工業網絡安全周報（2024年第15期）

本期摘要

1、七大開源基金會聯合制定適用于《網絡彈性法案》的通用標準

4月2日，七大開源基金會公開表示，將會聯合為歐洲議會上個月通過的《網絡彈性法案》(Cyber Resilience Act)制定通用規范和標準，本次合作是為了解決開源生態系統中網絡安全層次面臨的多方面挑戰，并向歐盟表明七大基金會對CRA合作的態度與承諾，以確保2027年CRA正式實行后七大基金會可以適應這項法律。

資料來源：https://www.secrss.com/articles/65087

2、美國發布《美國隱私權法案》草案

4月8日，美國眾議院能源與商業委員會主席羅杰斯和參議院商業、科學與運輸委員會主席坎特韋爾公開討論了新發布的《美國隱私權法案》草案。內容包括數據最小化要求、消費者選擇不接收定向廣告的權利以及查看、更正、導出或刪除其數據的權利。此外，該法案還包括數據安全條款、國家數據中介登記處。以及當存在重大隱私損害發生時，保護組織機構免于執行強制性仲裁的部分。

資料來源：https://www.secrss.com/articles/65052

3、CVE-2024-24576：Rust導致Windows遠程劫持

Rust編程語言的標準庫中發現了一個漏洞，允許在Windows上執行惡意代碼。CVE-2024-24576(CVSS 評分：10)與操作系統命令和參數傳遞機制中的缺陷有關，該缺陷允許經過身份驗證的遠程攻擊者無需用戶交互即可執行惡意代碼。該攻擊執行復雜度較低。

資料來源：https://www.securitylab.ru/news/547395.php

4、新的Ahoi攻擊技術可破壞機密虛擬機

蘇黎世聯邦理工學院的一組研究人員披露了一種新型攻擊的技術細節，該攻擊可用于破壞機密虛擬機(CVM)。AMD發布了一份公告，稱該漏洞存在于Linux內核的SEV-SNP實現中。

資料來源：https://www.securityweek.com/confidential-vms-hacked-via-new-ahoi-attacks/

5、超過9.2萬臺暴露的D-Link NAS設備存在漏洞

一名威脅研究人員披露了一個新的任意命令注入和硬編碼后門漏洞，該漏洞存在于多個壽命終止的D-Link網絡附加存儲(NAS)設備模型中。研究人員表示，網絡掃描顯示，超過92,000臺易受攻擊的D-Link NAS設備暴露在網絡上，容易受到這些漏洞的攻擊。

資料來源：https://securityaffairs.com/161549/hacking/d-link-nas-flaw.html

6、思科警告已停產的小型企業路由器存在漏洞

思科已就停產(EoL)RV系列小型企業路由器中的跨站點腳本(XSS)漏洞發出警告。該漏洞編號為CVE-2024-20362，無需身份驗證即可遠程利用，影響小型企業RV016、RV042、RV042G、RV082、RV320和RV325路由器，這些路由器已停產且不再接收安全補丁。思科表示，目前尚不清楚這些漏洞是否被用于攻擊。更多信息可以在思科的安全公告頁面上找到。

資料來源：http://u7gua.dwa2.sbs/g4mdisB

7、Solar Spider 開發新惡意軟件攻擊中東的金融行業

4月8日，網絡安全服務公司 Resecurity 在本周發布的一份報告中寫道，該公司分析了多起事件的技術細節，這些事件涉及針對金融客戶的 JSOutProx 惡意軟件，如果針對企業，則提供虛假的 SWIFT 付款通知;如果針對私人公民，則提供 MoneyGram 模板。該威脅組織Solar Spider 的目標是印度以及菲律賓、老撾、新加坡、馬來西亞、印度的金融組織，現在還有沙特阿拉伯的金融組織。

資料來源：http://qlhtb.dwa2.sbs/6sYzWHV

8、美國電腦配件公司Targus的文件服務器遭受網絡攻擊致運營暫時中斷

4月8日，Targus 是一家移動配件公司，于 2024 年 4 月 5 日在其網絡上檢測到攻擊。Targus 立即啟動了事件響應和業務連續性協議來調查、遏制和補救該事件。該公司尚未透露公司數據是否被盜，但由于黑客首先是在公司用于存儲文件和數據的文件系統上發現的，因此數據有可能被泄露。

