工业网络安全“情报解码”-2022年第11期

工业网络安全“情报解码”-2022年第11期

时间:2022-03-19 作者:安帝科技

本期摘要

政策法规方面,美国国家标准与技术研究院(NIST)为制造业推出网络安全计划,以保护ICS环境中的信息和系统完整性。

漏洞态势方面,欧姆龙修复其PLC编程软件中的高危漏洞,该产品受到五个释放后使用和越界漏洞的影响。FBI和CISA警告称俄罗斯黑客正在利用MFA和PrintNightmare漏洞,建议组织强制实施和审查多重身份验证配置策略。CISA在已知利用漏洞目录中增加了15个新漏洞,其“必须修复”漏洞列表已超过500个。360的研究人员发现了一个新的Linux僵尸网络“B1txor20”,其使用DNS隧道并利用Log4J漏洞进行传播。OpenSSL中的“无限循环”漏洞被修复,该漏洞可被用来发起拒绝服务(DoS)攻击。Kubernetes容器引擎CRI-O中新披露的一个名为cr8escape的安全漏洞,可能被攻击者利用来突破容器并获得对主机的root访问权限。

安全事件方面,美国云安全和身份认证领域的三大巨头联合启动关键基础设施防御项目,为医院、水、电力公司提供网络保护。美国FBI检测到针对关键基础设施部门的RagnarLocker勒索软件,10个关键基础设施部门的至少52个实体已被感染。Imperva的数据显示,3月7日至8日全球超过60亿次潜在网络攻击中,超80%的目标是俄罗斯和乌克兰。乌克兰加入北约合作网络防御卓越中心,以加强网络防御能力。

融资并购方面,工业互联网平台企业浙江蓝卓完成第二轮5亿元融资,其supOS工业操作系统将构建新一代智能工厂新范式。工业互联网数智化解决方案提供商维拓科技获亿元B轮融资,以助力制造业实现数字化转型和升级。加密网络空间安全厂商观成科技获数千万A轮融资,聚焦于对加密流量进行安全检测和防御。网络保险公司Cowbell融资1亿美元,使组织能够全面了解风险敞口。

1、美国NIST发布ICS网络安全指南
3月16日,美国国家标准与技术研究院(NIST)发布了名为“NISTSP1800-10,保护工业控制系统环境中的信息和系统完整性:制造业的网络安全”的网络安全指南。NIST表示该指南构建了示例解决方案,制造业组织可以使用这些解决方案来减轻ICS完整性风险,加强OT系统的网络安全,并保护这些系统处理的数据。它还将帮助组织开发和实施示例解决方案,展示制造组织如何保护其数据的完整性,使其免受依赖ICS的制造环境中的破坏性恶意软件、内部威胁和未经授权的软件的影响。
资料来源:https://industrialcyber.co/critical-infrastructure/nccoe-rolls-out-cybersecurity-plan-for-manufacturing-sector-to-protect-information-system-integrity-in-ics-environments/

2.欧姆龙修复PLC编程软件中的高危漏洞
日本电子巨头欧姆龙修复了其PLC编程软件CX-Programmer中可用于远程代码执行的高危漏洞。日本JPCERT/CC本月早些时候发布的一份公告显示,该产品受到五个释放后使用和越界漏洞的影响,所有漏洞的CVSS评分均为7.8。根据美国网络安全和基础设施安全局(CISA)的说法,该产品在全球范围内使用,包括关键制造业。CX-Programmer漏洞影响版本9.76.1及更早版本。
资料来源:https://www.securityweek.com/high-severity-vulnerabilities-patched-omron-plc-programming-software

3.FBI和CISA警告称俄罗斯黑客正在利用MFA和PrintNightmare漏洞
美国网络安全和基础设施安全局(CISA)和联邦调查局(FBI)发布了一份联合咨询警告,称俄罗斯黑客利用了一个非政府组织(NGO)设置为默认多因素身份验证协议的错误配置帐户,允许他们为MFA注册新设备并访问受害者网络,随后利用了一个关键的WindowsPrint Spooler漏洞‘PrintNightmare’(CVE-2021-34527)以系统权限运行任意代码。在攻击的最后阶段,入侵的账户被用来在网络上横向移动,以从组织的云存储和电子邮件账户中窃取数据。
资料来源:https://thehackernews.com/2022/03/fbi-cisa-warn-of-russian-hackers.html

