工業(yè)網(wǎng)絡(luò)安全周報（2024年第3期）

本期摘要

政策法規(guī)方面，本周觀察到國內(nèi)外網(wǎng)絡(luò)安全相關(guān)政策法規(guī)4項，值得關(guān)注的有美國聯(lián)邦機構(gòu)發(fā)布了水務(wù)部門的網(wǎng)絡(luò)安全最佳實踐指南。

漏洞態(tài)勢方面，本周監(jiān)測到漏洞動態(tài)22條，值得關(guān)注的有UEFI固件中發(fā)現(xiàn)的重大安全缺陷影響頂級科技公司包括American Megatrends Inc.、Intel Corp. 和Phoenix Technologies Ltd.等。

安全事件方面，本周監(jiān)測到重大網(wǎng)絡(luò)安全事件27起，其中典型的事件有烏克蘭最大電信提供商遭受網(wǎng)絡(luò)攻擊將損失約1億美元、匿名蘇丹的DDoS攻擊破壞了以色列頂級煉油廠BAZAN集團的網(wǎng)絡(luò)。

安全技術(shù)方面，網(wǎng)絡(luò)安全供應(yīng)商Radiflow宣布將在ServiceNow OTM平臺上開發(fā)豐富的資產(chǎn)數(shù)據(jù)發(fā)現(xiàn)方案。

1、美國聯(lián)邦機構(gòu)發(fā)布了水務(wù)部門的網(wǎng)絡(luò)安全最佳實踐指南

1月17日，環(huán)境保護局(EPA)與聯(lián)邦調(diào)查局(FBI)以及網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)合作發(fā)布了水務(wù)部門的網(wǎng)絡(luò)安全最佳實踐指南。該指南包括四個主要支柱，涵蓋組織如何為網(wǎng)絡(luò)攻擊做好準(zhǔn)備，包括如何檢測和分析事件;如何遏制、消除攻擊并從中恢復(fù);以及事件發(fā)生后該怎么辦。

資料來源：https://therecord.media/federal-agencies-release-cyber-guidance-water

2、美國CISA和FBI為關(guān)鍵基礎(chǔ)設(shè)施所有者和運營商發(fā)布有關(guān)中國制造無人機的指南

1月17日，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)和聯(lián)邦調(diào)查局(FBI)周三發(fā)出警告，要求提高對中國制造的無人機系統(tǒng)(UAS)相關(guān)潛在威脅的認識。他們還提供了網(wǎng)絡(luò)安全措施建議，以幫助保護關(guān)鍵基礎(chǔ)設(shè)施實體以及州、地方、部落和領(lǐng)地(SLTT)合作伙伴的網(wǎng)絡(luò)和敏感數(shù)據(jù)。

資料來源：http://i4fub.dwa1.sbs/eiiwLzB

3、美國FBI和CISA發(fā)布有關(guān)Androxgh0st惡意軟件和僵尸網(wǎng)絡(luò)對網(wǎng)絡(luò)威脅的咨詢

1月16日，美國聯(lián)邦調(diào)查局(FBI)和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)發(fā)布了一份聯(lián)合網(wǎng)絡(luò)安全咨詢(CSA)，以傳播與黑客相關(guān)的已知妥協(xié)指標(biāo)(IOC)以及策略、技術(shù)和程序(TTP)部署Androxgh0st惡意軟件。多項持續(xù)的調(diào)查和可信的第三方報告產(chǎn)生了IOC和TTP，并提供了有關(guān)Androxgh0st惡意軟件建立僵尸網(wǎng)絡(luò)的能力的信息，該僵尸網(wǎng)絡(luò)可以進一步識別和危害易受攻擊的網(wǎng)絡(luò)。資料來源：

http://zdayc.dwa1.sbs/OuOjHrS

4、美國國防部發(fā)布首份國防工業(yè)生戰(zhàn)略

1月15日，美國國防部(DoD)發(fā)布了首份國防工業(yè)戰(zhàn)略(NDIS)，提出了戰(zhàn)略愿景，以協(xié)調(diào)和優(yōu)先考慮在未來三到五年內(nèi)建設(shè)現(xiàn)代化國防工業(yè)生態(tài)系統(tǒng)的行動。擬議的國防工業(yè)生態(tài)系統(tǒng)現(xiàn)代化途徑認識到，這不是也不可能是國防部獨有的解決方案。NDIS文件需要美國政府、私營企業(yè)以及國際盟友和合作伙伴之間的努力、合作和協(xié)調(diào)。

