工業網絡安全周報（2024年第24期）

本期摘要

政策法規方面，本周觀察到國內外網絡安全相關政策法規6項，值得關注的有全國網絡安全標準化技術委員會發布《關鍵信息基礎設施安全保護能力指標體系》和《數據安全和個人信息保護社會責任指南》兩項國家標準征求意見稿。

漏洞態勢方面，本周監測到漏洞動態14條，值得關注的有Phoenix固件存在嚴重UEFI缺陷，影響英特爾芯片電腦的啟動固件，可能讓攻擊者獲得設備控制權。

安全事件方面，本周監測到重大網絡安全事件20起，其中典型的事件有全球半導體封裝和電子組裝解決方案供應商K&S遭數據泄露。

1、《網絡安全技術 關鍵信息基礎設施安全保護能力指標體系》等2項國家標準公開征求意見

6月21日，全國網絡安全標準化技術委員會發布《關鍵信息基礎設施安全保護能力指標體系》和《數據安全和個人信息保護社會責任指南》兩項國家標準征求意見稿，公開征求意見。相關材料已上網安標委網站，意見反饋截止至2024年8月19日。

資料來源：https://www.secrss.com/articles/67285

2、MITRE推出ACID增強OT安全

6月20日，據媒體報道，美國MITRE開發了基于ATT&CK基于ATT&CK的Zeek控制系統指標檢測)的Zeek控制系統指標檢測工具ACID，支持S7COMM、ENIP/CIP和BACnet協議，利用CISA的ICSNPP解析器，增強OT網絡流量的可見性。ACID仍在開發中，計劃增加遠程訪問、進程警報等監控功能。

資料來源：http://zjvsb.dwa5.sbs/93k771o

3、美國能源部發布供應鏈網絡安全原則

6月20日，據媒體報道，美國能源部(DOE)與愛達荷國家實驗室合作，發布了一套供應鏈網絡安全原則，以加強全球能源基礎設施安全。這些原則基于最佳實踐，涵蓋供應商和最終用戶的網絡安全指導，確保設備安全，防止網絡攻擊。DOE的CESER辦公室根據行業反饋制定原則，獲得GE Vernova、施耐德等企業支持，并與國際伙伴合作推廣。

資料來源：http://2nuba.dwa2.sbs/akbi4l3

4、Phoenix固件存在嚴重UEFI缺陷

6月20日，據媒體報道，安全研究人員發現Phoenix Technologies的UEFI SecureCore存在緩沖區溢出漏洞(CVE-2024-0762)，影響英特爾芯片電腦的啟動固件，可能讓攻擊者獲得設備控制權。Eclypsium指出，聯想、宏碁、戴爾、惠普等品牌數百種型號受影響。漏洞CVSS評分7.5，Phoenix已發布補丁。用戶應更新固件以修復。

資料來源：http://i05nc.dwa5.sbs/PqYXeZD

5、Trellix修補入侵防御系統(IPS)管理器中的嚴重漏洞

6月19日，據媒體報道，Trellix修復了其IPS管理器中的嚴重安全漏洞CVE-2024-5671，該漏洞因不安全反序列化而存在，允許遠程未授權攻擊者執行任意代碼。CVSS評分9.8，影響11.1.x以下版本，可能導致數據泄露和網絡攻擊。建議立即應用補丁，加強監控，并在打補丁前限制訪問。

資料來源：https://cybersecuritynews.com/vulnerability-trellix-ips/

6、CISA警告RAD SecFlow-2工業交換機存在漏洞

6月19日，據媒體報道，CISA警告RAD Data Communications生產的工業交換機存在高危漏洞CVE-2019-6268，允許未授權攻擊者通過路徑遍歷獲取系統文件。漏洞細節和PoC代碼已公開。受影響的SecFlow-2設備已停產，RAD建議升級至SecFlow-1p網關。CISA提供降低風險建議，強調該漏洞對ICS和OT系統構成威脅。

資料來源：http://tqj5c.dwa5.sbs/z9VYCpA

7、D-Link路由器發現嚴重后門漏洞

6月17日，據媒體報道，D-Link多款無線路由器型號(如E15、E30、G403等)存在嚴重安全漏洞CVE-2024-6045，CVSS評分8.8。漏洞源于后門，允許未認證攻擊者通過特定URL啟用Telnet服務，獲取管理員權限。D-Link已發布固件更新，建議用戶更新以降低風險。安全研究員Raymond發現并報告了該問題。用戶應定期更新固件，確保設備安全。

