工业网络安全“情报解码”-2022年第47期
时间:2022-11-26 作者:安帝科技
本期摘要
政策法规方面,《工业互联网密码支撑标准体系建设指南》正式发布,明确了工业互联网密码支撑标准体系建设思路及目标。美国CISA更新《基础设施弹性规划框架》,引入了关键基础设施识别数据集,可用于查找关于关键基础设施资产的公开信息。美国国防部发布零信任网络战略和路线图,可减少攻击面,同时实现风险管理和有效的数据共享。荷兰发布国家网络安全战略,旨在为荷兰提供数字保护。
漏洞态势方面,OT、IoT设备中的BMC固件存在超危漏洞,包括五个可被利用以执行任意代码的超危漏洞。Boa Web服务器中的漏洞被用于破坏能源组织,数百万设备可能面临供应链风险。ProxyNotShell Microsoft Exchange漏洞PoC已公布,攻击者可利用其在服务器上执行任意代码。
安全事件方面,美国政府问责局(GAO)在一份新报告中指出,应立即解决海上石油和天然气基础设施面临网络攻击的重大风险。俄罗斯网络犯罪团伙今年窃取了超过5000万个口令,涉及加密货币钱包、Steam、Roblox、亚马逊和PayPal账户等。Hive勒索软件攻击者从全球1,300多家公司勒索1亿美元,针对广泛的企业和关键基础设施部门。继Cobalt Strike之后,Nighthawk可能成为黑客新的后渗透工具。
产品技术方面,SecurityBridge发布新的补丁管理功能,实现一键式自动化打补丁。Noname Security推出Recon以保护API和关键资产免受网络攻击。
并购融资方面,SASE安全厂商亿格云获近亿元A轮融资,致力为企业打造零信任的网络安全解决方案。
1.《工业互联网密码支撑标准体系建设指南》正式发布
工业和信息化部商用密码应用推进标准工作组现正式发布《工业互联网密码支撑标准体系建设指南》。《工业互联网密码支撑标准体系建设指南》明确了工业互联网密码支撑标准体系建设思路及目标,提出密码应用共性、设备密码应用、控制系统密码应用、网络密码应用、边缘计算密码应用、平台密码应用、数据密码应用、密码行业应用、密码应用管理与支撑等九个方面的标准建设内容,对加快指导研制工业互联网密码应用标准,强化工业互联网安全防护能力,推动工业互联网产业高质量发展具有重要支撑作用。
资料来源:https://mp.weixin.qq.com/s/XBSeFzjiKqjwQfguwwqouQ
2.美国CISA更新《基础设施弹性规划框架》
11月23日,美国网络安全与基础设施安全局(CISA)针对全国基础设施发布更新版指导文件《基础设施弹性规划框架》。新版《框架》可用于支持资本改善计划、风险缓解计划和其他规划文件以及资金申请,并引入了新工具关键基础设施识别数据集,可用于查找关于关键基础设施资产的公开信息。
资料来源:https://www.securityweek.com/cisa-updates-infrastructure-resilience-planning-framework
3.美国国防部发布零信任网络战略和路线图
11月22日,美国国防部正式公布了其零信任战略和路线图,该战略旨在建立实现跨系统和网络的零信任采用所必需的参数和目标级别。该零信任战略定义了国防部必须如何支持和加速向零信任架构和框架转变的自适应方法,该架构和框架在联合信息环境内保护国防部信息企业。国防部零信任网络安全框架将主要致力于减少攻击面,实现风险管理,并在伙伴关系环境中提供有效的数据共享,除了遏制和补救对手活动。
资料来源:https://industrialcyber.co/zero-trust/new-dod-zero-trust-strategy-to-reduce-attack-surface-while-enabling-risk-management-and-effective-data-sharing/
4.美国联邦通信委员会发布报告网络安全事件要求
美国联邦通信委员会(FCC)11月23日在联邦公报上发布了一份通知,要求紧急警报系统(EAS)参与者向委员会报告其设备、通信系统和服务受到的损害。该通知还要求EAS参与者在知道或应该知道事件发生的72小时内,通过网络中断报告系统(NORS)向FCC报告其EAS设备、通信系统或服务被未经授权访问的任何事件,并提供有关事件的详细信息,并要求移动设备只能显示来自有效基站的无线紧急警报(WEA)警报。
资料来源:https://industrialcyber.co/regulation-standards-and-compliance/fcc-proposes-requirements-for-emergency-alert-system-participants-to-report-cybersecurity-incidents/
