工業(yè)網(wǎng)絡(luò)安全周報(bào)

政策法規(guī)方面，本周觀察到國(guó)內(nèi)外網(wǎng)絡(luò)安全相關(guān)政策法規(guī)7項(xiàng)，值得關(guān)注的有《網(wǎng)絡(luò)安全合規(guī)咨詢服務(wù)規(guī)范》團(tuán)體標(biāo)準(zhǔn)正式發(fā)布、美國(guó)NIST發(fā)布網(wǎng)絡(luò)安全框架2.0等。

漏洞態(tài)勢(shì)方面，本周監(jiān)測(cè)到漏洞動(dòng)態(tài)18條，其中涉及工業(yè)漏洞2條，值得關(guān)注的有微軟公布CODESYS V3 SDK中的15個(gè)高危漏洞，CISA披露了施耐德電氣EcoStruxure和Modicon、羅克韋爾Armor PowerFlex中的安全漏洞等。

安全事件方面，本周監(jiān)測(cè)到重大網(wǎng)絡(luò)安全事件22起，其中典型的事件有南部非洲發(fā)電機(jī)成為DroxiDat惡意軟件的攻擊目標(biāo)，清潔產(chǎn)品巨頭Clorox在遭受網(wǎng)絡(luò)攻擊后使系統(tǒng)離線等。

產(chǎn)品技術(shù)方面，Claroty為擴(kuò)展后的德勤MXDR平臺(tái)增加安全運(yùn)營(yíng)技術(shù)，OT網(wǎng)絡(luò)安全平臺(tái)供應(yīng)商Radiflow宣布與臺(tái)灣供應(yīng)商CyCraft建立合作伙伴關(guān)系以提高OT網(wǎng)絡(luò)安全檢測(cè)和響應(yīng)能力。

01、《網(wǎng)絡(luò)安全合規(guī)咨詢服務(wù)規(guī)范》團(tuán)體標(biāo)準(zhǔn)正式發(fā)布

由北京網(wǎng)絡(luò)空間安全協(xié)會(huì)、廣東省網(wǎng)絡(luò)空間安全協(xié)會(huì)聯(lián)合批準(zhǔn)《網(wǎng)絡(luò)安全合規(guī)咨詢服務(wù)規(guī)范》T/BJCSA 03—2023團(tuán)體標(biāo)準(zhǔn)發(fā)布。標(biāo)準(zhǔn)規(guī)定了網(wǎng)絡(luò)安全合規(guī)咨詢服務(wù)機(jī)構(gòu)的咨詢服務(wù)類型、咨詢服務(wù)機(jī)構(gòu)等級(jí)劃分以及通用評(píng)價(jià)要求等內(nèi)容。

資料來源：http://gdtbt.org.cn/html/note-354548.html

02、美國(guó)NIST發(fā)布網(wǎng)絡(luò)安全框架2.0

8月15日，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)發(fā)布了網(wǎng)絡(luò)安全框架(CSF 2.0)參考工具。該框架允許用戶探索CSF 2.0核心草案(函數(shù)、類別、子類別、實(shí)施示例)，并以JSON和Excel格式提供人類和機(jī)器可讀版本的核心草案。該工具旨在利用NIST網(wǎng)絡(luò)安全和隱私參考工具(CPRT)，用戶可以在其中查看NIST許多網(wǎng)絡(luò)安全和隱私資源的信息。

資料來源：https://csrc.nist.gov/Projects/Cybersecurity-Framework/Filters#/csf/filters

03、美國(guó)CISA發(fā)布遠(yuǎn)程監(jiān)控和管理(RMM)網(wǎng)絡(luò)防御計(jì)劃

8月16日，網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)宣布發(fā)布一項(xiàng)戰(zhàn)略計(jì)劃，以幫助關(guān)鍵基礎(chǔ)設(shè)施組織降低與使用遠(yuǎn)程監(jiān)控和管理(RMM)解決方案相關(guān)的風(fēng)險(xiǎn)。新發(fā)布的RMM網(wǎng)絡(luò)防御計(jì)劃(PDF)由聯(lián)合網(wǎng)絡(luò)防御協(xié)作組織(JCDC)根據(jù)2023年6月有關(guān)保護(hù)遠(yuǎn)程訪問軟件免受惡意攻擊的指南制定，并與CISA 2023-2025年戰(zhàn)略計(jì)劃保持一致。

