工业网络安全“情报解码”-2021年第24期

工业网络安全“情报解码”-2021年第24期

时间:2021-12-11作者:安帝科技

本期摘要

    政策法规方面,中国工业信息安全产业发展白皮书(2020-2021)》发布,白皮书预计,2021年我国工业信息安全市场增长率将达31.83%,市场整体规模将增长至167.01亿元。互联网信息办公室印发《关于贯彻落实〈法治政府建设实施纲要(2021-2025年)〉的实施意见》,对网信法治政府建设工作作出部署安排。美国联邦贸易委员会修订其数据保护政策,增加了漏洞评估以及员工培训的要求。
    漏洞态势方面,僵尸网络Moobot盯上海康威视多种设备存在的漏洞,正在利用其广泛传播。SonicWall远程访问设备存在严重漏洞,未经身份验证的攻击者可利用其实现远程代码执行。Kaseya Unitrends备份设备中存在12个漏洞,其中两个严重漏洞CVSS评分均为9.8,都会带来远程代码执行风险。Eltima开发的第三方驱动程序软件中存在多个漏洞,包括Amazon Workspaces在内的多个云服务提供商受影响。CHIP研究人员发现9款知名Wi-Fi路由器存在226个潜在的安全漏洞,数百万用户可能会受到这些漏洞的影响。
    安全事件方面,美国联邦调查局警告古巴勒索软件攻击关键基础设施,并发布了一系列建议的缓解措施。澳大利亚电力供应商CS Energy遭勒索软件攻击,该公司网络上的设备被破坏。无独有偶,科罗拉多电力公司也遭受了勒索软件攻击,其90%的内部控制和系统被破坏。美国网络司令部与23国演示协作网络防御,旨在强化网络安全。美国网络司令部负责人证实,该机构已开始对国际勒索软件团伙采取直接行动,以遏制对美国公司和基础设施的攻击。黑客从BitMart窃取了价值超1.5亿美元的加密货币。
    融资并购方面,工业网络安全公司Claroty融资4亿美元,将新资金全部用于收购医疗物联网安全公司Medigate。身份验证公司Incode融资2.2亿美元,已成为了一家独角兽企业。电子邮件安全公司IronScales融资6400万美元,计划利用新资金扩大其全球足迹,并扩展其平台的功能。

  1. 1、中国工业信息安全产业发展白皮书(2020-2021)》发布
  2. 在12月8日举行的2021年中国工业信息安全大会上,《中国工业信息安全产业发展白皮书(2020-2021)》发布。白皮书预计,2021年我国工业信息安全市场增长率将达31.83%,市场整体规模将增长至167.01亿元,在政策加持、技术创新、需求升级等多因素综合驱动下,我国工业信息安全产业将继续保持高景气度。白皮书显示,2020年我国工业信息安全产业规模在疫情背景下逆势上扬达126.69亿元,增长率为27.02%。其中,工业信息安全产品类市场规模达43.97亿元,占市场总额的81.3%,全服务类市场规模为10.11亿元,占比达18.7%。
    资料来源:http://finance.people.com.cn/n1/2021/1208/c1004-32302844.html

    1. 2、互联网信息办公室印发《关于贯彻落实〈法治政府建设实施纲要(2021-2025年)〉的实施意见》
    2. 国家互联网信息办公室印发《关于贯彻落实〈法治政府建设实施纲要(2021-2025年)〉的实施意见》,对网信法治政府建设工作作出部署安排。
      《实施意见》围绕7个方面部署了主要任务:一是推动更好发挥行政管理服务重要作用;二是加快推进网络治理规范化程序化法治化;三是提升行政决策公信力和执行力;四是全面推进严格规范公正文明执法;五是推动增强全民网络法治观念;六是依法有效化解社会矛盾纠纷;七是促进行政权力规范透明运行。
      《实施意见》要求,强化组织保障,扎实做好组织实施,强化督促检查,提高依法行政能力和水平,推动网信干部自觉尊法学法守法用法,确保各项任务措施落到实处。
      资料来源:http://www.cac.gov.cn/2021-12/07/c_1640475511611668.html

      1. 3、美国联邦贸易委员会修订其数据保护政策
      2. 美国联邦贸易委员会(FTC)已修订其数据保护政策,对处理客户信息的金融机构实施更严格的规定。此次修订是该规则历史上的第一次,旨在解决近年来困扰金融服务行业的信息安全复杂性显著增加和破坏性数据泄露的无情链。添加的新要求包括,金融机构必须履行例如书面风险评估、渗透测试和漏洞评估以及员工培训的义务。
        资料来源:https://portswigger.net/daily-swig/ftc-implements-tougher-data-protection-rules-to-safeguard-customer-information?&web_view=true

