工业网络安全“情报解码”-2022年第32期

工业网络安全“情报解码”-2022年第32期

时间:2022-08-13 作者:安帝科技

本期摘要

政策法规方面,沙特阿拉伯启动发展网络安全部门的计划,旨在发展网络安全领域的国家能力,通过培训将网络安全技术本地化。

漏洞态势方面,8月9日,本月的周二补丁日,西门子和施耐德发布的公告以及修复的漏洞数量均少于以往,但仍不乏可造成严重影响的超危漏洞。西门子PLC软件控制器存在安全问题,可以使用硬编码密钥来解密SWCPU。Alerton楼宇管理系统存在4个漏洞,在实际场景中,成功的漏洞利用可能带来灾难性的破坏。NetModule路由器存在2个漏洞,其工业路由器同样受到影响,可允许远程攻击绕过身份验证。Palo Alto Networks正在修复PAN-OS中的漏洞,可用于发起反射放大拒绝服务攻击。CISA警告Windows和UnRAR漏洞被在野利用。

安全事件方面,Dragos报告显示,2022年第二季度工业勒索软件事件有所下降,但 OT运营仍将受到威胁。IDC发布2022年版《全球网络安全支出指南》,数据显示2026年中国网络安全市场规模将超318亿美元。思科证实遭Yanluowang勒索软件团伙黑客入侵,但其业务并未受到任何影响。C2即服务(C2aaS)正在吸引大量用户,降低了网络犯罪分子进入威胁领域的门槛。

产品技术方面,OPSWAT展示新的运营技术(OT)恶意软件分析功能,可将恶意软件映射到MITRE ATT&CK ICS框架。艾默生和Nozomi Networks合作推出OT安全解决方案,保障工业控制系统网络弹性和实时运营可见性。

融资并购方面,数据隐私代码扫描平台Privya融资600万美元,旨在在开发过程中识别数据保护问题和违规行为。

1、沙特阿拉伯启动发展网络安全部门的计划
沙特阿拉伯国家网络安全局8月8日启动了“CyberIC”计划,以发展该国的网络安全部门。该计划旨在发展网络安全领域的国家能力,通过培训将网络安全技术本地化。据当局称,该计划的第一阶段包括多项举措,包括培训国家当局的员工,加快网络安全活动以刺激该部门,并鼓励开发国家网络安全产品、服务和解决方案。该计划还将与国际大学合作推出第二版网络安全挑战和首席信息安全官计划。这些课程将包括一组在模拟真实网络攻击和事件的虚拟环境中进行的网络练习。
资料来源:https://www.arabnews.com/node/2138606/%E5%95%86%E4%B8%9A%E7%BB%8F%E6%B5%8E

2、西门子修复其产品中的7个漏洞
西门子8月9日发布的四项公告描述了七个安全漏洞。其部分SCALANCE交换机、路由器、安全设备和无线通信设备受到三个漏洞的影响。其中一个超危漏洞可以允许具有管理员权限的经过身份验证的攻击者注入代码或生成root shell。一个高危漏洞允许未经身份验证的攻击者远程导致DoS条件,具有管理员权限的攻击者可以利用中危漏洞进行XSS攻击。在Teamcenter软件中,西门子修补了两个可能导致远程代码执行或DoS条件的超危漏洞。
资料来源:https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-fix-only-11-vulnerabilities

3.施耐德修复其产品中的4个漏洞
施耐德电气8月9日发布的四项公告中的每一项都描述了一个漏洞。其中影响EcoStruxure Control Expert、EcoStruxure Process Expert以及Modicon M580和M340的一个超危漏洞与弱密码恢复机制有关,它可能允许攻击者未经授权访问设备。在Modicon PLC和PAC产品中,施耐德修复了一个可能导致DoS条件的高危漏洞,以及一个可能导致密码哈希和项目数据等敏感信息泄露的高危漏洞。EcoStruxure Control Expert产品中已修复可使用特制项目文件利用的DoS漏洞。
资料来源:https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-fix-only-11-vulnerabilities

