工业网络安全“情报解码”-2022年第18期
时间:2022-05-08 作者:安帝科技
本期摘要
政策法规方面,证监会发布《证券期货业网络安全管理办法(征求意见稿)》,建立健全证券期货业网络安全监管制度体系。美国总统拜登签署两项推进量子技术发展的指令,旨在减轻量子计算机对美国国家和经济安全构成的风险。美国NIST推出《网络安全供应链风险管理》指南最终版,以确保软件供应链的完整性。印度政府要求在六小时内报告网络安全事件,专家认为落实较为困难。
漏洞态势方面,Nozomi Networks研究人员在uClibc库中发现了一个DNS漏洞,数百万物联网设备面临安全威胁。Armis研究人员在Avaya和Aruba交换机中发现了新一轮漏洞并称之为TLStorm2.0,攻击者可利用其完全控制设备。防病毒软件AVG、Avast中潜藏近10年的高危漏洞被披露,数百万用户受影响。F5就18个漏洞向BIG-IP客户发出警告,其中最严重的漏洞可导致任意代码执行。
安全事件方面,俄罗斯总统普京签署总统令要求各部门机构设立IT安全部门,并将禁止使用不友好国家的安全设备。继乌克兰之后,韩国加入北约网络防御卓越中心,成为首个加入该机构的亚洲国家。攻击者利用Docker镜像对俄罗斯网站发起DDoS攻击,涉及的两个Docker镜像下载量已超过15万次。美国农业机械制造商AGCO遭受勒索软件攻击,可能会关闭其部分IT系统以防止攻击蔓延。
融资并购方面,工业互联网厂商天地和兴获得数亿元D轮投资,为工业控制系统提供安全防护。OT安全公司Network Perception融资1300万美元,通过网络分段验证和可视化来保护OT资产。Sabanci收购OT安全公司Radiflow,以提升其在各个工业领域的网络安全产品。
1、证监会发布《证券期货业网络安全管理办法(征求意见稿)》
近日,为建立健全证券期货业网络安全监管制度体系,防范化解行业网络安全风险隐患,维护资本市场安全平稳高效运行,证监会起草了《证券期货业网络安全管理办法(征求意见稿)》,现向社会公开征求意见。其主要包括证券期货业网络安全监督管理体系、网络安全运行、数据安全统筹管理、网络安全应急处置、关键信息基础设施网络安全、网络安全促进与发展、监督管理与法律责任等方面内容。
资料来源:http://www.csrc.gov.cn/csrc/c101981/c2381308/content.shtml
2.美国总统拜登签署两项推进量子技术发展的指令
2022年5月4日,美总统拜登签署两项指令,旨在推动量子信息科学(QIS)的研究与开发,并帮助美国计算机网络向后量子加密标准过渡。这两项指令为美国在量子技术领域继续发挥领导作用奠定了基础,同时减轻了量子计算机对美国国家和经济安全构成的风险。第一项指令是《关于加强国家量子倡议咨询委员会的行政命令》,将通过加强国家量子倡议咨询委员会来进一步推动实现美总统对促进尖端科学技术突破的承诺。第二项指令是《国家安全备忘录(NSM)》,概述了美政府将如何应对量子计算机给美国网络安全造成的风险。
资料来源:https://www.whitehouse.gov/briefing-room/statements-releases/2022/05/04/fact-sheet-president-biden-announces-two-presidential-directives-advancing-quantum-technologies
3.美国NIST推出《网络安全供应链风险管理》指南最终版
美国国家标准与技术研究院(NIST)5月5日发布了其针对系统和组织的基础C-SCRM指导文件的最终版本。网络安全供应链风险管理(C-SCRM)文件为企业提供了有关如何识别、评估、选择和实施风险管理流程以及减轻整个企业控制措施的指导,以帮助管理整个供应链中的网络安全风险。C-SCRM指南确定当代企业运行复杂的信息系统和网络来支持其任务。这些信息系统和网络由供应商、开发商和系统集成商提供的 ICT/OT 产品和组件组成。
资料来源:https://industrialcyber.co/analysis/nist-rolls-out-final-c-scrm-guidance-to-enhance-cybersecurity-secure-integrity-of-software-supply-chain/
4.印度政府要求在六小时内报告网络安全事件
印度政府发布了新指令,要求组织在六小时内向计算机应急响应小组(CERT-IN)报告网络安全事件,即使这些事件是计算机系统的端口或漏洞扫描。CERT-IN小组表示已确定了导致安全事件分析和响应困难的具体差距,为了解决这些问题,它需要采取更积极的措施。任何互联网服务提供商、中介、数据中心或政府组织都应在注意到这些事件后的六个小时内将这些事件报告给CERT-IN。
资料来源:https://www.bleepingcomputer.com/news/security/india-to-require-cybersecurity-incident-reporting-within-six-hours/
5.uClibc库的DNS漏洞影响数百万个物联网产品
Nozomi Networks研究人员披露了一个严重漏洞,该漏洞影响了用于开发嵌入式Linux系统的两个流行的C库uClibc和uClibc-ng的域名系统(DNS)实现,这可能会使数百万物联网设备面临安全威胁。该漏洞是由库生成的DNS请求中包含的事务ID的可预测性引起的,这可能允许攻击者对目标设备执行DNS中毒攻击。攻击者然后可以窃取和/或操纵用户传输的信息,并对这些设备进行其他攻击以完全破坏它们。
资料来源:https://thehackernews.com/2022/05/unpatched-dns-related-vulnerability.html
6.Aruba和Avaya交换机中存在超危漏洞
