工業網絡安全周報（2024年第2期）

本期摘要

政策法規方面，本周觀察到國內外網絡安全相關政策法規2項，值得關注的有英國NCSC發布針對中小型企業的實用安全指南。

漏洞態勢方面，本周監測到漏洞動態14條，值得關注的有博世螺母扳手漏洞可助黑客攻擊汽車生產線、思科Unity Connection嚴重漏洞可讓攻擊者獲得root權限。

安全事件方面，本周監測到重大網絡安全事件35起，其中典型的事件有沙特工業和礦產資源部(MIM)敏感數據暴露長達15個月、巴拉圭最大運營商Tigo遭到Black Hunt的勒索攻擊。

1、英國NCSC發布針對中小型企業的實用安全指南

1月11日，英國安全機構發布了針對中小型企業(SMB)的新指南，旨在幫助減少使用在線服務時網絡攻擊的潛在影響。國家網絡安全中心(NCSC)表示，其安全使用在線服務指南專門針對可能無法獲得專門IT和支持人員的組織。

資料來源：https://www.infosecurity-magazine.com/news/ncsc-practical-security-guidance/

2、思科Unity Connection嚴重漏洞可讓攻擊者獲得root權限

1月10日，思科稱已經修補了一個關鍵的Unity Connection安全漏洞，該漏洞(CVE-2024-20272)是在該軟件基于Web的管理界面中發現的，它允許攻擊者通過將任意文件上傳到目標系統來在底層操作系統上執行命令，最終可讓未經身份驗證的攻擊者遠程獲取未修補設備上的root權限。

資料來源：http://njsfc.dwa1.sbs/lgQBIuu

3、兩個Ivanti零日漏洞在野外被積極利用

1月1日，據報道，Ivanti在確認其Connect Secure和Policy Secure網關中的兩個零日漏洞(CVE-2023-46805和CVE-2024-21887)正在被積極利用后，Ivanti敦促其客戶盡快修復漏洞。資料來源：http://btd5a.dwa1.sbs/M8onzDN

4、Windows Kerberos漏洞導致Microsoft安全機制被繞過

1月9日，Microsoft發布的更新中包含兩個嚴重錯誤，其中之一是CVE-2024-20674，這是一個Windows Kerberos安全功能繞過漏洞，允許攻擊者繞過身份驗證機制并發起模擬攻擊。另一個嚴重漏洞是CVE-2024-20700，這是Windows超虛擬化技術中的遠程代碼執行漏洞。

資料來源：http://zdbcb.dwa1.sbs/wh8keEr

5、博世螺母扳手漏洞可助黑客攻擊汽車生產線

1月9日，據報道，網絡安全公司Nozomi Networks的研究人員表示，德國工程技術公司博世子公司生產的一系列流行的氣動扭矩扳手中發現了多個漏洞。部分漏洞的CVE評分高達8.8分。所有CVE均影響14個版本的Rexroth Nexo充電式擰緊器和5個版本的Rexroth Nexo專用充電式擰緊器。

資料來源：http://busib.dwa1.sbs/WYmyB0S

6、QNAP修補QTS、Video Station、QuMagie、Netatalk產品中的高嚴重性缺陷

1月5日，臺灣QNAP Systems宣布修復其產品組合中的十幾個漏洞，其中包括操作系統中的高嚴重性缺陷其中包括操作系統中的高嚴重性缺陷。第一個高嚴重性問題是CVE-2023-39296，它被描述為原型污染缺陷，可能允許遠程攻擊者用類型不兼容的屬性覆蓋現有屬性，這可能會導致系統崩潰。

資料來源：http://7c8yb.dwa1.sbs/yxp0TIF

7、網絡威脅情報巨頭Mandiant賬戶遭劫持

1月10日，網絡威脅情報巨頭Mandiant的X(以前的Twitter)賬戶被接管，并開始向其123,5000名關注者發送指向加密貨幣Drainer釣魚頁面的鏈接。1月11日該公司公布了此次調查的結果，確定此次劫持很可能是由于暴力密碼攻擊造成的。

