安帝速递|【工业网络安全月报2023年-2月】

安帝速递|【工业网络安全月报2023年-2月】

时间:2023-03-01 作者:安帝科技

一、政策扫描

本月观察到国内外网络安全相关政策法规32项,涉及国内7项、美国18项、澳大利亚4项、北约1项、欧盟1项、印度1项,值得关注的有《全球安全倡议概念文件》发布、ISASecure宣布OT网络安全现场评估计划等。
1、《全球安全倡议概念文件》发布
2月21日,外交部举办蓝厅论坛,发布《全球安全倡议概念文件》。文件进一步阐释了倡议的核心理念和原则,针对当前最突出最紧迫的国际安全关切提出20个重点合作方向。文件指出,围绕应对反恐、网络、生物、新兴科技等领域安全挑战,搭建更多国际交流合作平台和机制,共同提升非传统安全治理能力。
资料来源:https://news.cnr.cn/native/gd/20230221/t20230221_526160706.shtml

2、《2022年工业信息安全态势报告》发布
2月14日,国家工业信息安全发展研究中心发布了《2022年工业信息安全态势报告》。报告涵盖了安全分析、政策动向、技术趋势和产业发展等版块,多维度、多层次展示了2022年工业信息安全整体态势。
资料来源:https://mp.weixin.qq.com/s/_4p4zLxwUHOyamMJTpPb_A

3、ISASecure宣布OT网络安全现场评估计划
2月7日,国际自动化协会(ISA)和ISA安全合规研究所(ISCI)宣布打算为部署在运营地点的自动化系统创建一个全新的合格评定方案。现场评估计划以基于ISA/IEC 62443共识的自动化和控制系统网络安全标准为基础,它将适用于从传统过程工业到关键基础设施等行业的所有类型的自动化和控制系统。
资料来源:http://c22.f.dzxt.sbs/JhCbLiR

4、GAO呼吁采取行动保护关键能源、通信网络的网络安全
美国政府问责局(GAO)在2月7日发布的《网络安全高危系列:保护网络关键基础设施的挑战》报告中建议联邦政府在保护工业控制系统(ICS)方面发挥更强有力的作用,尤其是那些运营国家能源网络和通信网络的系统。
资料来源:http://c97.f.dzxt.sbs/QqPFDuc

5、澳大利亚推出关键基础设施弹性战略和计划
澳大利亚政府发布了2023年关键基础设施弹性战略,该战略提供了一个国家框架来指导澳大利亚加强关键基础设施的安全性和弹性。该文件为行业、州和领地政府以及澳大利亚政府将如何共同努力,使关键基础设施的安全性和弹性更加成熟,以及预测、预防、准备、应对和从所有危险中恢复提供了一个框架。
资料来源:http://b93.f.dzxt.sbs/raUbSvo

6、NIST发布自愿PNT配置文件以减轻中断或操纵的潜在影响
美国国家标准与技术研究院(NIST)发布了使用NIST网络安全框架创建的自愿PNT配置文件,该配置文件可用作风险管理计划的一部分,以帮助组织管理系统、网络和资产的风险使用PNT(定位、导航和授时)服务。
资料来源:http://a32.f.dzxt.sbs/niCUqNt

二、安全事件

本月监测到勒索事件18起、APT攻击12起、数据泄露事件26起、网络攻击25起。其中典型的事件有中石油印尼分部遭受勒索软件攻击、多家科技公司受到黑客入侵亚洲数据中心事件的影响等。
1、中石油印尼分部遭受勒索软件攻击
据媒体报道,石油和天然气监管公司PetroChina Indonesia成为勒索软件攻击的最新受害者。MEDUSA在博客中表示,响应勒索软件威胁的最后期限是7天零几个小时。MEDUSA提供了3种付款内容:10,000美元将截止日期增加一天、400,000美元删除所有数据、400,000美元下载数据。
资料来源:https://thecyberexpress.com/medusa-claims-petrochina-ransomware-attack/