4.CISA在已知利用漏洞目录中增加了15个新漏洞
美国网络安全和基础设施安全局(CISA)3月15日宣布,其已知利用漏洞目录中增加了15个漏洞。新添加的漏洞一个影响SonicWallSonicOS,14个影响MicrosoftWindows,均是较老的问题,其中一些已经修复了五年多。SonicOS安全漏洞(CVE-2020-5135)可被用于DoS攻击和任意代码执行。2016年至2019年间修复的Windows漏洞均可能导致权限升级。
资料来源:https://www.securityweek.com/cisa-adds-14-windows-vulnerabilities-must-patch-list

5.B1txor20 Linux僵尸网络使用DNS隧道并利用Log4J漏洞
360 Netlab的研究人员发现了一个新的后门,用于感染Linux系统并将其包含在被跟踪为B1txor20的僵尸网络中。该恶意软件于2022年2月9日首次被发现,通过利用Log4J漏洞进行传播。B1txor20利用DNS隧道技术构建C2通信信道,除了传统的后门功能,B1txor20还有开启Socket5代理,远程下载安装Rootkit,反弹Shell等功能,这些功能可以很方便的将被侵入的设备变成跳板,供后续渗透时使用。
资料来源:https://blog.netlab.360.com/b1txor20-use-of-dns-tunneling_cn/

6.OpenSSL中的“无限循环”漏洞被修复
OpenSSL的维护者已经发布了补丁来解决其软件库中的一个高危漏洞,该漏洞被跟踪为CVE-2022-0778,CVSS评分7.5,问题源于使用无效的显式椭圆曲线参数解析格式错误的证书,从而导致所谓的“无限循环”。OpenSSL在3月15日发布的公告中表示:“由于证书解析发生在证书签名验证之前,因此任何解析外部提供的证书的过程都可能受到拒绝服务攻击”。没有证据表明该漏洞已被在野利用,但在某些情况下它可能会被武器化。
资料来源:https://thehackernews.com/2022/03/new-infinite-loop-bug-in-openssl-could.html

7.CRI-O引擎中的高危漏洞可让攻击者逃离Kubernetes容器
Kubernetes容器引擎CRI-O中新披露的一个名为cr8escape的安全漏洞可能被攻击者利用来突破容器并获得对主机的root访问权限。作为Docker的轻量级替代品,CRI-O是Kubernetes容器运行时接口(CRI)的容器运行时实现,用于从注册表中提取容器映像并启动与开放容器倡议(OCI)兼容的运行时。该漏洞被跟踪为CVE-2022-0811,CVSS评分8.8。除了恶意软件执行之外,该漏洞还可能允许攻击者在主机上执行其他操作,包括数据泄露和跨pod的横向移动。
资料来源:https://www.securityweek.com/severe-vulnerability-patched-cri-o-container-engine-kubernetes

8.美国CISA“网络风暴”演习模拟对关键基础设施攻击的响应
美国特勤局与网络安全和基础设施安全局(CISA)合作举办了为期三天的网络响应计划,此次名为“网络风暴VIII”的演习的重点是评估网络安全响应。CISA在一份声明中说,该活动有来自各行各业的200个组织的参与者。CISA局长JenEasterly表示,保护关键基础设施将继续是该机构的优先事项,并呼吁所有组织“在网络安全和保护其最关键资产方面采取更高的姿态”。“网络风暴VIII”的场景涉及OT(例如工业控制系统)和传统企业系统,组织遭受各种影响,例如勒索软件和数据泄露。
资料来源:https://therecord.media/cisa-cyber-storm-exercise-simulated-response-to-critical-infrastructure-attack/

9.俄罗斯能源巨头Rosneft的德国子公司遭网络攻击
美国联邦信息安全办公室(BSI)3月14日表示,俄罗斯能源巨头Rosneft的德国子公司遭到网络攻击。RosneftDeutschland在3月12日凌晨报告了这一事件。黑客组织Anonymous3月11日发表了一份声明,称对这次袭击负责,并表示它已经获取了20TB的数据。据报道,RosneftDeutschland随后将其系统下线。报告补充说,其管道和炼油厂继续正常运营。
资料来源:https://www.securityweek.com/hackers-target-german-branch-russian-oil-giant-rosneft?&web_view=true

