工业网络安全“情报解码”-2022年第7期
时间:2022-02-20作者:安帝科技
本期摘要
政策法规方面,新西兰政府推出漏洞披露政策,研究人员可在“不归咎”的基础上报告漏洞,但不会提供任何赏金。
漏洞态势方面,Moxa的MXview工业网络管理软件存在严重漏洞,攻击者可利用其操纵设备配置和固件更新来改变进程并影响设备完整性。Apache Cassandra数据库软件存在高危漏洞,但幸运的是,该漏洞仅影响Cassandra的非默认配置。Risk Based Security 的2021年漏洞报告显示,2021年披露的漏洞达到了28695个,其中发现漏洞最多的产品前10名主要为Linux系统。GitHub推出代码扫描功能以发现更多漏洞。
安全事件方面, BlackByte勒索软件入侵美国关键基础设施,包括政府设施、金融以及食品和农业。俄罗斯黑客在对承包商的攻击中窃取了美国国防数据,但并非机密信息。乌克兰国防部、内政部、武装部队以及两家国有银行遭到DDoS攻击,服务中断。NSA、CISA将在ICS/OT网络中采用Dragos的Neighborhood Keeper技术,以加强全国关键基础设施安装的安全性和可见性。新加坡将为关键基础设施进行量子安全网络试验,以提供更强大的安全性。NIST发布最新版软件供应链安全指导,以加强网络安全。
融资并购方面,安全分析公司Securonix融资超10亿美元,提供SIEM和扩展检测和响应(XDR)技术。软件安全公司Legit Security融资3000万美元,旨在解决软件供应链安全问题。欺诈预防平台Sardine融资1950万美元,新资金将用于产品开发。机器人检测公司Netacea融资1200万美元,以建立其反欺诈技术平台。
1、新西兰政府推出漏洞披露政策
新西兰政府通信安全局(GCSB)已建议政府机构引入漏洞披露政策(VDP)。GCSB在其最新的安全手册中表示,各机构应建立一个流程,允许公众报告潜在的软件漏洞或其他安全问题。每个机构都将负责根据其持有信息的敏感性、已采取的安全措施以及其网络分段或以其他方式隔离敏感信息的能力来制定自己的政策。应在90天内修复、缓解或管理漏洞。
资料来源:https://portswigger.net/daily-swig/new-zealand-government-mandates-bug-reporting-process-for-federal-agencies?&web_view=true
2、MoxaMXview漏洞使工业网络遭受攻击
Claroty的研究人员在Moxa的MXview工业网络管理软件中发现了5个漏洞,包括1个CVSS评分10.0,2个CVSS评分9.8的严重漏洞。Moxa MXview是一个基于Web的网络管理系统,用于配置、监控和诊断工业网络中的网络设备。攻击者可以通过链接这些漏洞来利用未修补的Moxa服务器来获实现远程代码执行,获取到管理员访问权限的攻击者可以操纵Moxa设备的配置和固件更新来改变进程并影响设备完整性。
资料来源:https://www.securityweek.com/moxa-mxview-vulnerabilities-expose-industrial-networks-attacks
3、ApacheCassandra数据库软件存在高危漏洞
JFrog公司研究人员发现Apache Cassandra数据库软件中存在高危漏洞的详细信息,并且有可能对系统造成严重破坏,但幸运的是,该漏洞仅影响Cassandra的非默认配置。Apache Cassandra是一个开源的分布式NoSQL数据库管理系统,用于跨商品服务器管理大量结构化数据。该漏洞被跟踪为CVE-2021-44521,CVSS评分8.4,涉及启用用户定义函数(UDF)配置的特定场景,有效地允许攻击者利用Nashorn JavaScript引擎、逃离沙箱和实现不可信代码的执行。
资料来源:https://thehackernews.com/2022/02/high-severity-rce-security-bug-reported.html
4、2021年披露的漏洞高达28695个
RiskBased Security 2月14日发布了其2021年漏洞报告,报告显示去年披露的漏洞达到了刷新纪录的28,695个,与2020年披露的23,269个相比有了显著增加。在2021年披露的漏洞中,超过4100个是可远程利用的,有公开的利用方法,并且也有补丁或缓解措施。该公司称,通过首先关注这些安全漏洞,组织可以将风险降低86%。至于2021年发现漏洞最多的产品,前10名主要为Linux发行版,最大的变化是不包括任何版本的Windows。
