工业网络安全“情报解码”-2022年第29期

业网络安全“情报解码”-2022年第29期

时间:2022-07-23 作者:安帝科技

本期摘要

政策法规方面,中国互联网协会组建数据安全与治理工作委员会,推进行业数据安全管理、提升行业数据安全保护水平。市场监管总局公布《关于开展网络安全服务认证工作的实施意见(征求意见稿)》,将确定并适时调整网络安全服务认证目录。美国众议员提出《2022年主动网络倡议法案》,要求对联邦系统进行渗透测试。

漏洞态势方面,2022年上半年CISA披露681个ICS漏洞,数量略高于2021上半年,其中超22%为超危漏洞。网络安全审查委员会(CSRB)发布了Log4j漏洞和响应审查报告,未发现任何针对关键基础设施系统的重大基于Log4j的攻击。研究人员发现MiCODUS GPS追踪器中存在6个漏洞,攻击者可利用其远程禁用汽车。思科修复了Nexus Dashboard中的超危漏洞,允许未经身份验证的远程攻击者可利用其执行任意命令。CNNVD发布关于Oracle多个安全漏洞的通报,其中Oracle产品本身漏洞85个。

安全事件方面,Xage报告显示,零信任有望在运营技术(OT)环境中实施,尤其是在关键基础设施组织中。研究人员发现了一种新的气隙攻击,使用SATA电缆作为天线传输无线电信号,可以窃取重要工控系统的敏感信息。DDoS僵尸网络Mantis一个月内攻击了1,000个组织,每秒能够产生2600万个HTTPS请求。建材巨头可耐福遭到勒索软件攻击,部分样本数据已经泄露。

产品技术方面,工业网络安全公司Dragos与艾默生扩大合作伙伴关系,以保护流程工业的工业基础设施。ACER向欧盟委员会提交的修订后的电力网络安全网络代码,旨在进一步促进维护整个欧洲电力系统的安全性和弹性。

融资并购方面,珞安科技完成C轮超5亿融资,旨在进一步巩固珞安科技在工控安全行业的技术竞争能力。建筑巨头江森自控收购Tempered Networks,旨在其OpenBlue安全通信堆栈结构内提供零信任安全性。

1、中国互联网协会组建数据安全与治理工作委员会
7月15日,为充分发挥中国互联网协会的桥梁纽带作用,强化电信和互联网行业数据安全自律,工业和信息化部网络安全管理局指导中国互联网协会在已有工作基础上,组建数据安全与治理工作委员会。第一届委员会第一次全体成员会议暨数据安全研讨会在北京召开,70余家成员单位100余人参加会议。工业和信息化部网络安全管理局相关负责人参加会议,强调要充分认识做好数据安全工作的重要性,成立委员会对于推进行业数据安全管理、提升行业数据安全保护水平具有重要意义。
资料来源:https://www.miit.gov.cn/xwdt/gxdt/sjdt/art/2022/art_f8d45833b623492497054595e79fb7bf.html

2、市场监管总局公布《关于开展网络安全服务认证工作的实施意见(征求意见稿)》
市场监管总局7月21日公布《关于开展网络安全服务认证工作的实施意见(征求意见稿)》。《实施意见》提出,将确定并适时调整网络安全服务认证目录,组建网络安全服务认证技术委员会,从事网络安全服务认证活动的认证机构应当依法设立,具备从事网络安全服务认证活动的专业能力,并经市场监管总局征求中央网信办、公安部意见后批准取得资质等9项意见。
资料来源:https://www.samr.gov.cn/hd/zjdc/202207/t20220721_348831.html

3.美国国土安全部发布最新太空政策美国众议员提出《2022年主动网络倡议法案》
美国众议员提出《2022年主动网络倡议法案》,该法案投资于创新的网络安全方法,以确保在对手面前修复网络漏洞。《法案》要求对中高风险政府系统进行渗透测试,并提供有关所需权限和资源的机构建议。要求机构报告主动网络方法,例如欺骗技术、持续监控和针对非法违规采取的相应措施。授权国家网络总监清理具有重叠网络管辖权的机构之间的风险冲突。要求专家研究并建议降低风险以加强网络基础设施。
资料来源:https://swalwell.house.gov/media-center/press-releases/swalwell-introduces-bill-strengthen-proactive-cybersecurity-methods

