工业网络安全“情报解码”-2022年第51期
时间:2022-12-24 作者:安帝科技
本期摘要
政策法规方面,全国信息安全标准化技术委员会秘书处发布《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》,以支撑个人信息保护认证实施。DHS和CISA发布一项技术规则,以改进和现代化PCII计划的各个方面。日本政府正式发布新版《国家安全保障战略》,为包括网络在内的国家安全政策领域提供了战略指导。
漏洞态势方面,海康威视修复了其无线网桥产品中的访问控制漏洞,攻击者成功利用此漏洞可获取设备的管理员权限。安全研究人员披露了Ghost CMS中的身份验证绕过漏洞和信息枚举漏洞。微软披露了MacOS中的安全机制绕过漏洞,该漏洞允许绕过Gatekeeper安全机制执行恶意软件。研究人员披露了Passwordstate中的多个安全漏洞,通过将各个漏洞链接起来可以在Passwordstate主机上执行任意命令。
安全事件方面,ThyssenKrupp声称其材料服务部和公司总部遭到网络攻击,该公司发言人表示没有数据泄露的迹象。EPM遭受勒索攻击,公司运营和在线服务暂时中断。Okta表示其私人GitHub存储库遭到黑客攻击,攻击者已复制了Okta代码存储库。Justified Accord 23活动将于2023年2月中旬开始,届时美国军方将与非洲军队就与数字领域相关的事务展开合作。TrendMicro发布Raspberry Robin恶意软件分析报告,大多数受害者为政府机构或电信组织。
产品技术方面,研究人员开发了一种基于深度学习的恶意软件检测和分类系统,以缓解IIoT安全风险。Simeio宣布与SailPoint建立合作伙伴关系,旨在通过企业身份治理控制来增强公司的身份安全能力和保护措施。Dasera发布了Wind Cave 6.0版本,以更快、更准确地查明配置、数据和用户风险。
并购融资方面,CyberCube完成5000万美元融资,以推动CyberCube产品和解决方案的商业开发。
1.《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》发布
12月16日,全国信息安全标准化技术委员会秘书处发布《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》,以支撑个人信息保护认证实施,指导个人信息处理者规范开展个人信息跨境处理活动。《实践指南》规定了跨境处理个人信息应遵循的基本原则、个人信息处理者和境外接收方在个人信息跨境处理活动的个人信息保护、个人信息主体权益保障等方面内容。
资料来源:https://www.tc260.org.cn/front/postDetail.html?id=20221216161852
2.DHS、CISA发布更新受保护的关键基础设施信息计划的技术规则
12月21日,美国国土安全部(DHS)和网络安全和基础设施安全局(CISA)发布了一项技术规则,以改进和现代化受保护的关键基础设施信息(PCII)计划的各个方面,该项目为提交给国土安全部的网络和物理基础设施信息提供法律保护。PCII计划提供的保护加强了基础设施所有者、运营商和政府之间的自愿共享CII,同时为国土安全合作伙伴提供信心,使其与政府共享信息不会将敏感或专有数据暴露给公众披露。
资料来源:https://g.yam.com/9Zcyl
3.日本政府正式发布新版《国家安全保障战略》
12月16日,日本政府正式发布新版《国家安全保障战略》,为包括网络在内的国家安全政策领域提供了战略指导。《国家安全保障战略》提出,将通过“提升网络安全领域应对能力”来“加强全方位无缝保护日本的力度”;为保障网络空间的安全稳定使用,特别是国家和关键基础设施安全,网络安全领域的响应能力应达到或超过西方领先国家水平。
资料来源:https://www.secrss.com/articles/50161
4.海康威视修复无线网桥中的访问控制漏洞
12月16日,海康威视发布安全公告,修复了其无线网桥产品中的访问控制漏洞。该漏洞跟踪为CVE-2022-28173,CVSS评分9.1,攻击者可通过构造特制的报文发送到受影响设备,成功利用此漏洞可获取设备的管理员权限。用户可通过海康威视官网获取补丁/更新版本。
资料来源:https://www.hikvision.com/cn/support/CybersecurityCenter/SecurityNotices/20221216/
5.Ghost CMS中存在安全漏洞
12月21日,安全研究人员披露了Ghost CMS中的身份验证绕过漏洞和信息枚举漏洞。身份验证绕过漏洞跟踪为CVE-2022-41654,CVSS评分9.6,允许非特权用户对时事通讯设置进行未经授权的修改。信息枚举漏洞跟踪为CVE-2022-41697,CVSS评分5.3,该漏洞存在于Ghost CMS的登录功能中,可导致敏感信息泄露。
资料来源:https://g.yam.com/wvwLS
6.微软披露Gatekeeper绕过漏洞
12月19日,微软披露了MacOS中的安全机制绕过漏洞,该漏洞允许绕过Gatekeeper安全机制执行恶意软件。微软将该漏洞称之为“Achilles”,跟踪为CVE-2022-42821,CVSS评分5.3。Achilles漏洞可通过特制的payload利用逻辑问题来设置限制性ACL权限,从而阻止浏览器和互联网下载器为下载的ZIP文件存档的payload设置com.apple.quarantine属性。因此,包含在存档payload中的恶意应用会在目标系统上启动,而不是被Gatekeeper阻止。Apple已于12月13日发布的更新中修复了该漏洞。
资料来源:https://g.yam.com/heoWx
7.Passwordstate中存在多个漏洞
12月19日,研究人员披露了Passwordstate中的多个安全漏洞,通过将各个漏洞链接起来可以在Passwordstate主机上执行任意命令。其高危漏洞跟踪为CVE-2022-3875,CVSS评分7.3,可以允许未经身份验证的攻击者绕过Passwordstate API的身份验证,使他们能够通过仅知道用户的用户名来访问用户的网站口令、一次性口令(OTP)、口令列表和其他信息。
资料来源:https://g.yam.com/2nKMo
