工业网络安全“情报解码”-2022年第14期
时间:2022-04-09 作者:安帝科技
本期摘要
政策法规方面,美国宣布成立第一个网络空间和数字政策局,推进保护互联网基础设施的完整性和安全性。欧洲议会通过《数据治理法案》,促进公共数据再利用、数据共享新规则。澳大利亚制定《国家数据安全行动计划》,将致力于保护公民的数据免受侵害。南非-荷兰发布网络政策对话联合声明,双方代表团均对此次网络政策对话表示赞赏。
漏洞态势方面,日本自动化巨头横河电机修复了其控制系统产品中的一系列漏洞,这些漏洞可用于破坏或操纵物理过程。VMware修复Workspace ONE Access中的五个超危漏洞,其中三个漏洞CVSS评分高达9.8。SonarSource在PEAR PHP存储库中发现了一个存在了15年之久的漏洞,该漏洞可能导致供应链攻击。金融技术平台FinTech存在SSRF漏洞,数百万用户面临资金被盗的风险。
安全事件方面,美国政府问责局(GAO)发布的一份新报告确定,美国需要采取行动改善关键基础设施的安全性。根据工业网络安全公司Dragos的一份新报告,恶意网络行为者对欧洲的工业基础设施构成严重威胁。美国CESER发布SLTT报告,强调了2021年的能源安全、网络安全、应急响应活动。全球最大的风力涡轮机制造商之一Nordex Group遭网络攻击,以迫使其关闭了多个IT系统。工业零部件巨头Parker Hannifin超5G数据被泄露。
融资并购方面,Airgap Networks融资1300万美元,其“勒索软件终止开关”能够在不影响生产力的前提下阻止恶意软件传播。API IAM安全提供商Corsha融资1200万美元,用于将多因素身份验证(MFA)引入机器对机器API流量。
1、美国宣布成立第一个网络空间和数字政策局
美国国务院4月4日宣布成立其第一个网络空间和数字政策局(CDP)。网络空间和数字政策局领导和协调国防部在网络空间和数字外交方面的工作,以鼓励负责任的国家网络空间行为,并推进保护互联网基础设施的完整性和安全性、服务于美国利益、促进竞争力和维护民主价值观。CDP将包括三个不同的政策办公室,包括国际网络空间安全、国际信息和通信政策以及数字自由。
资料来源:https://fcw.com/security/2022/04/state-department-announces-first-bureau-cyberspace-and-digital-policy/363998/
2.欧洲议会通过《数据治理法案》
2022年4月6日,欧洲议会通过《数据治理法案》。《数据治理法案》旨在促进整个欧盟内部和跨部门之间的数据共享,增强公民和公司对其数据的控制和信任,并为主要技术平台的数据处理实践提供一种新的欧洲模式,帮助释放人工智能的潜力。通过立法,欧盟将建立关于数据市场中立性的新规则,促进公共数据(例如健康、农业或环境数据)的再利用,并在战略领域创建共同的欧洲数据空间。
资料来源:https://www.europarl.europa.eu/news/en/press-room/20220401IPR26534/data-governance-parliament-approves-new-rules-boosting-intra-eu-data-sharing
3.澳大利亚制定《国家数据安全行动计划》
4月6日,澳大利亚内政部发布了一份讨论文件,为制定《国家数据安全行动计划》提供磋商。《行动计划》是有关信任和保护的重要措施。为了实现澳大利亚国家数据战略,《行动计划》采取分阶段的方法,加强和协调澳大利亚政府、州和地区政府以及更广泛经济的数据安全政策制定。《行动计划》将致力于保护公民的数据(收集、处理和存储在数字系统和网络上的信息)免受侵害。
资料来源:https://www.zdnet.com/article/australia-to-develop-a-data-security-framework/
4.南非-荷兰发布网络政策对话联合声明
2022年4月4日和5日,南非和荷兰在比勒陀利亚举行双边网络政策对话,就国际网络安全和网络犯罪进行了磋商。对话促进了两国在联合国网络空间负责的国家行为进程、改善数字化、提高网络能力建设能力、增强国家乃至国际网络安全等领域的密切协作和伙伴关系,提高了企业和社区的数字复原力,并预防和打击网络犯罪。南非和荷兰同意就提高意识、加强数字弹性、事件响应和技能发展等方面的联合举措进一步合作。
