工業(yè)網(wǎng)絡(luò)安全周報(bào)

本期摘要

政策法規(guī)方面，本周觀察到國(guó)內(nèi)外網(wǎng)絡(luò)安全相關(guān)政策法規(guī)4項(xiàng)，值得關(guān)注的有國(guó)家標(biāo)準(zhǔn)美國(guó)CISA發(fā)布HBOM供應(yīng)鏈風(fēng)險(xiǎn)管理框架，幫助采購(gòu)商評(píng)估、降低風(fēng)險(xiǎn)。

漏洞態(tài)勢(shì)方面，本周監(jiān)測(cè)到漏洞動(dòng)態(tài)12條，值得關(guān)注的有NCCoE發(fā)布最終NIST IR 8441 HSN配置文件，以增強(qiáng)太空網(wǎng)絡(luò)安全。

安全事件方面，本周監(jiān)測(cè)到重大網(wǎng)絡(luò)安全事件30起，其中典型的事件有微軟AI研究人員泄露38TB數(shù)據(jù)，包括密鑰、密碼和內(nèi)部消息。

01、美國(guó)CISA發(fā)布HBOM供應(yīng)鏈風(fēng)險(xiǎn)管理框架，幫助采購(gòu)商評(píng)估、降低風(fēng)險(xiǎn)

9月25日，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布了供應(yīng)鏈風(fēng)險(xiǎn)管理的硬件物料清單(HBOM)框架。本文檔介紹了一個(gè)HBOM框架，該框架為供應(yīng)商創(chuàng)建了一個(gè)一致的、可復(fù)制的途徑，以便在當(dāng)前或未來(lái)的產(chǎn)品采購(gòu)中與購(gòu)買(mǎi)者就硬件組件進(jìn)行互動(dòng)。該框架為購(gòu)買(mǎi)者提供了徹底評(píng)估和降低供應(yīng)鏈風(fēng)險(xiǎn)的方法。

資料來(lái)源：http://o3oo2.xai6.sbs/ZqCGdSZ

02、美國(guó)提出兩項(xiàng)法案推動(dòng)加強(qiáng)農(nóng)村網(wǎng)絡(luò)安全

美國(guó)參議員MikeRounds(南達(dá)科他州，共和黨)和CatherineCortezMasto(內(nèi)華達(dá)州，民主黨)提出了兩項(xiàng)跨黨派的立法，旨在保護(hù)農(nóng)村和農(nóng)業(yè)社區(qū)的網(wǎng)絡(luò)安全，免受針對(duì)企業(yè)、基礎(chǔ)設(shè)施和美國(guó)食品供應(yīng)鏈的網(wǎng)絡(luò)攻擊。

資料來(lái)源：http://g1fd6.xai8.sbs/HPaAjc4

03、NCCoE發(fā)布最終NIST IR 8441 HSN配置文件，以增強(qiáng)太空網(wǎng)絡(luò)安全

9月25日，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)旗下的國(guó)家網(wǎng)絡(luò)安全卓越中心(NCCoE)發(fā)布了最終的NIST IR 8441，即混合衛(wèi)星網(wǎng)絡(luò)(HSN)的網(wǎng)絡(luò)安全框架(CSF)配置文件。HSN CSF配置文件(HSN配置文件)可作為空間利益相關(guān)者的指導(dǎo)資源，非常適合需要多個(gè)利益相關(guān)者參與與圖像、傳感、廣播、通信或其他天基架構(gòu)相關(guān)的活動(dòng)的應(yīng)用。

資料來(lái)源：http://g8cv3.xai8.sbs/t9RNLmP

04、新加坡CSA開(kāi)展“網(wǎng)絡(luò)之星”演習(xí)，測(cè)試11個(gè)關(guān)鍵部門(mén)對(duì)復(fù)雜網(wǎng)絡(luò)攻擊場(chǎng)景的響應(yīng)

9月22日，新加坡網(wǎng)絡(luò)安全局(CSA)進(jìn)行了第五次網(wǎng)絡(luò)之星演習(xí)(XCS23)，以評(píng)估和增強(qiáng)新加坡的危機(jī)應(yīng)對(duì)能力，確保快速有效地應(yīng)對(duì)網(wǎng)絡(luò)攻擊。新加坡武裝部隊(duì)數(shù)字和情報(bào)部門(mén)積極參與XCS23。此次演習(xí)有超過(guò)450人積極參與，其中包括CSA人員以及來(lái)自11個(gè)關(guān)鍵信息基礎(chǔ)設(shè)施(CII)部門(mén)領(lǐng)導(dǎo)和業(yè)主的代表，共同為XCS23的成功做出了貢獻(xiàn)。

