工業網絡安全周報

政策法規方面，本周觀察到國內外網絡安全相關政策法規4項，值得關注的有CISA發布關于采用DDoS緩解措施的指南、美國DOE增加了兩項新資源以提高能源領域CIE的認識和實施等。

漏洞態勢方面，本周監測到漏洞動態19條，值得關注的有SEL電源系統管理產品中的9個漏洞已修復。

安全事件方面，本周監測到重大網絡安全事件20起，其中典型的事件有Fancy Bear針對某能源基礎設施的攻擊等。

產品技術方面，MITRE和CISA發布用于OT攻擊模擬的開源工具。

01、CISA發布關于采用DDoS緩解措施的指南

美國網絡安全和基礎設施安全局(CISA)發布了新指南，幫助聯邦機構采用分布式拒絕服務(DDoS)緩解措施。DDoS攻擊是一種網絡攻擊，其中威脅行為者用互聯網流量淹沒服務器或網絡，耗盡其資源并使目標無法訪問。

資料來源：http://wfju3.xai8.sbs/IpOAXRK

02、美國DOE增加了兩項新資源，以提高能源領域CIE的認識和實施

9月5日，美國能源部(DOE)網絡安全、能源安全和應急響應辦公室(CESER)發布了兩份聲明，以支持實施國家網絡信息工程(CIE)戰略的多項建議。CESER根據其外展計劃開發了CIE資源庫和CIE實施指南，該計劃支持處于整個行業實施CIE前沿的能源合作伙伴。該戰略由保護能源基礎設施執行工作組在國會的指導下制定，重點關注加強該部門識別和緩解網絡漏洞的能力，提供了建議的行動，使能源部門能夠通過主動建設網絡安全來引領國家納入CIE進入基礎設施系統的設計。

資料來源：http://yyoc5.xai6.sbs/FZ4pFEN

03、美國能源部OT Defender Fellowship開放申請2024年列隊

9月4日，美國能源部(DOE)宣布，其OT Defender Fellowship已開放2024屆學生的申請。此舉的重點是通過公私合作伙伴關系加強整個能源部門的網絡安全。申請將于9月30日截止。OT Defender Fellowship向美國能源行業資產所有者運營商的中高級員工開放，包括電力、石油、天然氣和可再生能源公司。之前的參與者包括來自全國各地組織的能源部門資產所有者和運營商。大約15名申請者將被選中參加。

資料來源：http://kynl3.xai8.sbs/CyNRshK

04、澳大利亞、英國等11家數據保護機構發布數據抓取聯合聲明

8月24日，澳大利亞信息專員辦公室(OAIC)聯合英國信息專員辦公室(ICO)等11家國際數據保護機構發布了一份數據抓取聯合聲明。隨著數據抓取技術實踐越來越普遍，其引發的個人信息及隱私泄露風險也愈加凸顯，通過數據抓取獲取的數據可能會流向惡意第三方和情報機構，以此實現非法牟利或情報收集。

資料來源：http://dbvo5.xai6.sbs/blcdox7

05、華碩路由器受到三個嚴重遠程代碼執行缺陷的影響

華碩路由器RT-AX55、RT-AX56U_V2和RT-AC86U受到三個關鍵遠程代碼執行漏洞的影響，這些漏洞可能允許威脅行為者接管設備。三個漏洞分別為CVE-2023-39238(CVSS 9.8)：未經身份驗證的遠程攻擊者可以利用該缺陷獲取遠程代碼執行權限，從而在設備上執行任意操作或中斷服務。CVE-2023-39239(CVSS 9.8)：華碩RT-AX55、RT-AX56U_V2和RT-AC86U通用設置功能的API中存在格式字符串漏洞。此函數無法正確驗證輸入格式字符串。未經身份驗證的遠程攻擊者可以利用此漏洞獲得遠程代碼執行、對設備執行任意操作或中斷服務。CVE-2023-39240(CVSS 9.8)：ASUS RT-AX55、RT-AX56U_V2和RT-AC86U iperf相關模塊set_iperf3_cli.cgi API存在格式字符串漏洞。此函數無法正確驗證輸入格式字符串。遠程攻擊者可以在未經許可的情況下利用它。該漏洞允許遠程執行代碼對設備執行任意操作或中斷服務。攻擊者可以通過向設備上的某些管理API函數提供特制的輸入來觸發上述問題。

資料來源：https://securityaffairs.com/150399/iot/asus-routers-critical-rces.html

06、SEL電源系統管理產品中的9個漏洞已修復

Schweitzer Engineering Laboratories(SEL)生產的幾個電力管理產品最近修復了九個漏洞，其中包括潛在的嚴重缺陷。SEL是一家總部位于美國的公司，為電力行業提供廣泛的產品和服務，包括控制系統、發電機和輸電保護以及配電自動化。工業網絡安全公司Nozomi Networks的研究人員在SEL-5030 acSELerator QuickSet和SEL-5037 Grid Configurato發現9個漏洞，該漏洞被標識為CVE-2023-31171，它允許目標用戶從特制文件導入設備配置，從而允許在運行SEL軟件的工程工作站上執行任意代碼。該漏洞可與CVE-2023-31175關聯，允許攻擊者提升權限。SEL已發布軟件更新來修復這些漏洞。

