工業網絡安全周報

政策法規方面，本周觀察到國內外網絡安全相關政策法規5項，值得關注的有全國信安標委發布《信息安全技術網絡攻擊和網絡攻擊事件判定準則》等3項國家標準公開征求意見、全國信安標委發布《信息安全技術重要數據處理安全要求》等4項國家標準公開征求意見等。

漏洞態勢方面，本周監測到漏洞動態17條，值得關注的有Nozomi發現工程工作站中使用的SEL軟件應用程序存在漏洞。

安全事件方面，本周監測到重大網絡安全事件20起，其中典型的事件有澳大利亞能源軟件提供商Energy One遭受網絡攻擊、蒙特利爾電力組織成為LockBit勒索軟件狂潮的最新受害者等。

產品技術方面，Cybeats通過為期三年的合同協議向一家醫療設備制造商提供SBOM Studio。

01、全國信安標委發布《信息安全技術網絡攻擊和網絡攻擊事件判定準則》等3項國家標準公開征求意見

全國信息安全標準化技術委員會歸口的《信息安全技術網絡攻擊和網絡攻擊事件判定準則》等3項國家標準現已形成標準征求意見稿。根據《全國信息安全標準化技術委員會標準制修訂工作程序》要求，現將該3項標準征求意見稿面向社會公開征求意見。

資料來源：https://tc260.org.cn/front/postDetail.html?id=20230830130651

02、全國信安標委發布《信息安全技術重要數據處理安全要求》等4項國家標準公開征求意見

全國信息安全標準化技術委員會歸口的《信息安全技術重要數據處理安全要求》等4項國家標準現已形成標準征求意見稿。根據《全國信息安全標準化技術委員會標準制修訂工作程序》要求，現將該4項標準征求意見稿面向社會公開征求意見。

資料來源：https://tc260.org.cn/front/postDetail.html?id=20230830131050

03、ISA立場文件敦促依靠相關標準和培訓來推進工業網絡安全

國際自動化協會(ISA)發布了一份新的立場文件，其中就政策制定者和私營部門領導人如何有效解決加強關鍵基礎設施網絡安全的緊迫問題提供了建議。該論文于本周發布，采用了全球相關標準和一致性計劃，并為致力于確保設施、流程和社區安全的工程師和自動化專業人員社區提供支持。該論文題為“推進工業網絡安全”，概述了網絡入侵對銀行、企業和政府網絡以及數據庫的影響已被廣泛宣傳并為公眾所熟知。對所有現代經濟體所依賴的龐大關鍵基礎設施和制造部門的網絡和技術的網絡攻擊可能會對公共安全和福利造成破壞性影響。

資料來源：http://www.qxpc2.xai6.sbs/Nreutgj

04、美國CISA-FBI咨詢涵蓋QakBot基礎設施的識別、破壞;提供緩解行動

8月30日，美國網絡安全和基礎設施安全局(CISA)和聯邦調查局(FBI)發布了一份聯合網絡安全咨詢(CSA)，根據FBI本月進行的調查發布了QakBot基礎設施受損指標(IOC)。我們敦促各組織實施所提供的緩解措施，以減少QakBot相關活動的可能性，并促進識別QakBot促進的勒索軟件和惡意軟件感染。

資料來源：http://www.rnm83.xai8.sbs/HfPh3R0

05、Nozomi發現工程工作站中使用的SEL軟件應用程序存在漏洞

Nozomi Networks Labs團隊的研究和分析發現了九個漏洞，影響了Schweitzer Engineering Laboratories (SEL)開發的兩個主要軟件應用程序：SEL-5030 acSELeratorQuickSet和SEL-5037 GridConfigurator。這些應用程序通常安裝在Windows工作站上，供工程師或技術人員用來調試、配置和監控SEL設備。研究人員在8月31日的博客文章中寫道：“這9個漏洞中最嚴重的一個將允許威脅行為者在工程工作站上進行遠程代碼執行(RCE)。”“由于這兩種SEL軟件產品都包含廣泛的功能，可以幫助資產所有者和系統運營商有效地監督和管理復雜的基礎設施，因此威脅行為者可以利用它們來改變由任一軟件應用程序控制的所有SEL設備的邏輯。”

