工业网络安全“情报解码”-2022年第41期

工业网络安全“情报解码”-2022年第41期

时间:2022-10-15 作者:安帝科技

本期摘要

政策法规方面,美国总统拜登发布加强美国关键基础设施网络安全的情况说明书,将建立一个全面的方法来“锁定美国的数字大门”。在多个机场网站遭到攻击之后,美国将对关键航空系统发布新的网络安全要求。美国陆军公布更新版《云计划》与《数据计划》。供应链网络攻击的增加促使英国NCSC发布新的网络安全指南。

漏洞态势方面,西门子修复其产品中的24个漏洞,其中最严重的PLC漏洞可用于破坏整个生产线。施耐德修复其产品中的12个漏洞,多数为高危远程代码执行漏洞。Horner PLC软件存在7个远程代码执行漏洞,均可以通过恶意字体文件利用。Fortinet身份验证绕过漏洞PoC已发布,已发现在野利用的实例。vm2沙盒存在超危漏洞可导致远程攻击者逃离沙箱并在主机上执行任意代码。

安全事件方面,某科技公司违反《数据安全法》,上海网信办予以行政处罚。14个美国机场网站遭DDoS攻击被瘫痪,内部系统并没有受到影响。英特尔确认Alder Lake BIOS源代码泄露,但并未暴露任何新的安全漏洞。黑客盗取Binance Bridge 1亿美元加密货币。

产品技术方面,Dragos、Sentar和Siemens Government Technologies共同推出国防关键OT网络和资产解决方案,用于实时OT监控和缓解。Portnox推出首个云原生物联网指纹识别和分析解决方案,以确保有效的零信任安全状态。

并购融资方面,OT零信任访问解决方案供应商Cyolo获IBM投资,帮助实现数字业务的身份验证现代化。
1、‍美国总统拜登发布加强美国关键基础设施网络安全情况说明书
10月11日,美国总统拜登在白宫发布加强美国关键基础设施网络安全的情况说明书,并宣布将“不懈关注”国家关键基础设施防御的改善,建立一个全面的方法来“锁定美国的数字大门”。“情况说明书”强调的六项重点工作包括:发布关键基础设施安全绩效考核指标;实施产品安全标签;大力培养国家网络安全人才并加强网络安全教育;扩大反勒索软件倡议联盟;推进联邦零信任架构实施战略;开发抗量子加密。
资料来源:https://www.whitehouse.gov/briefing-room/statements-releases/2022/10/11/fact-sheet-biden-harris-administration-delivers-on-strengthening-americas-cybersecurity/

2、美国将对关键航空系统发布新的网络安全要求
10月12日,在亲俄黑客组织KillNet的攻击导致14个美国机场网站瘫痪后第三天,美国运输安全管理局(TSA)表示,它计划对一些关键的航空系统发布新的网络安全要求。TSA指出,它之前“更新了其航空安全计划,要求机场和航空公司运营商指定一名网络安全协调员并报告网络安全事件,进行网络安全评估,并制定补救措施和事件响应计划。”
资料来源:https://www.reuters.com/world/us/us-issue-new-cybersecurity-requirements-critical-aviation-systems-2022-10-12/?&web_view=true

3.美国陆军公布更新版《云计划》与《数据计划》
10月11日,美国陆军首席信息官公布了陆军更新的云、数据和零信任计划以及新的10亿美元合同工具。《云计划》首次纳入实施零信任架构,提出“零信任传输”“云原生零信任能力”“零信任控制”3条工作路线。《数据计划》高度重视数据与数据分析,设定4个短期目标,以及包括更快地提供软件与决策在内的7个长期战略目标。
资料来源:https://governmentciomedia.com/army-cio-releases-updated-data-cloud-plans

4.英国发布新的网络安全指南
英国国家网络安全中心(NCSC)10月12日发布了新的网络安全指南,以帮助组织评估并获得对其供应链网络安全的信心。该指南是为了应对供应链攻击日益增长的趋势,并呼吁组织与供应商合作,找出弱点并提高弹性。NCSC网络安全指南描述了典型的供应商关系,以及组织通过供应链暴露于漏洞和网络攻击的方式,并定义了预期结果和关键步骤,以帮助评估供应链的网络安全方法。它补充了通篇引用的NCSC的供应链原则。
资料来源:https://industrialcyber.co/supply-chain-security/rise-in-supply-chain-cyber-attacks-pushes-uks-ncsc-to-issue-fresh-cybersecurity-guidance/

