安全月报-2月
时间:2021-02-28 作者:安帝科技
政策法规扫描
- 1. 《2020年工业信息安全态势报告》发布
2月5日,国家工业信息安全发展研究中心“2020年工业信息安全态势感知报告”线上发布会成功举办,正式发布了《2020年工业信息安全态势报告》。
https://baijiahao.baidu.com/s?id=1690907672058163358&wfr=spider&for=pc
- 2. 工业互联网专项工作组印发《工业互联网创新发展行动计划(2021-2023年)》解读
http://www.gov.cn/zhengce/2021-02/18/content_5587565.htm
安全漏洞播报
- 1.Schneider PowerLogic 明文传输漏洞
多款 Schneider PowerLogic 产品中存在信息泄露漏洞。该漏洞源于系统中中存在敏感信息的明文传输,当恶意参与者截获用户和设备之间的HTTP网络流量时。该漏洞可能导致用户凭据泄露。
https://nvd.nist.gov/vuln/detail/CVE-2021-22702
2.VMware vCenter Server远程代码执行
VMware vCenter Server是美国威睿公司的一套服务器和虚拟化管理软件。该软件提供了一个用于管理VMware vCenter环境的集中式平台,可自动实施和交付虚拟基础架构。攻击者可通过访问web管理端向vCenter Server发送精心构造的请求从而在操作系统上执行任意命令。
https://kb.vmware.com/s/article/76372
- 3.D-link DSR-250 命令注入漏洞
D-Link D-link DSR-250是中国友讯(D-Link)公司的一款统一服务路由器。D-Link DSR-250 (3.14) DSR-1000N (2.11B201) UPnP service 存在命令注入漏洞,导致远程命令执行。
https://www.secfree.com/vul-157413.html
4.Apache Dubbo decodeBody反序列化代码执行漏洞
Apache Dubbo decodeBody处理存在反序列化漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以服务上下文执行任意代码。
https://www.zerodayinitiative.com/advisories/ZDI-21-128/
5.Siemens Comfort Panel Telnet服务无验证代码执行漏洞
Siemens Comfort Panel Telnet服务无验证漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以ROOT上下文执行任意代码。
https://us-cert.cisa.gov/ics/advisories/icsa-21-033-02
6.Apple macOS CoreText TTF越界写代码执行漏洞
Apple macOS CoreText TTF解析存在越界写漏洞,允许远程攻击者利用漏洞提交特殊的请求,可使应用程序崩溃或以应用程序上下文执行任意代码。
https://www.zerodayinitiative.com/advisories/ZDI-21-149/
7.Advantech iView SQL注入漏洞
Advantech Iview存在SQL注入漏洞,允许远程攻击者可以利用漏洞提交特殊的SQL请求,操作数据库,可获取敏感信息或执行任意代码。
https://us-cert.cisa.gov/ics/advisories/icsa-21-040-02
8.Siemens SINEC NMS FirmwareFileUtils extractToFolder目录遍历代码执行漏洞
Siemens SINEC NMS FirmwareFileUtils extractToFolder存在目录遍历漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可以WEB应用程序上下文读取敏感信息。
https://www.zerodayinitiative.com/advisories/ZDI-21-253/
9.TP-Link AC1750 sync-server栈溢出远程代码执行漏洞
TP-Link AC1750 sync-server MAC地址处理存在栈溢出漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可以ROOT权限执行任意代码。
https://www.zerodayinitiative.com/advisories/ZDI-21-215/
安全事件简析
- 1.安全公司Stormshield披露数据泄露,源代码盗窃
Stormshield是法国政府的网络安全产品的主要提供商,该公司表示攻击者获得了访问其客户支持门户之一的权限并窃取了部分客户的信息。该公司还报告说 ,作为入侵的一部分,攻击者设法窃取了Stormshield网络安全(SNS)防火墙的部分源代码,已获认证,可用于敏感的法国政府网络中。
