工业网络安全“情报解码”-2021年第27期
时间:2021-01-02作者:安帝科技
本期摘要
政策法规方面,中央网信委印发《“十四五”国家信息化规划》,对我国“十四五”时期信息化发展作出部署安排。国家工信安全中心发布《工业互联网流量安全分析白皮书(2021)》,助力工业互联网安全技术创新应用与保障能力建设。印度将在2022年收紧数据泄露法,将强制要求组织在72小时内披露任何数据泄露事件。鉴于俄罗斯对网络战的极度担忧,乌克兰总统宣布启动一项新的信息安全战略政策,并于该法令发布之日生效。
漏洞态势方面,施耐德电气EVlink电动汽车充电桩存在7个漏洞,包括1个严重漏洞,可导致拒绝服务。Log4j漏洞事件继续发酵,被曝出存在第5个RCE漏洞,Apache发布最新的版本2.17.1进行修复。Apache软件基金会还发布了Apache HTTP Server 2.4.52版本以修复其中的两个RCE漏洞。西部数据、索尼等主要供应商的存储设备中使用的第三方加密软件存在漏洞,可导致未经授权的用户数据访问。Blackmagic修复DaVinci Resolve软件中的两个远程代码执行漏洞,CVSS评分均高达9.8。
安全事件方面,北美天然气供应商巨头Superior Plus遭勒索软件攻击,再次为关键基础设施敲响警钟。美国物流巨头DW Morgan 100GB客户数据遭泄露,其中包括一些财富500强公司,如思科以及爱立信。密码管理器LastPass主密码被泄露,识图登录其用户账户的请求遍布世界各地。挪威媒体巨头Amedia因网络攻击而中断,其数据可能已受到影响,但目前尚不清楚是否涉及勒索软件。
融资并购方面,赛宁网安C+轮融资再获8000万,将持续加强产品研发和市场投入,全面提升产品核心竞争力。美创科技完成新一轮亿元级融资,旨在成为数据安全领导者和引路人、数字化转型的推动者。
1、中央网信委印发《“十四五”国家信息化规划》
12月27日,中央网络安全和信息化委员会印发《“十四五”国家信息化规划》。《规划》再次强调了安全与发展的辩证关系以及网络安全关口前移、防患于未然的发展理念;强调了以网络安全自主防御能力为主的网络安全保障体系和能力建设。明确了关键信息基础设施安全、网络安全和数据安全的重点工程和重大任务。确立了网络安全做为新兴数字产业的战略定位。强化了对数据安全保障能力建设的要求。突显了中央和各级网络安全和信息化委员会对网络安全工作的统筹协调和整体推动作用。
资料来源:http://www.cac.gov.cn/2021-12/27/c_1642205312337636.htm
2、国家工信安全中心发布《工业互联网流量安全分析白皮书(2021)》
在2021年中国工业信息安全大会上,国家工业信息安全发展研究中心发布了《工业互联网流量安全分析白皮书》。《白皮书》以“流量-工业互联网安全的‘血液’”为出发点,针对工业互联网流量分布广、采样位置分散、格式多元异构、协议私有且繁杂等方面的特性,面向当前工业互联网流量安全分析面临的挑战,提出工业互联网流量安全分析技术框架,归纳工业互联网流量安全分析关键技术,梳理工业互联网流量安全分析典型应用与部署场景。从技术框架、关键技术、应用场景等方面剖析工业互联网流量安全分析,以期提高业界对工业互联网流量安全分析的认识与共识,助力工业互联网安全技术创新应用与保障能力建设。
资料来源:https://www.secrss.com/articles/37703
3、印度将在2022年收紧数据泄露法
据当地媒体报道,印度当局将打击数据泄露并收紧敏感数据的保存规则。印度公司将不再能够存储支付卡信息,只有发卡机构和卡协会(例如Visa或万事达卡)允许这样做。印度的组织将强制要求在72小时内披露任何数据泄露事件,未经数据处理者同意而故意披露个人数据的人可能面临监禁或罚款。公司需要报告任何泄漏并采取“适当的补救措施”来保护他们的客户。对违规行为的处罚包括对任何未经许可故意披露个人数据的人处以最高三年的监禁或最高200,000卢比(17,158人民币)的罚款。
资料来源:https://portswigger.net/daily-swig/indian-authorities-set-to-tighten-data-breach-laws-in-2022?&web_view=true
4、乌克兰总统颁布信息安全战略
12月28日,乌克兰总统已执行乌克兰国家安全与国防委员会2021年10月15日“关于信息安全战略”的决定,该法令自发布之日起生效。该文件指出,俄罗斯的信息政策不仅对乌克兰构成威胁。俄罗斯开展的特别信息行动针对的是关键的民主机构(包括选举),俄罗斯的特别服务部门则试图激化乌克兰和其他民主国家的内部冲突。