資料來源：http://c3bzb.dwa1.sbs/SUNiCb2

8、沙特工業和礦產資源部(MIM)敏感數據暴露長達15個月

1月8日，據報道，沙特工業和礦產資源部(MIM)的環境文件被曝光，敏感細節向任何愿意獲取這些信息的人開放。Cybernews研究團隊認為敏感數據暴露已長達15個月。文件泄露了多種類型的數據庫憑據、郵件憑據和數據加密密鑰。

資料來源：http://p8qba.dwa1.sbs/DdDAUfX

9、美國交通部數據泄露致航空記錄受損

1月8日，名為IntelBroker的威脅參與者在Breachforums上發帖稱對對1月7日美國交通部(DOT)的重大數據泄露事件負責，Dot數據泄露泄露的數據庫據稱包含敏感信息，包含2015年的580萬條飛行日志。截至目前，DOT尚未發布聲明。

資料來源：http://nrmpa.dwa1.sbs/KPqLJ9S

10、黎巴嫩貝魯特國際機場遭遇網絡攻擊

1月7日，下午5點剛過，黎巴嫩貝魯特的拉菲克哈里里國際機場遭到網絡黑客攻擊。威脅行為者破壞了機場的航班信息顯示系統(FIDS)，與此同時，行李系統出現技術故障，攻擊者意在敦促伊朗支持的強大組織真主黨不要“將國家拖入戰爭”。資料來源：

https://www.arabnews.pk/node/2437611/middle-east

11、AsyncRAT惡意軟件攻擊針對美國基礎設施長達11個月

1月7日，AT&T的Alien Labs研究人員發布通告稱其通過調查發現向選定目標傳送AsyncRAT惡意軟件的活動至少在過去11個月內一直活躍，使用了數百個獨特的加載程序樣本和100多個域。其中一些已確定的受害者管理著美國的關鍵基礎設施。

資料來源：http://qt8qb.dwa1.sbs/EbOqoEC

12、土耳其黑客Sea Turtle攻擊荷蘭ISP、電信公司

1月8日，據報道，被追蹤為“海龜”的土耳其國家支持的網絡間諜組織一直在荷蘭開展多次間諜活動，重點攻擊對象為電信公司、媒體、互聯網服務提供商(ISP)和庫爾德網站。此前該組織主要針對中東地區以及瑞典和美國，利用DNS劫持和流量重定向等技術對政府進行中間人攻擊以及非政府組織、媒體、ISP和IT服務提供商。

資料來源：http://ziw9d.dwa1.sbs/1okCCe2

13、巴拉圭最大運營商Tigo遭到Black Hunt的勒索攻擊

1月9日，據報道稱，巴拉圭最大的移動運營商Tigo Business遭受網絡攻擊，影響該公司業務部門的云和托管服務后，巴拉圭軍方就Black Hunt勒索軟件攻擊發出警告。社交媒體上的大量報道指出其超過330臺服務器被加密，備份在攻擊期間遭到破壞。

資料來源：http://c6n2c.dwa1.sbs/CV6lT9N

14、美國某安全公司遭到攻擊導致瑞士空軍敏感文件泄露

1月10日，據報道，總部位于英國的國防和安全組織Ultra的子公司Ultra Intelligence&Communications(I&C)的30GB數據被盜，包括財務數據、員工數據和審計數據。其中一份泄露的文件涉及瑞士國防部與I&C之間的一份價值近500萬美元的合同。

資料來源：http://6h9kd.dwa1.sbs/5jPlvUp

15、Forescout與ServiceNow集成，以增強跨數字工作流程的OT和ICS資產可視性

1月11日，網絡安全公司Forescout宣布推出Forescout eyeInspect與ServiceNow集成。通過這種集成，Forescout使安全團隊能夠獲取實時運營技術(OT)和工業控制系統(ICS)資產信息，從而有助于縮短平均檢測時間(MTTD)和平均響應時間(MTTR)威脅。

資料來源：http://qxwqb.dwa1.sbs/Q7RBAuR