工业网络安全“情报解码”-2022年第35期
时间:2022-09-03 作者:安帝科技
本期摘要
政策法规方面,国家互联网信息办公室发布《数据出境安全评估申报指南(第一版)》,对数据出境安全评估申报方式、申报流程、申报材料等具体要求作出了说明。国家卫健委等三部门发布《医疗卫生机构网络安全管理办法》,为医疗卫生机构指明网络安全管理的总方向。英国对电信提供商实施严格的新网络安全规则,以保护电信网络免受网络攻击。
漏洞态势方面,CISA发布工业控制系统安全公告,警告关键基础设施部门的设备存在漏洞。研究人员发现Atlassian Bitbucket存在命令注入漏洞,可允许攻击者执行任意代码。畅捷通、GitLab、WordPress和谷歌发布更新,以修复安全漏洞。研究人员发现Android版TikTok存在高危漏洞,可允许修改用户个人资料并访问敏感信息。
安全事件方面,世界经济论坛在发布的《网络安全中的“零信任”模型:走向理解和部署》白皮书中指出了OT环境中实施零信任概念所面临的重大障碍。安全研究人员发现詹姆斯韦伯太空望远镜拍摄的图像被用于传播恶意软件。俄罗斯流媒体平台START遭受网络攻击,至少750万用户受到影响。
产品技术方面,Xage推出基于零信任深度防御的网络安全服务,旨在解决工业组织面临的各种风险。SecureAuth宣布Arculix全面上市,用于为用户提供了无密码和无重复验证的数字旅程。
1、国家互联网信息办公室发布《数据出境安全评估申报指南(第一版)》
8月31日,国家互联网信息办公室发布了《数据出境安全评估申报指南(第一版)》,对数据出境安全评估申报方式、申报流程、申报材料等具体要求作出了说明。数据处理者因业务需要确需向境外提供数据,符合数据出境安全评估适用情形的,应当根据《数据出境安全评估办法》规定,按照申报指南申报数据出境安全评估。
资料来源:http://www.cac.gov.cn/2022-08/31/c_1663568169996202.htm
2、国家卫健委等三部门发布《医疗卫生机构网络安全管理办法》
8月29日,国家卫生健康委、国家中医药局、国家疾控局印发《医疗卫生机构网络安全管理办法》。《医疗卫生机构网络安全管理办法》明确了各医疗卫生机构网络及数据安全管理基本原则、管理分工、执行标准、监督及处罚要求,体现了统筹安全与发展的总体平衡,为医疗卫生机构指明了网络安全管理的总方向。
资料来源:http://www.nhc.gov.cn/guihuaxxs/s10743/202208/50e2ef41b7554ae894053bcac32b79f0.shtml
3.英国对电信提供商实施严格的新网络安全规则
英国政府于2022年8月30日发布了对公众咨询的回应,并计划在2022年10月实施新框架之前对法规草案和业务守则进行修改。10月份的框架将实施前所未有的安全规则,以保护英国电信网络免受不同关注领域(数据、软件和设备保护、风险评估和异常检测,包括供应链)的网络攻击。
资料来源:https://www.infosecurity-magazine.com/news/uk-new-cybersecurity-rules-telecoms/
4.CISA发布12条工业控制系统安全公告
8月31日,美国网络安全和基础设施局(CISA)发布了12条工业控制系统安全公告,警告关键基础设施部门的设备存在硬件漏洞。日立能源的四款产品、霍尼韦尔的三款产品以及富士电机、欧姆龙、PTC、Sensormatic和三菱电机的一款产品中已经发现了安全漏洞,这些产品通常部署在关键基础设施领域,包括能源和关键制造领域。
资料来源:https://industrialcyber.co/analysis/ics-cybersecurity-vulnerabilities-found-in-hitachi-energy-honeywell-ptc-sensormatic-mitsubishi-electric-fuji-electric-omron-equipment/
5.Bitbucket Server和Data Center存在命令注入漏洞
Atlassian Bitbucket Server和Data Center的多个API端点中的存在一个命令注入漏洞(CVE-2022-36804),其CVSS评分为9.9,允许对公共存储库拥有访问权限或对私有Bitbucket存储库拥有读取权限的攻击者通过发送恶意HTTP请求来执行任意代码。
资料来源:https://www.theregister.com/2022/08/29/atlassian_bitbucket_critical_bug/
6.GitLab修复远程代码执行漏洞
8月30日,GitLab发布安全公告,修复了GitLab社区版(CE)和企业版(EE)中的多个安全漏洞,其包含一个远程代码执行漏洞(CVE-2022-2992)。该漏洞影响从11.10到15.1.6的所有版本,从15.2到15.2.4的所有版本,从15.3到15.3.2的所有版本,其CVSS评分为9.9,允许经过身份验证的用户通过从GitHub API端点导入来实现远程代码执行。
资料来源:https://about.gitlab.com/releases/2022/08/30/critical-security-release-gitlab-15-3-2-released/
7.畅捷通修复文件上传漏洞
9月1日,畅捷通发布安全公告,修复了畅捷通 T+软件(自有部署版)中的高危文件上传漏洞(CNVD-2022-60632)。该漏洞影响畅捷通 T+单机版<=17.0且使用IIS 10.0 以下版本,允许未经身份认证的远程攻击者通过某接口上传恶意文件,从而执行任意代码。
资料来源:https://www.chanjet.com/wap/news/123919.html?a=yh
8.谷歌发布Chrome更新用于修复24个漏洞
