工业网络安全“情报解码”-2022年第15期
时间:2022-04-16 作者:安帝科技
本期摘要
政策法规方面,工信部印发《工业互联网专项工作组2022年工作计划》,支持符合条件的工业互联网企业上市。新加坡启动网络安全服务提供商许可框架,旨在更好地解决消费者与网络安全服务提供商之间的信息不对称问题。
漏洞态势方面,4月12日,西门子和施耐德针对其产品发布了新漏洞公告,其中均包括可导致设备拒绝服务的高危漏洞。ABB网络接口模块存在三个高危漏洞,使工业系统面临遭受DoS攻击的风险。思科修复无线局域网控制器软件中的超危漏洞,CVSS评分高达10.0。亚马逊宣布修复了其关系数据库服务(RDS) 中的一个漏洞,该漏洞可能导致内部凭证泄露。PaloAlto Networks产品存在漏洞,可能允许恶意行为者禁用该产品。
安全事件方面,美国就用于破坏关键基础设施的ICS/SCADA恶意软件发出告警,施耐德电气和欧姆龙的PLC成为首要目标。多家美国公司联手组建OT网络安全联盟,将致力于保护美国工业控制系统(ICS)和关键基础设施资产。威胁情报公司SkyboxSecurity发布2022年漏洞和威胁趋势报告,2021年OT漏洞数量增加了88%。Mandiant提议在OT环境中部署主动安全评估,建议政府和关键基础设施组织加强准备。
融资并购方面,持安科技完成数千万元Pre-A轮融资,为企业级客户提供整体的办公网零信任安全产品及解决方案。身份安全公司Silverfort融资6500万美元,提供一个统一的身份威胁保护平台。ThomaBravo以69亿美元收购身份访问管理公司SailPoint。
1、工信部印发《工业互联网专项工作组2022年工作计划》
4月11日,新加坡网络安全局(CSA)宣布启动网络安全服务提供商的许可框架。即提供渗透测试和托管安全运营中心(SOC)监控服务的公司需要获得许可证才能在新加坡提供这些服务。CSA称,其中包括直接从事此类服务的公司和个人、支持这些公司的第三方供应商以及可许可网络安全服务的经销商。目前从事其中一种或两种服务类别的现有供应商必须在2022年10月11日之前申请许可证。未能按时取得许可证者将不得不停止提供服务,直到获得许可证为止。
资料来源:https://mp.weixin.qq.com/s/hTAcudwsEMl22jEg0bU8wQ
2.新加坡启动网络安全服务提供商许可框架
2022年4月6日,欧洲议会通过《数据治理法案》。《数据治理法案》旨在促进整个欧盟内部和跨部门之间的数据共享,增强公民和公司对其数据的控制和信任,并为主要技术平台的数据处理实践提供一种新的欧洲模式,帮助释放人工智能的潜力。通过立法,欧盟将建立关于数据市场中立性的新规则,促进公共数据(例如健康、农业或环境数据)的再利用,并在战略领域创建共同的欧洲数据空间。
资料来源:https://www.zdnet.com/article/singapore-begins-licensing-cybersecurity-vendors/
3.西门子修复产品中的超危漏洞
西门子4月12日发布了11条新公告,两条公告中包括超危漏洞。其中之一涵盖了影响SIMATICEnergy Manager产品的三个漏洞,其中一个为反序列化漏洞,未经身份验证的攻击者可以利用其以高权限执行代码。另一个公告描述了影响SCALANCEX交换机的八个超危和高危漏洞。这些漏洞大多可以在无需身份验证的情况下被远程利用,使设备崩溃、获取敏感信息和执行任意代码。
资料来源:https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-fix-several-critical-vulnerabilities
4.施耐德修复产品中的2个漏洞
施耐德电气4月12日发布了两条新公告。第一条公告描述了IGSS(交互式图形SCADA系统)产品中的一个远程代码执行漏洞,该漏洞被描述为基于堆栈的缓冲区溢出,可以通过向目标系统发送特制消息来利用该漏洞。第二条公告描述了影响施耐德ModiconM340控制器以及这些设备通信模块的高危拒绝服务(DoS)漏洞,利用涉及向目标控制器发送特制的请求。
