工業(yè)網(wǎng)絡(luò)安全周報(bào)

本期摘要

政策法規(guī)方面，本周觀察到國內(nèi)外網(wǎng)絡(luò)安全相關(guān)政策法規(guī)4項(xiàng)，值得關(guān)注的有伊斯蘭合作組織OIC-CERT推出適用于5G環(huán)境的新協(xié)調(diào)統(tǒng)一網(wǎng)絡(luò)安全認(rèn)證系統(tǒng)等。

漏洞態(tài)勢(shì)方面，本周監(jiān)測(cè)到漏洞動(dòng)態(tài)13條，值得關(guān)注的有Veeam發(fā)布更新修復(fù)Veeam ONE監(jiān)控平臺(tái)中多個(gè)漏洞。

安全事件方面，本周監(jiān)測(cè)到重大網(wǎng)絡(luò)安全事件25起，其中典型的事件有俄羅斯“沙蟲”APT新型攻擊摧毀了烏克蘭電網(wǎng)。

產(chǎn)品技術(shù)方面，XIoT安全公司NetRise在NetRise平臺(tái)中引入Trace，使用戶能夠識(shí)別和驗(yàn)證受損和易受攻擊的第三方和專有軟件資產(chǎn)。

01、伊斯蘭合作組織OIC-CERT推出適用于5G環(huán)境的新協(xié)調(diào)統(tǒng)一網(wǎng)絡(luò)安全認(rèn)證系統(tǒng)

11月10日，伊斯蘭合作組織-計(jì)算機(jī)應(yīng)急響應(yīng)小組(OIC-CERT)最近發(fā)布了關(guān)于協(xié)調(diào)統(tǒng)一網(wǎng)絡(luò)安全認(rèn)證系統(tǒng)(HUCCS)的指導(dǎo)文件。該體系旨在建立一種保證機(jī)制，使在一個(gè)地區(qū)獲得的安全認(rèn)證能夠得到OIC-CERT其他成員國的認(rèn)可和接受。它還可以提高在OIC-CERT成員國部署通用網(wǎng)絡(luò)安全認(rèn)證的效率。因此，HUCCS可以幫助提高OIC-CERT成員國的網(wǎng)絡(luò)安全整體水平。

資料來源：https://www.oic-cert.org/en/wg/5g/index.html

02、美國國土安全部啟動(dòng)新的關(guān)鍵基礎(chǔ)設(shè)施安全和彈性活動(dòng)

11月7日，美國國土安全部(DHS)、網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)以及聯(lián)邦緊急事務(wù)管理局(FEMA)宣布開展“盾牌就緒”活動(dòng)，鼓勵(lì)關(guān)鍵基礎(chǔ)設(shè)施社區(qū)重點(diǎn)加強(qiáng)抵御能力。該活動(dòng)是對(duì)CISA去年2月推出的Shields Up活動(dòng)的補(bǔ)充，該活動(dòng)鼓勵(lì)關(guān)鍵基礎(chǔ)設(shè)施利益相關(guān)者采取具體的、時(shí)間敏感的行動(dòng)，以降低在網(wǎng)絡(luò)攻擊、物理安全威脅或自然災(zāi)害期間響應(yīng)特定威脅情報(bào)的風(fēng)險(xiǎn)。

資料來源：http://p8oq3.xai8.sbs/owzV85L

03、QNAP警告QTS操作系統(tǒng)和應(yīng)用程序存在嚴(yán)重命令注入漏洞

QNAP Systems發(fā)布了針對(duì)兩個(gè)關(guān)鍵命令注入漏洞的安全公告，這些漏洞影響QTS操作系統(tǒng)的多個(gè)版本及其網(wǎng)絡(luò)附加存儲(chǔ)(NAS)設(shè)備上的應(yīng)用程序。第一個(gè)漏洞被追蹤為CVE-2023-23368，嚴(yán)重程度為9.8(滿分10)。這是一個(gè)命令注入漏洞，遠(yuǎn)程攻擊者可利用該漏洞通過網(wǎng)絡(luò)執(zhí)行命令。受安全問題影響的QTS版本為QTS 5.0.x和4.5.x、QuTS Hero h5.0.x和h4.5.x以及QuTScloud c5.0.1。第二個(gè)漏洞被識(shí)別為CVE-2023-23369，嚴(yán)重程度較低，為9.0，也可以被遠(yuǎn)程攻擊者利用，達(dá)到與前一個(gè)漏洞相同的效果。受影響的QTS版本包括5.1.x、4.3.6、4.3.4、4.3.3和4.2.x、多媒體控制臺(tái)2.1.x和1.4.x，以及媒體流加載項(xiàng)500.1.x和500.0.x。