资料来源:https://www.netherlandsandyou.nl/latest-news/news/2022/04/07/joint-statement-south-africa-netherlands-cyber-policy-dialogue
5.横河电机修复控制系统产品中的高危漏洞
工业网络安全公司Dragos的研究人员在横河电机的CENTUMVP分布式控制系统(DCS)和用于CENTUM系统的Exaopc OPC服务器中发现了10个漏洞。这些漏洞与硬编码凭据、路径遍历、命令注入、DLL劫持、不适当的访问权限和不受控制的资源消耗有关,其中部分漏洞属于高危漏洞,可被利用来访问数据、抑制警报、覆盖或删除文件、执行任意命令、崩溃服务器和提升权限。
资料来源:https://www.securityweek.com/yokogawa-patches-flaws-allowing-disruption-manipulation-physical-processes
6.VMware修复Workspace ONE Access中的五个超危漏洞
VMware修复了影响Workspace ONE Access的5个超危漏洞。Workspace ONE Access的OAuth2ACS框架中的两个身份验证绕过漏洞CVE-2022-22955和CVE-2022-22956,CVSS评分为9.8,攻击者可通过身份验证框架中暴露的端点执行任何操作。CVE-2022-22954的CVSS评分也为9.8,具有网络访问权限的攻击者可以利用其触发服务器端模板注入,进而完成远程代码执行。最后两个远程代码执行漏洞为CVE-2022-22957和CVE-2022-22958,CVSS评分9.1,需要管理权限才能成功利用。
资料来源:https://www.securityweek.com/vmware-patches-five-critical-vulnerabilities-workspace-one-access
7.研究人员在PEAR PHP存储库中发现了15年前的漏洞
SonarSource的研究人员在PEAR(PHP扩展和应用程序存储库)中发现了两个存在15年之久的安全漏洞。PEAR是可重用PHP组件的框架和分发系统。PHP供应链的核心组件中的漏洞可能很容易被低技能的威胁行为者利用来造成重大破坏。利用第一个漏洞的攻击者可以接管任何开发人员账户并发布恶意版本,而第二个漏洞将允许攻击者获得对中央PEAR服务器的持久访问权限。
资料来源:https://securityaffairs.co/wordpress/129797/hacking/pear-php-critical-flaws.html
8.金融技术平台FinTech存在SSRF漏洞
Salt Security的研究人员在大型金融技术平台FinTech的API中发现了一个SSRF漏洞。研究人员表示,该平台已经积极集成到许多银行的系统中,因此拥有数百万活跃的日常用户。如果该漏洞被利用,攻击者可能会通过使用该平台获得对银行系统的管理访问权限来执行各种恶意活动,包括窃取用户个人数据,访问银行详细信息和金融交易,并将未经授权的资金转移到攻击者自己的银行账户中。
资料来源:https://threatpost.com/ssrf-flaw-fintech-bank-accounts/179247/?web_view=true
9.美国GAO要求加强关键基础设施的安全工作
美国政府问责局(GAO)发布的一份新报告确定,美国需要采取行动改善关键基础设施的安全性。GAO报告指出,国土安全部需要加强其在确保关键基础设施部门网络安全和完成CISA转型活动方面的作用。此外,国土安全部需要应对选定的关键基础设施利益相关者确定的挑战,包括利益相关者持续参与制定相关指南。因此,GAO向国土安全部提出了11项建议,该部门打算在2022年底之前实施这些建议。
资料来源:https://industrialcyber.co/threats-attacks/dhs-needs-to-work-on-strengthening-critical-infrastructure-security-efforts-gao-reveals/
10.Dragos报告显示欧洲工业基础设施面临网络威胁
