安全月报-7月

安全月报-7月

时间:2021-07-31 作者:安帝科技

一、政策扫描

    本月,网信办发布《网络安全审查办法(修订草案征求意见稿)》;工信部发布《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》;工信部、国家网信办、公安部印发《网络产品安全漏洞管理规定》;美国国会出台18项新网络安全法案。

  1. 1. 网信办发布《网络安全审查办法(修订草案征求意见稿)》
  2. 7月10日,网信办发布关于《网络安全审查办法(修订草案征求意见稿)》(简称《办法》)。《办法》提出,掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。网络安全审查重点评估采购活动、数据处理活动以及国外上市可能带来的国家安全风险。
    资料来源:http://www.cac.gov.cn/2021-07/10/c_1627503724456684.htm

    1. 2. 工信部发布《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》
    2. 7月12日,工信部发布《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》(简称《行动计划》)。《行动计划》明确提出,到2023年,网络安全产业规模超过2500亿元,年复合增长率超过15%。一批网络安全关键核心技术实现突破,达到先进水平。
      资料来源:http://sh.people.com.cn/n2/2021/0712/c176738-34816446.html

    3. 3. 工信部、国家网信办、公安部印发《网络产品安全漏洞管理规定》
    4. 7月12日,工信部、国家网信办、公安部近日印发《网络产品安全漏洞管理规定》,规定自2021年9月1日起施行。规定明确,任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动,不得非法收集、出售、发布网络产品安全漏洞信息。
      资料来源:http://www.chinanews.com/gn/2021/07-13/9518929.shtml

      1. 4. 美国国会出台18项新网络安全法案
      2. 美国国会出台18项新网络安全法案,用以支持和扩大国家的网络安全能力。包括《网络安全漏洞补救法案》、《CISA 网络演习法案》、《2021年 DHS工业控制系统能力增强法案》、《州和地方网络安全改进法案》以及《国土安全关键领域法案》等等。
        资料来源:https://www.securityweek.com/house-passes-several-critical-infrastructure-cybersecurity-bills?&web_view=true

        二、安全事件

        本月,REvil的新供应链攻击摧毁1500余家企业,提供商Kaseya针对此次攻击发布了补丁;
        针对中东工业组织的Mac恶意软件现身;石油巨头沙特阿美1TB数据遭泄露;英国铁路系统遭勒索软件攻击;伊朗铁路系统、南非运输公司Transnet遭到网络攻击。

      3. 1.REvil的新供应链攻击摧毁1500余家企业
      4. REvil团伙针对八个使用Kaseya VSA解决方案的大型MSP发起攻击,至少影响了1500多家企业,其数据均已被加密。REvil索要价值7000万美元的比特币,以恢复所有数据,这是迄今为止最高的赎金要求。
        资料来源:https://cyware.com/news/revils-new-supply-chain-attack-takes-down-1000s-of-businesses-839c9f7e

      5. 2.Kaseya发布针对勒索软件攻击中所利用漏洞的补丁
      6. 提供商Kaseya已针对最近勒索软件攻击中利用的漏洞发布了补丁,该公司11日发布了本地产品的补丁并开始恢复SaaS服务,12日早上提供的最新更新称,已经为95%的客户恢复了SaaS服务。
        资料来源:https://www.securityweek.com/kaseya-releases-patches-vulnerabilities-exploited-ransomware-attack?&web_view=true

        3.用于攻击中东工业组织的Mac恶意软件现身
        卡巴斯基的安全研究人员发现一场针对中东工业部门的恶意攻击已扩展至Mac计算机。该活动被称为WildPressure,攻击者使用由虚拟专用服务器和受感染服务器组成的基础设施发起攻击。
        资料来源:https://www.securityweek.com/mac-malware-used-attacks-targeting-industrial-organizations-middle-east

        4.石油巨头沙特阿美1TB数据遭泄露
        网名ZeroX的威胁行为者窃取了沙特阿拉伯国家石油公司1TB的敏感数据,并在多个黑客论坛上以500万美元的初始价格出售,提供了对被盗信息样本的访问权限,包括蓝图和个人信息。
        资料来源:https://securityaffairs.co/wordpress/120301/data-breach/saudi-aramco-data-breach.html

        5.网康下一代防火墙存在命令执行漏洞
        网康下一代防火墙(NGFW)是一款可以全面应对应用层威胁的防火墙。网康下一代防火墙存在命令执行漏洞。攻击者可利用该漏洞获取服务器权限。
        资料来源:https://www.cnvd.org.cn/flaw/show/CNVD-2021-35871

        6.英国铁路系统遭勒索软件攻击
        英国北部铁路售票系统服务器遭到疑似勒索软件攻击。文件加密恶意软件的目标是600多个触摸屏设备,这些耗资1700万英镑的设备分布在英格兰北部的420个车站内。
        资料来源:https://www.cybersecurity-insiders.com/ransomware-attack-on-northern-rail-uk/?utm_source=rss

