工业网络安全“情报解码”-2022年第44期
时间:2022-11-05 作者:安帝科技
本期摘要
政策法规方面,国务院办公厅发布《全国一体化政务大数据体系建设指南》,为着力解决政务数据体系建设中的问题提供了系统方案。工信部发布《关于开展智能网联汽车准入和上路通行试点工作的通知(征求意见稿)》,以提升智能网联汽车产品性能和安全运行水平。工信息部印发《网络产品安全漏洞收集平台备案管理办法》,用于规范网络产品安全漏洞收集平台备案管理。NSA等机构发布《保护软件供应链:供应商推荐做法指南》,旨在最大限度地减少威胁对软件供应链的影响。美国国防部发布新版国防战略,提出四大防御优先事项。
漏洞态势方面,Checkmk IT基础设施监控软件中存在多个漏洞,允许未经身份验证的远程攻击者在服务器上执行代码。OpenSSL发布安全公告,修复两个安全漏洞。Gatsby Cloud Image CDN服务中存在一个高危漏洞,允许攻击者对一些云托管的Gatsby网站进行SSRF和XSS攻击。研究人员披露Azure Cosmos DB中的远程代码执行漏洞的详细信息。
安全事件方面,Snatch声称已经入侵了军工企业供应商HENSOLDT France,并发布了一份被盗数据的样本作为攻击活动的证据。澳大利亚国防通信服务遭到网络攻击,国防部助理部长表示没有数据泄露。攻击者入侵并操纵一家媒体公司基础设施,在美国数百家新闻网站上部署恶意软件框架。白宫召开国际勒索软件倡议峰会,以研究如何更好地打击勒索软件攻击。
产品技术方面,Network Perception和Check Point Software Technology合作,以加强OT防火墙环境的安全性。Tanium推出SBOM,以帮助组织保护数字资产免受来自开源软件的外部威胁。
并购融资方面,西门子收购Avery Design Systems,以扩展其集成电路验证产品。
1、国务院办公厅发布《全国一体化政务大数据体系建设指南》
10月28日,国务院办公厅印发《全国一体化政务大数据体系建设指南》,这是深入贯彻落实习近平总书记关于网络强国的重要思想,加快数字中国建设的重要举措。《指南》构建了全国一体化政务大数据体系总体架构,为着力解决政务数据体系建设中的问题提供了系统方案,为如何充分发挥政务数据在提升政府履职能力、支撑数字政府建设以及推进国家治理体系和治理能力现代化的重要作用指明了方向。
资料来源:http://www.gov.cn/xinwen/2022-11/01/content_5723171.htm
2、工信部发布《关于开展智能网联汽车准入和上路通行试点工作的通知(征求意见稿)》
11月2日,工业和信息化部、公安部就《关于开展智能网联汽车准入和上路通行试点工作的通知》公开征求意见。工业和信息化部表示,通过组织开展试点工作,将有利于促进智能网联汽车产品的性能提升和产业生态的迭代优化,推动我国智能网联汽车产业高质量发展。《公开征求意见稿》指出,试点企业应具备网络安全、数据安全、软件升级、风险与突发事件等安全保障能力,同时应具备智能网联汽车产品安全监测服务平台,可对试点车辆的安全状态进行监测,并建立报告机制。
资料来源:https://news.cctv.com/2022/11/02/ARTIognOA2YutChKtlSP6d6U221102.shtml
3.工信部印发《网络产品安全漏洞收集平台备案管理办法》
10月28日,工业和信息化部印发《网络产品安全漏洞收集平台备案管理办法》,用于规范网络产品安全漏洞收集平台备案管理。《办法》所称网络产品安全漏洞收集平台,是指相关组织或者个人设立的收集非自身网络产品安全漏洞的公共互联网平台,仅用于修补自身网络产品、网络和系统安全漏洞用途的除外。《办法》规定,拟设立漏洞收集平台的组织或个人,应当通过工业和信息化部网络安全威胁和漏洞信息共享平台如实填报网络产品安全漏洞收集平台备案登记信息。
资料来源:https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2022/art_8c3a9f746c324ac8a6c033f896356a0d.html
4.NSA等机构发布《保护软件供应链:供应商推荐做法指南》
10月31日,美国网络安全和基础设施安全局(CISA)、国家安全局(NSA)和国家情报总监办公室(ODNI)发布了《保护软件供应链:供应商推荐做法指南》,旨在最大限度地减少威胁对软件供应链的影响。《保护软件供应链:供应商推荐做法指南》包含在各种任务中为供应商推荐的最佳做法和指南,包括从安全角度设计软件架构、添加安全功能以及维护软件和底层基础设施的安全性。