資料來源：http://hdco2.xai6.sbs/Uf420JF

04、微軟公布CODESYS V3 SDK中的15個(gè)高危漏洞

8月10日，微軟研究員公布了CODESYS V3軟件開發(fā)套件(SDK)中的15個(gè)高嚴(yán)重性漏洞的研究報(bào)告，CODESYS V3 SDK是一種廣泛用于編程和設(shè)計(jì)可編程邏輯控制器(PLC)的軟件開發(fā)環(huán)境。已發(fā)現(xiàn)的漏洞分別被標(biāo)識(shí)為CVE-2022-47379(CVSS評(píng)分8.8)、CVE-2022-47380(CVSS評(píng)分8.8)等，這些漏洞會(huì)影響3.5.19.0版之前的所有CODESYS V3版本，成功利用這些漏洞可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行(RCE)和拒絕服務(wù)(DoS)攻擊。

資料來源：http://iucw6.xai8.sbs/GP0CeZQ

05、CISA披露了施耐德電氣EcoStruxure和Modicon、羅克韋爾Armor PowerFlex中的安全漏洞

8月15日，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布了兩份ICS(工業(yè)控制系統(tǒng))公告，公告強(qiáng)調(diào)了施耐德電氣EcoStruxure和Modicon以及羅克韋爾自動(dòng)化Armor PowerFlex組件中存在的硬件漏洞。公告顯示，施耐德電氣的EcoStruxure Control Expert、EcoStruxure Process Expert、Modicon M340 CPU、Modicon M580 CPU、Modicon Momentum Unity M1E處理器、Modicon MC80設(shè)備中存在可遠(yuǎn)程利用的“通過捕獲重放繞過身份驗(yàn)證”漏洞。Forescout Technologies的研究人員Jos Wetzels和Daniel dos Santos向施耐德電氣報(bào)告了這些漏洞。對(duì)于羅克韋爾自動(dòng)化的Armor PowerFlex v1.003，CISA警告稱存在“計(jì)算錯(cuò)誤”漏洞，該漏洞可通過低攻擊復(fù)雜性進(jìn)行遠(yuǎn)程利用，成功利用此漏洞可能會(huì)讓攻擊者發(fā)送大量網(wǎng)絡(luò)命令，導(dǎo)致產(chǎn)品高速生成大量事件日志流量，從而導(dǎo)致正常運(yùn)行停止。

資料來源：http://dgas2.xai6.sbs/3mLERkG

06、電源管理產(chǎn)品缺陷可能會(huì)使數(shù)據(jù)中心遭受破壞性攻擊和間諜活動(dòng)

Trellix研究人員在Cyber Power的PowerPanel Enterprise數(shù)據(jù)中心電源管理軟件和Dataprobe的iBoot配電單元(PDU)中發(fā)現(xiàn)了9個(gè)漏洞。這些漏洞可能允許威脅行為者監(jiān)視組織，造成重大損害，甚至獲得對(duì)目標(biāo)系統(tǒng)的完全訪問權(quán)限。Cyber Power Powerpanel Enterprise的四個(gè)漏洞包括身份驗(yàn)證繞過和操作系統(tǒng)命令注入問題。五個(gè)Dataprobe iBoot PDU漏洞也存在同樣的問題，以及操作系統(tǒng)命令注入和拒絕服務(wù)問題。Trellix描述了威脅行為者如何利用這些漏洞來中斷數(shù)據(jù)中心運(yùn)行數(shù)天或操縱電源管理來?yè)p壞硬件設(shè)備。在Trellix向供應(yīng)商通報(bào)這些問題后，Cyber Power和Dataprobe都發(fā)布了補(bǔ)丁。

資料來源：http://zroq2.xai6.sbs/kjbTHD2

07、思科修補(bǔ)企業(yè)應(yīng)用程序中的高嚴(yán)重性漏洞

8月16日，思科宣布對(duì)多個(gè)企業(yè)應(yīng)用程序進(jìn)行安全更新，以修補(bǔ)導(dǎo)致權(quán)限升級(jí)、SQL注入、目錄遍歷和拒絕服務(wù)(DoS)的高嚴(yán)重性漏洞。其中最嚴(yán)重的影響是Cisco Unified Communications Manager(Unified CM)和Unified Communications Manager會(huì)話管理版(Unified CM SME)的Web管理界面。該漏洞編號(hào)為CVE-2023-20211(CVSS評(píng)分8.1)，被描述為對(duì)用戶提供的輸入的驗(yàn)證不當(dāng)，可能允許經(jīng)過身份驗(yàn)證的遠(yuǎn)程攻擊者執(zhí)行SQL注入攻擊。