2、GhostSec称攻陷伊朗37个Modbus系统
据名为CyberKnow的推特账户2月10日发帖称,GhostSec黑客在近日支持Iran(OpIran)国内的抗议活动中,再次对Iran的工业系统下手,据其自称已攻陷37个Modbus系统,并使这些系统下线。发帖者还公布了37个系统的IP地址,相关的视频在在Youtube上传播。
资料来源:https://www.secrss.com/articles/51809

3、亚洲两家数据中心遭黑客入侵苹果、微软等公受到影响
据外媒2月21日报道,黑客入侵了亚洲的两家数据中心(位于上海的GDS Holdings和位于新加坡的ST Telemedia Global),窃取了苹果、优步、微软、三星、阿里巴巴等科技公司的登录凭证,并将其泄露到黑客论坛上。研究人员最初在2021年9月确定了数据泄露事件,但是直到2023年2月20日,黑客才在论坛上公开了这些数据。
资料来源:https://www.hackread.com/data-centers-hack-data-leak/

4、APT29在使馆攻击中使用新的恶意软件
研究人员在最近的攻击中,观察到与俄罗斯有联系的网络间谍组织APT29为可能针对大使馆相关人员的攻击准备了新的恶意软件。一个包含文本“Ambassador’s schedule November 2022”的受感染网站被用作诱饵,用名为GraphicalNeutrino的新恶意软件感染访问者。
资料来源:http://b94.f.dzxt.sbs/cZCBGIs

5、俄罗斯国家媒体遭攻击导致直播中断
2月21日,普京在向俄罗斯议会两院发表现场直播讲话时,多个地方的记者表示有一段时间无法访问全俄国家电视广播公司(VGTRK)网站或Smotrim直播平台。随后,乌克兰黑客组织IT Army声称对该事件负责,该组织还将俄罗斯国家控制的电视频道1TV列为其受害者之一。
资料来源:https://therecord.media/putin-speech-television-ddos-ukraine-it-army/

6、欧洲警方破解秘密通信程序Exclu后逮捕42名嫌疑人
荷兰执法部门表示,在破解了犯罪分子使用的一项加密在线消息服务后,欧洲警方逮捕了42名嫌疑人并缴获了枪支、毒品和数百万现金。警方于2020年9月开始对比利时、德国和荷兰的79处房产进行了调查,并关闭了秘密的Exclu Messenger服务。
资料来源:https://www.securityweek.com/european-police-arrest-42-after-cracking-covert-app/

三、漏洞态势

本月监测到OT漏洞4个,涉及远程代码执行漏洞3个、内存损坏漏洞1个;IT漏洞52个,涉及远程代码执行漏洞26个、信息泄露漏洞13个、内存损坏漏洞8个、权限提升漏洞5个。值得关注的有西门子许可证管理器漏洞允许黑客入侵工业控制系统、OCPP漏洞允许攻击者远程关闭充电桩等。
1、西门子许可证管理器漏洞允许黑客入侵工业控制系统
研究人员发现Siemens Automation License Manager受到两个严重漏洞的影响,这两个漏洞可能会导致黑客入侵工业控制系统(ICS)。其中一个漏洞被跟踪为CVE-2022-43513,它允许未经身份验证的远程攻击者以系统用户身份重命名和移动许可证文件。第二个漏洞为CVE-2022-43514,允许未经身份验证的远程攻击者对指定根文件夹之外的文件执行操作。
资料来源:http://c64.f.dzxt.sbs/8iYAmpS

2、Korenix JetWave工业设备存在3个安全漏洞
研究人员表示,在Korenix JetWave工业接入点和LTE蜂窝网关中发现的漏洞可能允许攻击者破坏它们的操作或将它们用作进一步攻击的立足点。发现的漏洞包含设备web服务器中的两个命令注入漏洞和一个可能被触发以实现拒绝web服务的漏洞。目前,Korenix已发布了更新版本。
资料来源:https://cyberdanube.com/en/en-multiple-vulnerabilities-in-korenix-jetwave-series/

