安帝速递|【工业网络安全月报2024年-6月】

安帝速递|【工业网络安全月报2024年-6月】

时间:2024-7-10 作者:安帝科技

一、政策扫描

本月观察到国内外网络安全相关政策法规16项,中国6项、涉及美国6项、俄罗斯1项、新加坡1项、英国1项、波兰1项,值得关注的有由中央网络安全和信息化委员会办公室、中央机构编制委员会办公室、工业和信息化部、公安部制定的《互联网政务应用安全管理规定》已印发。

1、《网络安全标准实践指南—一键停止收集车外数据指引》公开征求意见
6月20日,全国信安标委秘书处发布《一键停止收集车外数据指引(征求意见稿)》,旨在指导单位安全收集使用车外数据,并探索停止收集的便捷方法。现公开征求意见,截止日期为2024年7月5日,反馈请发送至秘书处。
资料来源:https://www.tc260.org.cn/upload/2024-06-24/1719196611263024551.pdf

2、俄罗斯为关键设施制定网络和IT基础设施统一标准
6月27日,俄罗斯数字发展部正在制定关键社会设施(SSO)的电信和IT基础设施统一标准,以规范教育机构、急救站、政府机构等的电信系统。2019至2022年间,联邦项目已投资1020亿卢布,使SSO接入宽带互联网,Rostelecom等公司参与实施。新草案将要求至少两台自供电摄像头和每两房间至少一个Wi-Fi接入点,设备须国产或无可替代。
资料来源:https://www.securitylab.ru/news/549586.php

3、美国国土安全部强调监控人工智能与关键基础设施安全
6月21日,美国国土安全部在其2024-2025年战略中强调AI对关键基础设施的双重影响:潜在网络威胁和安全防护机遇。建议监控AI与网络安全的互动,并在内部部署AI技术以加强威胁检测。同时,关注量子信息系统对加密的潜在风险,计划与国家标准与技术研究所合作提供应对指导。
资料来源:http://jyfka.dwa2.sbs/kwBK2Yc

4、波兰投资7.6亿美元加强网络防御
6月5日,据媒体报道,波兰数字部长宣布投资7.6亿美元加强网络防御,以对抗俄罗斯持续的网络攻击。此前,波兰国家通讯社PAP遭黑客发布虚假军事动员文章。波兰政府指责俄罗斯支持的黑客负责此次攻击,俄罗斯驻华沙大使馆否认参与。目前波兰正面临欧洲议会选举,当局警惕俄罗斯干预。关键基础设施近期多次遭攻击,包括APT28组织的间谍活动。
资料来源:https://therecord.media/poland-cyberdefense-spending-russian-attacks

5、美国FCC提出加强互联网基础设施安全的规则
6月4日,据媒体报道,美国联邦通信委员会(FCC)计划在6月6日投票改善互联网安全,要求宽带提供商制定安全的路由计划并提交季度报告。FCC主席指出BGP协议不安全性导致数据被劫持。行业担忧提案可能过于严厉,但规则已根据反馈修改以减轻担忧。此举显示FCC重视提升互联网基础设施安全,同时给予行业灵活性以实现目标。
资料来源:http://43fla.dwa5.sbs/vSzniVE

6、工信部发布关于防范CatDDoS黑客团伙网络攻击的风险提示
工业和信息化部CSTIS监测到CatDDoS黑客团伙利用多家知名厂商网络产品漏洞进行DDoS攻击。建议各单位和用户立即排查关键资产,升级系统至最新安全版本,修补漏洞,清除恶意代码,并采取网络安全措施如加强监测、备份数据、完善应急响应机制以防网络攻击。
资料来源:https://www.secrss.com/articles/66958

二、安全事件

本月监测到勒索事件20起、数据泄露事件30起、网络攻击55起,钓鱼攻击2起、DDOS攻击2起。其中典型的事件有印度国有电信提供商BSNL遭受名为“kiberphant0m”的网络攻击,导致超过278GB的敏感数据泄露。
1、印度国有电信提供商BSNL遭受网络攻击
6月27日,据媒体报道,印度国有电信提供商BSNL遭受名为“kiberphant0m”的网络攻击,导致超过278GB的敏感数据泄露,包括IMSI号码、SIM卡详情等,使数百万用户面临安全风险。据Athentian Tech报告,这些数据在暗网上以5000美元出售,对BSNL及其网络构成重大安全威胁。这是BSNL半年内第二次数据泄露。
资料来源:https://gbhackers.com/bsnl-data-breach-exposes-millions/

