安帝速递|【工业网络安全月报2022年-08月】

安帝速递|【工业网络安全月报2022年-08月】

时间:2022-09-01 作者:安帝科技

一、政策扫描

美国国家安全电信咨询委员会的一份报告草案中表示,网络安全和基础设施安全局应发布具有约束力的运营指令。美国能源部制定资助计划,以降低美国能源业的网络风险。英国政府发布《国家海事安全战略》以提高技术、创新和网络安全方面的能力。
1、美国国家安全电信咨询委员会提议对联邦机构的运营技术进行实时监控
美国国家安全电信咨询委员会(NSTAC)提出了要求所有行政文职分支机构实时监控运营技术系统的建议。NSTAC发布的一份报告草案中表示,网络安全和基础设施安全局应发布具有约束力的运营指令,该指令将要求联邦部门持续监控任何在使用中的运营技术(OT)设备如何与其他系统连接。
资料来源:https://g.yam.com/BFPkm

2、新加坡发布关键信息基础设施网络安全实践守则2.0
7月4日,新加坡网络安全局(CSA)发布了CCoP2.0(关键信息基础设施网络安全实践守则2.0)。CCoP2.0旨在提高防御者抵御黑客复杂TTP的几率并阻止他们的攻击进展。它使政府和私营部门之间的协调防御能够及时识别、发现和响应网络安全威胁和攻击。
资料来源:https://s.vnshu.com/2lKqPE

3、美国能源部制定4500万美元的资助计划
美国能源部(DOE)8月17日宣布了一项4500万美元的融资机会公告,该公告创建、加速和测试保护电网免受网络攻击的技术。此举将支持六个拟议主题领域的项目,这些项目将有助于使美国能源系统安全、有弹性和可靠。
资料来源:https://g.yam.com/ZQoi9

4、英国政府发布《国家海事安全战略》
英国政府8月15日发布了《国家海事安全战略》,该战略增强了技术、创新和网络安全方面的能力。除其他目标外,该五年战略旨在支持海事部门抵御网络攻击和其他威胁,重点是建立有弹性的系统和网络来保护数据。
资料来源:https://g.yam.com/HVaEK

二、安全事件

据报告显示,USB可移动媒体针对工业的威胁有所提升,2022年第二季度工业勒索软件事件有所下降。研究人员新开发的攻击技术可破坏OT网络,以及允许从气隙PC中泄露数据。本月网络安全事件频发,安全态势愈发严峻。
1、USB可移动媒体威胁受到严重关注
Honeywell在8月16日发布了“工业网络安全:2022年USB威胁报告”。该报告称,针对工业的威胁从30%相应增加至32%,验证了USB可移动媒体正被用于渗透许多工业/OT环境中的气隙环境的理论。
资料来源:https://industrialcyber.co/reports/usb-removable-media-threats-continue-as-serious-concern-as-ics-increasingly-under-attack-from-hackers/

2、Dragos报告显示,2022年第二季度工业勒索软件事件有所下降
工业网络安全公司Dragos 8月9日披露,今年第二季度的工业勒索软件事件有所下降。Dragos数据显示,2022年第二季度有125起勒索软件事件,而上一季度为158起。Dragos表示即使在OT不是预定目标的情况下,对存在OT的企业IT的勒索软件攻击也会对OT运营产生负面影响。
资料来源:https://g.yam.com/KGGbh

3、新的Evil PLC攻击将PLC武器化以破坏OT和企业网络

“Evil PLC”攻击影响罗克韦尔自动化、施耐德电气、通用电气、贝加莱、新杰、OVARRO和艾默生的工程工作站软件。在Evil PLC攻击中,控制器充当达到目的的手段,允许攻击者破坏工作站,访问网络上的所有其他PLC,甚至篡改控制器逻辑。
资料来源:https://thehackernews.com/2022/08/new-evil-plc-attack-weaponizes-plcs-to.html

4、ETHERLED和Gairoscope攻击允许从气隙PC中泄露数据
ETHERLED通过替换气隙PC的网卡驱动,进而修改LED颜色和闪烁机制,并以此来传输编码数据波。对气隙系统的Gairoscope攻击依赖于在目标设备/系统上产生共振频率,这些频率可被最远距离6米的智能手机的陀螺仪传感器捕获。
资料来源:https://www.hackread.com/etherled-gairoscope-exfiltration-air-gapped-pc/

