工業網絡安全周報（2024年第22期）

本期摘要

政策法規方面，本周觀察到國內外網絡安全相關政策法規6項，值得關注的有波蘭投資7.6億美元加強網絡防御。

漏洞態勢方面，本周監測到漏洞動態10條，值得關注的有Zyxel NAS設備存在遠程執行代碼漏洞。

安全事件方面，本周監測到重大網絡安全事件20起，其中典型的事件有汽車零部件供應商Advance Auto Parts上億客戶數據泄露、汽車零部件供應商Advance Auto Parts上億客戶數據泄露。

其他，Radiflow和Opscura宣布建立技術合作伙伴關系，旨在提供先進的工業網絡安全解決方案。

1、美國FCC提出加強互聯網基礎設施安全的規則

6月4日，據媒體報道，美國聯邦通信委員會(FCC)計劃在6月6日投票改善互聯網安全，要求寬帶提供商制定安全的路由計劃并提交季度報告。FCC主席指出BGP協議不安全性導致數據被劫持。行業擔憂提案可能過于嚴厲，但規則已根據反饋修改以減輕擔憂。此舉顯示FCC重視提升互聯網基礎設施安全，同時給予行業靈活性以實現目標。

資料來源：http://cosab.dwa5.sbs/JWeIGsm

2、美國國家安全局發布CSI

6月4日，據媒體報道，美國國家安全局(NSA)發布網絡安全信息表(CSI)，詳解零信任(ZT)框架核心支柱，旨在指導降低網絡安全風險。文件基于DoD的ZT成熟度等級提供詳細指導，強調持續改進周期重要性，建議組織利用AI/ML技術提高威脅檢測能力，集成威脅情報提升AI/ML模型準確性并為安全分析師提供決策支持。

資料來源：http://uymra.dwa2.sbs/R0cGsje

3、波蘭投資7.6億美元加強網絡防御，應對俄羅斯網絡攻擊

6月5日，據媒體報道，波蘭數字部長宣布投資7.6億美元加強網絡防御，以對抗俄羅斯持續的網絡攻擊。此前，波蘭國家通訊社PAP遭黑客發布虛假軍事動員文章。波蘭政府指責俄羅斯支持的黑客負責此次攻擊，俄羅斯駐華沙大使館否認參與。目前波蘭正面臨歐洲議會選舉，當局警惕俄羅斯干預。關鍵基礎設施近期多次遭攻擊，包括APT28組織的間諜活動。

資料來源：https://therecord.media/poland-cyberdefense-spending-russian-attacks

4、Zyxel NAS設備存在遠程執行代碼漏洞

6月4日，Zyxel為NAS326和NAS542發布安全補丁，修復五個嚴重漏洞，包括命令注入和遠程代碼執行。最嚴重的是CGI程序"file_upload-cgi"的遠程代碼執行漏洞CVE-2024-29974。漏洞可能允許攻擊者執行系統命令或上傳惡意代碼，獲取管理員信息。盡管產品已終止漏洞支持，Zyxel仍提供補丁。用戶應盡快安裝補丁確保安全。

資料來源：https://gbhackers.com/zyxel-nas-devices-vulnerability/

5、Cox調制解調器修復重大授權漏洞

6月3日，安全研究員Sam Curry呼吁ISP改進授權機制。Curry發現Cox調制解調器存在授權繞過漏洞，可能被攻擊者利用以獲取管理功能和運行惡意命令。該漏洞于3月4日披露，Cox在24小時內修復。漏洞涉及TR-069協議的約700個API端點，允許攻擊者檢索客戶信息、獲取MAC地址和修改設置。盡管未被野外利用，Curry呼吁ISP改進授權機制。

資料來源：http://avaoa.dwa5.sbs/tOzedkk

6、汽車零部件供應商Advance Auto Parts上億客戶數據泄露

6月4日，據媒體報道，汽車售后市場零部件供應商Advance Auto Parts公司遭受數據泄露，3TB數據被盜。攻擊者Sp1d3r聲稱通過Snowflake賬戶獲取了3.8億客戶檔案、1.4億訂單、4400萬忠誠度卡號、汽車零件信息、銷售歷史、求職者詳細信息(包括社會安全號碼和駕駛執照號碼)以及交易支付詳情。

資料來源：http://u3agc.dwa5.sbs/NdH6d9I

7、Akira勒索軟件聲稱攻擊德國制造商ETA

6月6日，Akira勒索軟件組織聲稱攻擊了德國ETA Elektrotechnische Apparate GmbH公司，并聲稱竊取了24GB敏感數據。ETA是全球電氣保護解決方案供應商，業務覆蓋60個國家。盡管Akira提供了截圖作為證據，但ETA官網正常運行，未有攻擊跡象。ETA公司尚未對勒索軟件指控作出回應。Sophos X-Ops發現Akira常利用受損憑據或VPN漏洞攻擊。

資料來源：https://thecyberexpress.com/akira-ransomware-claims-ccyberattack-e-t-a/

8、美國電信Frontier Communications遭到攻擊

6月4日，RansomHub勒索軟件組織聲稱竊取了美國電信Frontier Communications超過200萬客戶的信息，包括敏感數據如姓名、電子郵件、社會保險號等。Frontier Communications在4月通知SEC，因網絡攻擊關閉了某些系統。4月14日發現未經授權的訪問，公司已調查并控制事件。RansomHub發布被盜記錄圖片，威脅若不支付贖金將公布數據。

