工業(yè)網(wǎng)絡(luò)安全周報（2024年第20期）

本期摘要

政策法規(guī)方面，本周觀察到國內(nèi)外網(wǎng)絡(luò)安全相關(guān)政策法規(guī)5項，值得關(guān)注的有由中央網(wǎng)絡(luò)安全和信息化委員會辦公室、中央機(jī)構(gòu)編制委員會辦公室、工業(yè)和信息化部、公安部制定的《互聯(lián)網(wǎng)政務(wù)應(yīng)用安全管理規(guī)定》已印發(fā)。

漏洞態(tài)勢方面，本周監(jiān)測到漏洞動態(tài)14條，值得關(guān)注的有西門子S7產(chǎn)品線存在遠(yuǎn)程調(diào)試風(fēng)險。

安全事件方面，本周監(jiān)測到重大網(wǎng)絡(luò)安全事件16起，其中典型的事件有半導(dǎo)體巨頭OmniVision個人信息在勒索軟件攻擊中被盜。

安全技術(shù)方面，Windows 11將淘汰NTLM并新增AI驅(qū)動安全防護(hù)。

1、四部門制定《互聯(lián)網(wǎng)政務(wù)應(yīng)用安全管理規(guī)定》

5月23日，據(jù)媒體報道，由中央網(wǎng)絡(luò)安全和信息化委員會辦公室、中央機(jī)構(gòu)編制委員會辦公室、工業(yè)和信息化部、公安部制定的《互聯(lián)網(wǎng)政務(wù)應(yīng)用安全管理規(guī)定》已印發(fā)。規(guī)定要求，建設(shè)運(yùn)行互聯(lián)網(wǎng)政務(wù)應(yīng)用應(yīng)當(dāng)依照有關(guān)法律、行政法規(guī)的規(guī)定以及國家標(biāo)準(zhǔn)的強(qiáng)制性要求，采取技術(shù)措施和其他必要措施，防范內(nèi)容篡改、攻擊致癱、數(shù)據(jù)竊取等風(fēng)險，保障互聯(lián)網(wǎng)政務(wù)應(yīng)用安全穩(wěn)定運(yùn)行和數(shù)據(jù)安全。

資料來源：https://www.freebuf.com/news/401719.html

2、美國CISA首次推出符合零信任策略的聯(lián)邦機(jī)構(gòu)加密DNS實(shí)施指南

5月19日，據(jù)媒體報道，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布了針對聯(lián)邦民事行政部門(FCEB)機(jī)構(gòu)的加密域名系統(tǒng)(DNS)實(shí)施指南，旨在提升網(wǎng)絡(luò)安全彈性并符合OMB備忘錄M-22-09和國家網(wǎng)絡(luò)安全戰(zhàn)略的零信任原則。

資料來源：http://gud7a.dwa2.sbs/3jfOBhX

3、美國國防部發(fā)布《網(wǎng)絡(luò)安全互惠手冊》

5月22日，美國國防部首席信息官(CIO)宣布公開發(fā)布《國防部網(wǎng)絡(luò)安全互惠手冊》，該手冊參考了國防部長備忘錄中的互惠概念。手冊提供了在國防部系統(tǒng)內(nèi)實(shí)施網(wǎng)絡(luò)安全互惠的指導(dǎo)，定義了互惠概念，概述了其益處和風(fēng)險，并提供了示例用例。

資料來源：http://suoda.dwa2.sbs/FfaJVGA

4、西門子S7產(chǎn)品線存在遠(yuǎn)程調(diào)試風(fēng)險

5月21日，據(jù)媒體報道，以色列理工學(xué)院Eyal Semel等研究人員發(fā)現(xiàn)可利用固件修改攻擊實(shí)施對西門子S7 PLCs的遠(yuǎn)程調(diào)試，該攻擊在西門子所有Simatic S7產(chǎn)品線中都有效，且存在問題的PLC無法進(jìn)行漏洞修復(fù)。

