安帝速递|【工业网络安全月报2023年-5月】

安帝速递|【工业网络安全月报2023年-5月】

时间:2023-06-01 作者:安帝科技

一、政策扫描

本月观察到国内外网络安全相关政策法规41项,涉及国内9项、美国25项、俄罗斯1项、北约1项、澳大利亚1项、欧盟1项、加拿大1项、韩国1项、英国1项,值得关注的有工信部就《工业领域数据安全标准体系建设指南(2023版)》公开征求意见、美国政府调查罗克韦尔自动化中国业务的网络安全风险等。
1、《工业领域数据安全标准体系建设指南(2023版)》公开征求意见
5月22日,工信部就《工业领域数据安全标准体系建设指南(2023版)》(征求意见稿)公开征求意见。其中提到,到2024年,初步建立工业领域数据安全标准体系,有效落实数据安全管理要求。到2026年,形成较为完备的工业领域数据安全标准体系,全面落实数据安全相关法律法规和政策制度要求。
资料来源:http://www.eeo.com.cn/2023/0522/592601.shtml

2、工业和信息化部科技伦理委员会、工业和信息化领域科技伦理专家委员会成立
近日,工业和信息化部正式成立工业和信息化部科技伦理委员会、工业和信息化领域科技伦理专家委员会。工业和信息化部科技伦理委员会负责统筹规范和指导协调工业和信息化领域科技伦理治理工作,研究提出工业和信息化领域科技伦理治理制度规范。工业和信息化领域科技伦理专家委员会在工业和信息化部科技伦理委员会的领导下开展工作,提供决策咨询支撑,开展科技伦理审查专家复核。
资料来源:http://j1zx.a.dwx2.sbs/l4PFI40

3、国家标准《信息安全技术关键信息基础设施安全保护要求》正式实施
《信息安全技术关键信息基础设施安全保护要求》国家标准于2023年5月1日正式实施。这项标准对于关键信息基础设施运营者提升保护能力、构建保障体系具有重要的基础性作用。标准给出了关键信息基础设施安全保护的三项基本原则、六个方面活动,提出了111条安全要求。
资料来源:https://mp.weixin.qq.com/s/8ApjVWUiNGjCkY1ZQp3cmA

4、美国政府调查罗克韦尔自动化中国业务的网络安全风险
美国政府的多个部门参与了一项调查,重点是美国工业巨头罗克韦尔自动化在中国的业务所带来的潜在网络安全风险。调查的重点是罗克韦尔在中国大连的工厂,那里的员工可能会访问可用于破坏公司客户系统的信息。调查尚处于早期阶段,罗克韦尔称,它尚未获悉调查,并表示如果接到调查通知,愿意全力合作。
资料来源:http://onw3.a.dwx2.sbs/t0T7JXc

5、CISA敦促关键基础设施组织识别有风险的通信设备
根据2019年《安全和可信通信网络法》,联邦机构被禁止购买构成国家安全风险的通信设备和服务,联邦通信委员会(FCC)保留了一份此类产品清单,即涵盖清单。目前,美国网络安全和基础设施安全局(CISA)敦促各组织审查FCC的涵盖清单,并采取措施识别潜在风险设备并在必要时提高其网络的安全性。
资料来源:http://6qw1.a.dwx2.sbs/PjFVOEC

6、欧盟理事会强调增强对网络威胁的抵御能力
5月23日,欧盟理事会宣布通过网络防御结论,强调欧盟及其成员国需要进一步加强对网络威胁的抵御能力,并加强其共同网络安全和网络防御,以应对网络空间中的恶意行为和侵略行为。欧盟理事会呼吁欧盟及其成员国共同行动,加强网络防御,保护欧盟防御生态系统。
资料来源:http://8y9r.u.dwx1.sbs/XZNPuhB