資料來(lái)源：http://l5gm5.xai6.sbs/xCjdvVK

05、日本歐姆龍公司對(duì)抗復(fù)雜的惡意軟件

日本公司歐姆龍最近發(fā)布了針對(duì)網(wǎng)絡(luò)安全公司Dragos在分析復(fù)雜惡意軟件時(shí)發(fā)現(xiàn)的可編程邏輯控制器(PLC)和工程軟件中的漏洞的補(bǔ)丁。去年，美國(guó)網(wǎng)絡(luò)安全機(jī)構(gòu)CISA向組織發(fā)出了三個(gè)影響Omron NJ和NX系列控制器的漏洞的警告。Dragos報(bào)告稱(chēng)，其中一個(gè)漏洞(硬編碼憑據(jù)關(guān)鍵問(wèn)題CVE-2022-34151)被用來(lái)訪問(wèn)歐姆龍PLC，并且是名為Pipedream(Incontroller)的工業(yè)控制系統(tǒng)(ICS)的攻擊目標(biāo)。

資料來(lái)源：https://www.securitylab.ru/news/542075.php

06、西門(mén)子ALM漏洞導(dǎo)致訪問(wèn)權(quán)限被完全接管

以色列Otorio公司的研究團(tuán)隊(duì)發(fā)現(xiàn)并報(bào)告了西門(mén)子一款軟件產(chǎn)品中的多個(gè)0day漏洞，特別是西門(mén)子ALM(自動(dòng)化許可證管理器)。關(guān)鍵漏洞之一CVE-2022-43513允許攻擊者在目標(biāo)計(jì)算機(jī)內(nèi)移動(dòng)文件，這可能會(huì)導(dǎo)致許可問(wèn)題。更嚴(yán)重的威脅是漏洞CVE-2022-43514，該漏洞允許攻擊者繞過(guò)路徑清理并獲得目標(biāo)系統(tǒng)的系統(tǒng)級(jí)權(quán)限。利用這些漏洞可以通過(guò)多次重命名和移動(dòng)文件導(dǎo)致遠(yuǎn)程代碼執(zhí)行。攻擊者可以替換并重新啟動(dòng)ALM服務(wù)可執(zhí)行文件，從而有效地控制受影響的系統(tǒng)。

資料來(lái)源：https://www.securitylab.ru/news/542067.php

07、Google發(fā)布針對(duì)主動(dòng)利用的零日漏洞的補(bǔ)丁

9月27日，谷歌周三推出了修復(fù)程序，以解決Chrome瀏覽器中新的被積極利用的零日漏洞。該高嚴(yán)重性漏洞被追蹤為CVE-2023-5217，被描述為libvpx中VP8壓縮格式中基于堆的緩沖區(qū)溢出，libvpx是Google和開(kāi)放媒體聯(lián)盟(AOMedia)提供的免費(fèi)軟件視頻編解碼器庫(kù)。

資料來(lái)源：http://5ywu2.xai6.sbs/ImjEGkW

08、研究人員發(fā)布了SharePoint新RCE漏洞利用鏈的詳細(xì)信息

安全研究人員本周在GitHub上發(fā)布了一個(gè)SharePoint漏洞的概念驗(yàn)證代碼，展示了攻擊者如何利用該漏洞獲取易受攻擊系統(tǒng)的管理員權(quán)限。安全研究人員本周在GitHub上發(fā)布了一個(gè)SharePoint漏洞的概念驗(yàn)證代碼，展示了攻擊者如何利用該漏洞獲取易受攻擊系統(tǒng)的管理員權(quán)限。另一個(gè)缺陷被識(shí)別為CVE-2023-24955，是微軟于5月份修補(bǔ)的遠(yuǎn)程代碼執(zhí)行(RCE)漏洞。它允許遠(yuǎn)程攻擊者在SharePoint Sever 2019、SharePoint Server 2016和SharePoint Server訂閱版上執(zhí)行任意代碼。

資料來(lái)源：http://4xdd5.xai6.sbs/6ZQnEkO

09、國(guó)際自動(dòng)化巨頭江森自控遭勒索軟件攻擊致部分運(yùn)營(yíng)中斷

9月27日，美國(guó)網(wǎng)絡(luò)安全事件報(bào)告的FORM 8-K文件顯示，江森自控國(guó)際公司遭受了網(wǎng)絡(luò)攻擊。Nextron Systems威脅研究員 Gameel Ali在推特上發(fā)布消息稱(chēng)該攻擊對(duì)江森自控的許多設(shè)備(包括VMware ESXi服務(wù)器)進(jìn)行了加密，影響了公司及其子公司的運(yùn)營(yíng)。

資料來(lái)源：http://arwu5.xai6.sbs/etZ7qmp

10、大眾汽車(chē)遭遇嚴(yán)重網(wǎng)絡(luò)故障致德國(guó)生產(chǎn)暫停

9月27日，大眾汽車(chē)表示其遭遇重大IT故障，導(dǎo)致該汽車(chē)制造商同名品牌在德國(guó)的生產(chǎn)陷入停頓，并補(bǔ)充說(shuō)，包括保時(shí)捷公司和奧迪品牌在內(nèi)的整個(gè)集團(tuán)都受到了影響。該公司發(fā)言人表示該故障自中午12點(diǎn)30分以來(lái)就已存在，目前正在分析中。”這對(duì)汽車(chē)生產(chǎn)廠有影響。大眾表示，根據(jù)目前的分析情況，外部攻擊不太可能是系統(tǒng)故障的原因。目前還無(wú)法估計(jì)問(wèn)題何時(shí)得到解決以及生產(chǎn)何時(shí)能夠重新開(kāi)始。

