小用户交互下泄露NTLM认证哈希值的Windows漏洞（CVE-2025-24054）在微软发布补丁后数日内就被积极利用。

该漏洞可通过特制的.library-ms文件触发，用户仅需浏览包含该文件的文件夹，Windows就会启动SMB认证请求，将NTLMv2-SSP哈希泄露给攻击者控制的服务器。尽管微软于2025年3月11日发布了修复补丁，但威胁行为者在3月19日就开始在野外利用该漏洞。研究人员随后观察到一场针对波兰和罗马尼亚机构的协同攻击活动。攻击者通过钓鱼邮件中嵌入的Dropbox链接传递恶意.library-ms文件，这些文件一旦被下载并解压，无需用户打开或执行任何操作就能触发NTLM哈希泄露。

首个已知利用此漏洞的活动发生在3月20-21日左右，使用名为xd.zip的压缩包，其中包含四个设计用于收集NTLMv2哈希的恶意文件。接收被窃凭据的SMB服务器位于俄罗斯、保加利亚、荷兰、澳大利亚和土耳其。

原文链接：

https://www.infosecurity-magazine.com/news/ntlm-hash-exploit-targets-poland/

安全漏洞

已被在野积极利用，苹果紧急修复两个“极其复杂”的高危零日漏洞

苹果公司近日发布紧急安全公告，敦促用户立即更新系统以修补两个正被黑客积极利用的零日漏洞。这两个漏洞分别位于CoreAudio（CVE-2025-31200）和RPAC组件（CVE-2025-31201）中，被用于执行代码和内存破坏攻击。

其中，CoreAudio漏洞（CVSS评分7.5/10）是一个高危内存破坏缺陷，处理恶意构造的媒体文件中的音频流可能导致代码执行”。而RPAC（可重构处理架构核心）漏洞（CVSS评分6.8/10）则允许攻击者绕过指针认证，这可能导致权限提升和内核入侵。

苹果在周三（4月16日）发布的公告中表示，该漏洞可能已被用于针对iOS上特定目标个人的“极其复杂”攻击。该漏洞影响范围广泛，包括运行iOS、iPadOS、tvOS、visionOS和macOS的设备。苹果已为所有受影响的操作系统发布了修补程序，包括tvOS 18.4.1、visionOS 2.4.1、iOS 18.4.1、iPadOS 18.4.1和macOS Sequoia 15.4.1。

原文链接：

https://www.csoonline.com/article/3964668/hackers-target-apple-users-in-an-extremely-sophisticated-attack.html

Erlang/OTP SSH实现存在满分严重漏洞，OT/IoT设备面临严重安全风险

近日，研究人员披露了Erlang/Open Telecom Platform (OTP) SSH实现中的一个严重安全漏洞（CVE-2025-32433）。该漏洞CVSS评分高达10.0满分，允许攻击者在特定条件下无需任何身份验证即可执行任意代码。

Erlang常见于高可用性系统，大多数思科和爱立信设备都运行Erlang。任何使用Erlang/OTP SSH库进行远程访问的服务，如OT/IoT设备和边缘计算设备，都容易受到攻击。这一漏洞源于对SSH协议消息的不当处理，本质上允许攻击者在身份验证之前发送连接协议消息。如果成功利用这些缺陷，可能导致在SSH守护进程上下文中执行任意代码。更严重的是，如果守护进程以root权限运行，攻击者将能够完全控制设备，从而获取敏感数据或发起拒绝服务攻击。

所有运行基于Erlang/OTP SSH库的SSH服务器的用户都可能受到该漏洞的影响。安全专家建议更新至OTP-27.3.3、OTP-26.2.5.11和OTP-25.3.2.20版本。作为临时解决方案，可以使用适当的防火墙规则阻止对易受攻击的SSH服务器的访问。

原文链接：

https://thehackernews.com/2025/04/critical-erlangotp-ssh-vulnerability.html