        1. 4、僵尸网络Moobot盯上海康威视设备漏洞
        2. Fortinet研究人员发现,基于Mirai的Moobot僵尸网络通过利用海康威视产品网络服务器中的严重漏洞迅速传播,该漏洞被跟踪为CVE-2021-36260,影响海康威视的70多个摄像机和NVR,攻击者可利用该漏洞获得root访问权限并完全接管易受攻击的设备,而无需任何形式的用户交互。Fortinet警告说,攻击者正试图利用该漏洞来部署各种有效载荷,使他们能够探测设备或提取敏感数据。
          资料来源:https://securityaffairs.co/wordpress/125409/malware/moobot-botnet-hikvision.html

          1. 5、SonicWall远程访问设备存在严重漏洞
          2. SonicWall敦促其客户尽快解决影响其安全移动访问(SMA)100系列设备的8个已修复的漏洞。其中最严重的是CVE-2021-20038,CVSS评分9.8,未经身份验证的攻击者可利用其导致基于堆栈的缓冲区溢出并在易受攻击的设备上实现代码执行。修复CVE-2021-20045漏洞,CVSS评分9.4,为基于堆和基于堆栈的缓冲区溢出漏洞,可被利用以在没有身份验证的情况下远程执行代码。
            资料来源:https://www.securityweek.com/sonicwall-customers-warned-high-risk-flaws-remote-access-appliances

            1. 6、KaseyaUnitrends备份设备中存在严重漏洞
            2. Kaseya修复了其Unitrends备份设备中的12个漏洞,包括两个严重漏洞,每个漏洞都会带来远程代码执行风险。其中未经身份验证的SQL注入漏洞(跟踪为CVE-2021-43035,CVSS评分9.8)使潜在攻击者有可能在Postgres超级用户帐户下注入任意SQL查询。未经身份验证的远程代码执行CVE-2021-43033,CVSS评分也是9.8,可被利用以 root 身份执行任意代码,由传递给系统调用的不可信输入(由服务器接收)引起的。
              资料来源:https://portswigger.net/daily-swig/critical-web-security-flaws-in-kaseya-unitrends-nbsp-backup-appliances-remediated-after-researchers-disclosure?&web_view=true

              1. 7、EltimaSDK存在多个影响云服务提供商的漏洞
              2. 安全公司SentinelOne披露了Eltima开发的第三方驱动程序软件中的多个漏洞,这些漏洞已被Amazon Workspaces、Accops和No Machine等云桌面解决方案“不知不觉地继承”,这些漏洞允许攻击者提升权限,使他们能够禁用安全产品、覆盖系统组件、破坏操作系统或不受阻碍地执行恶意操作。这些漏洞可以追溯到负责USB重定向的两个驱动程序“wspvuhub.sys”和“wspusbfilter.sys”引发的缓冲区溢出,这可能导致以内核模式权限执行任意代码。
                资料来源:https://thehackernews.com/2021/12/eltima-sdk-contain-multiple.html?&web_view=true

                1. 8、常见Wi-Fi路由器中的数百个漏洞影响数百万用户
                2. 德国IT杂志CHIP的安全研究人员和编辑在来自知名制造商(Asus、AVM、D-Link、Netgear、Edimax、TP-Link、Synology和Linksys)的9款Wi-Fi路由器中发现了226个潜在的安全漏洞,数百万用户可能会受到这些漏洞的影响。研究人员发现的大部分漏洞影响的路由器是TP-Link Archer AX6000,共存在32个漏洞,其次是Synology RT-2600ac有30个问题,Netgear Nighthawk AX12有29个漏洞。
                  资料来源:https://securityaffairs.co/wordpress/125286/hacking/vulnerabilities-common-wi-fi-routers.html?web_view=true

                  1. 9、美国联邦调查局警告古巴勒索软件攻击关键基础设施
                  2. 美国联邦调查局(FBI)就针对古巴关键基础设施的勒索软件攻击发出警告。FBI称,截至2021年11月,古巴勒索软件背后的团伙设法危害了美国政府、医疗保健、金融、信息技术和制造部门的至少49个实体。为了帮助组织更好地抵御这种威胁,联邦调查局发布了与古巴勒索软件相关的妥协指标(IoC),以及有关该团伙采用的策略、技术和程序(TTP)的详细信息,以及一系列建议的缓解措施。
                    资料来源:https://www.securityweek.com/fbi-warns-cuba-ransomware-attacks-critical-infrastructure

                    1. 10、澳大利亚电力供应商CS Energy遭勒索软件攻击
                    2. 12月9日,澳大利亚电力供应商 CS Energy 遭到勒索软件攻击,但该公司表示发电并未受到影响,并否认此次攻击是由国家资助的威胁组织实施的说法。该攻击于11月27日被发现,该公司在几天后向公众通报了该事件。勒索软件团伙Conti声称对此次澳大利亚电力公司 CS Energy的攻击负责。CS Energy 表示,勒索软件破坏了其公司网络上的设备,该公司正在努力恢复受影响的系统。
                      资料来源:https://www.securityweek.com/australian-electricity-provider-cs-energy-hit-ransomware