資料來源：http://ud7tc.dwa5.sbs/TQDOARH

8、黑客利用電信政策漏洞在Telegram提供“免費”移動數據訪問

6月19日，據媒體報道，黑客利用電信政策漏洞，在Telegram上為非洲和亞洲用戶提供"免費"移動數據訪問。他們通過HTTP Injector等工具，使用隧道技術操縱數據包，建立加密隧道，或使用VPN混淆技術，欺騙網絡將流量視為不計量。攻擊者還濫用零評級政策，通過修改HTTP標頭、DNS設置、HTTPS中的SNI，使流量看似來自豁免服務。CloudSEK發現的工具如Freedom VPN Client，利用隧道功能繞過限制。

資料來源：https://gbhackers.com/hackers-vpns-exploit-restrictions-steal-data/

9、Snowflake遭網絡攻擊致數據泄露

6月20日，據媒體報道，Snowflake云數據倉庫平臺遭遇大規模數據泄露，攻擊者竊取數TB數據并索要500萬美元贖金。約165個客戶賬戶受影響，包括Ticketmaster、桑坦德銀行等。谷歌Mandiant小組揭露犯罪集團還試圖出售數據，并協助Snowflake調查。攻擊者通過SnowSight或SnowSQL工具獲得訪問權限，部分入侵與第三方承包商有關。Snowflake正推動多因素認證(MFA)作為默認安全措施。

資料來源：http://7jfma.dwa5.sbs/2dFNs6g

10、美國鐵路公司披露旅客數據泄露事件

6月19日，據媒體報道，美國鐵路公司Amtrak披露了一起數據泄露事件，5月15日至18日期間，未知第三方未經授權訪問了火車旅客獎勵賬戶信息，包括姓名、聯系方式、賬戶詳情、部分信用卡和禮品卡信息。Amtrak稱系統未被黑客攻擊，但攻擊者可能使用了之前泄露的憑證。公司采取措施恢復賬戶并建議用戶更換密碼和啟用多因素認證。Jumio CTO建議采用生物特征認證等技術加強保護。

資料來源：http://ptoza.dwa5.sbs/Bxq2AWE

11、半導體巨頭AMD遭遇重大數據泄露

6月18日，黑客Intelbroker聲稱對AMD進行了數據泄露，并在BreachForums公開，包括未來產品詳情、客戶數據庫、源代碼等敏感信息。事件暴露AMD網絡安全漏洞，威脅競爭優勢和知識產權。Intelbroker曾攻擊多個機構。AMD尚未回應，網站運行正常，但后端數據庫可能受影響。

資料來源：https://thecyberexpress.com/amd-data-breach-on-dark-web/

12、TETRA公司遭遇勒索軟件攻擊致數據

6月18日，據媒體報道，TETRA技術公司遭受Akira勒索軟件攻擊，護照、出生證明等個人文件及機密協議面臨泄露風險，攻擊者威脅發布約40GB數據。盡管公司網站正常，但內部系統可能受影響。Akira以勒索贖金避免數據公開而知名。TETRA強調網絡安全管理，包括風險評估、事件響應和員工培訓，正加強防御以應對新興威脅。

資料來源：http://tu0ob.dwa5.sbs/k0qocL9

13、北約機密數據泄露

6月16日，自稱為丹尼斯·庫欣的威脅者宣稱出售包含北約49,000名成員敏感信息的數據庫，要求10,000 XMR贖金，并提議使用托管服務保證交易安全。數據包括成員的性別、姓名、國籍等詳細信息，涉及多國國防部或政府機構。此事件嚴重威脅國家安全，暴露網絡安全漏洞。

資料來源：http://htyda.dwa5.sbs/9HgfquX

14、全球短信詐騙與惡意軟件攻擊激增

6月16日，據媒體報道，巴基斯坦遭遇短信網絡釣魚攻擊，首次成為此類攻擊的新目標，攻擊者通過iMessage和短信冒充郵政服務竊取信息。巴西面臨Grandoreiro木馬和Astaroth惡意軟件攻擊。PINEAPPLE和FLUXROOT威脅者利用云服務和釣魚頁面傳播惡意軟件，影響多行業。Red Akodon自4月以來針對哥倫比亞政府和行業傳播遠程訪問木馬。全球網絡安全威脅上升，需加強防范。

資料來源：https://thehackernews.com/2024/06/grandoreiro-banking-trojan-hits-brazil.html

15、澳大利亞發布Medibank網絡攻擊事件分析報告

6月18日，據澳大利亞信息專員報告指出Medibank數據泄露事件起因于配置錯誤和警報遺漏，導致黑客入侵并竊取900多萬人的數據。2022年10月，Medibank遭網絡攻擊，客戶個人數據和健康索賠信息泄露。事件由一名承包商在家用電腦上使用工作憑據，且電腦感染惡意軟件，使黑客得以竊取密碼并獲取Medibank賬戶訪問權限。

資料來源：http://kub2a.dwa2.sbs/MWTlwLz