工业网络安全“情报解码”-2022年第34期

工业网络安全“情报解码”-2022年第34期

时间:2022-08-27 作者:安帝科技

本期摘要

政策法规方面,《智慧安全产业发展白皮书》在2022首届应急管理与未来城市峰会暨中国产业互联网(江门)峰会上正式发布。美国国家安全电信咨询委员会(NSTAC)在8月23日发布的一份报告草案中表示,网络安全和基础设施安全局应发布具有约束力的运营指令。美国立法者希望立法改善政府的部分网络安全防御措施。

漏洞态势方面,研究人员披露了多个影响超宽带(UWB)实时定位系统(RTLS)的漏洞。虚拟化技术软件公司VMware发布补丁,以修复其VMware Tools实用程序套件中的一个严重安全漏洞。安全研究人员发现超过80,000台海康威视摄像头容易受到关键命令注入漏洞的影响。Cisco发布安全更新,修复其多款产品中的6个安全漏洞。GitLab修复了其社区版(CE)和企业版(EE)中出现的一个关键远程代码执行漏洞。

安全事件方面,英国一汽车经销商承认上个月遭受了严重的勒索软件攻击。一家法国医院在8月21日遭到勒索软件攻击,被迫将患者转诊至其他机构。口令管理软件公司LastPass遭遇网络攻击,导致源代码和专有技术信息被盗。微软研究人员发现Nobelium APT开创的一种后利用工具允许攻击者以任意用户身份绕过身份验证。

产品技术方面,研究人员证明攻击者可以利用陀螺仪和网卡LED中的共振频率从气隙PC中窃取数据。Elastic发布了Elastic Security 8.4,其中包括新的原生SOAR功能。Cyware采用了新推出的交通灯协议(TLP)标准2.0版,以加强全球组织内部和组织之间的威胁情报共享能力。

融资并购方面,SynSaber筹集1300万美元用于改进工业资产和网络监控解决方案。BalkanID在种子轮融资增加了230万美元,旨在帮助企业发现与补救跨SaaS和公共云基础设施的风险特权。

1、《智慧安全产业发展白皮书》发布
8月23日,由中国科学院大学应急管理科学与工程学院、国家工业信息安全发展研究中心、中国产业互联网发展联盟共同编制的《智慧安全产业发展白皮书》在2022首届应急管理与未来城市峰会暨中国产业互联网(江门)峰会上正式发布。《智慧安全产业发展白皮书》系统梳理分析了智慧安全领域相关政策、学术研究成果、以及所征集到的近百个智慧安全解决方案,在此基础上总结了智慧安全发展特点,并创新性地给出智慧安全的定义及智慧安全产业分析框架。

资料来源:https://www.secrss.com/articles/46165

2、美国国家安全电信咨询委员会提议对联邦机构的运营技术进行实时监控
美国国家安全电信咨询委员会(NSTAC)提出了要求所有行政文职分支机构实时监控运营技术系统的建议。NSTAC发布的一份报告草案中表示,网络安全和基础设施安全局应发布具有约束力的运营指令,该指令将要求联邦部门持续监控任何在使用中的运营技术(OT)设备如何与其他系统连接。
资料来源:https://g.yam.com/OV9Xi

3.美国拟立法禁止采购有漏洞软件
美国《2023财年国防授权法案》草案中存在一条有争议的条款:管理国土安全部及其应用程序/在线服务供应链的软件级攻击风险。这份拟议法案要求,对于新签和现有政府合同,软件供应商应保证“提交软件物料清单中列出的所有项目,均不存在影响最终产品或服务安全性的已知漏洞或缺陷,并给出证明。”即国土安全部不得采购任何包含已知、已登记安全漏洞的软件。
资料来源:https://www.secrss.com/articles/46114

4.RTLS系统容易受到中间人攻击和位置篡改
研究人员披露了多个影响超宽带(UWB)实时定位系统(RTLS)的漏洞,使攻击者能够发起中间对手(AitM)攻击并篡改位置数据。RTLS通常用于在狭窄的室内区域内实时自动识别和跟踪物体或人的位置。这通过使用附加到资产的标签来实现,这些标签将USB信号广播到称为锚点的固定参考点,然后确定它们的位置。在RTLS解决方案中发现的缺陷(Sewio Indoor Tracking RTLS UWB Wi-Fi Kit和Avalue Renity Artemis Enterprise Kit)意味着它们可以被武器化以拦截锚点和中央服务器之间交换的网络数据包,并发起流量操纵攻击。
资料来源:https://thehackernews.com/2022/08/rtls-systems-found-vulnerable-to-mitm.html?&web_view=true