根据工业网络安全公司Dragos的一份新报告,恶意网络行为者对欧洲的工业基础设施构成严重威胁,已知至少有10个黑客组织以欧洲组织为目标。在过去几年中,观察到针对具有工业控制系统(ICS)或其他运营技术(OT)环境的组织的威胁数量显著增加。除了高级持续性威胁(APT),欧洲的工业部门也经常成为以利润为导向的网络犯罪集团的目标。在Dragos跟踪的大约3,200个OT特定漏洞中,有近500个直接影响欧洲的组织,其中100多个可被利用导致失去视野和/或失去控制。
资料来源:https://www.securityweek.com/europe-warned-about-cyber-threat-industrial-infrastructure
11.CESER的SLTT报告强调了2021年的能源安全、网络安全、应急响应活动
美国能源部(DOE)网络安全、能源安全和应急响应办公室(CESER)发布了2021年SLTT报告,其中涵盖了国家能源安全和弹性规划的各种资源和举措、应急准备方面的进展、并加强协调。州、地方、部落和地区(SLTT)年度回顾报告显示,利益相关者在去年全年还参与了各种活动,以加强全国能源基础设施的安全性。SLTT报告指出,关键基础设施的网络安全,特别是能源领域的网络安全,是一项重要且复杂的国家安全挑战。一次重大的网络攻击可能会产生广泛的国家安全和经济影响。
资料来源:https://industrialcyber.co/threats-attacks/cesers-sltt-report-highlights-energy-security-cybersecurity-emergency-response-activities-in-2021/
12.风力涡轮机巨头Nordex关闭IT系统以应对网络攻击
全球最大的风力涡轮机制造商之一Nordex Group成为网络攻击的受害者,该攻击迫使其关闭了多个系统。根据Nordex的说法,网络攻击是在早期发现的,但作为预防措施,该公司决定关闭“跨多个地点和业务部门的IT系统”。该公司表示已经立即成立了由内部和外部安全专家组成的事件响应小组,以遏制问题并防止进一步传播,并评估潜在风险的程度。
资料来源:https://www.securityweek.com/wind-turbine-giant-nordex-shuts-down-it-systems-response-cyberattack
13.工业零部件巨头Parker Hannifin超5G数据被泄露
勒索软件团伙Conti泄露了从美国工业零部件巨头Parker Hannifin窃取到的数据。Parker Hannifin专注于运动和控制技术,为航空航天、移动和工业领域的组织提供精密工程解决方案。该公司在3月14日检测到其系统遭到破坏,已确认某些数据已被访问和获取,包括员工的个人信息。该黑客组织发布了超过5Gb的存档文件,而这可能只是他们获得的全部数据的一小部分——Conti网站表明只有3%的被盗数据被泄露。
资料来源:https://www.securityweek.com/ransomware-gang-leaks-files-stolen-industrial-giant-parker-hannifin
14.Airgap Networks融资1300万美元
Airgap Networks宣布完成1300万美元A轮融资。Airgap开发了其无代理通用分段解决方案,可以通过提供可见性和管理功能来保护IT、OT和云系统。该平台旨在提供零信任、安全访问、勒索软件保护、网络访问控制和事件响应功能。该公司声称其“勒索软件终止开关”能够对勒索软件攻击进行“外科手术式响应”,阻止恶意软件传播而不影响生产力,因为它不需要关闭网络基础设施来遏制威胁。
资料来源:https://www.securityweek.com/airgap-networks-raises-13-million-ransomware-kill-switch?&web_view=true
15.API IAM安全提供商Corsha融资1200万美元
API安全公司Corsha完成1200万美元A轮融资。该公司位于API和零信任的交叉点,可以在自动化世界中提供零信任的MFA和IAM方面。虽然该技术可能具有更广泛的应用,但该公司仍坚定地专注于机器对机器的IAM问题。在保持公司主要职权范围内的同时,可以扩展IT/OT通信空间。
资料来源:https://www.securityweek.com/api-iam-security-provider-corsha-raises-12-million?&web_view=true