4.西门子PLC软件控制器存在安全问题
Technion研究人员分析了西门子的基于PC的可编程逻辑控制器(PLC)或SoftPLC。SIMATICS7-1500软件控制器由Intel Atom CPU提供支持,并运行一个管理程序,该管理程序控制两个带有Windows和Adonis Linux的虚拟机(VM),供应商称之为SWCPU。SWCPU在PLC启动过程中由管理程序加密和解密。然而,研究人员发现启动过程并不安全,允许攻击者读取和修改文件系统,包括虚拟机管理程序二进制文件和加密的SWCPU。研究人员发现可以使用硬编码密钥来解密SWCPU。
资料来源:https://www.securityweek.com/security-researchers-dig-deep-siemens-software-controllers

5.Alerton楼宇管理系统存在4个漏洞
OT和物联网网络安全公司SCADAfence在由工业巨头霍尼韦尔旗下品牌Alerton制造的广泛使用的楼宇管理系统Alerton Compass软件中发现了四个漏洞,分别是产品的人机界面(HMI)、Ascent控制模块(ACM)和Visual Logic组件。其中两个高危漏洞可以通过向目标系统发送特制数据包来利用。未经身份验证的远程攻击者可以在控制器上进行配置更改或编写未经授权的代码,这两者都可能导致控制器功能发生变化,在实际的场景中,这可能带来灾难性的破坏。
资料来源:https://www.securityweek.com/ot-security-firm-warns-safety-risks-posed-alerton-building-system-vulnerabilities

6.NetModule路由器存在2个漏洞
Flashpoint警告组织注意NetModule路由器软件(NRSW)中两个新发现的严重漏洞,这些漏洞可能会被利用在攻击中。NetModule提供IIoT和工业路由器、车载路由器和其他类型的无线M2M连接产品。NetModule的所有路由器都默认运行基于Linux的NRSW,并且可以使用远程管理平台进行远程管理。远程攻击者可以利用这些漏洞绕过身份验证和访问管理功能。
资料来源:https://www.securityweek.com/organizations-warned-critical-vulnerabilities-netmodule-routers

7.Palo Alto Networks正在修复PAN-OS中的DoS漏洞
Palo Alto Networks表示黑客正在利用运行PAN-OS的Palo Alto Networks设备中的漏洞(CVE-2022-0028)来发起反射放大拒绝服务(DoS)攻击。根本原因是PAN-OSURL过滤策略中的配置错误,该策略允许基于网络的攻击者进行反射和放大的TCP DoS攻击。该漏洞可以通过删除URL过滤策略来缓解,同时还建议在Palo Alto上仅启用基于数据包的攻击保护和洪水保护之间的一项安全功能。截止到8月11日,该漏洞尚未被安全修复,后续补丁将于下周发布。
资料来源:https://www.securityweek.com/palo-alto-networks-firewalls-targeted-reflected-amplified-ddos-attack

8.CISA警告Windows和UnRAR漏洞被在野利用
美国网络安全和基础设施安全局(CISA)根据主动利用的证据,在其已知被利用的漏洞目录中又增加了两个漏洞。其中一个是Windows支持诊断工具(MSDT)中的0Day漏洞,另一个是用于Linux和Unix系统的UnRAR实用程序中的路径遍历漏洞(CVE-2022-30333)。这两个漏洞严重程度都很高,并且是目录遍历漏洞,可以帮助攻击者在目标系统上植入恶意软件。
资料来源:https://securityaffairs.co/wordpress/134230/security/cisa-unrar-windows-catalog.html

9.Dragos报告显示,2022年第二季度工业勒索软件事件有所下降
工业网络安全公司Dragos 8月9日披露,今年第二季度的工业勒索软件事件有所下降。Dragos数据显示,2022年第二季度有125起勒索软件事件,而上一季度为158起。它还将本季度的下降归因于Conti在5月中旬的业务关闭,因为该黑客组织在过去两个季度针对工业组织和基础设施的勒索软件事件总数中占25%和18%。Dragos表示即使在OT不是预定目标的情况下,对存在OT的企业IT的勒索软件攻击也会对OT运营产生负面影响。
资料来源:https://g.yam.com/RkM6F