5.VMware修复了VMware Tools中的权限提升漏洞
VMware在8月23日的一份公告中宣布修复了VMware Tools中的安全漏洞,其CVSS评分为7.0。该漏洞允许对来宾操作系统具有本地非管理访问权限的攻击者将权限提升为虚拟机中的root用户。VMware Tools是一套软件工具,用于提高虚拟机客户操作系统的性能以及虚拟机本身的资源管理。
资料来源:https://www.vmware.com/security/advisories/VMSA-2022-0024.html

6.超过80000台海康威视摄像机在线曝光
CYFIRMA的安全研究人员发现超过80,000台海康威视摄像头容易受到命令注入漏洞的影响,该漏洞可通过发送到易受攻击的Web服务器的特制消息轻松利用。根据CYFIRMA关于该主题的白皮书称,100个国家/地区的2,300个组织使用的数万个系统仍未进行安全更新。
资料来源:https://informationsecuritybuzz.com/expert-comments/over-80000-hikvision-cameras-exposed-online/

7.Cisco发布多款产品的安全更新

8月24日-25日,Cisco发布安全更新,总计修复了6个安全漏洞。Cisco ACI Multi-Site Orchestrator权限提升漏洞,CVSS评分:8.8,允许经过身份验证的远程攻击者提升受影响设备上的权限。Cisco FXOS和NX-OS软件Cisco发现协议拒绝服务和任意代码执行漏洞,CVSS评分:8.8,允许未经身份验证的相邻攻击者以root权限执行任意代码或在受影响的设备上造成拒绝服务(DoS)状况。Cisco NX-OS软件OSPFv3拒绝服务漏洞,CVSS评分:8.6,允许未经身份验证的远程攻击者在受影响的设备上造成拒绝服务(DoS)状况。Cisco Adaptive Security Device Manager远程代码执行漏洞,CVSS评分:7.5,允许未经身份验证的远程攻击者在用户的操作系统上执行任意代码。Cisco FXOS软件命令注入漏洞,CVSS评分:6.7,允许经过身份验证的本地攻击者以root权限执行注入的任意命令。Cisco Secure Web Appliance权限提升漏洞,CVSS评分:6.3,允许经过身份验证的远程攻击者执行命令注入并将权限提升到root。
资料来源:https://tools.cisco.com/security/center/publicationListing.x

8.GitLab修复远程命令执行漏洞
8月22日,GitLab发布安全公告,修复了GitLab社区版(CE)和企业版(EE)中的一个远程代码执行漏洞(CVE-2022-2884)。该漏洞影响从11.3.4到15.1.5的所有版本,从15.2到15.2.3的所有版本,从15.3到15.3.1的所有版本,其CVSS评分为9.9,允许经过身份验证的用户通过GitHub API端点导入远程执行代码。GitLab是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,并在此基础上搭建起来的Web服务。
资料来源:https://about.gitlab.com/releases/2022/08/22/critical-security-release-gitlab-15-3-1-released/

9.英国汽车经销商遭受重大勒索软件攻击
总部位于特伦特河畔斯托克的汽车经销商Holdcroft Motor Group因黑客窃取了包括员工信息在内的数据而遭到勒索。尽管大多数系统现在都已备份,并且托管客户数据的核心经销商管理系统未受影响,但该公司承认一些基础设施已损坏。
资料来源:https://www.infosecurity-magazine.com/news/car-dealership-hit-by-major/?&web_view=true

10.法国医院遭网络攻击导致服务中断
位于巴黎东南部的Centre Hospitalier Sud Francilien(CHSF)在8月21日遭到勒索软件攻击。这次攻击扰乱了紧急服务和手术,并迫使医院将患者转诊到其他机构。这次攻击使医院的所有业务软件、存储系统(特别是医学成像)和与患者入院有关的信息系统暂时无法访问。
资料来源:https://securityaffairs.co/wordpress/134771/cyber-crime/center-hospitalier-sud-francilien-ransomware.html