資料來源：http://xgl0b.dwa5.sbs/sr6f6Jw

9、烏克蘭防御部隊遭“病態同步”網絡攻擊

6月6日，烏克蘭CERT-UA報告，UAC-0020(Vermin)黑客組織發起"病態同步"(SickSync)攻擊，針對烏克蘭防御部隊。該組織與俄羅斯占領的盧甘斯克人民共和國(LPR)有關。攻擊通過釣魚郵件傳播，包含PDF、安裝程序和BAT腳本。安裝程序中嵌入了合法的SyncThing同步軟件和惡意軟件SPECTR，后者具備截屏、數據竊取等功能。黑客利用合法工具降低被安全系統檢測的風險。

資料來源：http://zy0da.dwa5.sbs/3Q8BOmR

10、英國國家醫療服務體系遭重大網絡攻擊

6月3日，倫敦的NHS(國家醫療服務體系)遭受了一次嚴重的網絡攻擊，導致醫療服務陷入混亂。攻擊影響了倫敦國王學院醫院基金會信托機構和蓋伊和圣托馬斯醫院基金會信托機構，迫使它們取消了所有非緊急手術和血液測試。此次網絡攻擊的目標是Synnovis，一家為倫敦東南部NHS醫院提供外包實驗室服務的公司，據信這是一次針對其ICT系統的勒索軟件攻擊。

資料來源：https://hackread.com/london-nhs-ransomware-hospitals-targeted/

11、印度特倫甘納邦警察應用程序再次遭網絡攻擊

6月5日，印度特倫甘納邦警察局的TSCOP應用程序遭受黑客“Adm1nFr1end”攻擊，導致警察和犯罪分子數據泄露。泄露信息包括多個部門警察的姓名、聯系方式和電子郵件，以及罪犯和申請槍支許可證公民的個人信息。網絡安全專家指出系統存在身份驗證和編碼漏洞。特倫甘納邦警方尚未回應。

資料來源：https://thecyberexpress.com/tscop-app-cyberattack-telangana-police/

12、美國主要無線運營商遭遇全國通話中斷

2024年6月4日，美國三大電信運營商AT&T、Verizon和T-Mobile遭遇跨網絡通話問題，FCC介入調查。Downdetector.com記錄了2300多起投訴，主要影響布魯克林、芝加哥和費城。Verizon和T-Mobile網絡未中斷，但Verizon東北和中西部用戶報告通話和短信問題。AT&T晚些時候宣布問題解決，未說明原因。事件引發網絡攻擊猜測，AT&T此前曾有軟件更新導致中斷和數據泄露事件。

資料來源：https://thecyberexpress.com/att-resolves-issue-calls-wireless-carriers/

13、喜力啤酒公司遭遇數據泄露

6月3日，暗網攻擊者888聲稱入侵喜力，泄露8,174名員工信息，包括身份證號碼、電子郵件和角色等敏感數據。網絡快報分析樣本數據后證實。此次攻擊可能導致網絡釣魚、勒索和冒充行為。喜力網站正常運行，未確認數據泄露。2023年3月，喜力曾發生影響150萬人的數據泄露事件。Cyber Express將繼續跟進。

資料來源：https://thecyberexpress.com/alleged-heineken-data-breach/

14、澳大利亞礦業公司公布遭遇網絡攻擊

6月5日，澳大利亞北方礦業公司(Northern Minerals)遭遇網絡攻擊，部分數據被盜并于3月下旬發布在暗網上。公司專注于重稀土元素勘探開發，對澳大利亞政府具有戰略意義。北方礦業在ASX上市，代碼“NTU”，有義務披露數據泄露。公司已通知相關部門并計劃通知受影響個人，但未透露攻擊者信息。

資料來源：http://x4lma.dwa2.sbs/dfFJG6f

15、Claroty計劃推出CPS保護與資產可見性平臺

6月6日，據媒體報道，Claroty宣布其下一步計劃提供資產可見性和廣泛的CPS保護解決方案。Claroty計劃通過xDome和CTD，降低網絡風險，快速實現價值，降低總擁有成本。解決方案包括暴露管理、網絡保護、安全訪問和威脅檢測，采用多種發現方法和AI分析引擎，實現資產分類和安全見解。Claroty還提供統一平臺和部署靈活性，簡化CPS安全管理和控制，降低總成本。

資料來源：http://gw9pa.dwa5.sbs/jJBAXCC

16、Radiflow和Opscura宣布建立技術合作伙伴關系

6月4日，據媒體報道，Radiflow和Opscura宣布建立技術合作伙伴關系，提供先進的工業網絡安全解決方案。合作將結合Radiflow的OT網絡安全專業知識和Opscura的數據保護技術，增強工業網絡和系統的端到端保護。通過高級威脅檢測、加密、遺留資產隱身和OT環境監控，客戶能夠實現快速、經濟高效的OT網絡分段和保護。

資料來源：http://9func.dwa5.sbs/p3OgYMI