資料來源：http://nve12.xai6.sbs/evzzrgm

04、Veeam發(fā)布更新修復(fù)Veeam ONE監(jiān)控平臺(tái)中多個(gè)漏洞

11月6日，Veeam發(fā)布了安全更新以修復(fù)Veeam ONE IT基礎(chǔ)設(shè)施監(jiān)控和分析平臺(tái)中的4個(gè)漏洞。其中較為嚴(yán)重的是CVE-2023-38547(CVSS評(píng)分9.9)，可用來獲取有關(guān)Veeam ONE用于訪問其配置數(shù)據(jù)庫的SQL服務(wù)器連接的信息，可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行;以及CVE-2023-38548(CVSS評(píng)分9.8)，可獲取Veeam ONE Reporting Service所使用帳戶的NTLM哈希。另外兩個(gè)是可通過XSS攻擊竊取管理員令牌的漏洞(CVE-2023-38549)和可訪問Dashboard Schedule的漏洞(CVE-2023-41723)。

資料來源：http://0wvu6.xai8.sbs/vs0gj1u

05、Microsoft Exchange被爆出四個(gè)零日漏洞允許RCE和數(shù)據(jù)盜竊攻擊

11月2日，趨勢(shì)科技披露了Microsoft Exchange四個(gè)零日漏洞，攻擊者可以利用這些漏洞遠(yuǎn)程執(zhí)行任意代碼或泄露受影響安裝上的敏感信息。所有這些漏洞都需要身份驗(yàn)證才能利用，這將其嚴(yán)重性CVSS評(píng)級(jí)降低到7.1到7.5之間。此外，要求身份驗(yàn)證是一個(gè)緩解因素。

資料來源：http://hpxo2.xai6.sbs/9j5HIlf

06、OT攻擊協(xié)同導(dǎo)彈打擊！俄羅斯“沙蟲”APT新型攻擊摧毀了烏克蘭電網(wǎng)

11月9日，Mandiant公司發(fā)布報(bào)告稱，2022年底，該公司響應(yīng)了一起破壞性網(wǎng)絡(luò)物理事件，其中與俄羅斯有關(guān)的威脅參與者Sandworm針對(duì)烏克蘭關(guān)鍵基礎(chǔ)設(shè)施組織進(jìn)行了攻擊。該事件是一次多事件網(wǎng)絡(luò)攻擊，攻擊中利用了一種影響工業(yè)控制系統(tǒng)(ICS)/操作技術(shù)(OT)的新技術(shù)。攻擊者首先使用OT級(jí)陸上(LotL)技術(shù)來觸發(fā)受害者的變電站斷路器，導(dǎo)致意外停電，同時(shí)烏克蘭各地的關(guān)鍵基礎(chǔ)設(shè)施遭到大規(guī)模導(dǎo)彈襲擊。Sandworm隨后在受害者的IT環(huán)境中部署了CADDYWIPER擦除器的新變種，從而實(shí)施了第二次破壞性事件。Mandiant沒有透露目標(biāo)能源設(shè)施的位置、停電時(shí)間以及受影響的人數(shù)。

資料來源：http://xyg63.xai8.sbs/U9b4eGA

07、俄羅斯的國有儲(chǔ)蓄銀行Sberbank遭到DDoS攻擊

11月8日，俄羅斯聯(lián)邦儲(chǔ)蓄銀行(Sberbank)發(fā)布公告稱其遭到了大規(guī)模DDoS攻擊。Sberbank是一家國有銀行和金融服務(wù)公司，也是俄羅斯最大的金融機(jī)構(gòu)，持有該國約三分之一的資產(chǎn)。俄羅斯媒體Interfax稱，攻擊大約在兩周前，達(dá)到了每秒100萬個(gè)請(qǐng)求(RPS)，這大約是該銀行迄今為止遭到的最大規(guī)模DDoS攻擊的四倍。

資料來源：http://mkvv6.xai8.sbs/83IIDu2

08、制造巨頭日本航空電子公司遭到AlphV的攻擊運(yùn)營受到影響

11月8日，據(jù)媒體報(bào)道，日本航空電子公司透露，其系統(tǒng)遭到網(wǎng)絡(luò)攻擊，網(wǎng)站被迫關(guān)閉。11月6日晚上，該公司的網(wǎng)站顯示了一條消息，表明其部分服務(wù)器在11月2日被黑。這家公司表示，他們目前正在調(diào)查入侵情況并恢復(fù)運(yùn)營，但一些系統(tǒng)已經(jīng)中斷，收發(fā)電子郵件也出現(xiàn)了一些延誤，尚未發(fā)現(xiàn)信息泄露。AlphV在11月6日將日本航空電子公司加入其網(wǎng)站，但該公司尚未透露是否正在應(yīng)對(duì)勒索攻擊。

