安帝速递|【工业网络安全月报2023年-3月】

安帝速递|【工业网络安全月报2023年-3月】

时间:2023-04-01 作者:安帝科技

一、政策扫描

本月观察到国内外网络安全相关政策法规45项,涉及国内8项、美国25项、英国6项、

澳大利亚2项、比利时 1项、欧盟1项、瑞士1项、俄罗斯1项,值得关注的有国新办发布《新时代的中国网络法治建设》白皮书、CISA和NSA发布关于身份和访问管理的安全框架指南等。
1、国新办发布《新时代的中国网络法治建设》白皮书
3月16日,国务院新闻办公室发布《新时代的中国网络法治建设》白皮书。白皮书指出,筑牢网络安全防线是实现互联网健康发展的重要前提和基础。中国持续在网络基础资源、重要网络系统、网络数据等领域开展安全执法工作,有效防范化解安全风险,体系化构建网络时代的安全环境。
资料来源:http://www.cac.gov.cn/2023-03/16/c_1680605020289829.htm

2、《电信领域数据安全指南》等12项网络安全国家标准获批发布
根据2023年3月17日国家市场监督管理总局、国家标准化管理委员会发布的《中华人民共和国国家标准公告(2023年第1号)》,全国信息安全标准化技术委员会归口的12项网络安全国家标准正式发布。包括电信领域数据安全指南、网络安全态势感知通用技术要求、个人信息去标识化效果评估指南等,标准将于2023年10月1日正式实施。
资料来源:https://www.secrss.com/articles/53048

3、CISA和NSA发布关于身份和访问管理的安全框架指南
美国国家安全局(NSA)与网络安全和基础设施安全局(CISA)以及行业合作伙伴合作,于3月21日推出了一份指南,提供可操作的身份和访问管理(IAM)建议,以更好地保护系统免受威胁。该白皮书是为系统管理员开发的,确定了主要威胁的关键缓解措施,提供了最佳实践和缓解措施。
资料来源:http://tour.u.dwx1.sbs/w8ko61v

4、英国政府制定NHS网络安全愿景
3月22日,英国政府发布了一项新战略,旨在到2030年提高卫生和社会保健部门的网络弹性。该计划以国家网络安全中心(NCSC)网络安全评估框架(CAF)为基础,CAF有四个目标:管理风险、防止攻击、检测安全事件和将事件的影响降到最低。
资料来源:http://parv.f.dzxt.sbs/ZPs4b5Z

5、TSA要求航空部门增强网络安全弹性
3月7日,美国运输安全管理局(TSA)发布了一项网络安全修正案,以应对对该国航空业和其他关键基础设施的持续威胁。修正案要求受TSA监管的航空组织制定经批准的实施计划,该计划描述了提高其网络安全弹性并防止其基础设施中断和退化的措施。
资料来源:http://4fuz.u.dwx1.sbs/nAf5T0s

6、NIST发布自愿PNT配置文件以减轻中断或操纵的潜在影响
美国国家标准与技术研究院(NIST)发布了使用NIST网络安全框架创建的自愿PNT配置文件,该配置文件可用作风险管理计划的一部分,以帮助组织管理系统、网络和资产的风险使用PNT(定位、导航和授时)服务。
资料来源:http://a32.f.dzxt.sbs/niCUqNt

二、安全事件

本月监测到勒索事件13起、APT攻击12起、数据泄露事件30起、网络攻击15起。其中典型的事件有中南亚黑客组织Bitter APT针对中国核能机构展开攻击、LockBit声称从零件供应商窃取了SpaceX原理图等。
1、网络钓鱼活动针对中国核能行业
Intezer发布安全报告,指出一支被认为来自南亚的黑客组织Bitter APT最近正针对中国核能机构展开攻击。该组织伪装成吉尔吉斯斯坦驻北京大使馆,并向中国核能公司和该领域学者发送钓鱼邮件,邀请他们参加由吉尔吉斯斯坦大使馆主办的核能会议。
资料来源:http://onap.f.dzxt.sbs/NoqFqvk

2、LockBit声称从零件供应商窃取了SpaceX原理图
勒索软件团伙Lockbit声称入侵了为SpaceX制造零件的Maximum Industries,并窃取了Elon Musk的火箭专家开发的3,000个原理图。Lockbit勒索软件团伙还嘲笑SpaceX的最高领导人,并威胁说,如果该团伙的付款要求得不到满足,他们将从3月20日起泄露或出售蓝图。
资料来源:https://www.theregister.com/2023/03/13/lockbit_spacex_ransomware/

3、宏碁公司160GB数据疑似泄露
据报道,一个名为Kernelware的攻击者在黑客论坛上出售从Acer窃取的数据。Kernelware表示其中包含大量有价值的文件和文档,并分享了被盗数据的样本以证明其真实性。Kernelware称,所谓的违规行为发生在2023年2月中旬,大约窃取了160GB的敏感数据,总计655个目录和2869个文件。
资料来源:https://www.hackread.com/acer-data-breach-hacker-sell-data

