工业网络安全“情报解码”-2022年第24期

工业网络安全“情报解码”-2022年第24期

时间:2022-06-11 作者:安帝科技

本期摘要

政策法规方面,《电力行业网络安全管理办法》《电力行业网络安全等级保护管理办法》公开征求修订意见。网信办修订《移动互联网应用程序信息服务管理规定》发布施行,旨在进一步依法监管移动互联网应用程序。加拿大将颁布《关键网络系统保护法》,要求金融、电信、能源和运输部门保护其关键网络系统。美国众议院通过《2022 年食品和药品修正案》,旨在加强医疗设备网络安全。

漏洞态势方面,6月14周二补丁日,西门子发布14条公告,修复59个漏洞,其中30个为超危或高危漏洞;施耐德发布了8项公告,修复24个漏洞,其中也不乏超危漏洞。InfiRay热像仪存在4个漏洞以及多个包含漏洞的过时软件组件,可导致工业流程被篡改。思科修复安全电子邮件和Web管理器中的超危漏洞,攻击者可利用该漏洞绕过身份验证。Citrix修复ADM中的两个漏洞,其中之一可被用于重置管理员口令。

安全事件方面,Fortinet发布了《2022年运营技术和网络安全状况报告》,数据显示OT安全系统存在广泛差距。两家德国能源供应商遭网络攻击,均表示其关键基础设施没有受到影响。Cloudflare缓解了峰值2600万RPS的DDoS攻击,这是迄今为止检测到的最大的HTTPS DDoS攻击。BeanVPN泄露2500万条用户记录,包括用户设备、IP地址等。

方案技术方面,施耐德和Claroty发布楼宇网络安全解决方案,提供风险和漏洞管理功能以及持续的威胁监控。Xage推出多层分布式解决方案,以防止跨关键基础设施站点的MFA轰炸。Koverse推出零信任数据平台4.0版本,提供数据级别的零信任和基于属性的访问控制(ABAC)。

融资并购方面,反威胁情报公司GreyNoise完成1500万美元A轮融资,进一步提高其威胁情报收集能力。微软收购网络威胁分析公司Miburo,旨在扩展其威胁检测和分析能力。

1. 《电力行业网络安全管理办法》《电力行业网络安全等级保护管理办法》公开征求修订意见
6月15号消息,国家能源局对《电力行业网络与信息安全管理办法》(国能安全〔2014〕317号)、《电力行业信息安全等级保护管理办法》(国能安全〔2014〕318号)进行修订,形成《电力行业网络安全管理办法(修订征求意见稿)》《电力行业网络安全等级保护管理办法(修订征求意见稿)》,现向社会公开征求意见。意见反馈截止日期为2022年7月13日。
资料来源:http://www.nea.gov.cn/2022-06/14/c_1310622577.htm

2.网信办修订《移动互联网应用程序信息服务管理规定》发布施行
国家互联网信息办公室6月14日发布新修订的《移动互联网应用程序信息服务管理规定》新《规定》自2022年8月1日起施行。新《规定》提出,应用程序提供者和应用程序分发平台应当遵守法律法规,大力弘扬社会主义核心价值观,坚持正确政治方向、舆论导向和价值取向,自觉遵守公序良俗,积极履行社会责任,维护清朗网络空间。
资料来源:https://mp.weixin.qq.com/s/H9hyLEH6IrCVFNp0E4zToQ

3.加拿大将颁布《关键网络系统保护法》
2022年6月14日,加拿大政府提出了C-26法案,即《网络安全法案》(ARCS)。ARCS将颁布《关键网络系统保护法》,该法案将建立一个监管框架,以加强对国家安全和公共安全至关重要的服务和系统的基线网络安全,并为政府提供应对新出现的网络威胁的新工具。它还将引入一项监管制度,要求金融、电信、能源和运输部门的指定运营商保护其关键网络系统。
资料来源:https://www.canada.ca/en/public-safety-canada/news/2022/06/protecting-critical-cyber-systems.html

4.美国众议院通过旨在加强医疗设备网络安全的立法
美国众议院已通过《2022 年食品和药品修正案》,在网络医疗设备的整个生命周期内制定适当的网络安全要求。该法案还要求任何向美国食品和药物管理局 (FDA)提交网络设备上市前申请的制造商应包括所有所需的详细信息。此举将有助于确保满足网络医疗设备的网络安全要求,并确定其适合证明安全性和有效性的合理保证。
资料来源:https://industrialcyber.co/regulation-standards-and-compliance/legislation-that-focuses-on-enhancing-medical-device-cybersecurity-passes-in-us-house/