资料来源:https://industrialcyber.co/supply-chain-security/nsa-cisa-odni-roll-out-recommended-practices-guidance-for-software-suppliers/
5.美国国防部发布《2022年美国国防战略》
美国国防部10月27日发布新版国防战略,提出四大防御优先事项,并提出推进上述优先事项的三大方法,即综合威慑、开展军事活动和建立持久优势。《战略》将网络空间安全威胁视为美军所面临严峻安全环境的重要促成因素,同时提出将通过运用网络威慑手段、开展网络空间行动和提高网络空间能力等方式来应对竞争挑战并获取军事优势。
资料来源:https://www.secrss.com/articles/48523
6.Checkmk IT基础设施监控软件中存在多个漏洞
研究人员发现Checkmk IT基础设施监控软件中存在四个安全漏洞,这些漏洞可以被未经身份验证的远程攻击者链接在一起,以完全接管受影响的服务器。这四个漏洞包括两个高危漏洞和两个中危漏洞:watolib的auth.php中的代码注入漏洞,CVSS评分9.1;NagVis中的任意文件读取漏洞,CVSS评分9.1;ajax_graph_images.py中的换行注入漏洞,CVSS评分6.8;代理接收器中的服务器端请求伪造漏洞,CVSS评分5.0。
资料来源:https://blog.sonarsource.com/checkmk-rce-chain-1/
7.OpenSSL修复两个缓冲区溢出漏洞
11月1日,OpenSSL发布安全公告,修复了OpenSSL 3.0.0至3.0.6版本中的两个缓冲区溢出漏洞。其中一个漏洞跟踪为CVE-2022-3602,CVSS评分9.8,为X.509电子邮件地址4字节缓冲区溢出,可能触发崩溃或导致远程代码执行(RCE)。另一个跟踪为CVE-2022-3786,CVSS评分7.5,为X.509电子邮件地址可变长度缓冲区溢出,可被攻击者通过恶意邮件地址利用,用于触发拒绝服务。
资料来源:https://www.bleepingcomputer.com/news/security/openssl-fixes-two-high-severity-vulnerabilities-what-you-need-to-know/
8.Gatsby修补Cloud Image CDN中的高危漏洞
Gatsby Cloud Image CDN服务中存在一个高危漏洞,允许攻击者对一些云托管的Gatsby网站进行服务器端请求伪造(SSRF)和跨站点脚本(XSS)攻击。研究人员发现,用于获取资源的CDN图像功能的实现方式并未验证客户端提供的URL。该漏洞影响了两条路线,一条用于图像,另一条用于任何文件。攻击者可以利用此漏洞向服务器发送任意URL,并让它们由网站呈现。根据Gatsby发布的安全公告,该漏洞可能被利用执行SSRF或XSS攻击。
资料来源:https://portswigger.net/daily-swig/gatsby-patches-ssrf-xss-bugs-in-cloud-image-cdn?&web_view=true
9.Azure Cosmos DB存在远程代码执行漏洞
11月1日,研究人员披露了Azure Cosmos DB中的远程代码执行漏洞的详细信息。研究人员称,如果攻击者知道Notebook的“forwardingId”,即Notebook Workspace的UUID,他们将拥有Notebook的完整权限,包括读写访问权限,以及可以修改运行Notebook的容器的文件系统。通过修改容器文件系统,最终可以提在Notebook容器中获得远程代码执行。研究人员于2022年10月3日向Microsoft报告了该漏洞,软件供应商在10月5日修复了它。Microsoft表示,不使用Jupyter Notebooks的客户(99.8%的客户)不易受到此漏洞的影响。
资料来源:https://thehackernews.com/2022/11/researchers-disclose-details-of.html
10.Snatch声称已入侵军工企业供应商HENSOLDT France
