工业网络安全“情报解码”-2022年第16期

工业网络安全“情报解码”-2022年第16期

时间:2022-04-23 作者:安帝科技

本期摘要

政策法规方面,美国NIST发布了一份文件草案,将NIST网络安全框架应用于太空作战的地面部分,重点是确保卫星指挥和控制。美国CISA发布云安全指导文件,旨在帮助提高政府云的可见性、标准和安全实践。欧盟网络安全局发布成员国的国家协调漏洞披露政策,仅有四个成员国已经实施。

漏洞态势方面,Elcomplus修复其SCADA产品中的9个漏洞,该产品被全球90个国家/地区的2,000多个组织使用。三菱控制器中存在高危漏洞,攻击者可利用其登录到PLC并访问受保护的文件。思科修复了其产品中的三个高危漏洞,这些漏洞可能被利用来导致拒绝服务 (DoS) 条件并控制受影响的系统。瞻博网络宣布针对其产品中的30多个漏洞发布补丁,其中包括Contrail Networking和Junos OS中的超危漏洞。VMware修复Cloud Director中的超危漏洞,未打补丁的系统存在远程代码执行攻击的风险。

安全事件方面,美国CISA将ICS行业纳入其联合网络防御协作(JCDC)计划,将加强美国政府对建立ICS和OT环境的网络安全态势和弹性的关注。卡巴斯基今年进行的一项全球调查显示,如果网络安全系统中断或以其他方式影响运营,许多工业组织都会关闭安全系统。为了应对激增的网络攻击,乌克兰当局于 4 月 5 日批准政府使用物理安全密钥,这是一种小型便携式设备,可提供额外的安全层。

融资并购方面,创联科技完成数千万A+轮融资, 打造工业互联网领域B2B技术服务平台。网络空间测绘厂商华顺信安完成C轮融资,金额达数亿元。Fortress融资1.25亿美元,计划用于帮助关键行业运营商和政府机构保护其供应链。ThreatLocker融资1亿美元,为组织提供采用零信任安全方法的企业级服务器和端点解决方案。

1、美国NIST发布卫星网络安全框架草案
美国国家标准与技术研究院(NIST)发布了标题为“卫星地面部分:应用网络安全框架确保卫星指挥和控制”的文件草案。根据该文件,卫星地面部分网络安全配置文件旨在用作风险管理计划的一部分,以帮助组织管理构成卫星运营地面部分的系统、网络和资产的网络安全风险。该配置文件为分类卫星指挥、控制和有效载荷系统的系统、流程和组件提供了指导,以确定网络安全风险态势并解决空间段管理和控制中的剩余风险。
资料来源:https://industrialcyber.co/threats-attacks/nist-works-on-applying-cybersecurity-framework-for-satellite-command-and-control-seeks-feedback/

2.美国CISA发布云安全指导文件
美国网络安全和基础设施安全局(CISA)宣布,安全云业务应用(SCuBA)项目的指导文件正在征求公众意见,该项目旨在帮助提高政府云的可见性、标准和安全实践。其中一份文件是SCuBA技术参考架构(TRA),这是一份安全指南,旨在帮助联邦机构采用技术进行云部署、适应性解决方案、安全架构、零信任和敏捷开发。第二份可扩展可见性参考框架(eVRF)指南,描述了一个框架,组织可以使用该框架来识别可用于缓解威胁的可见性数据,以及识别可见性差距。
资料来源:https://www.securityweek.com/proposed-us-guidance-legislation-show-increasing-importance-cloud-security?&web_view=true

3.欧盟网络安全局发布成员国的国家协调漏洞披露政策
欧盟网络安全局(ENISA)发布了欧盟成员国的国家协调漏洞披露(CVD)政策地图并提出建议。各成员国之间在CVD政策实现水平方面存在很大差异。在收集报告中使用的数据时,只有四个成员国已经实施了这样的CVD政策。欧盟委员会修订的《网络与信息安全指令》规定欧盟国家要实施国家CVD政策。ENISA将支持欧盟成员国实施这一规定,并将制定一项准则,帮助欧盟成员国建立其国家CVD政策。
资料来源:https://www.helpnetsecurity.com/2022/04/19/coordinated-vulnerability-disclosure-recommendations/?web_view=true

