工业网络安全“情报解码”-2022年第45期
时间:2022-11-12 作者:安帝科技
本期摘要
政策法规方面,国务院新闻办公室发布《携手构建网络空间命运共同体》白皮书,全面介绍新时代中国互联网发展和治理理念与实践。《信息安全技术 关键信息基础设施安全保护要求》国家标准正式发布,实施日期为2023年5月1日。NCCoE推出混合卫星网络的网络安全配置文件,旨在确定一种评估HSN网络安全态势的方法。美国政府启动《化学品行动计划》,要求化工行业依据该计划在未来100天内评估其当前网络安全实践。乌克兰公布《个人数据保护法草案》,以推进数据安全立法进程。
漏洞态势方面,施耐德和西门子发布安全公告,修复其产品中的多个漏洞。研究人员发现ABB TotalFlow流量计算机和控制器中存在路径遍历漏洞,攻击者可利用该漏洞注入并执行任意代码。VMware发布安全更新以修复Workspace ONE Assist解决方案中的多个漏洞。Citrix发布安全公告,修复其Citrix Gateway和Citrix ADC中的多个漏洞。
安全事件方面,研究人员发现了针对印度国防人员的恶意Android程序包。Medibank遭受勒索软件攻击,约970万现/前客户的信息遭到泄露。Maple Leaf Foods遭受网络攻击,导致系统中断。Smart Link BPO Solutions遭受网络攻击,大量数据遭到泄露。
产品技术方面,Endace发布了EndaceFlow,以保护客户免受网络攻击。
并购融资方面,Wib筹集1600万美元投资,以解决日益严重的API安全问题。BOXX Insurance收购Templarbit,以加强对企业的网络风险保护。
1、国务院新闻办公室发布《携手构建网络空间命运共同体》白皮书
11月7日,国务院新闻办公室发布了《携手构建网络空间命运共同体》白皮书。白皮书介绍了新时代中国互联网发展和治理理念与实践,分享中国推动构建网络空间命运共同体的积极成果,展望网络空间国际合作前景。白皮书指出,随着新一轮科技革命和产业变革加速推进,互联网让世界变成了“地球村”,国际社会越来越成为你中有我、我中有你的命运共同体。发展好、运用好、治理好互联网,让互联网更好造福人类,是国际社会的共同责任。
资料来源:http://www.gov.cn/zhengce/2022-11/07/content_5725117.htm
2、《信息安全技术 关键信息基础设施安全保护要求》国家标准发布
11月7日,市场监管总局、中央网信办、公安部网络安全局在京联合召开《信息安全技术 关键信息基础设施安全保护要求》国家标准发布宣贯会。该国家标准是关键信息基础设施安全保护标准体系的构建基础,将于2023年5月1日正式实施。标准提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护3项基本原则。从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等6个方面提出了111条安全要求,为运营者开展关键信息基础设施保护工作需求提供了强有力的标准保障。
资料来源:https://news.cctv.com/2022/11/08/ARTICvBpXFmr4NKPDN3vxSKx221108.shtml
3.NCCoE 推出混合卫星网络的网络安全配置文件
美国国家网络安全卓越中心(NCCoE)发布了混合卫星网络(HSN)网络安全框架(CSF)配置文件的最终注释大纲,旨在确定一种评估HSN网络安全态势的方法,该态势提供的服务包括基于卫星的通信、定位、导航和授时(PNT)系统、遥感、天气监测和成像系统。HSN系统可以与其他政府系统和关键基础设施交互,以相互提高它们的弹性。该配置文件将考虑构成HSN的所有交互系统的网络安全,而不是单一组织获取包括卫星总线、有效载荷和地面系统在内的整个卫星系统的传统方法。
资料来源:https://industrialcyber.co/critical-infrastructure/nccoe-rolls-out-cybersecurity-profile-for-hybrid-satellite-networks/
4.美国CISA成立化工行业网络安全工作组
美国政府启动保护化工行业工控系统网络安全的《化学品行动计划》,要求化工行业依据该计划在未来100天内评估其当前网络安全实践。《化学品行动计划》呼吁将重点放在存在重大化学品泄漏危险的高风险化学品设施上,最终目标是支持整个化学品行业增强ICS网络安全。网络安全和基础设施安全局(CISA)和化学行业协调委员会将启动一个由15个化化工团体组成的新的工作组,讨论与实施相关的问题和意见反馈。
资料来源:https://www.goupsec.com/news/9647.html
5.乌克兰公布《个人数据保护法草案》