                      1. 11、网络攻击对科罗拉多电力公司造成严重破坏
                      2. Delta-Montrose电力协会(DMEA)是位于科罗拉多州的当地电力合作社。该公司在11月7日发现其内部网络遭到破坏,网络攻击导致其电话、电子邮件、账单和客户帐户系统中断,该公司还确认内部文件已“损坏”,这种情况表明DMEA受到了勒索软件攻击。DMEA表示其90%的内部控制和系统被破坏,大部分可追溯到20多年的历史数据被泄露。
                        资料来源:https://www.securityweek.com/cyberattack-causes-significant-disruption-colorado-electric-utility

                        1. 12、美国网络司令部确认对勒索软件团伙采取直接行动
                        2. 美国网络司令部负责人Paul M. Nakasone证实,该机构已开始对国际勒索软件团伙采取直接行动,以遏制对美国公司和基础设施的攻击。美国网络司令部正在与美国国家安全局、联邦调查局和其他联邦实体携手合作。他指出,“速度、敏捷和团结一致”这三个因素是打击威胁的关键。
                          资料来源:https://www.zdnet.com/article/us-cyber-command-head-confirms-direct-actions-against-ransomware-gangs/?&web_view=true

                          1. 13、美国网络司令部与23国演示协作网络防御
                          2. 美国网络司令部于11月15日至20日在弗吉尼亚州萨福克联合基地举行的CYBER FLAG 21-1演习期间展示了与其国际合作伙伴的集体网络防御。该司令部表示,此次演习采用了美国网络司令部的实时虚拟训练环境,有英国、瑞典、加拿大、德国、挪威和法国等12个国家参与。德国亲自参加了此次活动,而其他国家则以虚拟方式参加。参与者检测到模拟威胁,然后在演习期间提出了网络强化方法。
                            资料来源:https://www.cybercom.mil/Media/News/Article/2861207/dept-of-defenses-largest-multinational-cyber-exercise-yet-focuses-on-collective/

                            1. 14、黑客从BitMart窃取了价值超1.5亿美元的加密货币
                            2. 加密货币交易平台BitMart披露了一起“大规模安全漏洞”,该漏洞归咎于私钥被盗,导致超过1.5亿美元的各种加密货币被盗。据称,该漏洞影响了其在以太坊(ETH)区块链和币安智能链(BSC)上的两个热钱包。该公司指出,钱包仅携带“一小部分”资产。”热钱包与冷钱包不同,它们连接到互联网并允许加密货币所有者接收和发送代币。
                              资料来源:https://thehackernews.com/2021/12/hackers-steal-200-million-worth-of.html

                              1. 15、Claroty融资4亿美元,收购医疗物联网安全公司Medigate
                              2. 工业网络安全公司Claroty 12月8日宣布已在E轮融资中筹集了4亿美元,并透露已达成协议收购医疗物联网安全公司Medigate。Claroty提供旨在帮助组织发现、管理和保护其OT、IoT和IIoT资产的解决方案。其产品提供可见性、威胁检测、安全远程访问以及风险和漏洞管理功能。Claroty所有新资金都用于收购Medigate,并表示该计划是将他们的专业知识和技术整合到一个平台中。Medigate开发了一个医疗物联网安全平台,提供资产发现、漏洞识别和风险评估、保护、监控和优化功能。
                                资料来源:https://www.securityweek.com/claroty-raises-400-million-acquires-healthcare-iot-security-firm-medigate

                                1. 16、身份验证公司Incode融资2.2亿美元
                                2. 身份验证和身份验证公司Incode宣布,在完成2.2亿美元的B轮融资后,它已成为了一家独角兽企业。Incode成立于2015年,提供了一个全面的身份管理平台,从引导客户到为他们提供无缝身份验证。Incode的解决方案完全自动化并建立在公司的技术堆栈上,旨在提供实时响应并更好地防止欺诈。通过生物识别检查,该解决方案使用户能够轻松付款、授权交易、登录应用程序和服务等。
                                  资料来源:https://www.securityweek.com/identity-verification-company-incode-raises-220-million-125-billion-valuation

                                  1. 17、电子邮件安全公司IronScales融资6400万美元
                                  2. IronScales是一家利用人工智能技术确保电子邮件安全的公司,已完成6400万美元的C轮融资。IronScales表示其云原生电子邮件安全平台具有自学功能,可以减轻企业电子邮件的危害,并防止网络钓鱼、帐户接管、凭据收集和类似的高级威胁。IronScales声称其安全解决方案几乎可以立即识别可疑电子邮件,还提供事件响应功能。该公司计划利用新资金扩大其全球足迹,并扩展其平台的功能。
                                    资料来源:https://www.securityweek.com/email-security-company-ironscales-raises-64-million