5.西门子修复其产品中的24个漏洞
10月11日,西门子发布了15条公告,涵盖了24个漏洞。其中最严重的漏洞CVE-2022-38465与未正确保护的全局加密密钥有关。威胁行为者可以对单个Siemens PLC发起离线攻击,并获得一个私钥,可以用来破坏整个产品线。然后,攻击者可以获得敏感的配置数据或发起中间人(MitM)攻击,使他们能够读取或修改PLC与其连接的HMI和工程工作站之间的数据。
资料来源:https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-release-19-new-security-advisories

6.施耐德修复其产品中的12个漏洞
10月11日,施耐德发布了四项新公告,修复了12个漏洞。在EcoStruxure Operator Terminal Expert和Pro-face BLUE产品中发现了六个高危任意代码执行漏洞。但利用这些漏洞需要本地用户权限并涉及加载恶意文件。EcoStruxure Power Operation和Power SCADA Operation软件存在一个漏洞,可能导致数据泄露、设置被更改或造成中断。EcoStruxure Panel Server Box受到可被用于任意写入和DoS攻击的中、高危漏洞的影响。SAGE RTU产品使用的第三方 ISaGRAF Workbench软件存在三个中危漏洞,可能导致任意代码执行或权限提升。
资料来源:https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-release-19-new-security-advisories

7.Horner PLC软件存在7个远程代码执行漏洞
研究人员在Horner Automation的 Cscape PLC软件中发现了7个高危远程代码执行漏洞。这些漏洞被描述为基于堆的缓冲区溢出、越界读/写以及与应用程序解析字体时用户提供的数据验证不当有关的未初始化指针问题。攻击者可以利用这些漏洞通过让用户打开特制字体文件来在当前进程的上下文中执行任意代码。这会增加攻击者让用户使用社会工程技术打开恶意文件的机会,可能会导致攻击者的代码以启动应用程序的用户的权限执行。
资料来源:https://www.securityweek.com/several-horner-plc-software-vulnerabilities-allow-code-execution-malicious-font-files

8.Fortinet身份验证绕过漏洞PoC已发布
影响Fortinet FortiOS、FortiProxy和FortiSwitchManager的超危身份验证绕过漏洞CVE-2022-40684(CVSS评分9.6)的PoC已被公布,Fortinet建议用户立即更新补丁。该漏洞可能允许远程攻击者通过特制的HTTP(S)请求在管理界面上执行恶意操作,包括更改网络配置、添加恶意用户和拦截网络流量。Fortinet警告称,目前已经发现到在野积极利用该漏洞的实例。
资料来源:https://thehackernews.com/2022/10/poc-exploit-released-for-critical.html

9.vm2沙盒库存在远程代码执行漏洞
vm2 JavaScript沙盒模块中存在一个超危漏洞CVE-2022-36067,代号为Sandbreak,CVSS评分10.0,威胁行为者可以利用其绕过沙箱保护,在运行沙箱的主机上获得远程代码执行权。vm2 是一个流行的Node库,用于运行带有被列入白名单的内置模块的不受信任的代码。它也是下载量最大的软件之一,每周下载量接近 350 万次。鉴于该漏洞的严重性,建议用户尽快更新到最新版本,以减轻可能的威胁。
资料来源:https://thehackernews.com/2022/10/researchers-detail-critical-rce-flaw.html

10.某科技公司违反《数据安全法》被行政处罚
近期,上海网信办发现,某科技公司在处理政务类数据时违规操作,且未采取相应的技术措施和其他必要措施保障数据安全,导致数据存在泄露风险。上海网信办依据《中华人民共和国数据安全法》对该公司责令改正,给予警告,并处以人民币五万元罚款的行政处罚。上海网信办相关负责人表示,数据安全关乎人民群众切身利益,关乎国家安全和社会稳定,上海网信办将针对数据安全保护义务履行不力,造成重要数据泄露风险的违法违规行为加强监督检查和执法,进一步营造安全稳定的网络环境。
资料来源:https://mp.weixin.qq.com/s/gViJnRho08RsyguMQ5x-WA