二、安全事件

本月监测到勒索事件8起、APT攻击22起、数据泄露事件31起、网络攻击10起。其中典型的事件有工业网络安全公司Dragos和自动化巨头ABB遭受勒索软件攻击、黑客在论坛中长期提供能源部门ICS/OT系统的访问权限等。
1、自动化巨头ABB遭遇Black Basta勒索软件攻击
5月7日,领先的电气化和自动化技术提供商瑞士跨国公司ABB成为了Black Basta发起的勒索软件攻击的受害者。勒索软件攻击影响了ABB的Windows Active Directory,影响数百台设备。这次攻击扰乱了该公司的运营,推迟了项目并影响了工厂。
资料来源:http://hlx9.a.dwx2.sbs/eGF3MMT

2、工业网络安全公司Dragos遭遇勒索攻击
5月10日,工业网络安全供应商Dragos表示,一个勒索软件组织攻破了其防御措施并访问了威胁情报报告、SharePoint门户和客户支持系统,但最终在一项精心设计的勒索计划中失败了。Dragos表示,决定不与犯罪分子接触,并忽略所有沟通尝试,尽管被盗数据可能会被公开发布。
资料来源:http://l2rj.a.dwx2.sbs/GvaykZz

3、黑客论坛提供能源部门ICS/OT系统的访问权限
Searchlight Cyber在《针对能源行业的暗网威胁》报告中指出,威胁行为者一直在提供对能源部门组织的访问权限,包括工业控制系统(ICS)和其他运营技术(OT)系统。研究人员分析网络犯罪论坛、黑暗网站和市场上发布的帖子,发现了许多能源部门组织初步访问权限的报价。
资料来源:https://www.slcyber.io/dark-web-threats-against-the-energy-industry/

4、俄罗斯信息安全公司Bi.Zone遭受网络攻击
来自dumpforum的亲乌克兰黑客声称入侵了俄罗斯最大的信息安全公司之一Bi.Zone,其发布的信息中包含了注册用户以及公司客户的数据。Bi.Zone表示在调查过程中确认攻击者通过外部备份服务创建的登陆页面获得了对服务器备份的访问权限,并将很快公布调查结果。
资料来源:https://www.securitylab.ru/news/537898.php

5、Lacroix Group在遭受网络攻击后关闭了三家工厂
法国电子产品制造商Lacroix Group于5月12日宣布关闭法国、德国和突尼斯的三个工厂以应对网络攻击。Lacroix表示,已检测到对其设施的有针对性的网络攻击,一些本地基础设施已经加密,并计划于5月22日恢复生产。目前,还没有勒索团伙声称对此次攻击负责。
资料来源:https://securityaffairs.com/146335/cyber-crime/lacroix-group-ransomware-attack.htmlr

6、德国武器制造商Rheinmetall确认遭遇BlackBasta勒索软件攻击
5月20日,BlackBasta勒索软件组织在其泄密网站上列出了Rheinmetall,并威胁要泄露从Rheinmetall窃取的文件。根据发布的屏幕截图显示,BlackBasta窃取了采购订单、护照扫印件、技术示意图和保密协议等文件。Rheinmetall发言人表示,该事件仅影响民用业务,其依赖严格分离的IT基础设施的军事业务并未受到影响。
资料来源:http://lzd6.u.dwx1.sbs/ANheRMH