5.西门子修复其产品中的59个漏洞
西门子6月14日发布14条公告,涵盖59个漏洞。其中30个为超危或高危漏洞,都会影响SINEMA Remote Connect Server,可能导致远程代码执行、身份验证绕过、权限提升、命令注入和信息泄露。在SCALANCE LPE9000本地处理引擎使用的第三方组件中发现超危漏洞。此外,已发现一些Apache HTTP服务器漏洞,也存在超危漏洞,会影响RUGGEDCOM、SINEC和SINEMA产品。
资料来源:https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-address-over-80-vulnerabilities

6.施耐德修复其产品中的24个漏洞
6月14日,施耐德电气发布了8项公告,以修复其产品中发现的24个漏洞。在IGSSSCADA产品的数据服务器模块中发现了七个可用于远程代码执行的超危漏洞。在C-Bus家庭自动化产品中发现了两个与身份验证相关的超危漏洞。通报了与StruxureWare Data Center Expert产品中的凭据和数据反序列化相关的四个超危漏洞。
资料来源:https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-address-over-80-vulnerabilities

7.InfiRay热像仪漏洞可导致工业流程被篡改
SEC Consult的研究人员在InfiRay热像仪中发现了4个漏洞以及多个包含漏洞的过时软件组件。第一个漏洞(CVE-2022-31210)与硬编码Web凭据有关。由于这些帐户无法停用且其密码无法更改,因此可以将它们视为后门帐户,可以为攻击者提供对摄像机Web界面的访问权限。还发现了经过身份验证的远程代码执行(CVE-2022-31208)、潜在的缓冲区溢出(CVE-2022-31209)、Telnet Root Shell无密码(CVE-2022-31211)。这些漏洞可能允许恶意黑客篡改工业流程,包括中断生产或进行导致产品质量下降的修改。
资料来源:https://www.securityweek.com/infiray-thermal-camera-flaws-can-allow-hackers-tamper-industrial-processes

8.思科修复安全电子邮件和Web管理器中的超危漏洞
思科6月15日推出了修复程序,以修复影响电子邮件安全设备(ESA)和安全电子邮件以及Web管理器的超危漏洞CVE-2022-20798,CVSS评分9.8。该漏洞源于受影响的设备使用轻量级目录访问协议(LDAP)进行不正确的外部身份验证检查,攻击者可以通过在受影响设备的登录页面上输入特定输入来利用此漏洞,可导致攻击者未经授权访问受影响设备的基于Web的管理界面。
资料来源:https://thehackernews.com/2022/06/critical-flaw-in-cisco-secure-email-and.html

9.Citrix修复ADM中的两个漏洞
Citrix6月14日修复了其Application Delivery Management(ADM)中的两个漏洞。第一个漏洞为CVE-2022-27511,被描述为不正确的访问控制问题,可能允许未经身份验证的远程攻击者破坏系统并触发管理员口令重置。同时被修复的还有CVE-2022-27512,被描述为与资源控制不当有关的问题,可能会导致ADM许可证服务暂时中断,从而阻止Citrix ADM颁发新许可证或更新现有许可证。
资料来源:https://www.securityweek.com/attackers-can-exploit-critical-citrix-adm-vulnerability-reset-admin-passwords

10.Fortinet报告显示,OT安全系统存在广泛差距
Fortinet发布了一份《2022年运营技术和网络安全状况报告》。Fortinet发现只有13%的受访者实现了对所有OT活动的集中可见性。此外,只有52%的组织可以从安全运营中心(SOC)跟踪所有OT活动。缺乏集中可见性会导致组织的OT安全风险并削弱安全态势。数据显示,工业控制环境仍然是网络犯罪分子的目标,在过去的12个月中,93%的运营技术(OT)组织经历了入侵,78%的组织遭受了三次以上的入侵。
资料来源:https://industrialcyber.co/reports/widespread-gaps-in-ot-security-systems-numerous-areas-begging-for-improvement-fortinet/

11.两家德国能源供应商遭网络攻击
两家德国能源供应商Entega和Mainzer Stadtwerke在6月12日遭到网络攻击。根据Entega的一条推文,该公司受到主要影响了公司网站和员工电子邮件帐户的攻击。Entega声称关键基础设施没有受到影响,也没有客户数据被泄露。Mainzer Stadtwerke表示,其关键基础设施没有受到损坏,预计不会出现供应故障。两家能源供应商都使用同一个IT解决方案供应商Count+Care,该公司的网站则遭到了攻击。
资料来源:https://cybernews.com/news/hackers-knock-out-two-german-energy-suppliers/