谷歌发布的首个适用于Windows、Mac和Linux的Chrome 105稳定版本包含了对该软件先前版本中24个漏洞的修复,其中包括一个“严重”缺陷和8个谷歌评定为“严重”的缺陷。谷歌使用Chrome 105解决的安全问题中的九个是所谓的释放后使用漏洞,即允许攻击者使用先前释放的内存空间执行恶意代码、破坏数据和采取其他恶意操作的漏洞。其中四个漏洞是各种Chrome组件中的堆缓冲区溢出,包括WebUI和屏幕捕获。
资料来源:https://www.darkreading.com/vulnerabilities-threats/google-fixes-24-browser-vulnerabilities-with-chrome-105-version
9.WordPress6.0.2安全和维护版本发布
8月30日,WordPress团队发布WordPress 6.0.2,此安全和维护版本包含12个Core错误修复、5个块编辑器错误修复和3个安全修复。WordPress 6.0.2版本修复了Link API SQL注入漏洞、插件屏幕XSS漏洞和the_meta()中的输出转义问题。
资料来源:https://wordpress.org/news/2022/08/wordpress-6-0-2-security-and-maintenance-release/
10.Android版TikTok存在高危风险
微软研究人员在处理Android版TikTo的深度链接时发现了一个高危漏洞(CVE-2022-28799),这是一种在Android中链接到应用程序中特定组件的特定类型的超链接。攻击者可以制作一个恶意链接利用该漏洞,如果用户单击该链接,则攻击者将获得用户帐户的访问权限。该漏洞可允许攻击者修改用户的TikTok个人资料并访问敏感信息,例如通过公开私人视频、发送消息和代表用户上传视频。
资料来源:https://www.darkreading.com/vulnerabilities-threats/tiktok-android-bug-allows-single-click-account-hijack
11.WEF评估在OT环境中实施零信任概念面临重大障碍
世界经济论坛(WEF)在发布的《网络安全中的“零信任”模型:走向理解和部署》白皮书中指出OT环境中全面实施零信任概念面临重大障碍,例如认为生产线必须保持运行、安全是一个障碍,以及需要发展OT员工的网络能力。同时白皮书还评估了OT环境缺乏技术准备的情况涉及多种因素,包括操作空间中大量遗留系统不支持现代身份验证(如多因素身份验证)。它还表示,主要工业协议中的协议支持缺失,物联网(IoT)和IIoT设备中存在计算资源限制。
资料来源:https://industrialcyber.co/zero-trust/wef-assesses-that-implementation-of-zero-trust-concept-in-ot-environments-faces-significant-barriers/
12.詹姆斯韦伯太空望远镜拍摄的图像被用于传播恶意软件
安全研究人员发现了一个新的基于Golang的恶意软件活动,该活动利用来自詹姆斯韦伯太空望远镜的深场图像在受感染的设备上部署恶意软件。恶意组织发送包含名为Geos-Rates.docx的Microsoft Office附件的网络钓鱼电子邮件。当打开附件时,如果收件人启用了宏,则会自动执行经过混淆的VBA宏,下载一个名为OxB36F8GEEC634.jpg的图像文件,该图像是经过Base64编码的有效载荷。
资料来源:https://www.hackread.com/hackers-malware-james-webb-space-telescope-images/
13.流媒体平台START确认数据泄漏影响750万用户
俄罗斯流媒体平台START(start.ru)已证实有关数据泄露影响数百万用户的传言。
据该平台管理员称,网络入侵者设法从其系统中窃取了2021年的数据库,其包含电子邮件地址、电话号码和用户名。有关START的数据泄露的谣言首次出现在8月28日,当时包含近4400万用户信息的72GB MongoDB JSON转储开始在社交网络上分发,其中唯一的电子邮件地址为7,455,926个。
资料来源:https://www.bleepingcomputer.com/news/security/russian-streaming-platform-confirms-data-breach-affecting-75m-users/
14.Xage推出基于零信任深度防御的网络安全服务
8月31日,零信任安全公司Xage推出网络安全服务,以加速向主动网络防御的转变。Xage网络安全服务利用其工业控制系统(ICS)、运营技术(OT)和网络安全经验,建立在行业公认的网络安全标准之上,涵盖现代工业网络安全计划的所有重要方面。其网络安全服务产品基于Xage经过验证的零信任深度防御方法,旨在解决工业组织面临的各种风险。
资料来源:https://industrialcyber.co/news/xage-cybersecurity-services-rope-in-defense-in-depth-capabilities-with-zero-trust-security-for-proactive-cyber-defense/
15.下一代无密码、连续身份认证平台Arculix全面上市
访问管理和身份验证公司SecureAuth宣布Arculix全面上市。Arculix是一种下一代访问管理和持续身份验证平台,该平台考虑了基于用户、设备和浏览器信任的身份保证级别,该信任采用人工智能和机器学习来确定异常行为。Arculix使组织能够通过确保正确的数字身份对正确资源具有正确数量的访问权限来加速其零信任计划,同时通过消除重复要求用户重新验证的需要来改善用户体验。
资料来源:https://www.darkreading.com/endpoint/secureauth-announces-general-availability-of-arculix-its-next-gen-passwordless-continuous-authentication-platform