10.三星泄露的源代码中包含超6600个密钥
GitGuardian公司对已泄露的三星源代码进行了分析,发现了6600多个密钥,其中包括私钥、用户名和密码、AWS密钥、谷歌密钥和GitHub密钥。研究人员尚未确定有多少暴露的密钥是有效的。大约90%用于三星的内部服务和基础设施,而另外10%至关重要,可以授予对三星外部服务或工具(如AWS、GitHub、artifactory和Google)的访问权限。某些密钥的暴露可能会导致三星设备上的TrustZone环境受到损害,该区域存储敏感数据(例如生物特征和一些密码),并为Android恶意软件攻击设置安全屏障。
资料来源:https://www.securityweek.com/thousands-secret-keys-found-leaked-samsung-source-code?&web_view=true

11.美国心脏病治疗中心数据泄露
美国健康诊所SouthDenver Cardiology Associates (SDCA)的数据泄露事件暴露了超287000人的医疗信息。在一份数据泄露通知中,SDCA承认,在2022年1月2日至2022年1月5日期间,一名不知名的攻击者侵入了其系统并在三天内访问了机密数据库,然后才发现并阻止了违规行为。暴露的数据包括“患者姓名、出生日期、身份证号、驾驶执照号码、患者帐号、健康保险信息和临床信息,例如医生姓名、服务日期和类型以及诊断。
资料来源:https://www.cyberscoop.com/ukraine-admitted-nato-ccdcoe/

12.工业互联网平台企业浙江蓝卓完成第二轮5亿元融资
工业互联网平台领军企业浙江蓝卓工业互联网信息技术有限公司完成第二轮5亿元融资。蓝卓supOS工业操作系统为工厂提供了一个统一的数据底座,把不同的设备和生产系统数据汇聚在同一个平台上,让生态合作伙伴在平台上围绕安全生产、节能降耗、提质降本增效等需求开发各种应用,把传统的工业软件转变为运行在平台上的轻量化的工业APP,供制造企业按需下载使用。supOS以“平台+APPs”模式重构传统工厂生产模式、运营模式和管理模式,构建新一代智能工厂新范式。
资料来源:https://36kr.com/p/1658597078104194

13.工业互联网数智化解决方案提供商维拓科技获亿元B轮融资
3月10日,工业互联网数智化解决方案领跑者南京维拓科技股份有限公司宣布完成亿元人民币B轮融资。维拓科技拥有研发、制造及服务的端到端工业软件,提供领先的工业创新平台和解决方案,覆盖上千家制造业客户、数百家头部企业,十六年的工业智力资产积累和行业最佳实践,基于行业深耕推出了垂直领域的工业互联网整体解决方案,以卓越的技术、产品和服务助力制造业实现数字化转型和升级。
资料来源:https://mp.weixin.qq.com/s/PcOm7D4DcTXtZSw-TWYs5A

14.加密网络空间安全厂商观成科技获数千万A轮融资
近日,观成科技宣布完成数千万A轮融资。观成科技专注于解决加密网络空间中存在的安全问题,当前主要聚焦于对加密流量进行安全检测和防御,研究和提供针对加密流量的检测及防御的解决方案。观成科技以密码分析、机器学习、安全分析、流量检测等多种技术和视角相融合,能够较好地解决加密流量的检测与防御问题。
资料来源:https://36kr.com/p/1655699105413504

15.网络保险公司Cowbell融资1亿美元
网络保险提供商CowbellCyber宣布已获得1亿美元的B轮融资。该公司声称创建了美国最大的网络保险分销网络,利用人工智能、精算模型和持续评估来进行政策定制。该公司通过开发预警系统使企业特定的保险范围成为变量,该预警系统使公司能够全面了解风险敞口并控制减轻损失的措施,同时提高可保性。
资料来源:https://www.securityweek.com/cyber-insurance-firm-cowbell-raises-100-million