工业网络安全“情报解码”-2022年第1期

工业网络安全“情报解码”-2022年第1期

时间:2021-01-08 作者:安帝科技

本期摘要
政策法规方面,网信办等十三部门修订发布《网络安全审查办法》,对保障国家网络安全和数据安全具有重要意义。网信办等四部门发布《互联网信息服务算法推荐管理规定》,旨在规范互联网信息服务算法推荐活动。网信办发布《移动互联网应用程序信息服务管理规定(征求意见稿)》,明确应用程序提供者应当规范经营管理行为,不得通过虚假宣传、捆绑下载等行为。
漏洞态势方面,网络安全公司卡巴斯基的研究人员发现,全球近10%的ICS系统可能受Log4Shell漏洞影响。H2数据库控制台存在类似log4shell的JNDI漏洞,虽然这个漏洞不像Log4Shell那样普遍,但如果不加以解决,它仍然会对开发人员和生产系统产生巨大影响。VMware修复了其产品中的漏洞,威胁行为者可以利用该漏洞控制受影响的系统。谷歌在2022年推出了其Chrome浏览器的第一轮更新,以修复37个安全漏洞,包括一个严重漏洞。苹果iOS系统存在严重漏洞,并且可以简单触发,众多设备面临遭受DoS攻击的风险。
安全事件方面,退役英国空军元帅表示,英国国防学院遭网络攻击,促使其加快了重建整个网络并使其更具弹性的计划。美国佛罗里达州医院系统透露,超过130万人在Broward Health的数据泄露事件中受到影响。领先的学校网站服务提供商FinalSite遭受勒索软件攻击,导致全球数千所学校无法访问网站。
融资并购方面,融安网络完成亿级C轮融资,融资资金将主要用于产品研发、市场拓展以及团队建设等方面。志翔科技完成亿级C轮融资,大数据技术助力工业领域“双碳”落地。芯华章宣布获得数亿元Pre-B+轮融资,将进一步夯实芯华章在国产验证EDA领域的领军地位。反机器人欺诈检测公司HUMAN获得1亿美元投资,并宣布计划扩展到新的产品类别。

1、网信办等十三部门修订发布《网络安全审查办法》
近日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局等十三部门联合修订了《网络安全审查办法》,自2022年2月15日起施行。新《办法》将中国证券监督管理委员会纳入网络安全审查工作机制。《办法》将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查,并明确掌握超过100万用户个人信息的网络平台运营者赴国外上市必须向网络安全审查办公室申报网络安全审查。根据审查实际需要,增加证监会作为网络安全审查工作机制成员单位,同时完善了国家安全风险评估因素等内容。
资料来源:http://www.cac.gov.cn/2022-01/04/c_1642894602182845.htm

    2、网信办等四部门发布《互联网信息服务算法推荐管理规定》

      近日,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合发布《互联网信息服务算法推荐管理规定》,自2022年3月1日起施行。国家互联网信息办公室有关负责人表示,出台《规定》,旨在规范互联网信息服务算法推荐活动,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,促进互联网信息服务健康发展。《规定》明确,应用算法推荐技术,是指利用生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类等算法技术向用户提供信息。国家网信部门负责统筹协调全国算法推荐服务治理和相关监督管理工作。

    资料来源:http://www.cac.gov.cn/2022-01/04/c_1642894606364259.htm

      3、网信办发布《移动互联网应用程序信息服务管理规定(征求意见稿)》国家互联网信息办公室1月5日对外公布《移动互联网应用程序信息服务管理规定(征求意见稿)》,《征求意见稿》提出,开展应用程序数据处理活动,应当履行数据安全保护义务,建立健全全流程数据安全管理制度,采取保障数据安全技术措施和其他安全措施,加强风险监测,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。从事应用程序个人信息处理活动应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的并公开处理规则,遵守必要个人信息范围的有关规定,规范个人信息处理活动,采取必要措施保障个人信息安全,不得以任何理由强制要求用户同意非必要的个人信息处理行为,不得因用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务。
      资料来源:http://www.cac.gov.cn/2022-01/05/c_1642983962594050.htm