4、APT组织利用Telerik漏洞攻击美国政府机构
CISA称,2022年11月至2023年1月期间进行的一项调查表明,威胁行为者利用被追踪为CVE-2019-18935的Telerik漏洞入侵了联邦文职行政部门(FCEB)机构的Microsoft Internet Information Services (IIS) Web服务器。
资料来源:https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-074a

5、巴西企业集团Andrade Gutierrez遭受数据泄露
一个名为Dark Angels的黑客组织声称窃取了巴西企业集团Andrade Gutierrez的3TB数据,包括员工姓名、电子邮件地址、护照详细信息、付款信息、税号和健康保险信息等。黑客组织表示,违规行为发生在2022年9月,利用服务器漏洞窃取了相关数据,且该漏洞至今仍未修补。
资料来源:https://www.infosecurity-magazine.com/news/brazilian-conglomerate-3tb-data/

6、Play勒索软件组织发布从荷兰航运巨头Royal Dirkzwager窃取的数据
Royal Dirkzwager在3月6日成为网络攻击的受害者,被迫使系统脱机并暂停多项服务。3月16日,该公司宣布几乎所有服务都可以正常运行,并且正在解决最后的问题。同一天,Play勒索软件组织在其Tor泄漏网站上发布了一个5 Gb的文件,其中包含据称从Royal Dirkzwager窃取的数据,涉及合同、员工ID和护照等信息。
资料来源:http://i9vx.u.dwx1.sbs/zIhjnCz

7、CL0P勒索软件组织声称攻击了宝洁公司
CL0P勒索软件组织最近宣布,他们攻击了总部位于美国俄亥俄州辛辛那提市的知名跨国公司宝洁公司(P&G)。然而,宝洁公司证实,虽然它是受Fortra的GoAnywhere事件影响的众多公司之一,但没有迹象表明客户数据受到影响。
资料来源:https://thecyberexpress.com/pg-cyber-attack-cl0p-ransomware-victim-list/

三、漏洞态势

本月监测到OT漏洞18个,涉及跨站脚本漏洞2个、引用错误组件漏洞2个、未授权访问漏洞2个、信息泄露漏洞2个、跨站请求伪造漏洞1个、身份验证绕过漏洞1个、命令注入漏洞1个、后门访问漏洞1个、文件泄露漏洞1个、会话劫持漏洞1个、整数溢出漏洞1个、越界写入漏洞1个、缓冲区溢出漏洞1个、任意数据写入漏洞1个;IT漏洞49个,涉及远程代码执行漏洞15个、信息泄露漏洞10个、命令注入漏洞8个、内存损坏漏洞8个、权限提升漏洞2个、会话劫持漏洞2个、目录遍历漏洞2个、任意文件写入漏洞1个、任意文件读取漏洞1个。值得关注的有北京亚控科技KingHistorian ICS数据管理器中存在信息泄露和缓冲区溢出漏洞、德国工业自动化解决方案供应商Wago修补PLC中的多个漏洞等。
1、北京亚控科技ICS平台存在信息泄露和缓冲区溢出漏洞
研究人员在北京亚控科技KingHistorian工业控制系统(ICS)数据管理器中发现了两个漏洞。其中一个是信息泄露漏洞,跟踪为CVE-2022-45124,CVSS评分7.5,用户身份验证数据包中包含恢复用户名和密码的信息。第二个漏洞跟踪为CVE-2022-43663,CVSS评分9.8,存在于软件的DLL中,可能允许攻击者发送恶意数据包来导致缓冲区溢出。
资料来源:http://6vql.f.dzxt.sbs/zIhjnCz

2、日立Relion 650/670系列IED更新机制存在缺陷
研究人员披露了日立Relion 650/670系列变电站设备更新机制中的安全漏洞,该漏洞可能允许攻击者安装恶意程序,并使其在受害者环境中持久存在。研究人员表示,该漏洞是在使用恶意更新包更新Relion固件时触发的,但利用该漏洞有一些主要前提条件。
资料来源:http://n6rv.f.dzxt.sbs/yxuARAC

3、PTC多款工业物联网产品受到高危漏洞的影响
PTC多款工业物联网(IIoT)软件产品受到两个高危漏洞的影响,目前PTC已发布解决这些漏洞的更新。漏洞被跟踪为CVE-2023-0754和CVE-2023-0755,CVSS评分9.8,是整数溢出和越界写入问题,它们可以允许远程攻击者在目标应用程序的上下文中引起DoS条件或执行任意代码。
资料来源:http://kizd.u.dwx1.sbs/5G3SeQD