資料來源：https://mp.weixin.qq.com/s/gTfSElNrLfiZZ_CC4Q19Zw

5、CISA就Apache Flink安全漏洞被主動利用發(fā)出警告

5月23日，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)將一個影響開源統(tǒng)一流處理和批處理框架Apache Flink的安全漏洞添加到已知被利用漏洞(KEV)目錄中，并引用了積極利用的證據(jù)。該漏洞被追蹤為CVE-2020-17519，與訪問控制不當(dāng)?shù)那闆r有關(guān)，該情況可能允許攻擊者通過JobManager的REST接口讀取JobManager本地文件系統(tǒng)上的任何文件。

資料來源：http://xxmca.dwa2.sbs/zLS6VSC

6、Ivanti修補(bǔ)Endpoint Manager中的關(guān)鍵代碼執(zhí)行漏洞

5月21日，IT軟件公司Ivanti宣布了一系列安全補(bǔ)丁，其中包括針對其Endpoint Manager (EPM)中的嚴(yán)重漏洞的修復(fù)。EPM中的10個安全缺陷中有6個是極其嚴(yán)重的SQL注入錯誤，這些漏洞允許未經(jīng)身份驗證的攻擊者在網(wǎng)絡(luò)上執(zhí)行任意代碼，CVE編號為CVE-2024-29822至CVE-2024-29827，CVSS評分高達(dá)9.6。Ivanti已發(fā)布熱修復(fù)和更新指南，并承諾未來版本中將包含這些補(bǔ)丁。

資料來源：http://rrkha.dwa5.sbs/Mnd5PuA

7、聲音攻擊可能成為針對水下數(shù)據(jù)中心的武器

5月22日，據(jù)媒體報道，佛羅里達(dá)大學(xué)和日本電子通信大學(xué)的科學(xué)家發(fā)現(xiàn)，水下數(shù)據(jù)中心可能因聲波干擾而運(yùn)行受阻。研究人員在arXiv上發(fā)表的論文中指出，硬盤驅(qū)動器(HDD)的諧振頻率聲波可能導(dǎo)致RAID存儲系統(tǒng)性能下降甚至應(yīng)用崩潰。這種聲波影響可傳遞至6米外，且正確諧振頻率的聲音會通過振動影響讀寫頭和磁盤。

資料來源：https://www.securitylab.ru/news/548466.php

8、網(wǎng)絡(luò)安全公司和物聯(lián)網(wǎng)設(shè)備制造商聯(lián)合修復(fù)軟件漏洞

5月22日，據(jù)媒體報道，網(wǎng)絡(luò)安全公司Bitdefender與物聯(lián)網(wǎng)技術(shù)公司ThroughTek合作，成功修復(fù)了Kalay工具中的四個軟件漏洞，這些漏洞可能被惡意黑客利用以深入訪問網(wǎng)絡(luò)。受影響的公司包括設(shè)備制造商Roku、嬰兒監(jiān)視器制造商Owlet和無線相機(jī)銷售商Wyze。

資料來源：http://8rnta.dwa5.sbs/vMUUAUm

9、特斯拉汽車的開源數(shù)據(jù)記錄器 TeslaLogger 中發(fā)現(xiàn)漏洞

5月17日，據(jù)媒體報道，得克薩斯大學(xué)達(dá)拉斯分校(UT Dallas)網(wǎng)絡(luò)安全專業(yè)碩士研究生Harish SG發(fā)現(xiàn) TeslaLogger(用于從 Tesla 車輛收集數(shù)據(jù)的第三方軟件)中存在一個漏洞，該漏洞利用不安全的默認(rèn)設(shè)置，可被利用來獲得對TeslaLogger實(shí)例的未經(jīng)授權(quán)的訪問。隨后TeslaLogger維護(hù)人員通過啟用加密以在數(shù)據(jù)庫中存儲tesla API密鑰和刷新令牌來緩解風(fēng)險。

資料來源：https://cybersecuritynews.com/30-tesla-cars-hacked/

10、半導(dǎo)體巨頭OmniVision個人信息在勒索軟件攻擊中被盜

5月21日，據(jù)媒體報道，半導(dǎo)體制造公司OmniVision Technologies在2023年9月遭受勒索軟件攻擊后，披露了一起數(shù)據(jù)泄露事件。該事件在系統(tǒng)被加密后被發(fā)現(xiàn)，OmniVision迅速展開調(diào)查并通知執(zhí)法部門。調(diào)查確定攻擊者在9月4日至30日竊取了個人信息。