资料来源:https://www.ukrinform.net/rubric-polytics/3376991-president-enacts-ukraines-information-security-strategy.html?&web_view=true
5、施耐德电气EVlink电动汽车充电桩存在严重漏洞
施耐德电气已修复了7个使其EVlink电动汽车充电站容易受到远程黑客攻击的新漏洞,有1个严重漏洞和6个高危漏洞,包括跨站请求伪造(CSRF)和跨站脚本(XSS)漏洞,这些漏洞可以被利用来代表合法用户执行操作,还有一个可以被利用来通过蛮力攻击来访问充电站的web界面。其中最严重的是一个服务器端请求伪造(SSRF)漏洞,CVSS评分9.3。施耐德警告称,这些漏洞可能会导致“充电站的设置和账户遭到篡改和泄露,可能导致拒绝服务攻击。
资料来源:https://www.securityweek.com/new-flaws-expose-evlink-electric-vehicle-charging-stations-remote-hacking
6、Log4j被曝出第5个漏洞
Apache发布了最新的Log4j版本2.17.1,修复了2.17.0中新发现的远程代码执行(RCE)漏洞CVE-2021-44832。在此之前,2.17.0 是 Log4j的最新版本,被认为是最安全的升级版本。CVE-2021-44832是在Log4j中发现的第五个漏洞。与之前影响库的问题一样,威胁行为者可能会利用这一问题在受影响的系统上执行恶意代码。该漏洞的严重性评级为“中等”,CVSS评分为6.6,该漏洞源于缺乏对log4j中JDNI访问的额外控制。
资料来源:https://securityaffairs.co/wordpress/126135/hacking/new-apache-log4j-cve-2021-44832.html
7、Apache修复其HTTP Server中的漏洞
Apache软件基金会发布了Apache HTTP Server 2.4.52版本以修复两个漏洞,跟踪为CVE-2021-44790和CVE-2021-44224,可导致远程代码执行攻击。CVE-2021-44790是Apache HTTP Server2.4.51和更早版本的mod_lua在解析多部分内容时可能出现缓冲区溢出。Apache httpd团队没有发现在野外有利用这个漏洞的攻击。CVE-2021-44224是Apache HTTP Server2.4.51及更早版本中转发代理配置中可能的NULL取消引用或SSRF漏洞。
资料来源:https://securityaffairs.co/wordpress/126077/security/apache-http-server-flaws.html
8、DataVault加密软件中的漏洞影响多个存储设备
图片
研究员Sylvain Pelissier发现,由ENC Security制造并被多家供应商使用的DataVault加密软件受到几个密钥推导函数问题的影响。攻击者可以利用该漏洞获取用户密码。这两个漏洞已被分配CVE标识,分别是CVE-2021-36750和CVE-2021-36751。DataVault是一种保护用户数据的高级加密软件,它为多个系统提供全面的军用级数据保护和安全功能。包括WD、Sony和Lexar在内的多个供应商都在使用DataVault软件。
资料来源:
Flaws in DataVault encryption software impact multiple storage devices
9、Blackmagic修复DaVinci Resolve软件中的远程代码执行漏洞
BlackmagicSoftware修复了广受欢迎的DaVinci Resolve软件中的两个远程代码执行(RCE)漏洞,编号为CVE-2021-40417和CVE-2021-40418,其CVSSv3评分均为9.8。攻击者可以利用这些漏洞在未打补丁的系统上执行代码。它们都是由在DaVinci Resolve的DP Decoder服务中发现的弱点引起的,并且是由解码视频文件时基于堆的缓冲区溢出或解析视频文件时不正确的UUID触发。DaVinci Resolve是一个免费软件平台,它将视频编辑和色彩校正、视觉效果、动态图形和音频后期制作工具结合在一个解决方案中。
资料来源:https://www.bleepingcomputer.com/news/security/blackmagic-fixes-critical-davinci-resolve-code-execution-flaws/