        7.伊朗铁路系统遭网络攻击
        伊朗铁路遭到网络攻击。攻击者在全国各地车站的显示板上发表了“因网络攻击导致延迟很久”和“取消车次”的言论,呼吁乘客了解详细信息,并提供了该国最高领导人的电话号码,此次攻击导致火车站出现前所未有的混乱。
        资料来源:https://www.ehackingnews.com/2021/07/cyber-attack-by-hackers-disrupt-iranian.html

        8.南非运输公司Transnet遭到网络攻击
        南非的运输公司Transnet遭到网络攻击,造成其运营严重中断,可能持续一周。在该公司已发布的电子邮件中,明确提到港口运营已被扣押,货物运输已被禁止,直到被破坏的系统恢复。
        资料来源:https://www.cybersecurity-insiders.com/cyber-attack-on-transnet-south-africa-shipping/

        三、漏洞态势

        本月,Claroty、菲尼克斯电气、以及罗克韦尔等众多知名工业厂商的产品均被曝出存在漏洞,其中不乏高危漏洞;MDT Software、CODESYS以及施耐德电气针对各自产品存在的漏洞进行了修复,发布了更新。

        1.Claroty工业远程访问产品存在漏洞
        Claroty SRA 是一种远程安全访问解决方案。Alpha Strike 研究人员发现,攻击者可以绕过 SRA 软件中央配置文件的访问控制,利用此漏洞可访问由 SRA 安装管理的资产,并进行破坏。
        资料来源:https://www.securityweek.com/vulnerability-found-industrial-remote-access-product-claroty?&web_view=true

        2.菲尼克斯电气多款工业产品存在高危漏洞
        菲尼克斯电气透露,FL COMSERVER UNI、ILC1x1产品均受到高严重性DoS漏洞的影响,该漏洞可以使用特制的 IP 数据包触发,AXL F BK和IL BK总线耦合器中存在与用于FTP访问的硬编码密码有关的漏洞。
        资料来源:https://www.securityweek.com/high-severity-vulnerabilities-found-several-phoenix-contact-industrial-products?&web_view=true

        3.WAGO设备中的漏洞使工业公司面临远程攻击
        WAGO的PFC100和PFC200 PLC、600 HMI存在四个与内存相关的漏洞,影响I/O-Check服务。通过链接共享内存溢出漏洞和越界读取漏洞,能够创建一个完整的预授权远程代码执行来接管任何WAGO PFC100/200设备。
        资料来源:https://www.securityweek.com/vulnerabilities-wago-devices-expose-industrial-firms-remote-attacks8

        4.施耐德电气工控系统存在严重漏洞
        Armis的研究人员发现施耐德电气的Modicon可编程逻辑控制器(PLC)存在一个高危漏洞,该漏洞被追踪为CVE-2021-22779。攻击者利用该漏洞可以绕过认证机制,完全控制目标设备。
        资料来源:https://www.itsecurityguru.org/2021/07/13/armis-discloses-critical-vulnerability-that-allows-remote-takeover-of-schneider-electric-industrial-controllers/?utm_source=rss

        5.MDT Software已修复工业自动化产品中的高危漏洞
        MDT Software已修复其旗舰产品MDT AutoSave中的CVE-2021-32953漏洞,该漏洞可通过SQL命令来在系统中创建新用户,并提升用户权限;修复CVE-2021-32933命令注入漏洞,该漏洞可被用来运行恶意进程。
        资料来源:https://www.securityweek.com/several-vulnerabilities-patched-mdt-autosave-industrial-automation-product

        6.漏洞使MicroLogix PLC面临远程DoS攻击
        Rockwell自动化MicroLogix 1100 PLC的严重漏洞CVE-2021-33012可被用来导致设备进入持续故障状态,远程攻击者可以利用该漏洞通过专门向目标控制器发送精心制作的命令进行拒绝服务攻击。
        资料来源:https://www.securityweek.com/vulnerability-exposes-micrologix-plcs-remote-dos-attacks

        7.施耐德电气修复了EVlink电动汽车充电站的关键漏洞
        施耐德电气已修复其EVlink系列电动汽车充电站中包括可能导致DoS攻击在内的13个安全漏洞,其中三个严重漏洞CVSS评分均为9.4,且均可以让攻击者通过充电站Web服务器获得管理权限。
        资料来源:https://portswigger.net/daily-swig/schneider-electric-fixes-critical-vulnerabilities-in-evlink-electric-vehicle-charging-stations?&web_view=true