資料來源：http://g63i3.xai8.sbs/5KoVmr4

07、Fancy Bear針對某能源基礎設施的攻擊

9月6日，CERT-UA在公告中提及Fancy Bear針對烏克蘭某能源基礎設施發起攻擊。攻擊使用了包含BAT文件的釣魚郵件來獲得目標系統的初始訪問權限。運行CMD文件將創建.bat和.vbs文件，并啟動一個VBS文件，該文件將依次執行BAT文件。攻擊者還在目標計算機中安裝了Tor應用，并通過合法的webhook.site服務API使用“curl”實現遠程命令執行，通過創建計劃任務運行以BAT文件作為參數的VBS腳本來確保持久性。CERT-UA稱，該能源基礎設施的安全人員采取了相應措施阻止了此次攻擊活動。

資料來源：https://therecord.media/ukraine-energy-facility-cyberattack-fancy-bear-email

08、研究人員公開Atlas VPN中泄露用戶真實IP地址的漏洞

9月5日，Bill Toulas報道稱一位名為“Educational-Map-8145”的Reddit用戶在Reddit上發布了一個PoC漏洞，該漏洞不需要認證僅需要訪問Atlas VPN Linux API就可以獲取用戶的真實IP地址。該PoC創建了一個由JavaScript自動提交的隱藏表單，連接到API終端URL http://127.0.0.1:8076/connection/stop。訪問該API終端時，它會自動終止隱藏用戶IP地址的Atlas VPN會話。一旦VPN連接斷開，PoC就會自動連接到api.ipify.org，記錄訪問者的實際IP地址。Atlas VPN承諾將盡快發布修復程序。

資料來源：http://9fhn6.xai8.sbs/gCSjVCp

09、25個主要汽車品牌在安全和隱私方面被Mozilla評為不及格

Mozilla的一項研究顯示，25個主要汽車品牌未能通過用戶的麥克風、攝像頭和汽車連接設備收集個人數據來保護消費者隱私。Mozilla分析的目標品牌包括寶馬、雷諾、斯巴魯、菲亞特、吉普、克萊斯勒、大眾、豐田、雷克薩斯、福特、奧迪、梅賽德斯-奔馳、本田、林肯、謳歌、起亞、GMC、雪佛蘭、現代、日產和特斯拉。

資料來源：http://eip46.xai8.sbs/b5UNHGq

10、伊朗黑客通過Zoho、Fortinet漏洞入侵美國航空組織

9月7日，CISA、FBI和美國網絡司令部(USCYBERCOM)發布的一份聯合報告顯示，國家支持的黑客組織利用針對Zoho和Fortinet關鍵漏洞的漏洞攻擊了美國一家航空組織。此次違規事件背后的威脅組織尚未被命名，但雖然聯合通報沒有將攻擊者與特定國家聯系起來，但美國網絡司令部的新聞稿將惡意行為者與伊朗的利用活動聯系起來。

資料來源：https://therecord.media/montreal-electricity-organization-lockbit-victim/

11、邪惡的MinIO漏洞：破壞企業網絡的新攻擊媒介

Security Joes的研究人員發現，一個未知的威脅參與者利用MinIO對象存儲系統中的漏洞在易受攻擊的服務器上遠程執行任意代碼。研究人員在GitHub存儲庫上發現了利用CVE-2023-28434和CVE-2023-28432漏洞的漏洞代碼Evil_MinIO。MinIO是一種高性能的分布式對象存儲系統，被各種組織使用。啟動應用程序后，攻擊者利用這些缺陷添加后門，使他們能夠對受害者的系統進行遠程代碼執行攻擊。

資料來源：https://hackread.com/uk-air-traffic-control-system-collapses-travel-chaos/

12、涉嫌LockBit攻擊導致塞維利亞城市網絡關閉

據當地媒體報道，9月7日，西班牙塞維利亞市議會仍未從網絡攻擊中恢復過來，官員們將此次網絡攻擊歸咎于LockBit網絡犯罪團伙。該事件影響了廣泛的城市服務，包括警察、消防員和稅務部門。據市政府官員稱，襲擊于9月4日開始，最初被確定為內部系統故障。

資料來源：http://ew3x5.xai6.sbs/D3waR6I、

13、德國金融監管機構網站遭受DDoS攻擊

紐約市地鐵的非接觸式支付系統存在安全漏洞。任何有權訪問某人信用卡號的人都可以看到他們在過去7天內進入城市地鐵的時間和地點。問題出在OMNY網站上的一個“功能”，OMNY是大都會交通管理局(MTA)的觸碰支付系統，它允許您僅使用信用卡信息查看最近的乘車歷史記錄。

資料來源：http://1khd3.xai8.sbs/E6955eU

14、數以千計的熱門網站泄露秘密

代碼安全公司Truffle Security警告稱，Alexa前100萬網站列表中的數千個域正在泄露機密，包括憑據。據該提供開源秘密掃描引擎的公司稱，被分析的網站中有4,500個暴露了其.git目錄。.git目錄是在初始化Git存儲庫時創建的，其中包含項目所需的所有信息，包括代碼提交、文件路徑、版本控制信息等。

資料來源：http://1bcp2.xai6.sbs/f5Trgmk

15、MITRE和CISA發布用于OT攻擊模擬的開源工具

9月5日，MITRE公司和美國網絡安全和基礎設施安全局(CISA)宣布了開源Caldera平臺的新擴展，該平臺可模擬針對運營技術(OT)的對抗性攻擊。新的Caldera for OT擴展是國土安全系統工程與開發研究所(HSSEDI)與CISA合作的成果，旨在幫助提高關鍵基礎設施的彈性。

資料來源：https://infosecurity-magazine.com/news/mitre-cisa-ot-attack-emulation-tool/