该公司表示,正在与法国网络安全机构ANSSI(国家情报系统情报局)一起调查此事件,该机构目前正在评估该违规行为对政府系统的影响。
https://www.zdnet.com/article/security-firm-stormshield-discloses-data-breach-theft-of-source-code/
- 2.利用未受保护的私钥允许对Rockwell控制器进行远程黑客攻击
该漏洞被跟踪为CVE-2021-22681,CVSS评分为10,由韩国Soonchunhyang大学,卡巴斯基和工业网络安全公司Claroty的研究人员向罗克韦尔报告。
克拉罗蒂(Claroty)还发布了一篇博客文章,其中对发现的内容进行了深入描述。该漏洞影响Studio 5000 Logix Designer(以前称为RSLogix 5000),用于PLC的流行设计和配置软件,以及十几种CompactLogix,ControlLogix,DriveLogix,Compact GuardLogix,GuardLogix和SoftLogix控制器。
该漏洞与Logix Designer软件有关,该软件使用私钥来验证与控制器的通信。此密钥没有得到足够的保护,从而使远程未经身份验证的攻击者可以通过模仿工程工作站来绕过验证机制并连接到控制器。一旦他们连接到PLC,目标组织网络上的攻击者(即恶意软件)便可以将恶意代码上载到控制器,从设备下载信息或安装新固件。Claroty指出,利用此漏洞可能直接影响制造过程。
https://www.securityweek.com/unprotected-private-key-allows-remote-hacking-rockwell-controllers
3.黑客扫描受严重漏洞影响的VMware vCenter Server
在VMware宣布提供影响vCenter Server的严重漏洞的补丁程序后仅一天,黑客就开始在Internet上扫描易受攻击的服务器。该漏洞被跟踪为CVE-2021-21972,影响到vCenter Server的vSphere Client组件,并且未经身份验证的远程攻击者可以利用此漏洞在托管vCenter Server的操作系统上以提升的特权执行任意命令。
https://baijiahao.baidu.com/s?id=1692751688971832756&wfr=spider&for=pc
4.黑客入侵水处理厂险致供水碱超标上百倍
美国奥尔德斯马尔(Oldsmar)市的一座水处理工厂遭遇了黑客入侵事件。据说黑客通过常用的 TeamViewer 远程管理软件,将水处理设施的氢氧化钠(碱液)水平篡改至正常值的百余倍。庆幸的是,值班人员很快发现了鼠标指针的异常,并且判断并非主管在远程操作,最终避免了对居民的日常生活造成不利影响。
http://www.dreamwu.com/post-4075.html
5.Sandworm黑客袭击了法国监控软件供应商Centreon
ANSSI 官员表示,Sandworm 攻击主要针对信息技术提供商,尤其是 Web 托管服务商。第一位受害者可以追溯到 2017 年末,且黑客活动持续到了 2020 年。
据悉,受害者的网络都连接到了 Centreon 。作为法国 CENTREON 公司开发的 IT 资源监视平台,其功能类似于 SolarWinds 的 Orion 平台。ANSSI 表示,攻击者盯上了连接至互联网的 Centreon 中间系统。至于 Sandworm 是否利用了软件中的漏洞、或者得到了管理员账户的登录凭证,目前暂不得而知。
https://www.securityweek.com/sandworm-hackers-hit-french-monitoring-software-vendor-centreon
安全技术悉知
MohammadSafaria等在Industrial Intrusion Detection Based on the Behavior of Rotating Machine 文章中针对旋转机械控制系统中的关键资产,提出了一种新的工业入侵检测方法。文章中指出数据篡改是对控制系统的一种主要攻击,会破坏资产的功能。因此,目标是检测系统中的数据操作。分析旋转机器的行为,利用机器学习技术对旋转机器控制系统提出了一种新的工业入侵检测方法。该行为是由旋转机械在各种工况下的传感器数据得出的。在这项工作中,采用非线性回归、异常检测、新颖性检测采用分类方法建立行为模型。在检测过程中,将在线数据与行为预测模型在旋转机器运行过程中的真实数据进行比较,以检测任何异常。根据我们的实验结果,One-class SVM检测、k近邻(k – Nearest Neighbor, kNN)离群值检测、决策树分类器、k近邻分类器、随机森林分类器和AdaBoost分类器创建的行为模型的准确率分别为0.98、0.994、0.999、0.999、0.999。结果表明,所提出的工业入侵检测方法能够很准确地检测出对旋转机械控制系统的数据篡改攻击。
https://www.sciencedirect.com/science/article/abs/pii/S1874548221000160?via%3Dihub