11.14个美国机场网站遭DDoS攻击被瘫痪
10月10日,14个面向公众的美国机场网站无法访问,一个亲俄罗斯的黑客组织KillNet声称对这次袭击负责。KillNet使用DDoS攻击通过大量流量使网站脱机,机场表示这些网站用于提供航班和服务信息,没有内部机场系统受到损害,也没有运营中断。机场的信息技术团队已恢复所有服务并正在调查原因。
资料来源:https://industrialcyber.co/critical-infrastructure/pro-russian-killnet-hackers-claim-to-have-brought-down-multiple-us-airport-websites-using-ddos/

12.英特尔确认Alder Lake BIOS源代码泄露
芯片制造商英特尔已证实,与其Alder Lake CPU相关的专有源代码已被泄露,此前未知第三方在4chan和GitHub上发布了该源代码。发布的内容包含Alder Lake的统一可扩展固件接口(UEFI )代码,还包括大量文件和工具,其中一些似乎来自固件供应商Insyde Software。英特尔表示,此次泄漏并未暴露任何新的安全漏洞。
资料来源:https://thehackernews.com/2022/10/intel-confirms-leak-of-alder-lake-bios.html

13.黑客盗取Bninance Bridge1亿美元加密货币
球最大的加密货币交易所Binance一次攻击中损失了至少1亿美元。黑客利用了BSC Token Hub中的一个漏洞,影响了BNB信标链(BEP2)和BNB智能链(BEP20或BSC)之间的本地跨链桥,该漏洞是通过将低级别的证明复杂地伪造到公共库中来实现。据说没有用户资金受到影响,因为BSC Token Hub桥中的漏洞使未知的威胁参与者攻击者能够以未经授权的方式铸造新的BNB代币。
资料来源:https://thehackernews.com/2022/10/hackers-steal-100-million.html

14.Dragos、Sentar和Siemens Government Technologies共同推出国防关键OT网络和资产解决方案
Dragos、Sentar和Siemens Government Technologies共同开发了一种国防关键OT网络和资产解决方案,以足够的粒度为国防关键任务关键资产在网络空间中与任务相关的地形进行完整映射,以实现任务线程分析和态势感知。为了提供OT监控和缓解,该解决方案侧重于四个关键层,包括网络任务线程分析、强化和安全控制系统、基于MOSAICS的持续监控以及实时网络安全检测和缓解。
资料来源:https://www.dragos.com/blog/industry-news/achieving-real-time-ot-monitoring-and-mitigation-with-dragos-sentar-and-siemens-government-technologies/

15.Portnox推出首个云原生物联网指纹识别和分析解决方案
Portnox 10月12日宣布推出首款云原生IoT安全解决方案,以帮助中型市场和企业解决物联网安全威胁不断增加。Portnox的新IoT指纹识别和分析功能使组织能够轻松准确地识别、验证、授权和分段其网络中的IoT设备,以确保有效的零信任安全状态。提供大量附加功能,例如基于指纹的自动策略映射和利用指纹数据来阻止潜在的MAC地址欺骗风险。还可以使用指纹信息来提供EoL/EoS日期,并列出端点上的潜在安全漏洞,以增强网络访问和补救策略。
资料来源:https://www.portnox.com/news/portnox-debuts-first-cloud-iot-fingerprinting-solution/

16.OT零信任访问解决方案供应商Cyolo获IBM投资
Portnox 10月12日宣布推出首款云原生IoT安全解决方案,以帮助中型市场和企业解决物联网安全威胁不断增加。Portnox的新IoT指纹识别和分析功能使组织能够轻松准确地识别、验证、授权和分段其网络中的IoT设备,以确保有效的零信任安全状态。提供大量附加功能,例如基于指纹的自动策略映射和利用指纹数据来阻止潜在的MAC地址欺骗风险。还可以使用指纹信息来提供EoL/EoS日期,并列出端点上的潜在安全漏洞,以增强网络访问和补救策略。
资料来源:https://cyolo.io/cyolo-receives-investment-from-ibm-ventures-for-zero-trust-secure-access-platform/