工业网络安全“情报解码”-2022年第5期
时间:2022-02-05作者:安帝科技
本期摘要
-
政策法规方面,美国国土安全部组建网络安全审查委员会,旨在统一政府对网络事件的反应,例如打击关键基础设施所有者和运营商的网络事件。欧盟将创建泛欧网络事件协调框架,旨在促进当局在发生重大网络事件时迅速协调和沟通。
漏洞态势方面,美国网络安全和基础设施安全局对Airspan Networks Mimosa中发现的严重漏洞发出警告,其中3个漏洞CVSS评分高达10.0。Sealevel公司的ICS设备存在严重漏洞,攻击者可以利用这些漏洞在易受攻击的设备上实现远程代码执行。网络安全公司Mandiant的研究显示,许多针对工业和关键基础设施组织的勒索软件攻击导致运营技术数据泄露。研究人员在全球最大的设备制造商使用的UEFI固件代码中发现了23个漏洞,影响全球数百万台企业设备,包括工控系统。随着对卫星系统的依赖与日俱增,威胁形势正在恶化,保护天基系统免受网络攻击已迫在眉睫。
安全事件方面, 德国主要石油储存公司Oiltanking GmbH Group遭到网络攻击,可能会导致供应链中断。比利时和荷兰多个港口遭遇网络攻击,软件被劫持,操作系统关闭,无法处理驳船。工业网络安全供应商Claroty的一项调查报告显示,2021年80%的OT/ICS组织经历了勒索软件攻击。
融资并购方面,Forescout收购医疗网络安全提供商CyberMDX,成为其进军医疗保健市场的关键。安全管理公司PlexTrac融资7000万美元,旨在改善各种规模的组织和安全团队的安全状况。政府对网络事件的反应,例如打击关键基础设施所有者和运营商的网络事件。国土安全部部长或CISA 负责人可以发起CSRB会议。
1、美国国土安全部组建网络安全审查委员会
美国国土安全部正在建立一个网络安全审查委员会,该委员会将在重大网络事件后召开会议,审查并采取行动。该委员会(CSRB)将有不超过20名成员,国土安全部、网络安全和基础设施保护局、司法部、国家安全局和联邦调查局各一名成员。委员会旨在统一政府对网络事件的反应,例如打击关键基础设施所有者和运营商的网络事件。国土安全部部长或CISA 负责人可以发起CSRB会议。
资料来源:https://www.cyberscoop.com/cyber-safety-review-board-dhs-federal-register/
2、欧盟将创建泛欧网络事件协调框架
欧洲系统性风险委员会(ESRB)提出了一个新的系统性网络事件协调框架,该框架将使欧盟相关当局在应对影响欧盟金融部门的重大跨境网络事件时能够更好地进行协调。ESRB还建议欧洲监管机构与ESRB和欧洲中央银行协调调查可能阻碍泛欧协调框架发展的任何可能的操作和法律障碍。ESRB强调,当局需要在发生重大网络事件时迅速协调和沟通,快速评估其影响并支持对金融部门的信心。
资料来源:https://www.bleepingcomputer.com/news/security/eu-to-create-pan-european-cyber-incident-coordination-framework/?&web_view=true
3、CISA对Airspan Networks Mimosa中发现的严重漏洞发出警告
美国网络安全和基础设施安全局(CISA)2月3日发布了工业控制系统咨询(ICSA)警告,警告Airspan Networks Mimosa设备中存在多个漏洞,这些漏洞可能被滥用以获取远程代码执行、创建拒绝服务(DoS)条件,并获取敏感信息。Airspan Network的Mimosa产品线为服务提供商、工业和政府运营商提供混合光纤-无线(HFW)网络解决方案,用于短程和远程宽带部署。其中3个漏洞CVSS评分10.0,攻击者可利用其执行任意代码、访问密钥,甚至修改配置。
资料来源:https://thehackernews.com/2022/02/cisa-warns-of-critical-vulnerabilities.html
4、Sealevel公司的ICS设备存在严重漏洞
思科Talos研究人员公布了Sealevel在SeaConnect370WWiFi连接的边缘设备中修复的一系列严重漏洞的细节。其中最严重的是三个缓冲区溢出漏洞,攻击者可以利用这些漏洞在易受攻击的设备上实现远程代码执行。CVE-2021-21960和CVE-2021-21961存在于SeaConnect370W暴露的LLMNR和NBNS域名解析服务中,CVSS评分均为10.0。第三个漏洞存在于SeaConnect370W的OTA更新“u-download”功能中,CVSS评分9.0,编号为CVE-2021-21962。
资料来源:https://www.securityweek.com/critical-vulnerabilities-found-sealevel-device-used-ics-environments
5、勒索泄露对关键的OT数据构成风险
网络安全公司Mandiant表示,许多针对工业和关键基础设施组织的勒索软件攻击导致运营技术(OT)数据泄露,这些数据可能对威胁参与者有用,包括进行网络物理攻击。该公司的研究人员分析了 2021年勒索软件攻击导致的大约2,600次数据泄漏,并确定其中大约1,300次影响了关键基础设施和工业组织。对其中70个泄漏事件的调查表明,其中10个包含技术敏感的OT信息。
6、保护天基系统免受网络攻击已迫在眉睫