資料來源：http://jgmga.dwa2.sbs/wTvxC72

9、日本光學設備制造商Hoya 的IT系統遭受攻擊后暫停生產

4月5日，日本的 Hoya是一家眼鏡和隱形眼鏡制造商，以及用于制造半導體制造、平板顯示器和硬盤驅動器的套件- IT 系統遭受攻擊后，該公司已停止部分生產和銷售活動。此次網絡攻擊的全部范圍尚未確定。不過，漏洞已經影響到 Hoya 產品的生產和銷售。

資料來源：https://www.theregister.com/2024/04/05/hoya_infosec_incident/

10、CISA稱俄羅斯黑客在Microsoft數據泄露事件中訪問了美國政府電子郵件

4月11日，克里姆林宮支持的特工在一月份通過暴力密碼猜測技術訪問了敏感的微軟系統，成功竊取了聯邦民事機構的電子郵件通信。這家軟件巨頭在今年年初向該組織發出了警報，行業安全研究人員將其稱為“午夜暴雪”。

資料來源：http://odhua.dwa2.sbs/OYqAYvv

11、新的勒索組織Muliaka針對俄羅斯企業進行攻擊

某勒索組織在使用Conti黑客組織泄露的源代碼，使用勒索軟件攻擊俄羅斯企業。研究人員將該組織稱為“Muliaka”，意為“渾水”，其攻擊留下的痕跡很少，但可能至少自2023年12月以來就一直活躍。攻擊者通過加密Windows系統和VMware ESXi虛擬基礎設施來攻擊一家未具名的俄羅斯企業。為了遠程訪問受害者的設備，攻擊者使用了該公司的虛擬專用網絡(VPN)服務，并將勒索軟件偽裝成安裝在公司計算機上的流行企業防病毒軟件。

資料來源：http://opqqa.dwa2.sbs/x4z1Zbq

12、網絡犯罪團伙RansomHub勒索美國聯合健康集團

RansomHub聲稱被盜的Change Healthcare數據涉及“數百萬”名美國現役軍人和海軍人員、醫療和牙科記錄、付款和索賠信息、患者社會安全號碼等個人信息，以及保險記錄、3000多個Change Healthcare解決方案的源代碼文件等。

資料來源：http://mwf5c.dwa2.sbs/oqmvAsr

13、HTTP/2協議漏洞可導致拒絕服務攻擊

名為“CONTINUATION Flood”的HTTP/2協議漏洞可導致拒絕服務(DoS) 攻擊，在某些實現中使具有單個TCP連接的Web服務器崩潰。研究人員稱，該漏洞與HTTP/2 CONTINUATION幀的使用有關，這些幀在協議的許多實現中都沒有得到適當的限制或檢查。研究人員稱，在某些實現中，內存不足的情況可能會導致使用單個HTTP/2 TCP連接的服務器崩潰。

資料來源：http://ruolb.dwa2.sbs/Dl51vmU

14、超過 90,000 臺 LG 智能電視可能遭受遠程攻擊

Bitdefender 的安全研究人員發現了四個漏洞，影響多個版本的 WebOS(LG 智能電視使用的操作系統)。這些缺陷可以對受影響的模型進行不同程度的未經授權的訪問和控制，包括授權繞過、權限升級和命令注入。

資料來源：https://www.t00ls.com/articles-71544.html

15、TA547網絡釣魚攻擊利用Rhadamanthys Stealer襲擊德國公司

作為以發票為主題的網絡釣魚活動的一部分，被追蹤為TA547的威脅行為者利用名為Rhadamanthys的信息竊取程序以數十個德國組織為目標。在最新活動中觀察到的電子郵件冒充德國公司Metro AG，并包含受密碼保護的ZIP文件，其中包含ZIP存檔，打開該文件后，會啟動遠程PowerShell腳本的執行，從而直接在內存中啟動Rhadamanthys竊取程序。

資料來源：http://ys3sa.dwa2.sbs/059SJo6

16、四月ICS補丁日：西門子解決Palo Alto Networks產品漏洞

工業巨頭西門子和施耐德電氣發布了2024年4月的周二補丁公告，向客戶通報過去一個月在其ICS產品中發現的漏洞。西門子發布了8份新公告，涵蓋約80個漏洞。其中一份通報涵蓋了該公司Telecontrol Server Basic產品中發現的近50個缺陷，尤其是第三方組件中的缺陷。另有兩個公告涵蓋了由于使用Palo Alto Networks虛擬下一代防火墻而引入的漏洞。施耐德電氣本月發布了一份新公告，告知客戶存在影響其 Easergy Studio產品的高嚴重性權限升級漏洞。

資料來源：http://fx6kc.dwa2.sbs/2i5mjcw