        4、全球近10%的ICS系统可能受Log4Shell漏洞影响
        网络安全公司卡巴斯基的研究人员根据对其遥测数据的分析,发现全球至少有十分之一的工业控制系统(ICS)可能已经受到Log4Shell漏洞的影响。卡巴斯基表示,Log4Shell漏洞的首要问题在于其影响的规模之大,因为它在不同程度上影响了大量产品,每一种都以不同的方式,识别网络上的所有易受攻击的资产可能是一项挑战,尤其是在地理上大型工业组织的分布式异构环境。该公司还指出,目前难以评估的OT系统的其他风险领域与使用脆弱的软件有关,对工业物联网(IIoT)和智能能源应用提出了警告。
        资料来源:https://industrialcyber.co/threats-attacks/log4shell-vulnerability-may-have-affected-close-to-10-percent-of-ics-systems-globally/

          5、H2数据库控制台存在类似log4shell的JNDI漏洞
          JFrog研究人员在H2数据库控制台中发现了一个基于JNDI的严重漏洞,该漏洞类似于Log4Shell,但它不会像Log4Shell那样普遍。Java命名和目录接口(JNDI)是一种API,可为Java应用程序提供命名和目录功能。H2是一种广泛使用的开源Java SQL数据库,用于各种项目,从Spring Boot等Web平台到Thing Works等物联网平台。H2数据库框架中的几个代码路径在攻击者控制的URL中未经过滤地传递给javax.naming.Context.lookup函数,该函数允许远程代码库加载。在该问题的所有攻击媒介中,最严重的是通过H2控制台。
          资料来源:https://www.zdnet.com/article/jfrog-researchers-find-jndi-vulnerability-in-h2-database-consoles-similar-to-log4shell/

            6、VMware修复其产品中的漏洞
            VMWare已发布了Workstation、Fusion和ESXi产品的更新,以修复一个堆溢出漏洞,该漏洞被跟踪为CVE-2021-22045,CVSS评分7.7,如果成功利用该漏洞,将可能导致任意代码执行。VMware在1月4日发布的一份公告中表示:“对具有CD-ROM设备模拟的虚拟机拥有访问权限的恶意行为者来说,其能够结合其他问题利用此漏洞从虚拟机执行管理程序上的代码。”
            资料来源:https://thehackernews.com/2022/01/vmware-patches-important-bug-affecting.html

              7、谷歌修复Chrome中的37个漏洞
              谷歌在2022年推出了其Chrome浏览器的第一轮更新,以修复37个安全漏洞,包括一个严重漏洞,该漏洞被跟踪为CVE-2022-0096,与存储组件中的释放后使用错误有关,该漏洞可能具有破坏性影响,从破坏有效数据到在受感染机器上执行恶意代码。还值得指出的是,在37个发现的漏洞中,有24个来自外部研究人员,包括其谷歌零项目计划。在24个漏洞中,10个被评为高危,另外10个被评为中危,三个在严重性上被评为低危。
              资料来源:https://www.securityweek.com/chrome-97-patches-37-vulnerabilities

                8、苹果iOS系统存在严重漏洞
                安全研究员Trevor Spiniolas在Apple的iOS移动操作系统中发现了一个持续性拒绝服务(DoS)漏洞,该漏洞能够在连接到Apple Home兼容设备时使受影响的设备进入崩溃或重启循环。该漏洞与HomeKit相关,HomeKit是Apple的软件框架,允许iOS用户使用Apple设备配置、通信和控制连接的配件和智能家居设备。该漏洞被称为“doorLock”,它可以通过简单地将HomeKit设备的名称更改为大于500,000个字符的字符串来触发。
                资料来源:https://www.securityweek.com/unpatched-homekit-vulnerability-exposes-iphones-ipads-dos-attacks

                  9、英国国防学院遭网络攻击并造成重大影响
                  天空新闻报道称,2021年8月退休的英国空军元帅Edward Stringer在离开军队后的第一次电视采访中表示,2021年3月英国国防学院遭受了“复杂”黑客攻击,对其产生了深刻影响,促使国防学院加快了重建整个网络并使其更具弹性的计划。国防部的数字部门对网络攻击展开了调查,但尚未发现任何结果,比如谁是幕后黑手尚未公开。这是首次有高级官员公开谈论网络攻击及其对学院的影响。该学院每年为数千名英国和海外军官授课。
                  资料来源:https://news.sky.com/story/cyber-attack-on-uks-defence-academy-had-significant-impact-officer-in-charge-at-the-time-reveals-12507570