4.2022年上半年CISA披露681个ICS漏洞
SynSaber公司统计了2022年上半年CISA披露的681个工业控制系统(ICS)漏洞,略高于2021年上半年。但CISA并未针对所有公开披露的ICS缺陷发布公告,这意味着在上半年期间披露的实际漏洞数量可能会更高。在681个CVE中,大约13%没有补丁并且可能永远无法修复——这些被称为“永久漏洞”。超过22%的漏洞为超危漏洞,42%为高危漏洞。SynSaber的一项评估表明,大约40%的漏洞应该立即解决,8%的漏洞不容易解决,可能需要补偿控制以防止利用。
资料来源:https://www.securityweek.com/hundreds-ics-vulnerabilities-disclosed-first-half-2022

5.CSRB报告未发现任何针对关键基础设施系统的重大基于Log4j的攻击
网络安全审查委员会(CSRB)发布了Log4j漏洞和响应审查报告,报告显示,“在撰写本文时,董事会并未发现任何针对关键基础设施系统的重大基于Log4j的攻击。有点令人惊讶的是,委员会还发现,鉴于漏洞的严重性,迄今为止,Log4j的利用发生在低于许多专家预测的水平。”委员会评估Log4j是一个“地方性漏洞”,并且Log4j的易受攻击实例将在未来许多年(可能是十年或更长时间)中保留在系统中,仍然存在重大风险。
资料来源:https://industrialcyber.co/reports/csrb-report-not-aware-of-any-significant-log4j-based-attacks-on-critical-infrastructure-systems/

6.MiCODUS GPS追踪器存在6个漏洞
BitSight研究人员发现MiCODUS MV720 GPS中存在6个漏洞,包括硬编码和默认密码、身份验证损坏、XSS和不安全的直接对象引用。攻击者可以使用各种攻击媒介,包括中间人(MitM)、通过移动应用程序绕过身份验证,以及重新编程跟踪器以使用攻击者控制的IP地址作为其API服务器,从而完全控制GPS跟踪器,使他们能够访问位置和其他信息,并允许他们解除警报和切断燃料。Micodus表示其150万台跟踪设备部署在169个国家/地区,用于政府、军队、航空航天、工程、航运、制造等行业。
资料来源:https://www.securityweek.com/unpatched-micodus-gps-tracker-vulnerabilities-allow-hackers-remotely-disable-cars

7.思科修复Nexus Dashboard中的超危漏洞
思科7月20日宣布为Nexus Dashboard中的多个漏洞提供补丁,包括可能导致执行任意命令的超危漏洞。其中最严重漏洞为CVE-2022-20857(CVSS评分9.8),它可能允许未经身份验证的远程攻击者访问特定API并执行任意命令。该漏洞是由于对特定API的访问控制不足,攻击者可以通过向受影响的API发送精心设计的HTTP请求来利用此漏洞。修复了CVE-2022-20861和CVE-2022-20858,这是Nexus Dashboard中的两个高危漏洞,可能导致跨站点请求伪造(CSRF)攻击和恶意容器映像的上传。
资料来源:https://www.securityweek.com/cisco-patches-severe-vulnerabilities-nexus-dashboard

8.CNNVD发布关于Oracle多个安全漏洞的通报
近日,Oracle官方发布了多个安全漏洞的公告,其中Oracle产品本身漏洞85个,影响到Oracle产品的其他厂商漏洞231个。包括Oracle PeopleSoft Enterprise PeopleTools 输入验证错误漏洞(CNNVD-202207-1715、CVE-2022-21543)、Oracle Communications Billing and Revenue Management 安全漏洞(CNNVD-202207-1677、CVE-2022-21429)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。
资料来源:http://www.cnnvd.org.cn/web/bulletin/bulletinById.tag?mkid=278

9.Xage报告显示,零信任有望在运营技术(OT)环境中实施
Xage对在美国关键基础设施组织工作的网络安全专业人员进行了调查,最新的报告显示,零信任也在OT环境中广泛实施,尤其是在关键基础设施组织中。调查发现,41%的关键基础设施运营商处于零信任实施的早期阶段,88%的运营商已朝着零信任迈出了一些步伐。所有受访者都表示他们计划在某个时候采用零信任。大约三分之二的关键基础设施运营商已转向主动安全方法。已经开始实施零信任战略的组织认为,这种方法可以帮助他们加速数字化转型,提供更好的用户体验,提高运营效率,并帮助他们节省时间或金钱。
资料来源:https://www.securityweek.com/critical-infrastructure-operators-implementing-zero-trust-ot-environments