乌克兰议会公布《个人数据保护法草案》,以推进数据安全立法进程。根据议会发布的“草案解释”,近年来,包括乌克兰在内的全球互联网数据处理活动显著增加,特别是在大数据和社交媒体领域。鉴于国际上个人数据保护领域规则的发展,乌克兰国内外的立法状态并不能完全保障乌克兰个人数据的安全,需要对立法及其应用进行全面更新,遂制定此法。其中,受数据保护法规影响最大的部分乌克兰企业,主要客户群体位于欧洲。乌克兰企业也正在更新其隐私流程和个人数据处理的部门和规则,以期与乌克兰《个人数据保护法》及欧盟政策标准相符合,使个人数据保护规则与新标准接轨。
资料来源:https://www.secrss.com/articles/48747
6.施耐德修复其产品中的多个漏洞
11月8日,施耐德发布了一项新的安全公告,修复了NetBotz安全和环境监测器中的三个漏洞。CVE-2022-43376,CVSS评分8.8,跨站脚本(XSS)漏洞,当恶意代码插入浏览器时,可能会导致代码和会话操纵。CVE-2022-43377,CVSS评分6.5,对过度身份验证尝试的不当限制漏洞,当攻击者对帐户执行暴力攻击时,该漏洞可能导致帐户接管。CVE-2022-43378,CVSS评分5.7,渲染的UI层或框架的不当限制漏洞,当外部地址框架未正确限制时,可能会导致用户被欺骗执行意外操作。
资料来源:https://www.se.com/ww/en/work/support/cybersecurity/security-notifications.jsp
7.西门子修复其产品中的多个漏洞
11月8日,西门子发布了九项新的安全公告,涵盖了总共30个漏洞,其中三项安全公告描述了被评估为高危的漏洞。SICAM Q100设备发现多个漏洞,可能允许攻击者接管登录用户的会话或注入自定义代码。SCALANCE W1750D设备包含多个漏洞,这些漏洞可能允许攻击者注入命令或利用缓冲区溢出漏洞,从而导致拒绝服务、未经身份验证的远程代码执行或存储的XSS。SINUMERIK ONE和SINUMERIK MC产品受到集成S7-1500 CPU中的弱密钥保护漏洞的影响,这可能允许攻击者通过针对该系列的单个CPU的离线攻击来发现CPU产品系列的私钥。然后,攻击者可以利用这些信息从受该密钥保护的项目中提取机密配置数据,或对传统的PG/PC和HMI通信进行攻击。
资料来源:https://new.siemens.com/global/en/products/services/cert.html#datatable_ajax
8.ABB TotalFlow流量计算机和控制器中存在路径遍历漏洞
11月8日,Claroty发布报告指出,石油和天然气组织机构使用的一个系统中存在高危漏洞(CVE-2022-0902,CVSS评分8.1),可被攻击者用于注入并执行任意代码。该漏洞是位于ABB Totalflow流量(flow)计算机和远程控制器中的一个路径遍历漏洞,攻击者可利用该漏洞在ABB流量计算机上获得访问权限、读写文件,并远程执行代码。
资料来源:https://claroty.com/team82/research/an-oil-and-gas-weak-spot-flow-computers
9.VMware修复其Workspace ONE Assist中的多个漏洞
11月8日,VMware发布安全更新以修复Workspace ONE Assist解决方案中的多个漏洞。其中三个为高危漏洞,分别是身份验证绕过漏洞(CVE-2022-31685)、损坏的身份验证方法漏洞(CVE-2022-31686)和损坏的访问控制漏洞(CVE-2022-31687),它们的CVSS评分均为9.8,可允许具有网络访问权限的恶意行为者无需对应用程序进行身份验证即可获得管理访问权限。此外,VMware还修复了一个反射型跨站脚本漏洞(CVE-2022-31688,CVSS评分6.4)和一个会话固定漏洞(CVE-2022-31689,CVSS评分4.2)。
资料来源:https://www.vmware.com/security/advisories/VMSA-2022-0028.html
10.Citrix修复其Citrix ADC和Citrix Gateway中的多个漏洞
11月8日,Citrix于发布安全公告,修复其Citrix Gateway和Citrix ADC中的多个漏洞。CVE-2022-27510,CVSS评分9.8,使用备用路径或通道的身份验证绕过漏洞,攻击者可以触发它以获得对网关用户功能的未经授权的访问。CVE-2022-27513,CVSS评分8.3,数据真实性验证不足漏洞,攻击者可以利用该漏洞通过网络钓鱼攻击实现远程桌面接管CVE-2022-27516,CVSS评分5.3,保护机制故障漏洞,可允许攻击者绕过用户登录的暴力攻击保护。公告中指出,仅在某些在特定配置下,这些漏洞才能被利用。
资料来源:https://support.citrix.com/article/CTX463706/citrix-gateway-and-citrix-adc-security-bulletin-for-cve202227510-cve202227513-and-cve202227516
11.Spymax RAT瞄准印度国防人员