资料来源:https://www.securityweek.com/over-28000-vulnerabilities-disclosed-2021-report
5、GitHub推出代码扫描功能以发现更多漏洞
代码托管平台GitHub 2月17日推出了新的基于机器学习的代码扫描分析功能,可以在最终投入生产之前自动发现更常见的安全漏洞。这些新的实验性静态分析功能现在可用于公共测试版的JavaScript和TypeScript GitHub存储库。在beta测试期间,代码扫描功能被用于扫描超过12,000个存储库140万次,发现了超过20,000个安全漏洞,包括远程代码执行(RCE)、SQL注入和跨站点脚本(XSS)漏洞。
资料来源:https://www.bleepingcomputer.com/news/security/github-code-scanning-now-finds-more-security-vulnerabilities/
6、BlackByte勒索软件入侵美国关键基础设施
美国联邦调查局(FBI)和美国特勤局(USSS)已发布网络安全公告,提供有关BlackByte勒索软件的技术细节。据称,截至去年11月,该集团已经损害了美国多家企业,涉及至少三个美国关键基础设施领域的实体,包括政府设施、金融以及食品和农业。BlackByte可执行文件会在所有发生加密的目录中留下赎金记录。赎金记录包括.onion网站,其中包含支付赎金和接收解密密钥的说明。一些受害者报告说,黑客利用已知的Microsoft Exchange Server漏洞作为访问其网络的一种手段。
资料来源:https://industrialcyber.co/threats-attacks/fbi-usss-warns-about-blackbyte-ransomware-provide-associated-indicators-of-compromise/
7、俄罗斯黑客在对承包商的攻击中窃取了美国国防数据
根据美国网络安全与基础设施安全局(CISA)发布的一份咨询报告,与美国政府合作的已获批准的国防承包商已成为俄罗斯黑客的猎物,他们的目标是获取敏感的国防和情报数据。其系统遭到俄罗斯黑客入侵的承包商与陆军、空军、海军、太空部队以及国防部和情报项目合作。虽然被泄露的信息被描述为“非机密”,但它对外国政府仍然非常有价值,因为它包括专有和出口管制信息。
资料来源:https://industrialcyber.co/threats-attacks/russian-cyber-hackers-gain-access-to-unclassified-american-cleared-defense-contractor-data/
8、乌克兰政府称国防部和银行网站遭DDoS攻击
乌克兰战略通信和信息安全中心在2月15日向Facebook发布了一条消息,称银行和政府机构(包括国防部、内政部、武装部队)受到了“大规模”分布式拒绝服务(DDoS)网络攻击。乌克兰国防部在推特上表示,它“可能”成为了DDoS攻击的目标,并且正在通过Facebook和Twitter进行通信。乌克兰国家特殊通信和信息保护局称其为“对大量信息资源的强大DDOS攻击”,并表示专家“正在采取一切必要措施来抵抗和定位网络攻击”。
资料来源:https://www.cyberscoop.com/ukraine-banks-defense-ministry-ddos/
9、NSA、CISA将在ICS/OT网络中采用Dragos的Neighborhood Keeper技术
工业网络安全供应商Dragos与美国国家安全局(NSA)和网络安全与基础设施安全局(CISA)达成了一项公私合作计划。此举将在ICS/OT网络中使用该公司的Neighborhood Keeper技术,以加强全国关键基础设施安装的安全性和可见性。Neighborhood Keeper是一个免费的、可选的、匿名的信息共享网络,部署在工业基础设施的关键部门。Dragos表示,NSA和CISA将在Trusted Advisor角色下使用Neighborhood Keeper,使他们的分析师能够了解工业基础设施社区面临的ICS/OT网络威胁。