资料来源:https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-fix-several-critical-vulnerabilities
5.ABB网络接口模块存在高危漏洞
工业技术巨头ABB网络接口模块存在三个高危漏洞,这些漏洞影响SymphonyPlus SPIET800和PNI800,可实现控制网络和运行工程工具或人机界面(HMI)主机之间的通信。由于这些产品处理特定数据包的方式,对控制网络具有本地访问权限或对系统服务器具有远程访问权限的攻击者可能会导致只能通过手动重启解决的拒绝服务(DoS)情况。ABB表示,利用这些漏洞可能会导致工业环境中断,除了直接影响SPIET800和PNI800设备外,连接到这些设备的系统也将受到影响。
资料来源:https://www.securityweek.com/flaws-abb-network-interface-modules-expose-industrial-systems-dos-attacks
6.思科修复无线局域网控制器软件中的超危漏洞
思科修复了无线局域网控制器(WLC)软件中的超危漏洞,该漏洞被跟踪为CVE-2022-20695,CVSS评分10.0。该漏洞之所以存在是因为密码验证算法未正确实施,因此攻击者可以使用精心制作的凭据绕过身份验证并以管理员身份登录易受攻击的设备,并导致拒绝服务。由于该漏洞没有可用的解决方法,斯克建议受影响的客户更新到WLC软件8.10.171.0版本或更高版本。
资料来源:https://www.securityweek.com/cisco-patches-critical-vulnerability-wireless-lan-controller
7.Amazon修复其关系数据库中的漏洞
亚马逊宣布修复了其关系数据库服务(RDS) 中的一个漏洞,该漏洞可能导致内部凭证泄露。该漏洞存在于在第三方开源PostgreSQL 插件“log_fdw”中,已预安装在Aurora PostgreSQL 和Amazon RDS for PostgreSQL 中。能够触发该漏洞,并拥有权限、经过身份验证的用户可以使用泄露的凭据来获得对数据库资源的更高访问权限。
资料来源:https://www.securityweek.com/amazon-rds-vulnerability-led-exposure-credentials
8.Palo Alto Networks产品存在漏洞
网络安全公司PaloAlto Networks的CortexXDR代理存在漏洞。研究人员发现具有管理员权限的本地攻击者只需修改注册表项即可禁用该代理,从而使该端点暴露在攻击之下,该产品的防篡改功能无法阻止这种方法的使用。研究人员还发现CortexXDR代理有一个默认的“卸载密码”,也可以被用来禁用XDR代理。如果默认密码已更改,则可以从文件中获取新密码的哈希值,进而尝试破解密码。没有管理员权限的攻击者也有可能获得此哈希值。
资料来源:https://www.securityweek.com/several-vulnerabilities-allow-disabling-palo-alto-networks-products
9.美国就用于破坏关键基础设施的ICS/SCADA恶意软件发出告警
美国能源部、CISA、NSA和FBI的一份联合公告称,身份不明的APT组织已经创建了专门的工具,能够对施耐德电气和欧姆龙公司的PLC以及开源OPC基金会的服务器造成重大破坏。一旦攻击者建立了对运营技术(OT)网络的初始访问权限,这些工具使他们能够扫描、破坏和控制受影响的设备。此外,这些攻击者还可以利用漏洞入侵基于Windows的工程工作站,这些工作站可能存在于信息技术(IT)或OT环境中。
资料来源:https://www.securityweek.com/us-warns-new-sophisticated-malware-can-target-icsscada-devices
10.多家美国公司联手组建OT网络安全联盟