資料來源：http://www.nco05.xai6.sbs/lop5Xas

06、PoC發布后，黑客利用了關鍵的瞻博網絡RCE漏洞鏈

黑客正在使用關鍵的漏洞利用鏈，通過其暴露在互聯網上的J-Web配置界面來瞄準Juniper EX交換機和SRX防火墻。成功利用該漏洞使未經身份驗證的攻擊者能夠在未修補的設備上遠程執行代碼。Juniper表示：“通過不需要身份驗證的特定請求，攻擊者能夠通過J-Web上傳任意文件，從而導致文件系統特定部分的完整性丟失，從而可能導致其他漏洞的鏈接。”

資料來源：http://www.slim5.xai6.sbs/0r1ci7A

07、研究人員發布針對JuniperSRX防火墻漏洞的PoC

8月28日，研究人員發布了Juniper SRX防火墻中漏洞的PoC。8月中旬，Juniper修復了影響EX交換機和SRX防火墻的四個漏洞(CVE-2023-36844、CVE-2023-36845、CVE-2023-36846、CVE-2023-36847)。watchTowr發布的PoC利用了身份驗證上傳漏洞(CVE-2023-36846)將任意PHP文件上傳到具有隨機文件名的受限目錄，還上傳了PHP配置文件。然后利用PHP外部變量修改漏洞(CVE-2023-36845)覆蓋環境變量PHPRC并加載PHP配置文件，以觸發執行最初上傳的PHP文件。

資料來源：http://www.tr1u2.xai6.sbs/kI05T4X

08、Netgear發布針對兩個高嚴重性漏洞的補丁

網絡硬件巨頭Netgear發現了兩個漏洞，影響其一款路由器型號及其網絡管理軟件。其中一個漏洞(編號為CVE-2023-41183)允許黑客訪問Netgear的Orbi 760路由器并在無需身份驗證的情況下利用它們。根據零日計劃，問題在于簡單對象訪問協議(SOAP)API的設置，該協議允許不同的軟件應用程序進行通信。他們表示，在授予某人使用某些SOAP功能的權限之前，沒有適當的流程來確認某人的身份。該漏洞在通用漏洞評分系統(CVSS)上的得分為8.8。Netgear已經發布了補丁。該公司的公告稱：“Netgear強烈建議您盡快下載最新固件。”并補充說，如果客戶未能遵循其安全建議，該公司對由此產生的后果不承擔任何責任。另一個漏洞(編號為CVE-2023-41182)影響該公司的網絡管理系統ProSAFE。該缺陷允許黑客在ProSAFE系統上控制和運行自己的代碼。零日計劃表示，盡管利用此漏洞需要進行身份驗證，但現有的身份驗證機制可以被繞過。該漏洞的CVSS評分為7.2，并已在最新版本的ProSAFE中修復。目前還沒有任何有關該漏洞被大規模利用的報告。

資料來源：https://therecord.media/netgear-releases-patches-for-two-bugs

09、豐田訂單系統出現故障導致14個生產車間停產36小時

媒體8月30日稱，日本豐田公司的訂單系統出現故障，導致14個生產車間的28條生產線停產。故障開始于本周一晚間，生產于本周三按計劃恢復。這家汽車制造商以其精益準時的生產系統聞名，并認為該系統非常可靠。這意味著豐田汽車的零部件庫存量極低，幾乎在需要安裝到汽車上時這些零件才會就位。該公司在周二表示，系統故障并非攻擊導致的，但他們將繼續調查原因。