資料來源：http://tywf2.xai6.sbs/GOPWxDj

09、美國航空的飛行員工會(huì)APA遭到勒索攻擊系統(tǒng)仍在恢復(fù)中

11月3日，據(jù)報(bào)道，美國航空飛行員工會(huì)Allied Pilots Association(APA)遭到勒索攻擊。APA工會(huì)成立于1963年，是目前世界上最大的獨(dú)立飛行員工會(huì)。攻擊發(fā)生于10月30日，部分系統(tǒng)被加密。APA表示，其IT團(tuán)隊(duì)正在努力通過備份來恢復(fù)受勒索攻擊影響的系統(tǒng)，最初的重點(diǎn)是在未來幾小時(shí)和幾天內(nèi)首先恢復(fù)面向飛行員的產(chǎn)品和工具。APA尚未透露是否有飛行員的個(gè)人信息泄露，也沒有透露受影響的具體人數(shù)。

資料來源：https://therecord.media/american-airlines-pilot-union-cyberattack

10、醫(yī)療公司因數(shù)據(jù)泄露被New York AG罰款45萬美元

11月8日，紐約州總檢察長宣布，一家醫(yī)療公司因勒索軟件攻擊導(dǎo)致數(shù)據(jù)泄露而被罰款45萬美元。據(jù)紐約總檢察長辦公室稱，2021年12月，大型私人放射學(xué)組織US Radiology Specialists成為勒索軟件攻擊的目標(biāo)。該事件導(dǎo)致近20萬名患者(包括92,000名紐約人)的個(gè)人和健康信息遭到泄露。

資料來源：http://aovq5.xai6.sbs/tv7EDQ8

11、SideCopy APT的多平臺(tái)攻擊瞄準(zhǔn)印度政府和國防實(shí)體

11月6日，據(jù)報(bào)道，SEQRITE Labs APT-Team發(fā)現(xiàn)了過去幾個(gè)月針對(duì)印度政府和國防實(shí)體的多個(gè)APT SideCopy活動(dòng)。該威脅組織目前正在利用最近的WinRAR漏洞CVE-2023-38831來部署AllaKore RAT、DRat和其他有效負(fù)載。受感染的域用于托管SideCopy的有效負(fù)載，可多次重復(fù)使用，解析為相同的IP地址。它還部署了名為Ares RAT的開源代理的Linux變體，在stager有效負(fù)載中發(fā)現(xiàn)了與其父威脅組織透明部落(APT36)的代碼相似性。SideCopy和APT36都使用相同的誘餌和命名約定同時(shí)進(jìn)行多平臺(tái)攻擊，共享基礎(chǔ)設(shè)施和代碼，以積極針對(duì)印度。

資料來源：http://mw0q5.xai6.sbs/oPDV5Hm

12、安全廠商發(fā)生數(shù)據(jù)泄漏，客戶連夜更換API密鑰

11月7日，云監(jiān)控和SIEM公司Sumo Logic發(fā)布公告稱11月3日發(fā)現(xiàn)的一起“潛在安全事件”涉及通過使用受損憑證未經(jīng)授權(quán)訪問Sumo Logic AWS賬戶。雖然經(jīng)過調(diào)查沒有跡象表明該公司的系統(tǒng)、網(wǎng)絡(luò)或客戶數(shù)據(jù)受到了影響。但是，Sumo Logic建議用戶更換用于訪問Sumo Logic或您提供給Sumo Logic以訪問其他系統(tǒng)的憑據(jù)。

資料來源：http://ztpy2.xai6.sbs/J5hsdFp

13、NetRise 推出Trace，這是其人工智能驅(qū)動(dòng)的軟件供應(yīng)鏈安全語義搜索

11月9日，XIoT安全公司NetRise宣布在NetRise平臺(tái)中引入Trace。該解決方案利用人工智能驅(qū)動(dòng)的語義搜索，使用戶能夠識(shí)別和驗(yàn)證受損和易受攻擊的第三方和專有軟件資產(chǎn)，標(biāo)志著該領(lǐng)域的重大進(jìn)步。

資料來源：https://www.netrise.io/xiot-security-blog/trace-solution-benefits

14、MITRE和Microsoft將人工智能添加到MITRE ATLAS社區(qū)知識(shí)庫

11月6日，非營利組織MITRE和軟件巨頭微軟在MITRE ATLAS中添加了數(shù)據(jù)驅(qū)動(dòng)的生成式AI系統(tǒng)，MITRE ATLAS是一個(gè)社區(qū)知識(shí)庫，安全專業(yè)人員、AI開發(fā)人員和AI操作員可以在保護(hù)人工智能(AI)系統(tǒng)時(shí)使用它。框架更新和相關(guān)的新案例研究直接解決了結(jié)合生成式人工智能和大型語言模型(LLM)(如ChatGPT和Bard)的系統(tǒng)的獨(dú)特漏洞。

資料來源：http://hqlo5.xai6.sbs/iBFtzR4