資料來源：https://industrialcyber.co/critical-infrastruc...rial-ecosystem/

5、未修補的Rapid SCADA漏洞使工業(yè)組織面臨攻擊

1月11日，美國網(wǎng)絡(luò)安全機構(gòu)CISA發(fā)布了一份有關(guān)工業(yè)組織通報Claroty研究人員在Rapid SCADA中發(fā)現(xiàn)七個漏洞的公告。根據(jù)CISA的通報，這些漏洞可用于讀取敏感文件、遠程執(zhí)行任意代碼、通過網(wǎng)絡(luò)釣魚攻擊訪問敏感系統(tǒng)、提升權(quán)限、獲取管理員密碼以及訪問有關(guān)的敏感數(shù)據(jù)及應(yīng)用程序的內(nèi)部代碼。其中一個缺陷被歸類為“嚴(yán)重”，另外兩個缺陷被歸類為“高嚴(yán)重性”，但盡管開發(fā)人員已于2023年7月上旬收到通知，但尚未發(fā)布補丁。

資料來源：http://rsidc.dwa1.sbs/zQLT5TT

6、CISA發(fā)布AVEVA PI服務(wù)器存在漏洞的公告

1月18日，CISA披露AVEVA PI服務(wù)器存在異常情況檢查或處理不當(dāng)(CVE-2023-34348)及有效生命周期后缺少資源釋放(CVE-2023-31274)漏洞，成功利用這些漏洞可能會導(dǎo)致攻擊者使正在訪問的產(chǎn)品崩潰或限制內(nèi)存，從而導(dǎo)致部分拒絕服務(wù)情況。

資料來源：https://www.cisa.gov/news-events/ics-advisories/icsa-24-018-01

7、UEFI固件中發(fā)現(xiàn)的重大安全缺陷影響頂級科技公司

1月17日，法國網(wǎng)絡(luò)安全研究公司Quarkslab的研究人員披露TianoCore EDK II中發(fā)現(xiàn)了九個漏洞，TianoCore EDK II是各種硬件和軟件制造商使用的開源統(tǒng)一可擴展固件接口。九個漏洞，涵蓋了NetworkPkg IP堆棧中的緩沖區(qū)溢出、可預(yù)測隨機化和不正確解析等問題。這些缺陷使未經(jīng)身份驗證的本地攻擊者以及在某些情況下遠程攻擊者能夠執(zhí)行一系列惡意活動。使用Tianocore EDK II并確認受到影響的公司包括American Megatrends Inc.、Intel Corp. 和Phoenix Technologies Ltd.。不過，其他可能受到影響的公司還包括Arm Holdings plc、Cisco Systems Inc.、Dell Technologies Inc.、亞馬遜網(wǎng)絡(luò)服務(wù)公司、微軟公司、谷歌有限責(zé)任公司、惠普企業(yè)有限公司、惠普公司和聯(lián)想集團有限公司。

資料來源：http://1t9pc.dwa1.sbs/UL5m8tx

8、博世智能恒溫器固件存在漏洞

1月18日，據(jù)報道，廣泛使用的聯(lián)網(wǎng)博世BCC100恒溫器中發(fā)現(xiàn)了一個嚴(yán)重漏洞，該恒溫器是酒店環(huán)境中的流行設(shè)備。利用此缺陷(CVE-2023-49722)可能會導(dǎo)致本地未經(jīng)授權(quán)的訪問，例如，黑客可以在恒溫器的原始操作系統(tǒng)中植入后門，以便能夠從外部連接到網(wǎng)絡(luò)并控制設(shè)備和HVAC命令。

資料來源：http://ytmyc.dwa1.sbs/ub49mha

9、“零點擊”藍牙攻擊對主流的操作系統(tǒng)構(gòu)成嚴(yán)重威脅

1月14日，藍牙技術(shù)為全球數(shù)十億設(shè)備使用的無線鍵盤、鼠標(biāo)、游戲控制器和其它外圍設(shè)備提供支持。然而，安全研究員Marc Newlin(@marcnewlin)新的研究揭示了影響Android、iOS、Linux、macOS和Windows的關(guān)鍵藍牙漏洞，這些漏洞(編號為CVE-2023-45866、 CVE-2024-0230和CVE-2024-21306)可能允許遠程攻擊者將設(shè)備作為藍牙鍵盤進行配對，并注入擊鍵來執(zhí)行惡意操作。