2、俄罗斯电信运营商遭受DDoS攻击导致互联网中断
6月27日,据媒体报道,俄罗斯克里米亚电信运营商遭受大规模DDoS攻击,导致网络服务中断。受影响的米兰达媒体与俄罗斯Rostelecom有关联,曾因服务克里米亚受欧盟制裁。用户报告互联网连接质量下降,紧急呼叫中心运营受干扰但已恢复。乌克兰军事情报局声称负责,表示将“系统地”攻击俄罗斯数字基础设施。
资料来源:https://therecord.media/crimea-internet-disruptions-ddos-telecom

3、印度尼西亚国家数据中心遭受LockBit勒索软件攻击
6月24日,据媒体报道,印度尼西亚数据中心遭勒索软件Brain Cipher(LockBit 3.0的新变种)攻击,导致机场移民检查等公共服务中断,黑客索要800万美元赎金。印尼政府拒绝支付,受影响服务已部分恢复,重要数据迁移云端。攻击还影响了学校在线报名,迫使延期。
资料来源:https://therecord.media/indonesia-national-data-centre-hacked

4、惠普企业的子公司Zerto遭遇网络攻击
6月23日,据媒体报道,惠普企业子公司Zerto遭受网络攻击,攻击者声称出于政治动机窃取并删除了51 TB数据,并在暗网分享攻击细节。Zerto专注于虚拟化基础设施和云环境的灾难恢复及勒索软件恢复解决方案。事件引发广泛关注。
资料来源:https://dailydarkweb.net/alleged-cyber-attack-on-zerto/

5、澳大利亚矿业公司公布遭遇网络攻击
6月5日,澳大利亚北方矿业公司(Northern Minerals)遭遇网络攻击,部分数据被盗并于3月下旬发布在暗网上。公司专注于重稀土元素勘探开发,对澳大利亚政府具有战略意义。北方矿业在ASX上市,代码“NTU”,有义务披露数据泄露。公司已通知相关部门并计划通知受影响个人,但未透露攻击者信息。
资料来源:http://22wjb.dwa5.sbs/dfFJG6f

6、全球半导体封装和电子组装解决方案供应商K&S遭数据泄露
6月13日,据媒体报道,全球半导体封装和电子组装解决方案供应商Kulicke & Soffa Industries, Inc. (K&S)遭受数据泄露,约1200万份文件包括源代码和个人身份信息等敏感内容被盗。事件于2024年5月12日发现,K&S迅速响应,隔离受影响服务器并报告执法部门。公司称泄露未对业务产生重大影响,将继续保护数据,同时提醒风险和不确定性,承诺更新信息并加强网络安全。
资料来源:https://cybersecuritynews.com/kulicke-soffa-data-breach/

三、漏洞态势

本月监测到OT漏洞54个。其中身份验证不当4个,输入验证不当3个,跨站点脚本(XSS)3个,低权限错误处理2个,未初始化的类成员变量2个,使用硬编码的凭据2个,访问控制不充分2个,资源泄漏2个,硬编码的秘密2个,服务器侧请求伪造(SSRF)2个,未受保护的敏感函数1个,未受保护的敏感数据1个,使用硬编码的密码1个,暴露危险函数1个,使用存在已知漏洞的组件1个,在错误的路径上操作文件1个,参数非法1个,未使用或错误使用HTTP方法1个,安全功能绕过1个,目录遍历1个,弱加密密钥1个,缺少加密算法添加随机性1个,认证绕过1个,高风险文件写入1个,未能正确处理异常1个,硬编码的系统信息泄露1个,拒绝服务1个,跨站点请求伪造1个,表达式解析器中的安全问题1个,依赖不受信任的输入1个,配置错误1个,事件管理失控1个,范围错误1个,未对用户输入进行合适验证1个,使用弱随机数生成器1个,不当使用风险库或API1个,资源管理错误1个,SQL注入1个,不正确的授权1个,密码重置功能中的漏洞1个。
1、西门子修复电力产品中的严重漏洞
6月26日,据媒体报道,西门子修复了Sicam产品中的三个安全漏洞,包括可能导致代码执行或拒绝服务的缓冲区覆盖问题(CVE-2024-31484)、允许攻击者提升权限的Web界面命令注入问题(CVE-2024-31485),以及可能导致凭据泄露的MQTT客户端密码保护不当问题(CVE-2024-31486)。这些漏洞主要影响能源行业的变电站自动化设备。SEC Consult的研究人员发现了这些漏洞并提供了利用细节。
资料来源:http://sfm4c.dwa5.sbs/UA9z7xL