資料來源：https://sec.cloudapps.cisco.com/security/center/publicationListing.x

08、南部非洲發(fā)電機(jī)成為DroxiDat惡意軟件的攻擊目標(biāo)

8月10日，網(wǎng)絡(luò)安全公司卡巴斯基發(fā)布了一篇報(bào)告稱其發(fā)現(xiàn)了一起針對(duì)南部非洲發(fā)電機(jī)的疑似網(wǎng)絡(luò)攻擊事件，該攻擊使用了SystemBC惡意軟件的新變種。報(bào)告稱，這次攻擊是由一個(gè)身份不明的黑客組織于今年3月發(fā)起的。黑客使用Cobalt Strike工具和DroxiDat(SystemBC有效負(fù)載的新變體)來分析受感染的系統(tǒng)并在電力公司上建立遠(yuǎn)程連接。

資料來源：https://securelist.com/focus-on-droxidat-systembc/110302/

09、清潔產(chǎn)品巨頭Clorox在遭受網(wǎng)絡(luò)攻擊后使系統(tǒng)離線

近日，清潔產(chǎn)品制造商高樂氏公司(Clorox Company)已關(guān)閉部分系統(tǒng)以應(yīng)對(duì)網(wǎng)絡(luò)攻擊。據(jù)該公司網(wǎng)站上發(fā)布的通知，8月14日，該公司檢測(cè)到其IT系統(tǒng)上存在異常活動(dòng)，并迅速采取行動(dòng)，停止可疑活動(dòng)并關(guān)閉受影響的系統(tǒng)。雖然Clorox尚未披露攻擊的性質(zhì)，但使系統(tǒng)脫機(jī)是對(duì)潛在勒索軟件感染的常見反應(yīng)。該公司正在努力恢復(fù)運(yùn)營(yíng)，并已通知執(zhí)法部門并聘請(qǐng)第三方網(wǎng)絡(luò)安全專家來調(diào)查該事件。目前尚不清楚攻擊中是否有任何數(shù)據(jù)被泄露或被盜。

資料來源：https://www.infosecurity-magazine.com/news/clorox-disrupted-cyber-attack/

10、全球最大金礦和鉬礦廠遭網(wǎng)絡(luò)攻擊致生產(chǎn)受到影響

8月11日，美國(guó)礦業(yè)巨頭自由港·麥克莫蘭銅金公司(Freeport-McMoRan Inc.簡(jiǎn)稱FCX)宣布，稱其正在調(diào)查一起影響其信息系統(tǒng)的網(wǎng)絡(luò)安全事件，該攻擊事件導(dǎo)致銅生產(chǎn)受到部分影響，公司表示，正在評(píng)估事件影響，積極采取解決措施，并與“第三方專家和執(zhí)法部門密切合作”。

資料來源：https://gilaherald.com/freeport-hit-with-cyberattack-ransom-demanded/

11使用的惡意二維碼對(duì)美國(guó)能源公司發(fā)起網(wǎng)絡(luò)釣魚攻擊

8月16日，威脅情報(bào)公司Cofense發(fā)布報(bào)告稱，自2023年5月以來，一場(chǎng)廣泛的網(wǎng)絡(luò)釣魚活動(dòng)一直針對(duì)各個(gè)行業(yè)的組織，其中包括一家美國(guó)大型能源公司。這些攻擊旨在獲取目標(biāo)組織員工的Microsoft帳戶憑據(jù)，依賴于嵌入PNG圖像或PDF文檔中的惡意QR碼。Cofense解釋說，網(wǎng)絡(luò)釣魚鏈接隱藏在二維碼中。作為該活動(dòng)的一部分，攻擊者發(fā)送了1,000多封網(wǎng)絡(luò)釣魚電子郵件，其中大約29%針對(duì)美國(guó)能源公司。制造、保險(xiǎn)、技術(shù)和金融服務(wù)領(lǐng)域的組織分別收到了15%、9%、7%和6%的電子郵件。