5.荷兰发布国家网络安全战略
荷兰政府制定了一项新的国家网络安全战略,旨在为荷兰提供数字保护。新的网络安全战略描述了荷兰政府的愿景,即公民和企业可以充分受益于数字社会而无需担心网络风险。该战略由四条策略支撑。一是监督政府、企业和民间社会组织的数字弹性。二侧重于数字产品和服务的提供者和购买者以及知识开发和创新的丰富。三侧重于提高数字威胁的可见性。四侧重于技术背后的人和公民的数字弹性。
资料来源:https://www.computerweekly.com/news/252527557/Dutch-national-cyber-security-strategy-aims-to-protect-digital-society?&web_view=true
6.OT、IoT设备中的BMC固件存在超危漏洞
Nozomi Networks研究人员在用于OT和IoT设备的底板管理控制器(BMC)固件中发现了13个漏洞,其中包括五个可被利用以执行任意代码的超危漏洞。Nozomi详细介绍了其中的两个,一个中危访问控制漏洞和一个超危命令注入漏洞,未经身份验证的攻击者可将其链接起来,以在BMC上以root权限实现远程代码执行。
资料来源:https://www.securityweek.com/bmc-firmware-vulnerabilities-expose-ot-iot-devices-remote-attacks
7.Boa Web服务器中的漏洞被用于破坏能源组织
微软发现自2005年以来停用的Boa Web服务器的安全漏洞已被用于针对和危害能源部门的组织。Boa是用于登录和访问IoT设备管理控制台的组件之一。微软表示,Boa服务器在物联网设备中普遍存在,主要是因为Web服务器包含在流行的软件开发工具包(SDK)中,全球单周内在线检测到超过100万个暴露于互联网的Boa服务器组件。Boa服务器受到多个已知漏洞的影响,包括任意文件访问(CVE-2017-9833)和信息泄露(CVE-2021-33558)。
资料来源:https://www.bleepingcomputer.com/news/security/hackers-breach-energy-orgs-via-bugs-in-discontinued-web-server/
8.ProxyNotShell Microsoft Exchange漏洞PoC已公布
针对Microsoft Exchange中两个被积极利用的高危漏洞(统称为ProxyNotShell)的PoC已在线发布。这两个漏洞被跟踪为CVE-2022-41082和CVE-2022-41040,影响Microsoft Exchange Server 2013、2016和2019,并允许攻击者提升权限以在系统上下文中运行PowerShell,并在易受攻击的服务器上获得任意或远程代码执行。微软已发布安全更新来解决这两个安全漏洞。
资料来源:https://securityaffairs.co/wordpress/138768/hacking/proxynotshell-microsoft-exchange-poc.html?web_view=true
9.macOS沙箱逃逸漏洞PoC已公布
SecuRing的研究员发布了macOS沙箱逃逸漏洞的技术细节和PoC,该漏洞被跟踪为 CVE-2022-26696(CVSS 评分为7.8)。据ZDI称,此漏洞允许远程攻击者逃离受影响的Apple macOS安装上的沙箱。攻击者必须首先获得在目标系统上执行低权限代码的能力才能利用此漏洞。具体缺陷存在于LaunchServices组件XPC消息的处理中。精心制作的消息可以触发特权操作的执行。攻击者可以利用此漏洞提升权限并在当前用户的上下文中执行任意代码。
资料来源:https://securityaffairs.co/wordpress/138815/hacking/macos-sandbox-escape-flaw.html
10.美国GAO要求立即解决海上石油和天然气基础设施面临网络攻击的重大风险
美国政府问责局(GAO)在一份新报告中指出,内政部应立即解决海上石油和天然气基础设施面临网络攻击的重大风险。使用缺乏适当网络安全保护的遗留系统可能在海上石油和天然气OT系统中造成漏洞。根据对有关海上石油和天然气基础设施网络安全风险的联邦和行业报告的审查,以及相关BSEE文件和对官员的采访,GAO建议BSEE应立即制定和实施一项战略来解决海上基础设施风险。