资料来源:https://industrialcyber.co/cisa/nsa-cisa-chooses-dragos-neighborhood-keeper-for-real-time-sharing-of-intelligence-across-ics-ot-networks/
10、新加坡将为关键基础设施进行量子安全网络试验
新加坡的量子工程计划(QEP)在2月17日的一份声明中表示,量子安全通信技术的全国性试验旨在为关键基础设施和处理敏感数据的公司提供强大的网络安全性。这一点至关重要,因为预计公钥加密在未来很容易受到量子计算机的攻击。量子安全通信技术旨在通过专门的硬件和新的加密算法来应对量子计算的威胁。它们可以保护政府的通信系统、能源网等关键基础设施以及在医疗保健和金融等领域处理敏感数据的公司。
资料来源:https://www.zdnet.com/article/singapore-to-build-quantum-safe-network-for-critical-infrastructure-trials/
11、NIST发布最新版软件供应链安全指导
美国国家标准与技术研究所(NIST)发布了关于确保软件供应链安全的最新指导,以响应拜登政府旨在加强国家网络安全的行政令。NIST建议美国企业采取一系列最起码的安全措施,包括统一软件供应链报告语言,并要求对软件使用和开发方面的安全实践进行证明。
资料来源:https://www.securitymagazine.com/articles/97082-nist-updates-software-supply-chain-security-guidance
12、安全分析公司Securonix融资超10亿美元
提供SIEM和扩展检测和响应(XDR)技术的网络安全公司Securonix宣布,它已获得了超过10亿美元的资金。该公司提供基于SaaS的多租户安全分析、运营和响应平台,可提供可见性和高级检测和响应。据Securonix称,巨额资金将使其能够在工程、云运营、威胁实验室以及销售和营销方面的人才招聘方面进行重大投资。
资料来源:https://www.securityweek.com/security-analytics-firm-securonix-scores-1-billion-growth-investment
13、软件安全公司Legit Security融资3000万美元
软件安全公司Legit Security完成了3000万美元的A系列投资,该公司致力于通过自动化漏洞发现、安全策略执行和持续保证等任务来保护软件供应链免受攻击。Legit Security表示,新的现金注入将推动其工程团队的扩张,以及其在美国的上市组织的发展。Legit Security表示,其平台可用于扫描软件开发管道中的漏洞和泄漏、这些管道内的开发基础设施和系统,以及在其中运行时的人员及其安全卫生。
资料来源:https://www.securityweek.com/legit-security-raises-30m-tackle-supply-chain-security
14、欺诈预防平台Sardine融资1950万美元
基于行为的金融欺诈预防和合规平台Sardine完成了1950万美元的A轮融资。该公司表示,将利用新资金产品开发,以及招聘新人才。自2021年推出以来,Sardine已将50多家金融科技、加密和NFT公司添加到其客户名单中,并扩展了其欺诈预防平台,以便用户现在可以为加密入口进行即时银行ACH转账。Sardine的平台依靠人工智能,基于用户的身份、行为模式和设备进行实时欺诈评分,并持续监控账户的欺诈行为。
资料来源:https://www.securityweek.com/sardine-raises-195-million-fraud-prevention-platform
15、机器人检测公司Netacea融资1200万美元
早期机器人检测和缓解公司Netacea已完成1200万美元的A轮投资,以建立其反欺诈技术平台。该公司专注于检测和缓解针对Web、移动和API应用程序的机器人攻击。Netacea的平台使用威胁情报和机器学习算法,通过几乎立即分析Web和API日志来提供实时机器人缓解功能。Netacea计划利用新资金扩大其在英国和美国的市场占有率。此外,该公司表示计划通过招聘开发、数据分析、数据科学和威胁研究方面的新人才来扩大其团队。
资料来源:https://www.securityweek.com/bot-detection-firm-netacea-closes-12-million-funding-round