資料來源：http://ts6n5.xai6.sbs/0H4ToXr

12、美國(guó)芝加哥貝爾特鐵路公司遭遇勒索軟件攻擊

8月12日，據(jù)Recorded Future News報(bào)道，美國(guó)最大的轉(zhuǎn)轍和樞紐鐵路正在調(diào)查勒索軟件組織竊取數(shù)據(jù)的事件。芝加哥貝爾特鐵路公司(總部位于伊利諾伊州貝德福德公園)由美國(guó)和加拿大的六家鐵路公司共同擁有，每家鐵路公司都使用該公司的轉(zhuǎn)運(yùn)和換乘設(shè)施。

資料來源：https://therecord.media/belt-railway-chicago-ransomware-data-theft-akira

13、2,000個(gè)Citrix NetScaler實(shí)例通過近期漏洞獲得后門

8月15日，F(xiàn)ox-IT(NCC集團(tuán)的一部分)在其官網(wǎng)發(fā)布報(bào)告稱Fox-IT與荷蘭漏洞披露研究所(DIVD)共同發(fā)現(xiàn)了Citrix NetScaler的大規(guī)模利用活動(dòng)。攻擊者似乎以自動(dòng)化方式利用了CVE-2023-3519，在易受攻擊的NetScaler上放置Webshell以獲得持久訪問權(quán)限。即使NetScaler已打補(bǔ)丁或重新啟動(dòng)，攻擊者也可以使用此Webshell執(zhí)行任意命令。截至8月15日，仍有1900多個(gè)NetScaler仍存在后門。荷蘭漏洞披露研究所利用Fox-IT提供的數(shù)據(jù)通知了受害者。

資料來源：http://q0yq2.xai6.sbs/MjQltwG

14、Claroty為擴(kuò)展后的德勤MXDR平臺(tái)增加安全運(yùn)營(yíng)技術(shù)

8月16日，網(wǎng)絡(luò)物理系統(tǒng)保護(hù)公司Claroty宣布，Claroty xDome將為德勤軟件服務(wù)托管擴(kuò)展檢測(cè)和響應(yīng)(MXDR)平臺(tái)中內(nèi)置的操作技術(shù)(OT)模塊提供支持，支持包括云和OT安全運(yùn)營(yíng)中心(SOC)交付。德勤OT模塊的MXDR為任務(wù)關(guān)鍵型OT系統(tǒng)提供端到端檢測(cè)和響應(yīng)、漏洞管理、生命周期可視性和資產(chǎn)跟蹤控制、管理和監(jiān)控工業(yè)設(shè)備、流程、生產(chǎn)和管理的系統(tǒng)和資產(chǎn)操作。德勤全球網(wǎng)絡(luò)檢測(cè)與響應(yīng)產(chǎn)品負(fù)責(zé)人Chris Richter表示“Claroty的技術(shù)聯(lián)盟生態(tài)系統(tǒng)與我們的產(chǎn)品相結(jié)合，使組織能夠在日益互聯(lián)的OT環(huán)境中達(dá)到新的運(yùn)營(yíng)彈性水平。

資料來源：http://lnvz2.xai6.sbs/aJug1ih

15、Radiflow與CyCraft合作致力于提高OT網(wǎng)絡(luò)安全檢測(cè)和響應(yīng)能力

8月17日，OT網(wǎng)絡(luò)安全平臺(tái)供應(yīng)商Radiflow宣布與臺(tái)灣供應(yīng)商CyCraft建立合作伙伴關(guān)系，CyCraft是一家專注于生成人工智能檢測(cè)、調(diào)查和應(yīng)對(duì)國(guó)家資助的APT(高級(jí)持續(xù)威脅)的公司。此次合作利用了東西方20多年的威脅情報(bào)，通過利用生成式人工智能的力量，這種合作伙伴關(guān)系為企業(yè)客戶、MSSP和MDR釋放了未開發(fā)的、無限的檢測(cè)和響應(yīng)能力，以應(yīng)對(duì)針對(duì)OT資產(chǎn)的日益復(fù)雜的攻擊。

資料來源：http://qdwx6.xai8.sbs/yz2LJMI