5、卢森堡能源公司遭勒索软件攻击
中欧国家天然气管道和电力网络运营商Creos Luxembourg SA在7月22日至23日遭到攻击,导致其客户门户无法访问,但服务并未中断。BlackCat于7月30日将Creos添加到其数据泄露网站,并威胁要公开盗取的文件,涉及合同、协议、护照、账单和电子邮件等内容。
资料来源:https://www.securityweek.com/luxembourg-energy-company-hit-ransomware

6、英国汽车经销商遭受重大勒索软件攻击
总部位于特伦特河畔斯托克的汽车经销商Holdcroft Motor Group因黑客窃取了包括员工信息在内的数据而遭到勒索。尽管大多数系统现在都已备份,并且托管客户数据的核心经销商管理系统未受影响,但该公司承认一些基础设施已损坏。
资料来源:https://www.infosecurity-magazine.com/news/car-dealership-hit-by-major/?&web_view=true

7、英国供水商受到网络攻击,导致IT网络中断
英国供水商South Staffordshire Water公司于8月15日发表声明确认IT系统因网络攻击而中断。Bleeping Computer的报告透露,在已发布的证据中,Clop提供了一个包含用户名和密码的电子表格,其中包含South Staff Water和South Staffordshire的电子邮件地址。
资料来源:https://industrialcyber.co/threats-attacks/water-systems-at-south-staffordshire-breached-leading-to-disruption-in-it-network/

8、大规模Microsoft Outlook网络钓鱼活动针对全球关键基础设施公司
ThreatLabz团队发现了一个新的网络钓鱼套件,它使用AiTM(adversary-in-the-middle,AiTM)模型绕过多因素身份验证。网络钓鱼目标是位于美国、英国、新西兰和澳大利亚的金融、信贷、保险、能源和制造组织。
资料来源:https://www.securitylab.ru/news/533082.php

三、漏洞态势

研究人员披露了多个影响超宽带实时定位系统的漏洞。西门子、施耐德等多家厂商的工业产品存在漏洞,其中严重的可导致众多领域的关键基础设施遭受破坏性攻击。
1、RTLS系统容易受到中间人攻击和位置篡改
SynSaber公司统计了2022年上半年CISA披露的681个工业控制系统(ICS)漏洞,略高于2021年上半年。在681个CVE中,大约13%没有补丁并且可能永远无法修复——这些被称为“永久漏洞”。超过22%的漏洞为超危漏洞,42%为高危漏洞。
资料来源:https://thehackernews.com/2022/08/rtls-systems-found-vulnerable-to-mitm.html?&web_view=true

2、​西门子修复其产品中的7个漏洞
西门子8月9日发布的四项公告描述了七个安全漏洞。其部分SCALANCE交换机、路由器、安全设备和无线通信设备受到三个漏洞的影响。其中一个超危漏洞可以允许具有管理员权限的经过身份验证的攻击者注入代码或生成root shell。一个高危漏洞允许未经身份验证的攻击者远程导致DoS条件,具有管理员权限的攻击者可以利用中危漏洞进行XSS攻击。
资料来源:https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-fix-only-11-vulnerabilities

3、施耐德修复其产品中的4个漏洞
施耐德电气8月9日发布的公告中描述了四个安全漏洞。其中一个超危漏洞与弱密码恢复机制有关,它可能允许攻击者未经授权访问设备。在Modicon PLC和PAC产品中,施耐德修复了一个可能导致DoS条件的高危漏洞,以及一个可能导致密码哈希和项目数据等敏感信息泄露的高危漏洞。
资料来源:https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-fix-only-11-vulnerabilities

4、Alerton楼宇管理系统存在4个漏洞
SCADAfence研究人员在Alerton的楼宇管理系统Alerton Compass软件中发现了四个漏洞,分别是产品的人机界面(HMI)、Ascent控制模块(ACM)和Visual Logic组件。其中两个高危漏洞可以通过向目标系统发送特制数据包来利用。
资料来源:https://www.securityweek.com/ot-security-firm-warns-safety-risks-posed-alerton-building-system-vulnerabilities