三、漏洞态势

本月监测到OT漏洞39个,涉及信息泄露漏洞6个、命令注入漏洞5个、路径遍历漏洞4个、拒绝服务漏洞3个、缓冲区溢出漏洞3个、反序列化漏洞2个、过时组件漏洞2个、敏感信息明文传输漏洞2个、SSRF漏洞1个、UAF漏洞1个、XSS漏洞1个、创建具有不安全权限的临时文件漏洞1个、空指针解引用漏洞1个、逻辑漏洞1个、内存损坏漏洞1个、授权不当漏洞1个、双重释放漏洞1个、验证绕过漏洞1个、硬编码密码漏洞1个、越界读取漏洞1个;IT漏洞52个,涉及任意代码执行漏洞12个、缓冲区溢出漏洞9个、身份验证绕过漏洞5个、信息泄露漏洞5个、拒绝服务漏洞4个、UAF漏洞3个、内存泄漏漏洞3个、权限提升漏洞3个、XSS漏洞2个、类型混淆漏洞2个、地址随机化绕过漏洞1个、路径遍历漏洞1个、命令注入漏洞1个、配置读取漏洞1个。值得关注的有Teltonikad产品中的安全漏洞使工业组织面临远程攻击风险、西门子和施耐德电气解决了数十个漏洞等。
1、Teltonika产品漏洞使工业组织面临远程攻击风险
研究人员在Teltonika的Teltonika远程管理系统和RUT型号路由器中发现了八个安全漏洞和多种攻击媒介。成功利用这些漏洞的攻击者可能会对受感染的设备和网络造成许多影响,包括监控网络流量和窃取敏感数据、劫持互联网连接以将流量路由到恶意站点,或将恶意软件注入流量。
资料来源:https://www.otorio.com/blog/teltonika-cloud-takeover-vulnerability-exposed/

2、西门子、施耐德电气解决了数十个漏洞
西门子和施耐德电气针对2023年5月发布的周二补丁公告解决了在其产品中发现的几十个漏洞。西门子发布了六个新公告,描述了26个漏洞。其Siveillance Video产品中存在两个高危漏洞,可能允许经过身份验证的远程攻击者在受影响的系统上执行任意代码。施耐德电气发布了四个新公告,描述了六个漏洞。其中一个公告涉及影响PowerLogic功率计的高危漏洞,该缺陷允许可以拦截网络流量的攻击者获取敏感信息、修改数据或导致DoS条件。
资料来源:http://0vbq.u.dwx1.sbs/3hIJNkY

3、施耐德电气警告楼宇自动化系统漏洞PoC公开
在4月末发布的安全公告中,施耐德电气通知客户,它已经注意到针对KNX家庭和楼宇自动化系统的漏洞利用。施耐德电气警告的漏洞的PoC于3月发布,针对该公司的SpaceLynk和Wiser for KNX产品。然而,施耐德表示其FellerLynk产品也受到影响。
资料来源:http://tnvz.u.dwx1.sbs/n8bg6Dd

4、FRRouting中的BGP消息解析缺陷可导致拒绝服务
实现BGP和各种其他互联网路由协议的FRRouting受到三个漏洞的影响,这些漏洞可被用于DoS攻击。这些安全漏洞被追踪为CVE-2022-40302、CVE-2022-40318和CVE-2022-43681,CVSS评分均为6.5,它们被描述为与处理格式错误的BGP OPEN消息相关的越界读取问题。
资料来源:https://cyberriskleaders.com/new-vulnerabilities-disclosed-in-frrouting-software/

5、Linux NetFilter内核漏洞允许提升权限至root
研究人员在Linux内核的NetFilter框架中发现了一个UAF漏洞(CVE-2023-32233),可允许非特权本地用户将其权限提升为root。问题源于tfilter nf_tables对批处理请求的处理,经过身份验证的本地攻击者可通过发送特制的请求破坏Netfilter nf_tables的内部状态,从而提升权限。该漏洞影响多个Linux内核版本,包括当前的稳定版本v6.3.1。
资料来源:https://securityaffairs.com/145989/security/linux-netfilter-kernel-flaw.html

6、GitLab发布紧急安全更新修补路径遍历漏洞
5月23日,GitLab发布紧急安全更新,修复了GitLab CE/EE 16.0.0版本中的路径遍历漏洞。漏洞跟踪为CVE-2023-2825,CVSS评分10.0,当嵌套在至少五个组中的公共项目中存在附件时,未经身份验证的恶意用户可以使用路径遍历漏洞读取服务器上的任意文件。利用该漏洞可能会暴露敏感数据,包括专有软件代码、用户凭据、令牌、文件和其他私人信息。
资料来源:http://dutd.a.dwx2.sbs/i3iYrd1