勒索软件组织Snatch声称已经入侵了法国公司HENSOLDT France。HENSOLDT是一家专门从事军事和国防电子产品的公司,主要为法国和国外的航空、国防、能源和运输部门提供电子解决方案、产品和服务。Snatch将该公司添加到其Tor泄漏站点,并发布了一份被盗数据的样本(94MB)作为攻击活动的证据。
资料来源:https://securityaffairs.co/wordpress/137886/cyber-crime/snatch-hensoldt-france-ransomware.html
11.澳大利亚国防通信服务遭到网络攻击
澳大利亚国防部助理部长表示,ForceNet服务遭到网络攻击,但到目前为止没有任何数据泄露。ForceNet是由国防部外部ICT供应商运营的,是澳大利亚军事和国防人员使用的通信平台。国防部发言人透露,他们正在检查受影响数据集的内容及其包含的个人信息,并已通知所有相关人员。
资料来源:https://www.reuters.com/technology/ransomware-hackers-hit-australian-defence-communications-platform-2022-10-31/
12.美国新闻业遭遇大规模供应链攻击
研究人员发现攻击者入侵并操纵一家媒体公司的基础设施,在美国数百家新闻网站上部署SocGholish JavaScript恶意软件框架(又名FakeUpdates)。这次供应链攻击背后的恶意团伙被命名为TA569,他们将恶意软件注入各新闻媒体网站加载的正常JavaScript文件中。该恶意JavaScript文件随后会安装SocGholish,后者会在网站上显示虚假更新警告,再利用伪装成浏览器更新但实为恶意软件有效载荷的文件(例如Chromе.Uрdatе.zip、Chrome.Updater.zip、Firefoх.Uрdatе.zip等)感染网站访问者。
资料来源:https://www.bleepingcomputer.com/news/security/hundreds-of-us-news-sites-push-malware-in-supply-chain-attack/
13.白宫召开国际勒索软件倡议峰会
美国协同其他36个国家,在华盛顿白宫举行了第二届国际勒索软件倡议(CRI)峰会,以研究如何更好地打击勒索软件攻击。会议计划建立基于自愿原则的国际反勒索软件工作组(ICRTF),开发跨部门工具和威胁情报交流网络,以提高预警能力,并整合政策和最佳实践框架。ICRTF计划编制关于工具、战术和程序的公开报告,在提高反勒索软件安全水位的同时鼓励相关私营企业与ICRTF开展合作。
资料来源:https://www.secrss.com/articles/48591
14.Network Perception和Check Point Software Technology合作加强OT防火墙环境的安全性
Check Point提供安全基础设施,而Network Perception的NP-View平台通过提供合规性验证和网络安全可见性来保护关键资产,从而实现安全态势的持续验证和可视化。Network Perception和Check Point Software Technologies集成,可以确保正确配置和持续验证OT防火墙环境以保护关键资产。
资料来源:https://www.helpnetsecurity.com/2022/11/03/network-perception-check-point/
15.Tanium推出Software Bill of Materials
Tanium推出Software Bill of Materials(SBOM),以帮助组织保护数字资产免受来自包括OpenSSL v3在内的开源软件的外部威胁。Tanium的方法超越了基本的扫描工具,它检查位于IT环境中任何位置的单个文件的内容。SBOM基Tanium在速度、规模和实时端点数据方面的核心优势,是一种解决供应链漏洞的全新方法。
资料来源:https://www.helpnetsecurity.com/2022/11/03/tanium-software-bill-of-materials/
16.西门子收购Avery Design Systems
11月2日,西门子宣布已签署协议,收购验证IP供应商Avery Design Systems。西门子计划将Avery Design Systems的技术添加到Siemens Xcelerator产品中,作为其电子设计自动化(EDA)集成电路(IC)验证产品套件的一部分。
资料来源:https://g.yam.com/nEWmP/