資料來源：http://hxkrc.dwa1.sbs/z2OX964

10、烏克蘭最大電信提供商遭受網(wǎng)絡(luò)攻擊將損失約1億美元

1月18日，據(jù)Veon聲明表示，最近針對烏克蘭最大電信提供商Kyivstar的網(wǎng)絡(luò)攻擊將使其母公司荷蘭Veon損失近1億美元。該公司預(yù)計，其子公司Kyivstar為彌補12月襲擊造成的不便而采取的“客戶忠誠度措施造成的收入損失，將對其2024年合并收入結(jié)果產(chǎn)生影響”。

資料來源：http://galoc.dwa1.sbs/hK1Y3Vm

11、匿名蘇丹的DDoS攻擊破壞了以色列頂級煉油廠BAZAN集團的網(wǎng)絡(luò)

1月17日，親巴勒斯坦的黑客組織“匿名蘇丹”對以色列頂級煉油廠運營商BAZAN集團發(fā)起了一系列分布式拒絕服務(wù)攻擊(DDoS攻擊)開始強度顯著，導(dǎo)致BAZAN Group關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)出現(xiàn)廣泛中斷。隨后NetBlocks通過其Twitter官方X賬戶正式報告了影響B(tài)azan Group的重大網(wǎng)絡(luò)中斷事件。

資料來源：http://xqbcc.dwa1.sbs/l2tfepP

12、豐田保險公司客戶信息因配置錯誤而暴露

1月18日，據(jù)報道，一系列錯誤配置和安全漏洞使研究人員能夠訪問存儲在豐田通商保險經(jīng)紀(jì)人印度公司(TTIBI)電子郵件帳戶中的客戶信息。TTIBI表示該事件可能與生產(chǎn)摩托車和商用車的印度汽車公司Eicher Motors有著關(guān)系。

資料來源：http://ei8rc.dwa1.sbs/XC6watB

13、瑞士政府網(wǎng)站遭到親俄黑客攻擊

1月17日，瑞士表示，烏克蘭總統(tǒng)澤連斯基訪問達斯后，親俄組織聲稱遭受網(wǎng)絡(luò)攻擊，導(dǎo)致一些政府網(wǎng)站的訪問暫時中斷。政府的國家網(wǎng)絡(luò)安全中心(NCSC)在一份聲明中強調(diào)，“網(wǎng)絡(luò)攻擊被及時發(fā)現(xiàn)”，專家“采取了必要的行動，盡快恢復(fù)對網(wǎng)站的訪問”。“此類攻擊是預(yù)料之中的，并且已經(jīng)采取了適當(dāng)?shù)陌踩胧?/span>

資料來源：http://m9mec.dwa1.sbs/MWq6iUk

14、臺灣Foxsemicon成為LockBit勒索軟件攻擊的受害者

1月17日，據(jù)《臺北時報》報道稱臺灣半導(dǎo)體制造商富士邁半導(dǎo)體(Foxsemicon Integrated Technology Inc.)網(wǎng)站顯示一條英文消息，聲稱5TB數(shù)據(jù)被盜。當(dāng)?shù)貢r間1月17日下午，富士邁半導(dǎo)體在給臺灣證券交易所的一份聲明中表示，該公司已恢復(fù)其網(wǎng)站，并正在與安全專家合作。

資料來源：http://siaub.dwa1.sbs/q2Y8GsQ

15、Radiflow將在ServiceNow OTM平臺上開發(fā)豐富的資產(chǎn)數(shù)據(jù)發(fā)現(xiàn)方案

1月17日，網(wǎng)絡(luò)安全供應(yīng)商Radiflow宣布，其用于ServiceNow運營技術(shù)管理(OTM)的Service Graph Connector應(yīng)用程序?qū)⒃试S公司將Radiflow的網(wǎng)絡(luò)方向和監(jiān)控功能集成到其現(xiàn)有環(huán)境和工作流程中。通過雙方的共同努力，Radiflow能夠利用其基于Now平臺構(gòu)建的獨特解決方案，創(chuàng)造更好的體驗并為客戶創(chuàng)造價值。

資料來源：http://dx7db.dwa1.sbs/UYJ5TtW