        8.CODESYS修复工业自动化产品中的十几个漏洞
        CODESYS本月修复了影响各种产品的十几个漏洞。其中CODESYS V3Web服务器中存在的CVE-2021-33485缓冲区溢出漏洞被指评为严重等级,攻击者可利用该漏洞进行DoS攻击或使用特制请求进行远程代码执行。
        资料来源:https://www.securityweek.com/codesys-patches-dozen-vulnerabilities-industrial-automation-products

        四、技术动向

        本月,DoE发布C2M2 2.0版本以保护关键基础设施;Mitre发布D3FEND新模式;研究人员发现一种在神经网络模型中隐藏恶意软件的新技术。

        1.DoE发布C2M2 2.0版本以保护关键基础设施
        美国能源部 (DoE) 的网络安全、能源安全和应急响应(CESER) 部门于7 月 21 日宣布,能源部 (DoE) 已发布其网络安全能力成熟度模型 (C2M2) 的更新版本,其中包含解决关键基础设施网络安全问题的更新,重点是增强电子工业控制系统 (ICS) 的网络安全和能力。
        资料来源:https://www.meritalk.com/articles/doe-releases-c2m2-version-2-0-with-updates-to-protect-critical-infrastructure/

      2.Miter D3FEND:网络安全捍卫者的新知识图谱
      D3FEND是Mitre最近发布的一个新模式,旨在建立一种共同的语言,帮助网络防御者分享策略和方法。D3FEND 是一个知识图谱,可以解析供应商关于缓解和其他对策的声明。它结合了生物信息学的语言和技术,并建立了计算机网络防御技术的术语,以阐明防御和攻击方法之间以前未指定的关系。
      资料来源:https://www.csoonline.com/article/3625470/mitre-d3fend-explained-a-new-knowledge-graph-for-cybersecurity-defenders.html

    3.新技术:在神经网络模型中隐藏恶意软件
    研究人员发现了一种新的攻击方法,可以将恶意软件隐藏在神经网络内的图​​像分类器中并绕过安全屏障。研究人员用安全扫描程序无法检测到的恶意软件替换AlextNet 模型中多达50% 的神经元,该模型在VirusTotal上进行了测试,经过58个杀毒引擎的验证,模型内部没有检测到可疑活动,表明规避技术成功。
    资料来源:https://cyware.com/news/malware-hidden-inside-neural-network-models-has-over-90-efficacy-ab38b6a9

五、融资并购

本月,网藤科技B+轮融资近亿元人民币;长扬科技C轮融资1亿人民币;物联网/OT设备安全公司NanoLock融资1100万美元;OPSWAT收购工业网络安全公司Bayshore Networks;工业网络安全公司SynSaber以250万美元的种子资金启动。

1.网藤科技B+轮融资近亿元人民币
网藤科技专注于关键信息基础设施网络安全解决方案,为电力、石油石化、水务、燃气、智能制造等行业涉及到关键信息基础设施的企业提供覆盖工控安全全生命周期的安全解决方案。本轮投资方为长安私人资本等机构联合领投,老股东动平衡资本继续加码。
资料来源:https://mp.weixin.qq.com/s/bskMe9PdpiYaakU05tDAkg

2.长扬科技C轮融资1亿人民币
长扬科技专注于工业互联网安全、工控安全态势感知和视觉AI安全大数据应用,长扬科技开创了三位一体“智能工业安全大脑”的技术理念,自主研发涵盖工业互联网安全全系列产品。本轮投资方为青岛国投,中航基金,国新南方,联创永宣,国君资本。
资料来源:https://mp.weixin.qq.com/s/F9mq4r6pWUzYIl8pTzHvLQ

3.物联网/OT设备安全公司NanoLock融资1100万美元
NanoLock Securit是一家专门从事物联网和操作技术(OT)设备保护和管理的公司。NanoLock已获得来自新投资者OurCrowd、HIVE2040和Atlantica Group以及当前投资者AWZ Ventures 1100万美元的B轮融资。
https://www.calcalistech.com/ctech/articles/0,7340,L-3911874,00.html?&web_view=true

4.OPSWAT收购工业网络安全公司Bayshore Networks
OPSWAT 19日宣布收购工业网络安全公司Bayshore Networks,该公司为ICS和OT开发安全解决方案,其产品包括工业安全设备、IT和OT安全网关、工业安全远程访问产品以及资产发现和流可视化工具。
https://www.securityweek.com/opswat-acquires-industrial-cybersecurity-firm-bayshore-networks

5.工业网络安全公司SynSaber以250万美元的种子资金启动
SynSaber是一家新的工业网络安全公司,正在开发一种工业资产和网络监控解决方案在获得来自SYN Ventures、Rally Ventures和Cyber ​​Mentor Fund的250万美元种子资金后宣布启动。
https://www.securityweek.com/industrial-cybersecurity-firm-synsaber-launches-25m-seed-funding