                    10、BrowardHealth数据泄露影响了130万人
                    美国佛罗里达州医院系统透露,超过130万人在Broward Health的数据泄露事件中受到影响。该事件于2022年1月1日披露,当时该组织宣布未经授权访问第三方医疗服务提供商导致患者和员工数据遭到泄露。可能泄露的数据包括姓名、出生日期、联系信息(地址和电话号码)、驾照号码、社会安全号码、财务信息、保险数据和医疗信息例如病情、诊断、病史、治疗和病历编号。Broward Health表示,没有迹象表明泄露的信息可能被滥用或用于实施欺诈。
                    资料来源:https://www.securityweek.com/broward-health-data-breach-impacts-13-million-people

                      11、数千个学校网站遭勒索软件攻击被迫关闭
                      领先的学校网站服务提供商FinalSite遭受勒索软件攻击,导致全球数千所学校无法访问网站。FinalSite是一家软件即服务(SaaS)提供商,为美国K-12学区和大学提供网站设计、托管和内容管理解决方案。1月4日,使用FinalSite托管其网站的学区发现它们不再可用或显示错误。在中断三天后,FinalSite 于1月6日证实,对其网络的勒索软件攻击导致了中断。目前尚不清楚是哪个勒索软件团伙对FinalSite进行了攻击,以及数据是否作为攻击的一部分被盗。
                      资料来源:https://www.bleepingcomputer.com/news/security/finalsite-ransomware-attack-shuts-down-thousands-of-school-websites/

                        12、融安网络完成亿级C轮融资
                        深圳融安网络科技有限公司宣布完成亿级 C轮融资,融资资金将主要用于产品研发、市场拓展以及团队建设等方面。融安网络作为专注于工业控制系统全生命周期解决方案提供商,在市场策略上针对国家电网、南方电网等行业标杆客户采取直接深度服务模式,目前已率先在核电电力、石油化工、轨道交通、冶金烟草、智能制造等行业规模化商业应用。
                        资料来源:https://mp.weixin.qq.com/s/SAkjlZl5fDO_lIT7NtvmTw

                          13、志翔科技完成亿级C轮融资
                          中国工业大数据创新企业志翔科技宣布近日已完成由君联资本领投的数亿元人民币C轮融资。融资资金将聚焦投入公司大数据技术底层平台建设,并在工业大数据平台、服务、终端和数据安全四个方向上继续加强研发、产品和服务的创新与市场拓展,从而更好地服务于能源电力等国家重要工业领域,助力产业数智化转型发展与国家“双碳”战略布局实施。目前,志翔已建立起强大的大数据底层技术平台。平台兼备领先的行业know-how与大数据能力,已获百余项自主研发核心技术认证,在执行性能、描述工程效率、数据治理引擎效率等多项关键技术指标上形成领先优势。
                          资料来源:http://stock.10jqka.com.cn/usstock/20220105/c635689070.shtml

                            14、芯华章宣布获得数亿元Pre-B+轮融资
                            芯华章是一家EDA智能工业软件级系统研发商,致力于集成电路电子自动化领域,可为半导体行业用户提供芯片设计、EDA智能软件和系统等产品。1月6日宣布完成数亿元Pre-B+轮融资,由国家制造业转型升级基金旗下的国开制造业转型升级基金领投。本轮融资将加大产品研发投入,进一步夯实芯华章在国产验证EDA领域的领军地位,并加快新一代EDA的下一阶段研究及技术创新。
                            资料来源:https://www.chinaventure.com.cn/news/80-20220106-366572.html

                              15、反机器人欺诈检测公司HUMAN获得1亿美元投资
                              反机器人和欺诈检测初创公司HUMAN Security已完成新一轮1亿美元的融资,并宣布计划扩展到新的产品类别。该公司的产品组合包括在桌面、移动和CTV环境中保护数字媒体和广告免受欺诈和滥用的工具,以及保护网站和应用程序免受数字欺诈和滥用的技术,包括帐户接管攻击、新帐户欺诈、欺诈交易和敏感内容。该公司表示,其平台每周可以验证一些最大的公司和互联网平台超过15万亿次互动的真实性。
                              资料来源:https://www.securityweek.com/anti-bot-fraud-detection-firm-human-snags-100m-investment