8.德国跨国工业公司ThyssenKrupp遭到网络攻击
德国跨国工业工程和钢铁生产公司ThyssenKrupp声称其材料服务部和公司总部遭到网络攻击。目前,该公司尚未披露此次攻击的类型,也没有黑客团伙声称对此次事负责。该公司发言人表示此次攻击没有造成任何损害,也没有任何迹象表明数据已被盗或修改。
资料来源:https://securityaffairs.co/wordpress/139870/hacking/thyssenkrupp-targeted-cyberattack.html
9.哥伦比亚能源供应商EPM遭到BlackCat团伙的勒索攻击
哥伦比亚能源公司Empresas Públicas de Medellín(EPM)遭到了BlackCat/ALPHV的勒索攻击,公司运营和在线服务暂时中断。EPM是哥伦比亚最大的公共能源、水和天然气供应商之一,为123个城市提供服务。12月13日,该公司要求约4000名员工居家工作,且IT基础设施瘫痪,公司的网站也不再可用。进一步的调查表明,黑客可能在攻击期间窃取了EPM的大量数据。
资料来源:https://www.bleepingcomputer.com/news/security/colombian-energy-supplier-epm-hit-by-blackcat-ransomware-attack/
10.Okta透露其GitHub存储库遭到黑客攻击源代码泄露
身份验证服务和身份与访问管理(IAM)解决方案的提供商Okta表示,其私人GitHub存储库在本月遭到黑客攻击。Okta得知可能的可疑访问后立即对Okta GitHub存储库的访问进行了临时限制,并暂停了所有GitHub与第三方应用程序的集成。经调查,攻击者已经复制了Okta代码存储库,但并未获得对Okta服务或客户数据的未授权访问权限。
资料来源:https://www.bleepingcomputer.com/news/security/okta-says-its-github-account-hacked-source-code-stolen/
11.网络将首次出现在美国在非洲的军事演习中
美国陆军于12月21日宣布,Justified Accord 23活动(即JA23)将于2023年2月中旬开始,届时美国军方将能够与非洲军队就与数字领域相关的事务展开合作,数字领域是一个极具影响力和竞争激烈的领域。Justified Accord是一项年度跨国培训,旨在通过公民或人道主义项目等方式提高战备状态、促进稳定并促进国际伙伴关系。
资料来源:https://www.c4isrnet.com/cyber/2022/12/22/cyber-to-be-featured-for-first-time-at-us-military-exercise-in-africa/
12.Raspberry Robin恶意软件以电信和政府为目标
12月20日,TrendMicro发布Raspberry Robin恶意软件分析报告,并表示大多数受害者为政府机构或电信组织。对恶意软件的初步分析表明,恶意软件通过USB设备进行传播。恶意软件同时包含真实和虚假的有效载荷,当检测到沙盒工具时则加载虚假的有效载荷以逃避安全分析工具的检测和研究。
资料来源:https://www.trendmicro.com/en_us/research/22/l/raspberry-robin-malware-targets-telecom-governments.html
13.研究人员为IIoT开发基于AI的恶意软件分类系统
研究人员开发了一种基于深度学习的恶意软件检测和分类系统,以缓解IIoT安全风险,使医疗保健、安全系统或公用事业等关键应用中使用的设备免受到网络攻击。恶意软件检测和分类系统首先使用深度学习网络分析恶意软件,然后将多级卷积神经网络(CNN)架构应用于称为“灰度图像可视化”的恶意软件分类方法。该技术包括将恶意软件的原始字节转换为灰度图像,并提取恶意软件的纹理特征进行分类。该团队还将此安全系统与5G集成,从而实现实时数据和诊断的低延迟和高吞吐量共享。
资料来源:https://www.infosecurity-magazine.com/news/ai-malware-classification-for-5g/
14.Simeio与SailPoint合作以解决安全、风险和合规需求
12月21日,Simeio宣布与SailPoint建立合作伙伴关系,旨在通过企业身份治理控制来增强公司的身份安全能力和保护措施。Simeio的端到端身份安全服务将为企业提供持续的威胁保护、监控、补救和成熟的身份流程。SailPoint和Simeio的客户还将受益于Simeio IO平台的身份融合功能,通过身份治理和管理、访问管理和特权身份功能的融合,以提供跨域身份分析。
资料来源:https://au.finance.yahoo.com/news/simeio-announces-partnership-sailpoint-deliver-140000199.html
15.Dasera Wind Cave 6.0增强风险检测
帮助组织实施其数据治理和数据安全计划的领导者Dasera宣布了其最新Wind Cave 6.0版本。借助Wind Cave 6.0,Dasera可以更快、更准确地查明配置、数据和用户风险,同时提供风险可视化,使团队能够根据风险情况采取行动。金融、银行、保险和消费者电子商务公司预计将受益于Wind Cave版本的改进支付卡行业(PCI)数据分类和标记功能。这些改进的功能可以让用户更好地了解敏感数据的处理方式和存储位置,从而使安全和隐私团队能够更好地保护PCI数据。
资料来源:https://www.helpnetsecurity.com/2022/12/21/dasera-wind-cave-6-0/
16.CyberCube完成5000万美元融资
CyberCube完成5000万美元融资,新资金将推动CyberCube产品和解决方案的商业开发,以量化网络风险,同时加速全球保险、再保险和经纪行业的上市扩张。CyberCube对网络风险进行建模,让保险公司和经纪人了解他们的投资组合面临网络威胁的风险,同时让他们的客户能够更好地保护自己。
资料来源:https://www.thesaasnews.com/news/cybercube-raises-50-million-in-funding