3、OCPP漏洞允许攻击者远程关闭充电桩
研究人员发现,网络攻击者可以通过利用使用WebSocket通信的开放式充电点协议(OCPP)的某些版本来禁用电动汽车(EV)充电点(CP)并导致服务中断。OCPP标准没有具体说明每个CP如何同时处理多个连接。网络攻击者可以代表CP打开与计费系统管理服务(CSMS)的额外“新”连接,从而破坏CP与CSMS之间的原始连接,并使其面临各种损害。
资料来源:https://www.saiflow.com/hijacking-chargers-identifier-to-cause-dos/

4、西门子、施耐德电气解决近百个漏洞
西门子和施耐德电气在其2023年2月补丁星期二公告中解决了总共近100个漏洞。西门子发布了13条新公告,共涉及86个漏洞。其中最严重的漏洞是一个内存损坏问题,可导致Comos工厂工程软件出现拒绝服务(DoS)情况或任意代码执行。施耐德电气发布了三个公告,涵盖10个漏洞,其中包含Center Expert监控软件中的九个中高严重性问题。
资料来源:http://c23.f.dzxt.sbs/nk2loLC

5、Econolite交通控制器存在安全漏洞
研究人员发现Econolite交通控制器存在两个高危漏洞,这些漏洞可能允许未经身份验证的远程攻击者获得对流量控制功能的完全控制。其中一个漏洞跟踪为CVE-2023-0451,CVSS评分7.5,攻击者可以查看日志、数据库和配置文件。另一个漏洞跟踪为CVE-2023-0452,CVSS评分9.8,无需身份验证即可访问的配置文件包含了使用MD5加密的用户凭据。
资料来源:http://b71.f.dzxt.sbs/YS4KNRE

6、研究人员发现无线IIoT漏洞可提供与物理设备的直接连接
OTORIO发布了《工业无线物联网-通往0级的直接途径》报告,报告中指出IIoT设备中的漏洞提供了通往内部OT(运营技术)网络的直接路径,使黑客能够绕过环境中的通用保护层。研究人员在报告展示了本地攻击者如何通过定位现场Wi-Fi/蜂窝信道来破坏工业Wi-Fi接入点和蜂窝网关。
资料来源:http://c49.f.dzxt.sbs/ecFGYp2

7、Joomla存在未授权访问漏洞
2月22日,国家信息安全漏洞共享平台(CNVD)收录了Joomla未授权访问漏洞。由于Joomla对Web服务端点缺乏必要的访问限制,未经身份认证的攻击者,可以远程利用此漏洞访问服务器REST API接口,造成服务器敏感信息泄露。CNVD建议受影响的单位和用户立即升级到最新版本。
资料来源:https://www.cnvd.org.cn/webinfo/show/8601

四、产品方案

MITRE推出网络弹性工程框架导航器以帮助组织定制其网络弹性目标、目的和技术。工业网络安全供应商Nozomi Networks和Industrial Defender合作以加强关键基础设施和制造设施的安全性。管理和技术咨询公司1898 & Co.推出托管威胁防护和响应服务以提高关键基础设施的网络安全弹性。工业网络安全供应商Nozomi Networks扩大与Mandiant的战略合作伙伴关系以提供先进的OT和IoT威胁情报和响应。
1、MITRE推出网络弹性工程框架导航器
MITRE发布了网络弹性工程框架(CREF)导航器,这是一个免费的可视化工具,允许组织根据NIST SP 800-160第2卷(修订版1)定制其网络弹性目标、目的和技术。MITRE网络技术副总裁Wen Masters说“弹性是网络安全的最终目标,信息和通信系统以及依赖它们的人必须在面对持续、隐秘和复杂的网络攻击时具有弹性。”
资料来源:http://a45.f.dzxt.sbs/5EOz4uT