工业巨头霍尼韦尔和网络安全公司Forescout、Claroty、NozomiNetworks和Tenable联合创立了OT网络安全联盟,将致力于保护美国工业控制系统(ICS)和关键基础设施资产。该联盟将与政府和行业利益相关者合作,开发供应商中立、基于标准的网络安全解决方案。该组织表示,应避免使用专有解决方案,并且需要采用技术中立的方法来确保互操作性,这将鼓励关键基础设施所有者和运营商选择最适合他们的解决方案。
资料来源:https://industrialcyber.co/critical-infrastructure/ot-cyber-coalition-comes-together-to-build-protect-defend-ics-critical-infrastructure-assets-in-the-us/
11.Skybox数据显示,2021年OT漏洞数量增加了88%
威胁情报公司SkyboxSecurity发布了2022年漏洞和威胁趋势报告。报告显示,OT漏洞数量从2020年的690个跃升至2021年的1,295个,增加了88%。与此同时,OT资产越来越多地与网络连接,使关键基础设施和其他重要系统面临潜在的破坏性破坏。OT系统支持能源、水、交通、环境控制系统和其他基本设备。对OT系统的攻击急剧增加,扰乱了运营,甚至危及健康和安全。
资料来源:https://s.vnshu.com/F25xy
12.Mandiant推动针对OT、关键基础设施环境的主动安全措施
在网络威胁黑客的成本效益不断提高以及OT威胁状况不断增长的背景下,Mandiant建议政府和关键基础设施组织加强准备,以保护工业网络和OT环境免受机会主义和动机性网络攻击。Mandiant提议在OT环境中部署主动安全评估,因为这涉及对对手技术的真实模拟,这些技术已被证明是发现企业环境中关键安全问题和高风险攻击路径的宝贵方法。OT环境的主动安全评估应包含OT威胁建模、威胁情报、风险管理、OT攻击生命周期、深度防御和深度检测。
资料来源:https://industrialcyber.co/threats-attacks/mandiant-pushes-for-proactive-security-measures-for-ot-critical-infrastructure-environments/
13.零信任安全公司持安科技完成数千万元Pre-A轮融资
零信任安全公司持安科技宣布完成数千万元Pre-A轮融资。持安零信任平台采用原生零信任架构,目前已完成从0~1的打磨。平台拥有灵活、平台化、侵入性小以及拥有很强的实战对抗能力等特点。在产品设计理念中,既关注了SDP的网络层能力,又将零信任能力深入至应用层,使产品具备可以精细化到应用资源、数据层面的零信任能力,并可结合其他安全能力,为企业级客户提供整体的办公网零信任安全产品及解决方案。
资料来源:https://36kr.com/p/1696568818298496
14.身份安全公司Silverfort融资6500万美元
身份安全公司Silverfort宣布完成6500万美元的C轮融资。Silverfort开发了一个统一的身份威胁保护平台,可在现有IAM基础设施之上提供身份威胁检测和响应(ITDR)以及身份威胁预防(ITP)功能。Silverfort声称它可以在不修改客户的基础设施或应用程序的情况下阻止基于身份的攻击,并表示它可以帮助保护以前不受支持的资源,包括遗留系统、工业OT系统、服务账户等。
资料来源:https://www.securityweek.com/silverfort-banks-65-million-identity-threat-protection-platform
15.Thoma Bravo以69亿美元收购身份访问管理公司SailPoint
科技私募股权公司Thoma Bravo以近70亿美元的价格收购了身份访问管理公司SailPoint。身份管理软件在传统密码和多因素身份验证的基础上增加了一层额外的安全性,其核心是限制对网络资源的访问,只向需要的员工提供访问权限,而且只在需要时提供。SailPoint的优势在于,加持了检测异常行为的人工智能技术,而且不再需要花费时间重置密码和对网络细粒度访问的赋权。
资料来源:https://mp.weixin.qq.com/s/njC86Cd_xoR1Z2CysP_Xyw