10.新的气隙攻击使用SATA电缆作为天线传输无线电信号
以色列本古里安大学网络安全研究实验室研发负责人Mordechai Guri发现了一种从气隙系统中窃取数据的新方法,它使用大多数计算机内部的串行ATA(SATA)电缆作为无线天线,通过无线电信号发送数据。该攻击被称为“SATAn”,理论上可以帮助攻击者窃取敏感信息。披露信息显示,该攻击方向具有高实现难度,但其攻击目标多为军事、政府等核心工业控制系统,其高危害性不容忽视。
资料来源:https://s.vnshu.com/39N90Dhttps://thehackernews.com/2022/07/new-air-gap-attack-uses-sata-cable-as.html

11.DDoS僵尸网络Mantis一个月内攻击了1,000个组织
网络保护公司Cloudflare警告说,仅在过去一个月里,僵尸网络Mantis对大约1,000个组织发起了分布式拒绝服务(DDoS)攻击。Mantis由大约5,000个僵尸程序提供支持,但这些都是受感染的虚拟机和性能强大的服务器,能够产生每秒2600万个HTTPS请求的攻击,每个机器人平均5,200个HTTPSRPS。这些攻击中的大多数(36%)针对互联网和电信行业,新闻、媒体和出版行业是僵尸网络的第二大目标,其次是游戏和金融行业。
资料来源:https://www.securityweek.com/powerful-mantis-ddos-botnet-hits-1000-organizations-one-month

12.建材巨头可耐福遭到勒索软件攻击
可耐福集团7月19日宣布遭到勒索软件攻击,扰乱了其业务运营,迫使其IT团队关闭全球IT系统以隔离事件。可耐福是一家总部位于德国的跨国建筑和建筑材料生产商,该公司在全球多个国家拥有150个生产基地,拥有全球约81%的墙板市场。据称,网络攻击发生在6月29日晚,可耐福正积极采取相关缓解措施。与此同时,可耐福的名字已出现在BlackBasta勒索软件组织发布的受害者名单之上,该组织已公开泄露了部分样本数据。
资料来源:https://www.bleepingcomputer.com/news/security/building-materials-giant-knauf-hit-by-black-basta-ransomware-gang/?&web_view=true

13.Dragos与艾默生扩大联盟以保护流程工业的工业基础设施
工业网络安全公司Dragos 7月19日宣布扩大与艾默生的联盟,以保护流程工业的工业基础设施。根据协议扩展,艾默生已在其DeltaV分布式控制系统(DCS)中验证Dragos平台,为组织提供增强的ICS/OT网络安全。该交易将为流程行业提供改进的整个工业OT网络的威胁检测和响应,增强对OT环境的可见性,使工业组织能够监控资产、跟踪和缓解漏洞,并利用流量监控信息来调查问题和事件。
资料来源:https://www.helpnetsecurity.com/2022/07/21/dragos-emerson/

14.ACER向欧盟委员会提交的修订后的电力网络安全网络代码
欧盟能源监管机构合作署(ACER)上周向欧盟委员会提交了其对跨境电力流动网络安全方面网络代码的修订。网络安全网络代码旨在进一步促进维护整个欧洲电力系统的安全性和弹性。网络代码包括与电力网络安全相关的各个方面的规则,包括旨在标准化保护欧盟电力网络边界的措施的通用电力网络安全框架、电力部门的网络安全治理以及全面的跨境风险管理过程。
资料来源:https://industrialcyber.co/analysis/revised-network-code-on-electric-cybersecurity-submitted-by-acer-to-european-commission/

15.珞安科技完成C轮超5亿融资
北京珞安科技有限责任公司是工业网络空间安全产品与解决方案提供商和安全服务运营商,近日宣布完成整个C轮超5亿战略融资。珞安科技以零信任安全理念为指导,打造资产可见、威胁可感、安全可视、攻击可溯、主动防御的工业网络空间安全防护体系,保障国家关键信息基础设施安全稳定运行。
资料来源:https://www.163.com/dy/article/HCICM3680511ALHJ.html

16..江森自控收购零信任安全厂商Tempered Networks
江森自控收购了零信任网络安全提供商Tempered Networks。Tempered Networks创造了“Airwall”技术,可实现跨各种端点设备、边缘网关、云平台和服务技术人员的安全网络访问。它代表了建立在安全传输管道上的运营技术的一次重大变革,以确保建筑物数据交换和服务行动只能在人员和设备之间进行,并持续经过身份验证。此次收购使江森自控能够在其OpenBlue安全通信堆栈结构内提供零信任安全性,从而推进其实现具有内在抵御网络攻击能力的完全自主建筑的愿景。
资料来源:https://www.contractormag.com/technology/article/21246802/johnson-controls-acquires-tempered-networks