2、Nozomi Networks和Industrial Defender使用关键配置变更管理提升OT监控分析
OT和工业网络安全供应商Nozomi Networks和Industrial Defender周一宣布了一项联合解决方案,该解决方案将Nozomi Networks的资产可见性和威胁检测功能与Industrial Defender的变更和配置监控相结合,以提供业内最完整、最详细的OT资产和行为视图。
资料来源:http://c72.f.dzxt.sbs/RuVZVMX

3、1898 & Co.推出托管威胁防护和响应服务
2月15日,1898 & Co.推出了托管威胁防护和响应服务,以加强跨关键基础设施环境的网络安全。该服务将提供针对恶意威胁的加速保护,并在发生攻击时提供更快的响应时间。该公司还将OT(运营技术)和ICS(工业控制系统)网络安全专业知识应用于托管安全服务。
资料来源:http://a17.f.dzxt.sbs/wJbQ3VV

4、Mandiant、Nozomi扩大联盟以提供先进的OT、IoT威胁情报和响应
工业网络安全供应商Nozomi Networks于2月16日宣布扩大与网络威胁情报公司Mandiant的合作伙伴关系。此举将使工业和企业客户能够通过预测、诊断和响应来保护关键业务运营免受IT和OT(运营技术)网络威胁。
资料来源:http://b55.f.dzxt.sbs/kQt8aQS

五、融资并购

ICS网络安全公司Opscura获得940万美元的A轮融资以应对工业网络安全挑战。VulnCheck筹集320万美元以解决企业和政府的漏洞优先级挑战。MDR提供商Deepwatch融资1.8亿美元以加速平台创新。治理、风险和合规平台初创公司Scrut Automation完成750万美元融资,以改善其GRC自动化平台。
1、Opscura获得940万美元的A轮融资
工业控制系统(ICS)网络安全公司Opscura获得940万美元的A轮融资以应对工业网络安全挑战。Opscura提供旨在通过隔离、隐藏和验证运营技术(OT)网络中的敏感资产和数据来保护工业网络的解决方案。其隐形技术可在不中断运营的情况下隐藏深度OT中2级网络和第2层数据。
资料来源:http://a56.f.dzxt.sbs/eIIKzdl

2、VulnCheck筹集320万美元以解决企业、政府和网络安全解决方案提供商的漏洞优先级挑战
漏洞情报公司VulnCheck宣布获得320万美元的种子融资,该公司将使用这笔资金来增加招聘和支持产品开发。VulnCheck通过提供与独特的专有漏洞利用和威胁情报自主关联的最全面、实时的漏洞情报,帮助大型企业、政府机构和网络安全解决方案提供商超越对手。
资料来源:https://vulncheck.com/press/seed-funding

3、Deepwatch融资1.8亿美元
NetSPI通过收购nVisium,进一步扩展其攻击性安全解决方案并满足对人工渗透测试日益增长的需求。通过此次收购,NetSPI现在在全球拥有超过450名攻击性安全专家,他们可以支持和扩展以满足当前和未来客户的需求。
资料来源:https://g.yam.com/aYMQq

4、Bitwarden收购Passwordless.dev
高级托管检测和响应(MDR)提供商Deepwatch融资1.8亿美元以加速平台创新。这笔资金将使Deepwatch能够加速平台创新和产品开发,同时扩大其合作伙伴生态系统以满足对托管安全服务不断增长的需求。
资料来源:https://www.securityweek.com/security-awareness-training-startup-riot-raises-12-million/

5、Scrut Automation为GRC平台筹集了750万美元
Scrut Automation宣布在新一轮融资中筹集750万美元,这将帮助该公司改善其治理、风险和合规性(GRC)自动化平台并扩大其在美国的业务。Scrut Automation的GRC平台使组织能够发现网络资产、设置信息安全程序和控制、持续监控合规性控制以及管理合规性审计。
资料来源:http://b41.f.dzxt.sbs/FcT5vfj