資料來源：https://theregister.com/2023/08/30/toyota_japan_production_resumes/

10、蒙特利爾電力組織成為LockBit勒索軟件狂潮的最新受害者

LockBit勒索軟件團伙繼續占據新聞頭條，并因對關鍵組織、政府和企業發起一系列攻擊而引起網絡安全專家的擔憂。8月30日，該團伙聲稱對蒙特利爾電力服務委員會(CSEM)進行了攻擊，該委員會是一個擁有100年歷史的市政組織，負責管理蒙特利爾市的電力基礎設施。CSEE于8月29日證實了這一事件，并在一份聲明中寫道，該組織于8月3日遭到勒索軟件攻擊，但拒絕支付贖金。它聯系了魁北克省的國家當局和執法部門，同時盡一切努力恢復其系統。CSEM表示，其IT基礎設施已經重建。“參與此案的犯罪團伙公開了一些被盜數據。

資料來源：https://therecord.media/montreal-electricity-organization-lockbit-victim/

11、空中交通管制系統宕機導致英國航班大面積取消和延誤

8月28日，英國空中交通管制系統宕機，數十萬旅客的行程受到影響。國家空中交通管制提供商NATS稱它遇到了“技術問題”，并實施了交通流量限制以維護安全。該問題導致英國各地航班大面積延誤和取消，還對整個歐洲的航班產生了連鎖反應，一些航空公司取消了往返英國的航班。NATS已就此次中斷事件致歉，并表示正在努力以盡快解決問題。

資料來源：http://www.zzsp6.xai8.sbs/o0gH41C

12、某供應商遭到攻擊導致倫敦警局近5萬員工的信息泄露

8月27日，倫敦大都會警察局正在調查關于其47000名警官和工作人員的信息泄露事件。泄露數據包括姓名、照片、軍銜、審查級別和身份證號等。此次數據泄露是由于負責打印授權卡和員工通行證的承包商的IT系統遭到攻擊導致的。目前尚不清楚攻擊者是出于經濟動機，還是專門竊取警察和工作人員的信息。由于擔心泄露數據被有組織的攻擊團伙利用，國家犯罪局(NCA)已被要求調查此次數據泄露事件。

資料來源：https://therecord.media/metropolitan-police-data-leak-hackers-uk

13、紐約地鐵安全漏洞使得追蹤乘客的行程成為可能

紐約市地鐵的非接觸式支付系統存在安全漏洞。任何有權訪問某人信用卡號的人都可以看到他們在過去7天內進入城市地鐵的時間和地點。問題出在OMNY網站上的一個“功能”，OMNY是大都會交通管理局(MTA)的觸碰支付系統，它允許您僅使用信用卡信息查看最近的乘車歷史記錄。

資料來源：http://www.nwzm2.xai6.sbs/E6955eU

14、Cybeats通過為期三年的合同協議向一家醫療設備制造商提供SBOM Studio

Cybeats Technologies宣布簽署新的許可協議，向另一家“全球五強”醫療設備制造商(MDM)提供 Cybeats解決方案SBOM Studio。通過此次合作，SBOM Studio成為全球十大MDM中的三個選定的SBOM管理平臺。最近與MDM簽訂的幾份合同表明Cybeats在價值180億美元的醫療保健網絡安全領域加速取得商業成功，并將其定位為該領域的“SBOM管理領導者”。Cybeats目前已與排名前10的MDM中的3家合作，并與其他幾家全球MDM公司進行試驗評估和后期合同談判。SBOM Studio提供全面的軟件供應鏈智能技術，使MDM能夠管理軟件物料清單(SBOM)并主動解決醫療設備中的網絡風險。

資料來源：http://www.gv3s2.xai6.sbs/EbwNCQn

15、美國能源部撥款3900萬美元用于電網現代化項目，其中包括網絡安全

美國能源部(DOE)宣布為其國家實驗室的項目提供高達3900萬美元的資金，以幫助實現電網現代化。這些資金來自2023年電網現代化計劃(GMI)實驗室呼吁，旨在支持測量、分析、預測、保護和控制未來電網所需的概念、工具和技術的開發和部署，同時納入公平性以及現有的最好的氣候科學。現代化工作還將側重于加強網絡安全態勢。

資料來源：http://www.q1wc3.xai8.sbs/FIPiu2V