資料來源：http://zuizc.dwa5.sbs/RbK0lyo

11、威脅行為者聲稱獲取7000萬行監(jiān)獄數(shù)據(jù)

5月21日，據(jù)媒體報道，威脅行為者USDoD和SXUL聲稱對LeakBase上涉嫌的重大監(jiān)獄數(shù)據(jù)泄露事件負(fù)責(zé)，該事件泄露了與犯罪數(shù)據(jù)庫相關(guān)的約7000萬行敏感數(shù)據(jù)。監(jiān)獄數(shù)據(jù)泄露包括唯一的身份證號碼、社會安全號碼、全名、出生日期、出生州、身體特征、家庭和備用地址、犯罪代碼、犯罪日期、犯罪描述、法院處理、定罪日期和指控日期。數(shù)據(jù)以.csv格式共享，壓縮后文件大小為3GB，未壓縮時文件大小為22GB。

資料來源：http://oqydc.dwa5.sbs/i8SDVJE/

12、美國無線電中繼聯(lián)盟(ARRL)遭受重大網(wǎng)絡(luò)攻擊

5月22日，據(jù)媒體報道，美國無線電中繼聯(lián)盟(ARRL)，已確認(rèn)遭受嚴(yán)重網(wǎng)絡(luò)攻擊，影響了包括“世界日志”(LoTW)互聯(lián)網(wǎng)數(shù)據(jù)庫在內(nèi)的多個關(guān)鍵在線服務(wù)。ARRL尚未明確網(wǎng)絡(luò)事件的性質(zhì)，正與外部網(wǎng)絡(luò)安全專家合作，以減輕影響并恢復(fù)服務(wù)。

資料來源：https://thecyberexpress.com/cyberattack-on-arrl/

13、與伊朗相關(guān)的攻擊者對阿爾巴尼亞和以色列進(jìn)行了網(wǎng)絡(luò)攻擊

5月22日，一個與伊朗情報和安全部(MOIS)有關(guān)的威脅行為者被認(rèn)為是針對阿爾巴尼亞和以色列進(jìn)行破壞性擦除攻擊的幕后黑手，分別以“Homeland Justice”和“Karma”的名義進(jìn)行活動。研究人員將這一活動追蹤為“Void Manticore”。

資料來源：http://dmo5a.dwa2.sbs/arG3p7t

14、微軟必應(yīng)全球宕機(jī)波及 ChatGPT、Copilot、DuckDuckGo等服務(wù)

5月24日，據(jù)媒體報道，微軟全球必應(yīng)搜索服務(wù)出現(xiàn)宕機(jī)事件，且持續(xù)了1天時間，但影響并不僅僅局限于必應(yīng)搜索網(wǎng)站，很多調(diào)用必應(yīng)搜索API的服務(wù)也因此受到影響。微軟表示正在積極調(diào)查問題的根本原因，并將在必要時采取進(jìn)一步的緩解措施。

資料來源：https://www.ithome.com/0/770/260.htm

15、Singing River醫(yī)療系統(tǒng)遭勒索軟件攻擊

5月20日，Singing River Health System 表示，2023年8月的勒索軟件攻擊造成數(shù)據(jù)泄露影響了895,204人。根據(jù)數(shù)據(jù)泄露通知，暴露的信息包括全名、出生日期、物理地址、社會安全號碼 (SSN)和以及醫(yī)療和健康信息。

資料來源：http://f27pa.dwa5.sbs/PBSHOEV

16、Windows 11將淘汰NTLM并新增AI驅(qū)動安全防護(hù)

5月20日，微軟確認(rèn)計劃在2024年下半年逐步淘汰Windows 11中的NT LAN Manager(NTLM)，并宣布了采用Kerberos進(jìn)行身份驗證等一系列新的安全措施，以增強(qiáng)廣泛使用的桌面操作系統(tǒng)的安全性。

資料來源：http://q3thb.dwa5.sbs/TwL1iKV