资料来源:https://www.securityweek.com/us-offshore-oil-and-gas-infrastructure-significant-risk-cyberattacks
11.俄罗斯网络犯罪团伙今年窃取了超过5000万个口令
从2022年1月到2022年7月,至少有34个不同的俄语网络犯罪集团使用Raccoon和Redline等信息窃取恶意软件,窃取了50,350,000个帐户口令。被盗凭证用于加密货币钱包、Steam、Roblox、亚马逊和PayPal账户,以及支付卡记录。根据 Group-IB的一份报告,其分析师一直在全球范围内跟踪这些操作,大多数受害者位于美国、德国、印度、巴西和印度尼西亚,但恶意操作针对111个国家/地区。
资料来源:https://www.bleepingcomputer.com/news/security/russian-cybergangs-stole-over-50-million-passwords-this-year/
12.Hive勒索软件攻击者从全球1,300多家公司勒索1亿美元
在勒索软件组织LockBit公布了与Thales有关的数据后,Thales于11月11日发布公告,表明IT系统没有遭受入侵。Thales通过合作伙伴在专用协作门户上的用户帐户确认了一个泄露途径,这导致了有限信息的泄露。Thales表示,到目前为止,对集团的运营没有影响,同时将与其合作伙伴密切合作,并提供所有必要的技术支持和资源,以尽量减少对相关客户和利益相关者的任何潜在影响。
资料来源:https://thehackernews.com/2022/11/hive-ransomware-attackers-extorted-100.html
13继Cobalt Strike之后,Nighthawk可能成为黑客新的后渗透工具
一种名为Nighthawk的新兴且合法的渗透测试框架可能会因其类似Cobalt Strike的功能而引起威胁行为者的注意。企业安全公司Proofpoint表示,它在2022年9月中旬检测到一个红队使用了该软件,并发送了许多使用通用主题行的测试电子邮件。上述电子邮件消息包含诱杀URL,单击后会将收件人重定向到包含Nighthawk加载程序的ISO映像文件。混淆加载程序带有加密的Nighthawk有效负载,这是一个基于C++的DLL,它使用一组精心设计的功能来对抗检测。
资料来源:https://www.welivesecurity.com/2022/11/14/eset-apt-activity-report-t2-2022/
14.SecurityBridge发布新的一键式SAP安全补丁自动化
SAP安全提供商SecurityBridge宣布为其SAP安全平台提供新的SecurityBridge补丁管理功能。借助这一最新的增强功能,SecurityBridge客户只需单击一下即可实现SAP补丁管理过程的自动化。SecurityBridge补丁管理功能仅自动识别适用的SAP安全补丁,按严重程度对其进行评级,并使用户能够一键安装。此外,SAP用户将自动收到有关高严重性漏洞的通知,以便他们可以快速保护其关键任务系统。
资料来源:https://finance.yahoo.com/news/securitybridge-releases-one-click-sap-182500017.html
15.Noname Security推出Recon以保护API和关键资产免受网络攻击
NonameSecurity宣布推出NonameRecon,此API安全平台是唯一涵盖整个API安全领域的解决方案,从发现到状态管理、运行时保护和主动测试。它通过为安全团队提供最简单、最快速、最灵活的工具来保护他们的API来提高他们的效率。借助Noname,安全团队可以对潜在漏洞进行深入调查,根据可操作的情报修复问题,阻止攻击,并优化流程的每一步。
资料来源:https://nonamesecurity.com/press/noname-security-launches-recon-to-protect-apis-and-critical-assets-from-cyber-attacks
16.SASE安全厂商亿格云获近亿元A轮融资
亿格云是一家零信任企业网络安全解决方案提供商,公司主要为企业提供更简单、安全、稳定的安全办公一体化解决方案,致力为企业打造零信任的网络安全解决方案。亿格云科技自主研发的零信任SASE产品——亿格云枢平台,提供零信任安全访问、终端安全防护(XDR)、数据安全防护(XDLP)、全球应用加速的一站式办公安全解决方案。近日完成A轮近亿元融资。
资料来源:https://news.pedaily.cn/202211/504227.shtml