工业网络安全“情报解码”-2022年第49期

工业网络安全“情报解码”-2022年第49期

时间:2022-12-10 作者:安帝科技

本期摘要

政策法规方面,公安部第三研究所网络安全法律研究中心发布《全球网络安全政策法律发展年度报告(2022)》,为促进我国网络与数据安全法治建设提供助力。美国公布2023财年《国防授权法案》,法案提出增加美国网络司令部支出以及加强国家网络安全防御方面的其他努力。瑞士政府要求议会修改《信息安全法》,强制关键基础设施提供商向国家网络安全中心报告网络攻击。美国政府问责局敦促联邦机构进行与网络安全相关的评估,以改善对关键基础设施部门的保护。

漏洞态势方面,Phosphorus发布安全公告称,数百万扩展物联网设备中存在安全漏洞、默认密码和其他安全风险。谷歌发布安全公告,披露Internet Explorer零日漏洞的技术细节。思科披露IP电话中的高危漏洞,该漏洞可使IP电话遭受远程代码执行和拒绝服务攻击。Eclypsium披露AMI MegaRAC底板管理控制器软件中的3个漏洞,攻击者可利用漏洞在特定条件下执行代码、绕过身份验证和执行用户枚举。

安全事件方面,黑客组织MT Bangladesh声称已经入侵了印度中央高等教育委员会的系统,并窃取了2004年至2022年的学生信息。俄罗斯第二大金融机构VTB银行遭到持续的DDoS攻击,其网站和移动应用程序暂时关闭。比利时安特卫普市的市政系统在攻击者破坏了Digipolis的服务器后瘫痪。攻击者使用泄露的CloudSEK员工的Jira账户凭据访问了其Confluence服务器,部分信息遭到泄露。

产品技术方面,Palo Alto Networks推出Medical IoT Security,以保护医疗设备免受网络威胁。Bitwarden推出无密码身份验证功能,使用户可以更轻松地访问Web保管库。

并购融资方面,Balance Theory完成300万美元种子轮融资,以改善组织之间的协作。Interpres Security完成850万美元融资,以帮助公司优化安全性能。

1.《全球网络安全政策法律发展年度报告 (2022)》发布
12月8日,公安部第三研究所网络安全法律研究中心发布《全球网络安全政策法律发展年度报告(2022)》,为促进我国网络与数据安全法治建设提供助力。报告共分为四大部分:第一部分重点研判2022年全球网络安全政策法律态势;第二部分展示全球立法特点和核心内容;第三部分特解读全球网络安全政策法律演进的内生驱动;第四部分对2023年及后续短期内的网络安全政策、立法趋势进行研判。
资料来源:https://mp.weixin.qq.com/s/3DQ-mSCCyqEoaYdFW2V-iA

2.美国2023财年《国防授权法案》即将发布
12月6日,美国公布2023财年《国防授权法案》,法案提出增加美国网络司令部支出以及加强国家网络安全防御方面的其他努力。法案将要求负责情报和网络安全的主要联邦机构研究如何构建新的网络信息协作环境,使政府和行业能够更好地缓解恶意网络活动。
资料来源:https://www.secrss.com/articles/49855

3.瑞士政府希望实施报告网络攻击的强制性义务
瑞士政府要求议会修改《信息安全法》,强制关键基础设施提供商向国家网络安全中心(NCSC)报告网络攻击,此举旨在揭露黑客并更广泛地对该国的网络威胁发出警报。瑞士政府表示,公众、当局和公司每天都面临着网络攻击的风险,由于向NCSC报告是自愿的,因此目前没有关于网络攻击的总体情况。
资料来源:https://www.infosecurity-magazine.com/news/swiss-government-wants-to/

4.GAO要求联邦机构评估物联网/OT安全风险
美国政府问责局(GAO)敦促多家联邦机构进行与网络安全相关的评估,以努力改善对某些关键基础设施部门的保护。GAO指出,国土安全部、CISA和NIST已经发布了指导、警报、建议和其他资源,以帮助联邦和私营实体管理与物联网(IoT)和操作技术(OT)系统相关的网络安全风险。GAO向负责能源、医疗保健和交通部门的4个机构提出了一系列8项建议,重点关注建立和使用评估物联网/OT网络安全工作有效性的指标的需求,以及评估网络安全风险。
资料来源:https://www.securityweek.com/us-agencies-told-assess-iotot-security-risks-boost-critical-infrastructure-protection

5.数百万XIoT设备存在安全风险
12月6日,Phosphorus发布安全公告称,数百万扩展物联网(xIoT)设备中存在安全漏洞、默认密码和其他安全风险。Phosphorus表示,99%的物联网设备密码不符合最佳实践,68%的物联网设备存在高风险或严重漏洞(CVSS评分为8-10),80%的安全团队无法识别他们的大多数xIoT设备。
资料来源:https://phosphorus.io/xiot-research-lab-report/

6.谷歌警告黑客利用IE浏览器零日漏洞
12月7日,谷歌发布安全公告,披露了黑客组织APT37在攻击中利用的Internet Explorer零日漏洞的技术细节。漏洞被跟踪为CVE-2022-41128,CVSS评分8.8,可被利用在浏览攻击者控制的网站时执行任意代码。谷歌于10月31日向微软报告了该漏洞,目前该漏洞已被修补。
资料来源:https://blog.google/threat-analysis-group/internet-explorer-0-day-exploited-by-north-korean-actor-apt37/