資料來(lái)源：http://mx616.xai8.sbs/cqO01yu

11、RansomedVC聲稱(chēng)已入侵索尼的系統(tǒng)并將出售其數(shù)據(jù)

9月26日，據(jù)媒體稱(chēng)RansomedVC已入侵索尼集團(tuán)的系統(tǒng)，并表示將出售其數(shù)據(jù)和訪問(wèn)權(quán)限，因?yàn)樗髂岵幌虢悔H金。RansomedVC發(fā)布的樣本很小，約2MB，包括PPT演示文稿、一些Java源代碼文件和Eclipse IDE截圖等。該團(tuán)伙稱(chēng)竊取了260GB數(shù)據(jù)，并試圖以250萬(wàn)美元出售這些數(shù)據(jù)。另一個(gè)黑客團(tuán)伙MajorNelson稱(chēng)RansomedVC是騙子，并表示他們對(duì)此次攻擊負(fù)責(zé)。該團(tuán)伙發(fā)布了2.4GB的壓縮文件作為樣本，其中包含RansomedVC的樣本中的所有文件。索尼目前正在調(diào)查此次攻擊事件。

資料來(lái)源：http://ndae5.xai6.sbs/bUxZAvi

12、Alphv勒索軟件組織入侵全球汽車(chē)和其他車(chē)輛音頻和視頻設(shè)備制造商Clarion

9月24日，據(jù)報(bào)道Alphv聲稱(chēng)入侵了音頻和多媒體設(shè)備的全球制造商Clarion。該公司開(kāi)發(fā)、制造和銷(xiāo)售各種產(chǎn)品，包括汽車(chē)導(dǎo)航系統(tǒng)、音頻系統(tǒng)、視頻系統(tǒng)和后視攝像頭。Alphv在9月23日將Clarion添加到其Tor網(wǎng)站中，稱(chēng)有關(guān)業(yè)務(wù)和合作伙伴的機(jī)密已經(jīng)數(shù)據(jù)泄露。該團(tuán)伙還表示其獲得了客戶數(shù)據(jù)，并威脅在9月25日之前將這些數(shù)據(jù)出售給第三方。黑客發(fā)布了一些被盜文件的截圖作為攻擊的證據(jù)。

資料來(lái)源：http://oetr6.xai8.sbs/5da7BzH

13、加拿大航空Flair員工信息泄露數(shù)月

Cyber news研究團(tuán)隊(duì)發(fā)現(xiàn)，加拿大Flair航空公司將敏感數(shù)據(jù)庫(kù)和電子郵件地址的憑據(jù)開(kāi)放至少七個(gè)月。這增加了乘客的個(gè)人信息(例如電子郵件、姓名或地址)落入壞人之手的風(fēng)險(xiǎn)。泄露的內(nèi)容包括Flyflair.com網(wǎng)站上托管的可公開(kāi)訪問(wèn)的環(huán)境文件。Flyflair.com隸屬于加拿大超低成本航空公司Flair Airlines，成立于2005年。根據(jù)SameWeb的數(shù)據(jù)，該網(wǎng)站每月吸引320萬(wàn)訪問(wèn)者。

資料來(lái)源：http://4kzn6.xai8.sbs/AUTCPcp

14、狡猾的Gelsemium黑客被發(fā)現(xiàn)對(duì)亞洲政府發(fā)起攻擊

在2022年至2023年為期六個(gè)月的針對(duì)東南亞政府的攻擊中，觀察到一種被追蹤為Gelsemium的隱形高級(jí)持續(xù)威脅(APT)。Gelsemium是一個(gè)自2014年開(kāi)始運(yùn)營(yíng)的網(wǎng)絡(luò)間諜組織，目標(biāo)是東亞和中東的政府、教育和電子制造商。ESET2021年的報(bào)告將威脅組織描述為“安靜”，強(qiáng)調(diào)了多年來(lái)幫助他們?cè)诶走_(dá)下飛行的巨大技術(shù)能力和編程知識(shí)。

資料來(lái)源：http://rmbx6.xai8.sbs/czSc76L

15、OTORIO與HSB推出有限性能保修，以利用風(fēng)險(xiǎn)管理策略，保護(hù)運(yùn)營(yíng)效率

9月27日，OT網(wǎng)絡(luò)和數(shù)字風(fēng)險(xiǎn)管理解決方案公司OTORIO和專(zhuān)業(yè)保險(xiǎn)公司HSB宣布，將共同努力提高人們對(duì)OT(運(yùn)營(yíng)技術(shù))安全和降低風(fēng)險(xiǎn)的認(rèn)識(shí)，將其作為可保性的關(guān)鍵戰(zhàn)略。為了啟動(dòng)合作，HSB和OTORIO開(kāi)發(fā)了有限性能保修，支持將OTORIO的OT安全網(wǎng)絡(luò)風(fēng)險(xiǎn)管理解決方案實(shí)施到各種業(yè)務(wù)應(yīng)用程序中。

資料來(lái)源：http://p3h62.xai6.sbs/E9ngRG