工業網絡安全周報（2024年第45期）

本期摘要

政策法規方面，本周觀察到國外網絡安全相關政策法規9項，值得關注的有《網絡安全標準實踐指南——粵港澳大灣區 (內地、香港) 個人信息跨境處理保護要求》發布、《工業和信息化領域數據安全合規指引》正式發布。

漏洞態勢方面，本周監測到漏洞動態14條，值得關注的有5.Forti Client終端防御軟件VPN存在未被發現的暴力攻擊漏洞。

安全事件方面，本周監測到重大網絡安全事件22起，其中典型的事件有一名威脅行為者正在出售對拉丁美洲一家年收入達30億美元的能源公司的訪問權限。

風險預警方面，全球有超過14.5萬個工業控制系統(ICS)暴露在互聯網上，涉及175個國家和地區。

安全技術方面，MorganFranklin與Stellar Cyber合作推出AI驅動的Orion托管檢測和響應服務。

1、《網絡安全標準實踐指南——粵港澳大灣區 (內地、香港) 個人信息跨境處理保護要求》發布

11月21日，據媒體報道，網安標委秘書處聯合香港私隱公署發布了《網絡安全標準實踐指南——粵港澳大灣區(內地、香港)個人信息跨境處理保護要求》，規定了大灣區內個人信息跨境流動的基本原則和要求，旨在促進個人信息跨境安全有序流動。

資料來源：https://www.tc260.org.cn/upload/2024-11-21/1732148395263067719.pdf

2、《工業和信息化領域數據安全合規指引》正式發布

11月19日，據媒體報道，為貫徹落實《數據安全法》《網絡數據安全管理條例》《工業和信息化領域數據安全管理辦法(試行)》等法律政策要求，引導工業和信息化領域數據處理者規范開展數據處理活動，中國多個行業協會聯合發布了《工業和信息化領域數據安全合規指引》，供履行數據安全保護義務時使用。

資料來源：http://v1ujm.dz113.sbs/J1gyB7q

3、美國CISA和ODNI發布指南以保護關鍵基礎設施設施免受外國威脅

11月21日，據媒體報道，為紀念全國關鍵基礎設施安全和彈性月，美國CISA和國家情報總監辦公室發布指南，旨在幫助關鍵基礎設施所有者和運營商識別和減輕外國情報實體的威脅。這些指南強調了保護關鍵基礎設施的重要性，以維護國家安全和經濟穩定。關鍵措施包括識別關鍵資產、實施全面的安全措施、建立應急響應計劃、增強內部和物理安全、確保供應鏈安全、實施補丁管理流程，并在第三方合同中納入安全要求。

資料來源：http://cjtpk.dz112.sbs/XavcCKE

4、歐盟網絡彈性法案正式公布

11月20日，據媒體報道，歐盟《網絡彈性法案》(CRA)已正式公布，為帶有數字組件的產品設定了網絡安全標準，特別關注互聯設備。法案要求制造商確保產品在交付時無已知漏洞，并對其安全性負責，同時要求提供安全更新。違反規定可能面臨高額罰款。

資料來源：http://se2dn.dz113.sbs/APkuoA3

5、Forti Client終端防御軟件VPN存在未被發現的暴力攻擊漏洞

11月22日，據媒體報道，Fortinet VPN服務器存在一個設計缺陷，該缺陷允許攻擊者在不被發現的情況下進行暴力破解攻擊。這一問題在于Fortinet VPN服務器在身份驗證階段不會記錄成功的嘗試，只有當建立VPN會話的授權階段之后，成功的身份驗證嘗試才會被記錄。這意味著攻擊者可以在不觸發警報或提醒安全團隊的情況下驗證泄露的憑據，從而增加了安全風險。專家建議Fortinet更新其日志記錄機制，以在最早階段記錄所有身份驗證嘗試(成功或失敗)，并建議使用Fortinet VPN的組織強制實施多重身份驗證(MFA)以增加額外的安全層。此外，企業應定期審計VPN配置并應用更新，以及在VPN服務器前部署Web應用程序防火墻(WAF)以檢測和阻止暴力破解嘗試。

資料來源：https://gbhackers.com/forticlient-vpn-brute-force-attacks/

6、Palo Alto Networks修補了兩個用于攻擊的防火墻零日漏洞

11月17日，據媒體報道，Palo Alto Networks發布了針對其下一代防火墻(NGFW)中兩個被積極利用的零日漏洞的安全更新。第一個漏洞CVE-2024-0012是PAN-OS管理Web界面中的身份驗證繞過，允許遠程攻擊者無需身份驗證或用戶交互即可獲得管理員權限。第二個漏洞CVE-2024-9474是一個PAN-OS權限提升安全漏洞，允許惡意PAN-OS管理員以root權限在防火墻上執行操作。受影響的產品包括多個PAN-OS版本，建議盡快應用更新并限制管理Web界面的訪問。