7.思科IP电话存在高危漏洞
12月8日,思科披露IP电话中的高危漏洞,该漏洞可使IP电话遭受远程代码执行和拒绝服务(DoS)攻击。漏洞被跟踪为CVE-2022-20968,是由收到的思科发现协议数据包的输入验证不足引起的,成功利用漏洞可允许攻击者触发堆栈溢出,从而导致可能的远程代码执行或受影响设备上的拒绝服务(DoS)条件。受影响的设备包括运行7800和8800系列固件版本14.2及更早版本的思科IP电话。
资料来源:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ipp-oobwrite-8cMF5r7U

8.AMI MegaRAC固件漏洞影响多家服务器厂商
12月5日,Eclypsium披露了AMI MegaRAC底板管理控制器软件中的3个漏洞,攻击者可利用漏洞在特定条件下执行代码、绕过身份验证和执行用户枚举。CVE-2022-40259,CVSS评分9.9,允许具有最低访问权限的攻击者通过Redfish API执行任意代码。CVE-2022-40242,CVSS评分8.3,sysadmin用户存在默认密码,攻击者可通过默认密码远程访问目标设备。CVE-2022-40242,CVSS评分7.5,允许攻击者通过遍历可能的帐户名称列表来测试用户帐户是否存在。
资料来源:https://eclypsium.com/2022/12/05/supply-chain-vulnerabilities-put-server-ecosystem-at-risk/

9.MT Bangladesh声称已入侵印度CBHE
黑客组织MT Bangladesh声称已经入侵了印度中央高等教育委员会(CBHE)的系统,并窃取了2004年至2022年的学生信息。CloudSEK发现了本次攻击攻击事件并解释说,访问CBHEDelhi平台管理面板的任何人都可以查看2004年至2022年所有学生的成绩,甚至可以删除或添加记录。因此,攻击者设法获得了对管理面板的未授权访问权限,从而破坏了CBHE的数据。
资料来源:https://g.yam.com/bN1Xy

10.俄罗斯第二大银行VTB遭到大规模DDoS攻击
俄罗斯第二大金融机构VTB银行表示,由于持续的DDoS(分布式拒绝服务)攻击,其网站和移动应用程序暂时关闭。VTB表示,DDoS攻击是有计划和精心策划的,其特定目的是通过中断银行服务给客户带来不便。目前,VTB的在线门户网站处于离线状态,但所有核心银行服务都在正常运行,客户数据也未受影响。
资料来源:https://g.yam.com/XC1cl

11.安特卫普市的市政系统因供应商遭到网络攻击而瘫痪
在黑客攻击了为比利时安特卫普市提供管理软件的合作伙伴Digipolis后,该市的市政系统瘫痪。目前,安特卫普市的部分电话服务无法使用,电子邮件服务也出现故障,预订系统也因此关闭导致居民无法领取身份证。调查正在进行中,少量可用的信息表明这是一次勒索攻击,但攻击者身份尚未披露。
资料来源:https://g.yam.com/kg1Cq

12.CloudSEK声称被另一家安全公司入侵
攻击者使用泄露的CloudSEK员工的Jira账户凭据访问了其Confluence服务器,部分信息遭到泄露。CloudSEK的一些内部数据,包括产品仪表板的屏幕截图以及三个客户的姓名和采购订单,已从其Confluence wiki中泄露,但CloudSEK表示攻击者并未破坏其数据库。CloudSEK怀疑一家进行暗网监控的安全公司是幕后黑手,但拒绝提供有关该公司的详细信息。
资料来源:https://g.yam.com/oDaE2

13.Palo Alto Networks推出Medical IoT Security
Palo Alto Networks推出Medical IoT Security,以保护医疗设备免受网络威胁。Medical IoT Security具备自动设备发现、上下文分割、最小特权策略建议和一键式策略执行功能,同时基于机器学习使医疗组织能够创建具有自动安全响应的设备规则、了解设备漏洞和风险态势、提高合规性和验证网络分段。
资料来源:https://www.helpnetsecurity.com/2022/12/07/palo-alto-networks-medical-iot-security/

14.Bitwarden推出无密码身份验证功能
Bitwarden推出无密码身份验证功能,使用户可以更轻松地访问Web保管库。Bitwarden用户可以使用移动应用程序来验证Web保险库登录请求,该应用程序会提示用户一个电子邮件地址正在尝试登录他们的帐户。通知包括指纹短语、设备类型、登录尝试时间和计算机的IP地址等详细信息,用户可以根据这些参数选择允许或拒绝认证请求。
资料来源:https://petri.com/bitwarden-passwordless-authentication-web-vault

15.Balance Theory完成300万美元种子轮融资
Balance Theory完成300万美元种子轮融资,以改善组织之间的协作。Balance Theory平台为网络安全协作提供了一个安全的工作环境,通过与现有网络安全技术的集成,网络从业者可以自动更新知识资产,而无需在多个系统中完成相同的工作,并且可以在安全生命周期的每个部分与同行共同编辑、发布和协作。
资料来源:https://g.yam.com/8gHMH

16.Interpres Security完成850万美元融资
Interpres Security完成850万美元融资,以帮助公司优化安全性能。Interpres Security平台对组织的检测和响应能力提供定制的、持续的和基于威胁的分析,并根据此评估提供自动化的安全工程指令,最终以最有效的方式实现强化的安全态势。Interpres Security团队开发了一种以威胁为中心的方法论,以验证环境中所有安全供应商的有效性。
资料来源:https://g.yam.com/QUzKh