10.2026年中国网络安全市场规模将超318亿美元
IDC近日发布了2022年版《全球网络安全支出指南》。该指南从技术、垂直行业、终端用户企业规模等多个维度回顾了2021年中国网络安全市场。IDC数据显示,2026年中国网络安全IT支出规模将达到318.6亿美元,全球占比约为11.1%,五年CAGR约为21.2%。中国网络安全市场增速持续领跑全球,五年CAGR近全球两倍,市场前景广阔。
资料来源:https://www.idc.com/getdoc.jsp?containerId=prCHC49588422

11.思科证实遭Yanluowang勒索软件团伙黑客入侵
思科8月10日证实,Yanluowang勒索软件集团在5月下旬入侵了其公司网络,黑客试图通过在网上泄露被盗文件来勒索他们。黑客在劫持了员工的个人Google帐户后,使用员工被盗的凭据访问了思科的网络。思科表示并未发现此事件对其业务造成任何影响,包括思科产品或服务、敏感的客户数据或敏感的员工信息、知识产权或供应链运营。
资料来源:https://g.yam.com/nkg0V

12.C2即服务(C2aaS)正在吸引大量用户
一项名为Dark Utilities的新兴服务已经吸引了3,000名用户,Dark Utilities于2022年初出现,被宣传为“C2即服务(C2aaS)”,提供全方位的C2功能,为攻击者提供一个更简单、更便宜的平台,用于发起远程访问、命令执行、加密货币挖掘和分布式拒绝服务(DDoS)攻击。它为网络犯罪分子提供了一种简单而廉价的方式,使黑客能够快速针对各种操作系统发起攻击,降低了网络犯罪分子进入威胁领域的门槛。
资料来源:https://www.theregister.com/2022/08/08/dark_utilities_c2_service/

13.OPSWAT展示新的运营技术(OT)恶意软件分析功能
关键基础设施保护(CIP)网络安全解决方案厂商OPSWAT 8月10日在Black Hat USA 2022大会上宣布了针对IT和OT的新恶意软件分析功能。这些增强功能包括用于OT的OPSWAT Sandbox,可检测OT网络协议上的恶意通信。OPSWAT Meta Defender Malware Analyzer现在能够将通过OPSWAT沙箱检测到的恶意软件映射到MITRE ATT&CK工业控制系统(ICS)框架,使恶意软件分析团队能够快速了解专门针对OT环境的恶意软件策略、技术和程序(TTP)。
资料来源:https://g.yam.com/fc1xU

14.艾默生和Nozomi Networks合作推出OT安全解决方案
艾默生和Nozomi Networks已经达成协议,以满足两家公司所服务的特定行业对OT网络安全服务和解决方案日益增长的需求。艾默生将向全球客户提供Nozomi Networks的工业控制系统网络弹性和实时运营可见性的先进解决方案。该协议将Nozomi Networks的OT和IoT安全和可见性能力与Emerson的DeltaV分布式控制系统(DCS)、咨询和专业服务相结合。该协议提供全面的解决方案,以加强网络安全,减少因网络攻击或过程异常而导致的停机风险。
资料来源:https://www.itp.net/security/emerson-and-nozomi-networks-partners-to-meet-demand-for-ot-security

15.数据隐私代码扫描平台Privya融资600万美元
数据隐私代码扫描平台Privya 6月9日完成融资600万美元。Privya对数据隐私采取“左移”方法,提供一个代码扫描平台,旨在在开发过程中识别数据保护问题和违规行为,然后再将其投入生产。该平台分析在代码中处理敏感数据的方式,以及收集的数据的类型以及数据是如何被使用、存储和发送到第三方服务的。Privya的扫描仪查找有关收集个人和敏感数据的信息,标记违规行为,并提供风险评分,以帮助自动执行和遵守数据隐私法规。
资料来源:https://www.securityweek.com/privya-emerges-stealth-data-privacy-code-scanning-platform