10、北美天然气供应商巨头Superior Plus遭勒索软件攻击
北美天然气供应商巨头Superior Plus证实,它在12月12日发现了勒索软件攻击,破坏了其计算机系统。Superior Plus是一家价值数十亿美元的公司,为美国和加拿大的780,000多个客户地点提供与能源相关的产品和服务。这次袭击恰逢假期和寒冷的天气,为敲诈勒索创造了完美的条件。Superior Plus表示已采取措施保护其系统,并聘请独立的网络安全专家来减轻勒索软件攻击对其数据和运营的影响,并确定客户安全或安全以及个人数据没有受到影响。
资料来源:https://www.cpomagazine.com/cyber-security/natural-gas-supplier-superior-plus-suffers-a-ransomware-attack-similar-to-colonial-pipelines/
11、美国物流巨头DW Morgan 100GB客户数据遭泄露
WebsitePlanet安全团队发现了一个配置错误的AWSS3存储桶,包含约250万个文件,大小超过100GB。研究表明,该数据池属于供应链管理和物流巨头D.W. Morgan公司。数据库中详细记录了D.W. Morgan企业员工和其全球客户的财务、运输、个人和敏感数据信息,这些客户中有来自美国和世界各地的大型企业,包括一些财富500强公司。该存储池没有任何安全身份验证或密码的情况下仍然向公众公开,这意味着任何了解AWS存储桶功能的人都可以轻松访问数据。
资料来源:https://www.websiteplanet.com/blog/dwmorgan-leak-report/?&web_view=true
12、口令管理器LastPass主口令遭泄露
Lastpass是一个全球流行的在线口令管理器和页面过滤器,采用了强大的加密算法,自动登录/云同步/跨平台/支持多款浏览器。目前许多LastPass用户在收到LastPass登录电子邮件警告,邮件告知他们的主口令已被泄露,有人试图从未知位置登录他们的帐户。电子邮件通知还提到登录尝试已被阻止,登录地点遍布全球各个陌生的地方。关于LastPass主口令泄露的用户报告,正在通过多个社交媒体网站和在线平台传播,包括Twitter、Reddit等等。
资料来源:https://www.bleepingcomputer.com/news/security/lastpass-users-warned-their-master-passwords-are-compromised/?&web_view=true
13、挪威媒体巨头Amedia因网络攻击而中断
挪威第二大媒体公司Amedia 12月28日宣布,它成为网络攻击的受害者,该攻击迫使其关闭多个系统。网络攻击发生在12月27日至12月28日的晚上,对Amedia Teknologi管理的系统产生了影响,影响了其印刷报纸的能力。Amedia表示已采取必要措施遏制攻击并限制损害,并且已经在着手恢复运营。目前尚不清楚是否涉及勒索软件。这家媒体巨头认为数据可能已受到影响,并准备通知受影响的个人。
资料来源:https://www.securityweek.com/norwegian-media-firm-amedia-suffers-disruption-due-cyberattack
14、赛宁网安C+轮融资再获8000万
南京赛宁信息技术有限公司再获8000万C+轮融资,原股东基石创投联合深圳高新投、俱成投资完成此轮融资。2021年赛宁网安在行业政策催化、市场需求爆发、客户充分认可的前提下,实现了业绩的高速增长,同时也获得了资本的高度青睐。本轮融资后,赛宁网安将持续加强产品研发和市场投入,全面提升产品核心竞争力,时刻关注网络安全发展态势,成为中国真正具有创造力和竞争力的网络安全企业。
资料来源:https://www.dwcon.cn/post/1020
15、美创科技完成新一轮亿元级融资
杭州美创科技有限公司完成新一轮亿元级融资。美创科技成立于2005年,是国内领先的数据安全和数字化转型产品和服务提供商,以成为数据安全领导者和引路人、数字化转型的推动者为愿景,美创科技聚焦数据安全与价值挖掘,拥有数据安全、数字化转型、运行安全三大业务及技术运维和安全运营服务,服务于政府、金融、能源、运营商、医疗、教育、企业等10000+用户,获得市场广泛认可。
资料来源:https://www.dwcon.cn/post/1023