資料來源：http://emx1m.dz113.sbs/dtFLzX9

7、一名威脅行為者正在出售對拉丁美洲一家年收入達30億美元的能源公司的訪問權限

11月20日，據darkwebinformer報道，一名威脅行為者正在出售對拉丁美洲一家年收入達30億美元的能源公司的訪問權限，具體細節尚未披露。這類事件強調了能源行業在網絡安全方面的脆弱性，尤其是面對國家行為者、網絡犯罪分子和激進分子等多樣化的威脅行為者。這些威脅行為者可能會針對能源基礎設施提供商，以實現其更廣泛的戰略目標或出于經濟利益。因此，能源公司需要加強其網絡安全措施，以保護關鍵基礎設施免受潛在的網絡攻擊和數據泄露。

資料來源：http://zx55k.dz112.sbs/m9ZsBYR

8、福特否認泄露指控，稱客戶數據未受到影響

11月20日，據媒體報道，福特正在調查一起數據泄露指控，一名名為“EnergyWeaponUser”的威脅行為者在黑客論壇BreachForums上聲稱泄露了44,000條福特客戶記錄。這些記錄包括客戶的全名、實際位置、購買詳細信息等。這些信息可能被用于網絡釣魚和社會工程攻擊。威脅行為者沒有出售數據，而是以極低的價格提供給論壇成員。福特表示正在積極調查此事。為了安全，建議客戶對未經請求的通信保持警惕。

資料來源：http://vnekm.dz113.sbs/lI2RS8z

9、美國俄克拉荷馬州醫院表示勒索軟件黑客攻擊已造成133,000人死亡

11月19日，據媒體報道，俄克拉荷馬州的大平原地區醫療中心(Great Plains Regional Medical Center)在9月遭受勒索軟件攻擊，導致133,149人的個人信息可能被黑客訪問。受影響信息包括姓名、人口統計信息、健康保險信息、臨床治療信息、駕照號碼，以及在某些情況下的社會安全號碼。盡管醫院迅速恢復了IT系統，但部分患者數據無法恢復。

資料來源：http://8ekdk.dz112.sbs/LOYptQO

10、太空科技巨頭Maxar Space Systems數據泄露

11月18日，據媒體報道，美國太空技術公司Maxar確認了一起數據泄露事件，其中員工的個人數據被黑客訪問。這次泄露包括員工的姓名、家庭住址、社會安全號碼(SSN)、業務聯系信息、性別、就業狀況、員工編號、職稱等敏感信息。Maxar在10月11日發現了這一事件，并立即采取行動以防止進一步未經授權的系統訪問。據Maxar披露，黑客可能在采取行動前大約一周內訪問了系統文件。目前，Maxar并未透露具體有多少員工受到此次數據泄露的影響。

資料來源：https://straussborrelli.com/2024/11/18/maxar-space-systems-data-breach-investigation/

11、墨西哥政府正在調查法律事務辦公室遭受勒索軟件攻擊的報告

11月20日，墨西哥政府法律事務辦公室遭受勒索軟件攻擊，Ransomhub組織聲稱擁有政府合同、保險和財務信息，并要求支付贖金，否則將公開約313GB的文件。此前，墨西哥已發生個人信息泄露事件，包括記者的個人信息。

資料來源：http://hpxpl.dz112.sbs/TJD80eG

12、超14.5萬個工業控制系統暴露在互聯網上

11月21日，據媒體報道，新的研究發現，全球有超過14.5萬個工業控制系統(ICS)暴露在互聯網上，涉及175個國家和地區，其中美國占總暴露量的三分之一以上。這些ICS服務風險最多的國家包括美國、土耳其、韓國、意大利等。這些暴露的ICS設備主要涉及的協議包括Modbus、IEC 60870-5-104、CODESYS、OPC UA等。這一發現突顯了全球關鍵基礎設施面臨的網絡安全風險，尤其是對于工業控制系統的保護，需要采取更加嚴格的網絡安全措施來應對潛在的網絡攻擊。

資料來源：https://thehackernews.com/2024/11/over-145000-industrial-control-systems.html

13、研究人員詳細介紹了攻擊ICS設備的FrostyGoop惡意軟件

11月21日，據媒體報道，新發現的惡意軟件FrostyGoop專門針對工業控制系統(ICS)，利用Modbus TCP協議破壞關鍵基礎設施。這種惡意軟件能夠讀取和寫入ICS設備中包含輸入、輸出和配置數據的寄存器，通過JSON格式的配置文件指定目標IP地址和Modbus命令，并記錄輸出到控制臺和/或JSON文件。FrostyGoop的出現揭示了運營技術惡意軟件對現實世界可能產生重大影響的風險，強調了加強網絡安全措施的必要性。

資料來源：https://gbhackers.com/frostygoop-malware-ics/

14、MorganFranklin，Stellar Cyber推出AI驅動的Orion托管檢測和響應服務

11月20日，MorganFranklin Consulting與Stellar Cyber合作推出Orion MDR服務，整合了NextGen-SIEM和XDR平臺，提供AI驅動的威脅檢測、全面安全儀表板、簡化集成和全天候監控響應。Orion MDR通過Stellar Cyber平臺的自動化SecOps解決方案，實現全面的威脅檢測和快速響應，幫助組織領先于威脅。

資料來源：http://nypim.dz113.sbs/EErMuMGllion/