11.LastPass源代码在数据泄露中被盗
LastPass在8月25日发布的在线通知中披露了违规行为,但坚称客户密码没有受到损害。攻击者通过一个受感染的开发者帐户获得了对LastPass开发环境部分的访问权限,并获取了部分源代码和一些专有的LastPass技术信息,但其产品和服务仍正常运行。Lastpass是一个在线密码管理器和页面过滤器,声称在全球拥有超过3000万用户和85,000名企业客户。
资料来源:https://www.securityweek.com/lastpass-says-source-code-stolen-data-breach

12.“MagicWeb”恶意软件颠覆AD FS身份验证
微软研究人员观察到Nobelium APT组织在获得Active Directory联合服务(AD FS)服务器的管理权限后使用后门。通过该特权访问,攻击者将合法的DLL替换为“MagicWeb”恶意DLL,从而使AD FS加载恶意软件。与域控制器一样,AD FS服务器可以对用户进行身份验证,“MagicWeb”通过操纵AD FS服务器生成的身份验证令牌中传递的声明,使攻击者以任意用户身份进行身份验证。
资料来源:https://g.yam.com/4d4qq

13.ETHERLED和Gairoscope攻击允许从气隙PC中泄露数据
研究员Mordechai Guri发表的两篇研究论文中揭示了从气隙系统和MEMS陀螺仪中提取数据的方法,这些方法被称为ETHERLED和Gairoscope。ETHERLED通过替换气隙PC的网卡驱动,进而修改LED颜色和闪烁机制,并以此来传输编码数据波。对气隙系统的Gairoscope攻击依赖于在目标设备/系统上产生共振频率,这些频率可被最远距离6米的智能手机的陀螺仪传感器捕获。
资料来源:https://www.hackread.com/etherled-gairoscope-exfiltration-air-gapped-pc/

14.Elastic通过SOAR实现安全自动化
Elastic推出的Elastic Security 8.4版本中引入了新的安全、编排、自动化和响应(SOAR)功能。SOAR平台是将事件响应、编排和自动化以及威胁情报平台管理功能结合在一个解决方案中的解决方案,最终结果是能够减少平均检测时间和平均响应安全事件的时间。
资料来源:https://venturebeat.com/security/elastic-automates-security-with-soar-practices-open-security/

15.Cyware采用Traffic Light Protocol 2.0以增强威胁情报共享能力

Cyware态势感知平台(CSAP)集成了TLP 2.0标准,以促进现代化和可靠的威胁信息共享工作流程,有助于为信息披露定义清晰的界限,并促进敏感信息的分发以进行网络安全协作。在新的TLP 2.0标准下,TLP:WHITE已变为TLP:CLEAR,新添加了TLP:AMBER+STRICT标签以突出显示仅限于收件人组织的信息。
资料来源:https://helpnetsecurity.com/2022/08/25/cyware-tlp-2-0/?web_view=true

16.SynSaber完成1300万美元A轮融资
SynSaber在A轮融资中筹集了1300万美元,用于继续推进SynSaber工业资产和网络监控解决方案的创新。SynSaber于2022年2月发布了其OT可见性和检测解决方案的1.0版本。该软件允许关键基础设施资产所有者和运营商发送OT边缘数据以增强其SIEM、SOAR或MSSP。
资料来源:https://www.helpnetsecurity.com/2022/08/19/synsaber-funding/?web_view=true

17.BalkanID在种子轮融资中增加了230万美元
BalkanID是一家在身份治理和管理(IGA)领域构建技术的初创公司,在其种子轮融资增加了230万美元,使融资总额达到810万美元。BalkanID推出了一种基于订阅的产品,使维护者能够了解风险权利,并简化了管理访问审查和认证的方法过程。其技术配备了一个风险引擎,可以自动识别风险用户以及在整个组织的SaaS和公共云资产中拥有过多权限或有害组合、风险应用程序、角色和特权的用户。
资料来源:https://www.securityweek.com/balkanid-adds-23m-seed-funding-round