4.Elcomplus修复其SCADA产品中的9个漏洞
研究员Michael Heinzl在Elcomplus的SmartPTT SCADA产品中发现了总共9个漏洞,包括路径遍历、跨站脚本(XSS)、任意文件上传、授权绕过、跨站请求伪造(CSRF)和信息泄露问题。利用这些漏洞,攻击者可以上传文件、在系统上读取或写入任意文件、获取以明文形式存储的凭据、代表用户执行各种操作、执行任意代码以及提升访问管理员功能的权限。该产品将SCADA/IIoT系统的功能与专业无线电系统的调度软件相结合,被全球90个国家/地区的2,000多个组织使用。
资料来源:https://www.securityweek.com/several-critical-vulnerabilities-affect-smartppt-smartics-industrial-products

5.三菱控制器中存在高危漏洞
Positive Technologies的研究人员在三菱MELSEC iQ-F控制器的FX5U系列中发现了高危漏洞。攻击者只需拥有对控制器的网络访问权限,或者在网络分段的情况下,访问具有PLC的本地网络就可以利用该漏洞。攻击者可以通过拦截流量或使用对某些文件的本地访问来计算口令的哈希值。拥有口令哈希并利用已发现的漏洞,攻击者可以绕过内置的安全机制,登录到PLC,例如,使用控制器停止命令或访问受保护的文件。
资料来源:https://www.securitylab.ru/news/531249.php

6.思科修复TelePresence、RoomOS以及Umbrella VA中的高危漏洞
思科修复了其产品中的三个高危漏洞,这些漏洞可能被利用来导致拒绝服务(DoS)条件并控制受影响的系统。第一个漏洞CVE-2022-20783影响CiscoTele Presence协作终端软件和Cisco RoomOS软件,源于缺乏正确的输入验证,允许未经身份验证的远程攻击者向设备发送特制流量。第二个漏洞CVE-2022-20773影响Cisco Umbrella虚拟设备(VA)中存在的静态SSH主机密钥,可能允许攻击者对SSH连接执行中间人(MitM)攻击并劫持管理员凭据。
资料来源:https://thehackernews.com/2022/04/cisco-releases-security-patches-for.html

7.瞻博网络修复Contrail Networking、Junos OS中的漏洞
瞻博网络宣布针对其产品中的30多个漏洞发布补丁,其中包括Contrail Networking和Junos OS中的超危漏洞。修复了Contrail Networking中的10个漏洞,五个为超危漏洞,其中最严重的是Pillow中的两个缓冲区溢出漏洞CVE-2021-25289、CVE-2021-34552以及Apache HTTP Server中的堆溢出漏洞CVE-2021-26691,CVSS评分均为9.8。修复了Junos OS中的14个漏洞,其中有10个高危漏洞,在某些情况下可能导致代码执行或拒绝服务。
资料来源:https://www.securityweek.com/juniper-networks-patches-vulnerabilities-contrail-networking-junos-os

8.VMware修复Cloud Director中的远程代码执行漏洞
VMWare推出了其Cloud Director产品中一个极其严重的安全漏洞的补丁,警告未打补丁的系统存在远程代码执行攻击的风险。VMware Cloud Director平台为公共云服务提供支持。它将一个物理数据中心或分布在不同地理位置的多个数据中心转变为虚拟数据中心(VDC)。经过身份验证的、具有对VMware Cloud Director租户或提供商的网络访问权限的高权限恶意行为者可能能够利用远程代码执行漏洞来访问服务器。
资料来源:https://www.securityweek.com/critical-code-execution-flaw-haunts-vmware-cloud-director

9.美国CISA将ICS行业纳入其联合网络防御协作(JCDC)计划
网络安全和基础设施安全局(CISA)4月20日扩大了其联合网络防御协作(JCDC)计划,包括由安全供应商、集成商和分销商组成的工业控制系统(ICS)行业。此举将加强美国政府对建立 ICS和运营技术(ICS/OT)环境的网络安全态势和弹性的关注。JCDC-ICS将在JCDC现有平台的基础上,利用ICS行业的知识、可见性和能力,围绕控制系统的保护和防御制定计划,为美国政府提供有关ICS/OT网络安全的指导,并为ICS/OT领域的私营和公共合作伙伴之间的实时运营融合做出贡献。
资料来源:https://industrialcyber.co/news/cisa-expands-its-jcdc-initiative-by-roping-in-critical-ics-industry-expertise/