2、新的MOVEit Transfer漏洞已被利用
6月26日,据媒体报道,Progress Software 发布了MOVEit Transfer软件的两个严重漏洞CVE-2024-5805和CVE-2024-5806的补丁。这些漏洞存在于SFTP模块中,允许攻击者绕过身份验证。6月25日,Progress向客户通报了这一信息,并确认其中一个漏洞已被利用。
资料来源:http://1uq2a.dwa2.sbs/BX6vpWX

3、TP-Link Omada系统多漏洞允许远程代码执行
6月27日,据媒体报道,TP-Link Omada系统发现12个严重漏洞,涉及无线接入点、路由器等设备,可被攻击者利用执行远程代码。漏洞包括堆栈溢出、内存损坏等,允许攻击者重置设备、获取root权限。TP-Link已发布补丁,用户需尽快更新固件以降低风险。
资料来源:https://gbhackers.com/tp-link-omada-vulnerabilities/

4、Zyxel NAS设备遭受CVE-2024-29973漏洞攻击
6月4日,Zyxel为NAS326和NAS542发布安全补丁,修复五个严重漏洞,包括命令注入和远程代码执行。最严重的是CGI程序”file_upload-cgi”的远程代码执行漏洞CVE-2024-29974。漏洞可能允许攻击者执行系统命令或上传恶意代码,获取管理员信息。尽管产品已终止漏洞支持,Zyxel仍提供补丁。用户应尽快安装补丁确保安全。
资料来源:http://en5pa.dwa2.sbs/LMs8VOu

5、物联网摄像头因可链接漏洞而暴露或致数百万人受到影响
5月16日,据媒体报道,Bitdefender的研究人员在ThroughTek的Kalay Platform中发现了4个安全漏洞(CVE-2023-6321-CVE-2023-6324),该平台广泛用于物联网(IoT)监控设备,全球超过1亿台设备可能受到影响。这些漏洞包括允许以root用户身份运行系统命令、获取根访问权限、泄露AuthKey密钥以及推断DTLS会话的预共享密钥,从而允许攻击者在本地网络内进行未经授权的root访问,甚至远程执行代码。
资料来源:https://gbhackers.com/zyxel-nas-devices-vulnerability/

6、CISA警告RAD SecFlow-2工业交换机存在漏洞
6月19日,据媒体报道,CISA警告RAD Data Communications生产的工业交换机存在高危漏洞CVE-2019-6268,允许未授权攻击者通过路径遍历获取系统文件。漏洞细节和PoC代码已公开。受影响的SecFlow-2设备已停产,RAD建议升级至SecFlow-1p网关。CISA提供降低风险建议,强调该漏洞对ICS和OT系统构成威胁。
资料来源:http://poi1a.dwa5.sbs/z9VYCpA

7、D-Link路由器发现严重后门漏洞
6月17日,据媒体报道,D-Link多款无线路由器型号(如E15、E30、G403等)存在严重安全漏洞CVE-2024-6045,CVSS评分8.8。漏洞源于后门,允许未认证攻击者通过特定URL启用Telnet服务,获取管理员权限。D-Link已发布固件更新,建议用户更新以降低风险。安全研究员Raymond发现并报告了该问题。用户应定期更新固件,确保设备安全。
资料来源:https://gbhackers.com/hidden-backdoor-in-d-link-routers/

四、融资并购

法国漏洞赏金平台YesWeHack融资2800万美元用于助力提升客户满意度和网络安全创新。访问管理初创公司Pomerium在Benchmark领投的A轮融资中获得1375万美元,资金将用于扩大团队和产品供应。
1、法国漏洞赏金平台YesWeHack融资2800万美元
6月13日,据媒体报道,法国漏洞赏金平台YesWeHack完成2600万欧元C轮融资,由Wendel领投,累计融资超5200万美元。平台自2015年成立以来,已连接全球独立研究人员与500多个组织。新资金将用于AI投资、新解决方案开发和国际扩张。联合创始人Guillaume Vassault-Houlière强调,资金将助力提升客户满意度和网络安全创新。
资料来源:
http://hryqb.dwa5.sbs/FJpZ6Yu

2、访问管理初创公司Pomerium A轮融资中获得1375万美元
6月20日,据媒体报道,安全初创公司Pomerium完成1375万美元A轮融资,由Benchmark领投,贝恩资本等跟投。资金将用于扩大团队和产品供应,推出Pomerium Zero安全平台,提供无需VPN的web应用安全访问。Benchmark的Eric Vishria加入董事会。Pomerium以应用为中心,提供快速安全的访问解决方案,应对网络安全挑战。
资料来源:
http://44nsc.dwa5.sbs/JllTljB