5、NetModule路由器存在2个漏洞
研究人员在NetModule路由器软件(NRSW)中两个新发现的严重漏洞。NetModule的所有路由器都默认运行基于Linux的NRSW,并且可以使用远程管理平台进行远程管理。远程攻击者可以利用这些漏洞绕过身份验证和访问管理功能。
资料来源:https://www.securityweek.com/10-vulnerabilities-found-widely-used-robustel-industrial-routers

6、西门子PLC软件控制器存在安全问题
Technion研究人员发现西门子PLC软件控制器启动过程并不安全,允许攻击者读取和修改文件系统,包括虚拟机管理程序二进制文件和加密的SWCPU,并且可以使用硬编码密钥来解密SWCPU。
资料来源:https://www.securityweek.com/security-researchers-dig-deep-siemens-software-controllers

7、施耐德电气Acti9 PowerTag Link C产品存在漏洞
Secolve研究人员在Acti9 PowerTag Link C设备中发现了一个漏洞(CVE-2022-34754)。最有影响力的两个发现包括硬编码凭据,它使研究人员能够下载世界上任何其他PowerTag Linksmart网关设备的完整快照,以及物理设备上的访问控制实施不当,使研究人员能够从同一网段发出任意命令。
资料来源:https://secolve.com/secolve-identifies-vulnerability-in-schneiders-acti9-powertag-link-c-product/

四、产品方案

Claroty推出基于云的工业网络安全平台,可驱动网络和现代工业企业的经营弹性。艾默生和Nozomi Networks合作推出OT安全解决方案,保障工业控制系统网络弹性和实时运营可见性。
1、Claroty推出基于云的工业网络安全平台
安全公司Claroty推出基于云的工业网络安全平台Claroty xDome。Claroty xDome是业界第一个提供SaaS的易用性和可扩展性的解决方案,同时不会影响整个CPS安全之旅不可或缺的可见性、保护和监控控制的广度或深度,尤其是在CPS在整个扩展物联网(XIoT)。
资料来源:https://claroty.com/press-releases/claroty-unveils-cybersecurity-platform-for-cyber-and-operational-resilience

2、艾默生和Nozomi Networks合作推出OT安全解决方案
艾默生和Nozomi Networks合作推出OT安全解决方案,该解决方案将Nozomi Networks的OT和IoT安全和可见性能力与Emerson的DeltaV分布式控制系统(DCS)、咨询和专业服务相结合,以加强网络安全,减少因网络攻击或过程异常而导致的停机风险。
资料来源:https://www.itp.net/security/emerson-and-nozomi-networks-partners-to-meet-demand-for-ot-security

五、融资并购

TXOne Networks筹集7000万美元来保护垂直行业免受网络安全威胁。SynSaber筹集1300万美元用于改进工业资产和网络监控解决方案。Netskope收购零信任安全厂商Infiot,为用户提供任何企业位置之间的优化连接。
1、TXOne Networks完成7000万美元B轮融资
TXOne Networks已就其B轮融资达成最终协议,总投资收益为7000万美元。最新注资将用于扩大TXOne Networks的全球影响力,并保护全球垂直行业免受工业控制系统(ICS)的网络安全威胁。
资料来源:https://www.helpnetsecurity.com/2022/08/19/txone-networks-funding/

2、SynSaber完成1300万美元A轮融资
SynSaber在A轮融资中筹集了1300万美元,用于继续推进SynSaber工业资产和网络监控解决方案的创新。SynSaber于2022年2月发布了其OT可见性和检测解决方案的1.0版本。该软件允许关键基础设施资产所有者和运营商发送OT边缘数据以增强其SIEM、SOAR或MSSP。
资料来源:https://www.helpnetsecurity.com/2022/08/19/synsaber-funding/?web_view=true

3、Netskope收购零信任安全厂商Infiot
Netskope宣布已经收购了Infiot,该公司是以零信任安全、网络和应用程序优化以及人工智能驱动的操作实现安全访问的先驱。对于Netskope,Infiot技术的加入将使Netskope客户能够将统一的安全和体验质量(QoE)策略应用于最广泛的混合工作需求,从在家或在路上的员工,到分支机构、临时销售点系统和多云环境。
资料来源:https://www.helpnetsecurity.com/2022/08/03/netskope-infiot/?web_view=true