11月7日,Cyfirma发布安全公告称,一款恶意的Android程序包一直以印度国防人员为目标,该攻击自2021年7月以来一直很活跃。当受害者安装恶意APK后,该应用程序会显示为一个与Adobe Reader相似的图标,它要求多种权限,包括存储、摄像头、麦克风和互联网。研究人员表示,攻击者正在使用Spymax RAT的变体,Spymax RAT的源代码可以从多个论坛和网站轻松下载。
资料来源:https://www.cyfirma.com/outofband/unknown-nation-based-threat-actor-using-android-rat-to-target-indian-defence-personnel-2/
12.Medibank确认遭受勒索软件攻击
11月7日,澳大利亚健康保险公司Medibank证实,有犯罪分子在暗网论坛上发布了从Medibank的系统中窃取的客户数据的文件。这些数据包括个人数据、国际学生客户的护照号码以及一些健康状况理赔数据。Medibank进一步表示,犯罪分子访问了大约970万当前和以前的客户及其部分授权代表的姓名、出生日期、地址、电话号码和电子邮件地址。这一数字代表了大约510万Medibank客户、大约280万ahm客户和大约180万国际客户。
资料来源:https://www.medibank.com.au/health-insurance/info/cyber-security/
13.Maple Leaf Foods遭受网络攻击
11月6日,Maple Leaf Foods发布安全公告,证实其经历了一起网络安全事件,导致系统和运营中断。公告中指出,该公司正在努力恢复受影响的系统,预计全面解决故障问题需要时间,并将导致部分运营和服务中断。该公司表示将继续与客户和合作伙伴合作,以尽量减少加拿大市场的食品供应中断。
资料来源:https://www.bleepingcomputer.com/news/security/maple-leaf-foods-suffers-outage-following-weekend-cyberattack/
14.Smart Link BPO Solutions遭受网络攻击
Justice Blade恶意组织发布了从Smart Link BPO Solutions窃取的数据。Smart Link BPO Solutions是一家外包IT供应商,其合作的对象为沙特阿拉伯王国和海湾地区其他国家的政府机构及企业。攻击者称其窃取了大量数据,包括CRM记录、个人信息、电子邮件通信、合同和帐户凭据,并发布了该地区各公司之间的RDP会话和Office 365通信的截图,以及可能与FlyNas和SAMACares有关的几个用户列表。
资料来源:https://securityaffairs.co/wordpress/138213/hacking/justice-blade-targets-saudi-arabia.html
15.Endace发布EndaceFlow
Endace发布了EndaceFlow,这是一种NetFlow生成器,可提高网络安全和网络性能监控的端到端可见性。NetFlow提供网络流量和其他信息的视图,而连续数据包捕获提供该数据的详细信息和粒度。这些技术共同提供了更快、更明确的事件响应和解决所需的信息。
资料来源:https://www.helpnetsecurity.com/2022/11/09/endace-endaceflow/
16.Wib筹集1600万美元投资以解决API安全问题
Wib筹集1600万美元,将用于增强Wib整体API安全平台。Wib的整体API安全平台是能够提供从代码到生产的整个API环境的完整可见性的解决方案,有助于将软件开发人员、网络防御人员和首席信息官统一在其完整API领域的单一整体视图上。通过在API生命周期的每个阶段提供严格的实时检查、管理和控制,Wib可以自动化库存和API变更管理;识别流氓、僵尸和影子API并分析业务风险和影响,帮助组织减少和强化API攻击面。
资料来源:https://wib.com/resources/wib-raises-16-million-investment-to-accelerate-growth-and-tackle-rising-api-security-problem
17.BOXX Insurance收购Templarbit
BOXX Insurance收购了Templarbit,Templarbit是一个让企业更轻松地在数字威胁领域保持领先的网络威胁情报平台。Templarbit建立了先进的技术,当公司的平台识别出黑客可以利用的网络漏洞时,它会向公司发出警报。该平台自动发现、分类和分析组织的整个数字资产格局、每种数字资产的独特风险状况以及数字资产受到损害时可能产生的实际业务成本。
资料来源:https://www.newswire.ca/news-releases/cyber-insurtech-boxx-insurance-acquires-palo-alto-based-cyber-threat-intelligence-company-templarbit-845208097.html