10.卡巴斯基:许多工业公司表示网络安全系统会给运营带来问题
卡巴斯基今年进行的一项全球调查显示,如果网络安全系统中断或以其他方式影响运营,许多工业组织都会关闭安全系统。虽然许多组织已经开始了解保护其OT环境的重要性,但40%的受访者承认他们当前使用的安全工具与其自动化系统不兼容,38%的受访者报告至少发生过一次网络安全产品中断或中断的事件某种方式影响了他们的运营。当他们经历这些中断时,30%的公司决定关闭他们的安全系统。其他人对生产或自动化系统进行了更改以避免冲突,他们更改了安全设置以努力在安全性和生产力之间找到平衡,或者他们更换了网络安全供应商。
资料来源:https://www.securityweek.com/many-industrial-firms-say-cybersecurity-systems-cause-problems-operations

11.乌克兰加强网络防御以减缓攻击激增
为了应对激增的网络攻击,乌克兰当局于4月5日批准政府使用物理安全密钥,这是一种额外的身份验证方法,它依赖于公钥加密技术,通过将存储在芯片上的信息与在线服务器进行核对来验证用户的身份。与用户名和密码相比,它们更不容易受到攻击。乌克兰国家特别通信和信息保护局副局长Oleksandr Potii表示,乌克兰现在正在向尽可能多的政府机构发放密钥,希望在乌克兰推动网络钓鱼证明、无密码身份验证解决方案。
资料来源:https://s.vnshu.com/F25xyhttps://www.bloombergquint.com/onweb/ukraine-ramps-up-cyber-defenses-to-slow-surge-in-attacks

12.工业互联网技术服务平台创联科技完成数千万A+轮融资
北京宏途创联科技有限公司完成梅花创投投资的数千万A+轮融资,本轮融资将主要用于扩大平台运营规模和产品研发。创联科技是一家工业互联网技术服务平台。公司一方面为客户提供工业互联网的技术服务,通过其IU工业云平台,为客户提供标准化的工业互联网服务,帮助加速客户的其自动化、信息化、智能化流程改造过程;另一方面,创联科技汇聚了一批工业互联网服务供应商,为客户选出能满足其大规模、非标、综合性服务需求的企业。
资料来源:http://news.10jqka.com.cn/20220420/c638505444.shtml

13.网络空间测绘厂商华顺信安完成C轮数亿元融资
网络安全厂商华顺信安已于近期正式完成C轮融资,融资规模达数亿元。华顺信安主打的业务方向是“网络空间测绘”,即通过主动或被动探测的方法,来绘制网络空间上设备的网络节点和网络连接关系图,达到的效果是让客户了解自身网络资产状况,从而在相关网络攻击发生时,能较快速的对网络资产进行防护。其解决方案是基于全生命周期的安全资产监控,从披露资产开始,持续监控资产变化,实时获取资产情报。
资料来源:https://36kr.com/p/1705808978712324

14.Fortress融资1.25亿美元以保护关键行业供应链
Fortress Information Security宣布完成融资1.25亿美元,该投资计划用于帮助关键行业运营商和政府机构保护其供应链。Fortress开发了一个平台,旨在帮助关键行业的组织评估、管理和解决与软件、资产和供应商相关的供应链风险。该解决方案是与电力公司合作开发的,该公司声称它现在被用于保护美国40%的电网。
资料来源:https://www.securityweek.com/fortress-raises-125-million-secure-critical-industry-supply-chains

15.零信任端点安全提供商ThreatLocker融资1亿美元
零信任端点安全提供商ThreatLocker宣布完成1亿美元的C轮融资。ThreatLocker为组织提供采用零信任安全方法的企业级服务器和端点解决方案:阻止所有不受信任的软件,包括库、脚本和勒索软件。ThreatLocker还声称其解决方案可以阻止已知和未知的应用程序漏洞,同时为客户提供对其环境中运行的应用程序的完全控制。
资料来源:https://www.securityweek.com/threatlocker-raises-100-million-zero-trust-endpoint-security-solution