卫星正在成为网络攻击者的一个新的、极具价值的目标,导航系统、电视广播、天气和气候监测、军事通信和物联网设备都依赖于天基系统。空客公司航空安全专家Schubert表示,随着对卫星系统的依赖与日俱增,威胁形势正在恶化,任何部署卫星或依赖天基系统的组织都可能受到影响。事实上,整个社会都依赖于天基系统。例如,偏远地区的通信、GPS 导航系统甚至电网都可能被成功的攻击完全摧毁。
资料来源:https://industrialcyber.co/threats-attacks/space-based-systems-need-to-be-protected-from-cyber-attackers-as-dependence-on-them-grows/
7、UEFI中的23个漏洞影响主要供应商的数百万台设备
固件安全公司Binarly的研究人员在全球最大的设备制造商使用的UEFI固件代码中发现了23个漏洞,这23个高危漏洞可能会影响数百万台企业设备,例如笔记本电脑、服务器、路由器、网络设备、工业控制系统 (ICS) 和边缘计算设备。受影响的供应商超过25家,包括惠普、联想、富士通、微软、英特尔、戴尔、公牛和西门子。对目标系统具有特权用户访问权限的攻击者可以利用这些漏洞安装高度持久的恶意软件。
资料来源:https://www.securityweek.com/two-dozen-uefi-vulnerabilities-impact-millions-devices-major-vendors
8、德国主要石油储存公司Oiltanking GmbH Group遭到网络攻击
1月29日,德国主要石油储存公司Oiltanking GmbH Group遭到网络攻击。此次网络攻击影响了Oiltanking以及矿物油贸易公司Mabanaft的IT系统。两家公司都隶属于世界上最大的能源供应公司之一的Marquard & Bahls集团。Oiltanking和Mabanaft在他们的联合声明中表示,他们正在努力尽快解决该问题并了解其全部波及范围。尽管目前评估中断情况很严重,如果公司需要很长时间才能解决由攻击引起的IT问题,供应链也可能会中断。
资料来源:https://www.cyberscoop.com/major-german-fuel-storage-provider-hit-with-cyberattack-working-under-limited-operations/
9、比利时和荷兰多个港口遭遇网络攻击
西欧一些最大港口的石油码头已成为网络攻击的受害者。比利时检察官已对该国港口的石油设施遭到黑客攻击展开调查,其中包括欧洲第二大港口。荷兰Riverlake的高级经纪人Jelle Vreeman表示,好多个码头都发生了网络攻击,相当多的码头遭到破坏。软件被劫持,无法处理驳船。系统已经关闭。主要受害者之一似乎是阿姆斯特丹-鹿特丹-安特卫普石油交易中心,公司的IT系统受到了攻击。
资料来源:https://www.securityweek.com/european-oil-port-terminals-hit-cyberattack
10、Claroty报告称,2021年80%的OT/ICS组织经历了勒索软件攻击
工业网络安全供应商Claroty在一项调查中透露,80%的OT/ICS组织报告说,自新冠疫情开始以来,他们的安全预算已经增加且在去年经历了勒索软件攻击。此外,47%的人报告说勒索软件影响了他们的OT/ICS环境。但是,该公司没有明确区分有多少是直接运营技术(OT)攻击以及有多少攻击针对IT基础设施,这可能导致OT受到影响。报告显示,在包括IT硬件、石油和天然气、水以及汽车等行业中,90%的受访者受到勒索软件的影响,在重工业和电力能源中,有87%受到影响。
资料来源:https://industrialcyber.co/threats-attacks/claroty-reports-that-80-percent-of-ot-ics-organizations-experienced-a-ransomware-attack-last-year/
11、Forescout收购医疗网络安全提供商CyberMDX
设备安全公司Forescout Technologies宣布已收购医疗网络安全公司CyberMDX,该公司提供保护医疗设备和临床网络的解决方案。CyberMDX提供的解决方案可帮助医疗保健组织不断发现连接的医疗设备、可视化网络流、管理资产以及获取风险评估和安全报告。它还提供防御能力以及运营分析和洞察力。Forescout表示,此次收购将加强其对跨IT、物联网、运营技术(OT)和医疗物联网(IoMT)设备的连接设备类型的开箱即用支持。
资料来源:https://www.securityweek.com/forescout-acquires-healthcare-cybersecurity-firm-cybermdx
12、安全管理公司PlexTrac融资7000万美元
安全管理平台初创公司PlexTrac完成了7000万美元的融资。PlexTrac表示其使命是改善各种规模的组织和安全团队的安全状况。PlexTrac解决方案是一个软件平台,专注于简化网络安全风险的报告和补救,可以帮助公司跟踪他们的安全评估结果,例如渗透测试,以及他们在修复这些漏洞方面取得的进展。PlexTrac支持使用紫色团队模式的组织,充当中央通信中心,聚合组织网络安全计划的所有组件。
资料来源:https://siliconangle.com/2022/02/02/security-management-platform-startup-plextrac-raises-70m/