4、Wago修补PLC中的多个漏洞
德国工业自动化解决方案供应商Wago发布了多个可编程逻辑控制器(PLC)的补丁,以解决四个安全漏洞。其中一个高危漏洞跟踪为CVE-2022-45138,CVSS评分9.8,允许未经身份验证的攻击者读取和设置多个设备参数,从而导致设备完全受损。
资料来源:http://pd13.f.dzxt.sbs/OAznmra

5、Aveva修复多个安全漏洞
英国工业软件制造商Aveva发布安全更新修复其人机界面(HMI)和监控与数据采集(SCADA)产品中的三个漏洞。最严重的漏洞跟踪为CVE-2021-3711,CVSS评分9.8,描述为OpenSSL错误,可能导致拒绝服务(DoS)攻击或任意代码执行。
资料来源:http://oqps.u.dwx1.sbs/Aexoe9c

6、Osprey水泵控制器中存在多个安全漏洞
研究人员在ProPump and Controls制造的Osprey水泵控制器中发现了多个安全漏洞,攻击者可以利用这些漏洞远程入侵系统并完全控制设备。这些漏洞包括远程代码执行、身份验证绕过、命令注入和后门访问等,其中许多漏洞无需身份验证即可被利用。
资料来源:http://ur0k.f.dzxt.sbs/FrvE5NE

四、产品方案

OT网络安全供应商Radiflow宣布与工业自动化解决方案供应商Camozzi Group合作,以加强任何行业工业基础设施的弹性和安全性。网络咨询和解决方案领导者Optiv推出OT安全咨询、部署和管理服务帮助企业保护其关键硬件、系统和流程。ICS网络安全解决方案提供商TXOne宣布推出EdgeIPS 103入侵防御系统,该系统旨在保护关键任务机器免受网络威胁。
1、Radiflow与Camozzi Group合作实现工业基础设施的弹性和安全性
OT网络安全供应商Radiflow宣布与工业自动化解决方案供应商Camozzi Group合作,以加强任何行业工业基础设施的弹性和安全性。此举将在Camozzi Group的生产基地实施网络安全技术。针对生产系统的OT网络安全攻击的风险已成为意大利和世界各地快速增长的现象,该合作旨在依靠高性能风险管理系统识别漏洞和攻击源。
资料来源:http://fkfz.u.dwx1.sbs/VwvkRLg

2、Otorio与Compugen合作以增强OT操作的安全性
Otorio和Compugen宣布建立业务合作伙伴关系,以保护客户免受对OT环境的工业网络威胁。Compugen将转售Otorio市场领先的RAM2 OT安全保护监控平台和spOT Assessment合规风险评估软件解决方案,并使用后者为客户提供高效且有效的运营网络定期技术风险评估。
资料来源:http://a3vs.f.dzxt.sbs/xW5Bymv

3、Optiv推出OT网络服务以帮助组织识别特定于业务的OT风险
2月15日,1898 & Co.推出了托管威胁防护和响应服务,以加强跨关键基础设施环境的网络安全。该服务将提供针对恶意威胁的加速保护,并在发生攻击时提供更快的响应时间。该公司还将OT(运营技术)和ICS(工业控制系统)网络安全专业知识应用于托管安全服务。
资料来源:http://a17.f.dzxt.sbs/wJbQ3VV

4、Waterfall Security和TXOne Networks推出新的OT安全设备
TXOne宣布在全球范围内推出EdgeIPS 103入侵防御系统(IPS),该系统旨在保护关键任务机器免受网络威胁。EdgeIPS 103设备提供虚拟补丁、全面的资产可见性、集中管理和网络分段功能。Waterfall Security Solutions宣布推出WF-600单向安全网关。Waterfall将该网关宣传为防火墙的替代品。WF-600单向安全网关提供对OT网络、系统和数据的可见性。
资料来源:http://q5ql.f.dzxt.sbs/jVhpD79

五、融资并购

网络安全解决方案提供商Rapid7收购了以色列反勒索软件初创公司Minerva Labs,以加强其托管检测和响应产品。云取证和事件响应平台初创公司Cado Security筹集2000万美元,用于产品开发和进一步的全球扩张。
1、Rapid7以3800万美元收购反勒索软件公司Minerva Labs
网络安全解决方案提供商Rapid7收购了以色列反勒索软件初创公司Minerva Labs,作为加强其托管检测和响应产品组合计划的一部分。Minerva Labs开发并销售技术,以帮助中小型企业处理勒索软件保护、漏洞利用缓解、关键资产保护和浏览器隔离。
资料来源:http://ez0s.u.dwx1.sbs/Fwrec6y

2、Cado Security融资2000万美元以推动全球扩张
云取证和事件响应平台初创公司Cado Security宣布已筹集2000万美元的新资金,用于进一步的全球扩张和产品开发。Cado Security的平台利用云的规模、速度和自动化来加快取证和事件响应,并支持复杂的多云环境、系统和区域。
资料来源:https://vulncheck.com/press/seed-funding