12.Cloudflare缓解了峰值2600万RPS的DDoS攻击
安全和Web性能服务提供商Cloudflare宣布,它缓解了峰值每秒2600万次请求(RPS)的分布式拒绝服务(DDoS)攻击,这是迄今为止检测到的最大的HTTPS DDoS攻击。该攻击是由大约5,000台设备的僵尸网络发起的,在大约30秒内,僵尸网络生成了超过2.12亿个HTTPS请求,这些请求来自121个国家/地区的1,500多个网络。根据Cloudflare的说法,这次攻击主要来自云服务提供商。
资料来源:https://www.bleepingcomputer.com/news/security/cloudflare-mitigates-record-breaking-https-ddos-attack/

13.BeanVPN泄露2500万条用户记录
据Cybernews的一项调查显示,免费VPN软件提供商BeanVPN 18.5GB连接日志的缓存被泄露,包含超过2500万条记录,其中包括用户设备和Play服务ID、连接时间戳、IP地址等。BeanVPN的隐私政策表示其不收集IP地址、传出VPN IP地址、连接时间戳或会话持续时间。Cybernews表示,它在例行检查期间使用ElasticSearch实例发现了该数据库,据报道该公司现已关闭。
资料来源:https://www.infosecurity-magazine.com/news/beanvpn-leaks-user-records/?&web_view=true

14.施耐德和Claroty发布楼宇网络安全解决方案
施耐德电气与Claroty合作推出了一种解决方案,可帮助客户保护其楼宇管理系统(BMS)并保护其人员、资产和运营。该Schneider-Claroty解决方案为设施管理人员提供了一个简单的、与供应商无关的解决方案,他们可以使用该解决方案满足建筑物所有者和资产管理人员的安全远程访问、资产库存、效率和其他相关要求。此外,自动化资产发现和网络映射解决方案有助于识别和编目系统资产,例如BMS、IoT、UPS和电力系统。
资料来源:https://industrialcyber.co/building-management-systems/schneider-electric-claroty-release-cybersecurity-solutions-for-buildings-solution-to-reduce-cyber-asset-risks/

15.Xage推出关键基础设施多层分布式解决方案
零信任安全公司Xage Security宣布了一种分布式多层多因素身份验证(MFA)产品,专为跨关键基础设施站点的实际操作而设计。Xage的多层MFA将零信任访问控制与深度防御身份验证策略相结合,以防止依赖人为错误和社会工程技术的攻击,例如MFA轰炸和需要多层身份验证的关键操作。该解决方案使关键基础设施基本上无法被MFA轰炸,使用纵深防御方法提供现实世界的零信任。
资料来源:https://industrialcyber.co/critical-infrastructure/xage-rolls-out-multi-layer-distributed-solution-to-prevent-mfa-bombing-across-critical-infrastructure-sites/

16.Koverse推出零信任数据平台4.0版本
Koverse推出了零信任数据平台(KDP)4.0版本。数据级别的零信任比应用级别的零信任提供更好的安全性;和基于属性的访问控制(ABAC)而不是基于角色的访问控制(RBAC)提供了对数据的更有效和更精细的访问。以上两方面均为其数据平台的关键元素。该公司声称,KDP使用ABAC提供对数据的零信任访问,同时也为所有类型的数据提供快速摄取、索引存储和安全性。
资料来源:https://www.securityweek.com/koverse-launches-zero-trust-data-platform

17.反威胁情报公司GreyNoise完成1500万美元A轮融资
反威胁情报公司GreyNoise完成1500万美元A轮融资。GreyNoise使用全球无源传感器网络收集、分析和标记扫描和攻击互联网的IP上的数据,从而使安全工具充满噪音。GreyNoise数据为安全团队提供了针对Internet上的大规模利用攻击的早期预警系统、可用于保护自己的实时IP阻止列表以及快速消除嘈杂警报的上下文。
资料来源:https://www.greynoise.io/press/greynoise-raises-15-million-in-series-a-funding-to-fight-cyber-distractions-and-mass-vulnerability-exploitation

18.微软收购网络威胁分析公司Miburo
微软6月14日宣布收购网络威胁分析和研究公司Miburo。Miburo提供分析、咨询和培训服务。该公司还帮助客户制定降低风险的策略,并为执法、情报、军事和网络安全专业人员提供现场和在线培训。收购完成后,Miburo将成为微软客户安全和信任部门的一部分。微软表示来自Miburo的新分析师将使微软能够扩展其威胁检测和分析能力,以应对新的网络攻击。
资料来源:https://www.securityweek.com/microsoft-acquire-cyber-threat-analysis-company-miburo