四、产品方案

工业网络安全供应商OTORIO获得其专有算法的专利,并称该方法在OT网络安全风险管理方面树立了新标准。霍尼韦尔推出新的OT网络安全解决方案Cyber Insights,旨在帮助组织识别其设施中的漏洞和威胁。LTE和5G网络安全公司OneLayer推出OneLayer Bridge,旨在提供企业蜂窝网络和IT/OT网络之间的无缝和安全连接。OT和IoT安全公司Nozomi Networks推出Vantage IQ,旨在解决关键任务运营基础设施中的安全漏洞和资源限制。
1、OTORIO称专有算法将为OT网络安全风险管理设定标准
工业网络安全供应商OTORIO已从美国专利商标局获得了该公司风险管理模型和攻击图分析算法的专利。OTORIO称该方法在OT(运营技术)网络安全风险管理方面树立了新标准。该公司的专有算法结合了行业标准指标,遵循美国国家标准技术研究院(NIST)的CVSS(通用漏洞评分系统)系统进行漏洞评分,确保符合行业标准,避免对常见风险进行重新评分。
资料来源:http://n5kn.a.dwx2.sbs/wJ9gG58

2、霍尼韦尔推出Cyber Insights帮助识别OT环境中的网络安全威胁
5月23日,霍尼韦尔宣布推出新的OT网络安全解决方案Cyber Insights。Cyber Insights通过整合来自多个OT数据源的信息,为客户提供对其设施的网络安全漏洞和威胁的可操作见解,使客户能够管理其合规策略,从而帮助降低其整体网络安全风险。
资料来源:http://ahhi.a.dwx2.sbs/Qckt7vY

3、OneLayer推出OneLayer Bridge
LTE和5G网络安全公司OneLayer宣布推出首个私有移动网络安全解决方案OneLayer Bridge。该解决方案可实现对设备漏洞的完全可见性、检测和修复,并通过限制安全漏洞暴露来降低风险。OneLayer Bridge使发现、评估和保护物联网设备活动变得容易。它通过单一管理平台为企业提供跨蜂窝和IT/OT网络的安全环境的全面视图,并提供一层安全性。
资料来源:https://www.helpnetsecurity.com/2023/05/09/onelayer-bridge/

4、Nozomi推出Vantage IQ帮助安全团队降低网络风险、加快响应速度
OT和IoT安全公司Nozomi Networks推出了Vantage IQ,这是一种基于人工智能的分析和响应引擎。Vantage IQ产品通过AI辅助数据分析转变现代威胁检测和补救,帮助安全团队降低网络风险和加速响应,并为关键基础设施环境提供AI支持的网络安全分析和响应引擎。
资料来源:http://bv3s.a.dwx2.sbs/jGwQztB

五、融资并购

IBM宣布收购数据安全态势管理公司Polar Security,以提高其在新兴数据安全态势管理领域的相关性。零知识隐私初创公司Webb Protocol完成700万美元融资,以加速创新隐私工具和协议的开发。
1、IBM收购Polar Security以促进云数据实践
IBM宣布收购数据安全态势管理的公司Polar Security。Polar Security为一个无代理平台,可在几分钟内连接并在云端发现未知和敏感数据。然后对找到的数据进行分类,映射该数据的潜在和实际流并识别漏洞。IBM表示,它将把Polar Security的DPSM技术集成到其Guardium数据安全产品系列中,以便将Guardium扩展为一个数据安全平台。
资料来源:https://www.techrepublic.com/article/ibm-snags-polar-cloud-data/

2、零知识隐私初创公司Webb Protocol融资700万美元
零知识隐私初创公司Webb Protocol在种子轮融资中筹集了700万美元,这笔资金将用于加速创新隐私工具和协议的开发,包括零知识和多方计算(MPC)解决方案。Webb Protocol是一个可互操作的基于零知识证明的系统,用于在区块链之间私下移动资产。Webb计划将此功能扩展到跨链消息系统中,对系统中存储的数据进行基于零知识的属性测试。
资料来源:http://nu9p.a.dwx2.sbs/qpHvebO