Armis研究人员在Avaya和Aruba制造的交换机中发现了新一轮漏洞,他们称之为TLStorm2.0。Aruba交换机受到CVE-2022-23677和CVE-2022-23676的影响,而Avaya设备则受到CVE-2022-29860和CVE-2022-29861的影响。另一个影响Avaya设备的RCE漏洞尚未分配CVE标识符,因为它影响已停产的产品,但该设备仍在使用中。攻击者可以利用TLStorm2.0漏洞滥用强制门户并在未经身份验证的情况下在交换机上执行任意代码。一旦他们控制了交换机,攻击者就可以禁用强制门户并自由访问受保护的公司网络。
资料来源:https://www.securityweek.com/vulnerabilities-aruba-and-avaya-switches-expose-enterprise-networks-attacks
7.防病毒软件AVG、Avast中潜藏近10年的漏洞被披露
5月5日,SentinelLabs发布报告,他们在知名防病毒产品Avast和AVG中发现了两个存在时间长达近10年之久的高危漏洞(CVE-2022-26522、CVE-2022-26523)。其问题的根源来自内核驱动程序中的套接字连接处理程序,可允许攻击者提升权限并禁用防病毒软件,甚至还会造成系统蓝屏、死机。专家称,目前为止还没有迹象表明这些漏洞已被广泛利用,但由于这两个漏洞已“潜伏”了近10年之久,受影响的用户数量可能已达数百万。
资料来源:https://www.securityweek.com/flaws-avast-avg-antiviruses-could-have-facilitated-attacks-millions-devices
8.F5就18个漏洞向BIG-IP客户发出警告
安全和应用交付解决方案提供商F5于5月4日发布了一份季度安全通知,向BIG-IP应用交付控制器的用户通报了1个超危漏洞和17个高危漏洞。其中最严重的漏洞是CVE-2022-1388,CVSS评分9.8。F5在一份公告中表示,该漏洞可能允许未经验证的攻击者通过管理端口和/或自身IP地址对BIG-IP系统进行网络访问,以执行任意系统命令,创建或删除文件,或禁用服务。
资料来源:https://www.securityweek.com/f5-informs-big-ip-customers-about-18-serious-vulnerabilities
9.普京签署总统令:各部门机构设立IT安全部门
俄罗斯当地时间5月1日,俄罗斯总统普京正式签署了一份确保俄罗斯信息安全额外措施的总统令,下令俄罗斯所有部门、机构和骨干组织都需要设立IT安全部门。根据总统令的实际规定,自2025年1月1日起,俄罗斯国有企业和机构将禁止使用的不友好国家生产的信息和安全设备。
资料来源:https://www.163.com/dy/article/H6CV97O50511A5GF.html
10.韩国加入北约网络防御卓越中心
韩国国家情报院当地时间5日表示,韩国正式加入北大西洋公约组织(NATO)合作网络防御卓越中心(CCDCOE),成为首个加入该机构的亚洲国家。CCDCOE成立于2008年5月,韩国加入后,该机构正式成员增至32个。韩国于2019年提交加入意向书,并从2020年起连续两年出席CCDCOE主办的全球最大规模网络演习“锁盾”演习。报道称,随着韩国加入CCDCOE,未来国情院将参加北约的网络联合训练并参与相关研究,让韩国在网络攻防方面进一步掌握发言权。
资料来源:https://world.huanqiu.com/article/47tI3EgGSDp
11.攻击者利用Docker镜像对俄罗斯网站发起DDoS攻击
攻击者正在使用Docker镜像对属于政府、军队和媒体的十几个俄罗斯网站发起DDoS攻击。这些攻击被网络安全公司CrowdStrike监测到,他们发现2月27日至3月1日期间部署的Docker引擎蜜罐已被入侵并用于DDoS攻击。攻击者试图通过暴露的API来利用配置错误的Docker安装并接管它们以消耗其计算资源。专家证实,这些攻击涉及的两个Docker镜像已被下载超过15万次。
资料来源:https://securityaffairs.co/wordpress/130901/cyber-warfare-2/docker-images-ddos-attack-russia.html
12.美国农业机械制造商AGCO遭受勒索软件攻击
美国农业机械生产商巨头AGCO于5月6日宣布部分生产设施受到影响。AGCO仍在调查攻击的程度,但预计其业务运营将受到几天的不利影响,甚至可能更长的时间才能完全恢复所有服务,具体取决于公司修复系统的速度。虽然AGCO没有提供任何导致中断的详细信息,但该公司可能会关闭其部分IT系统以防止攻击蔓延。
资料来源:https://www.bleepingcomputer.com/news/security/us-agricultural-machinery-maker-agco-hit-by-ransomware-attack/
13.工业互联网厂商天地和兴获得数亿元D轮投资
天地和兴是一家专业从事工业控制系统信息安全防护、检测分析、安全评估与咨询服务的国家级高新技术企业。凭借在工控信息安全领域丰富的实践经验,深厚的技术积累,天地和兴承接了国家能源局工控信息安全示范项目的建设、实施,产品及解决方案已成功应用于电力、石油、石化、钢铁冶金和轨道交通、智能制造等多个关键基础设施领域百余家工业企业。公司日前获得数亿元D轮投资。
资料来源:https://www.ebrun.com/20220507/483400.shtml
14.OT安全公司Network Perception融资1300万美元
Network Perception是一家专门通过网络分段验证和可视化来保护运营技术(OT)资产的公司,该公司宣布已在A轮融资中筹集了1300万美元。Network Perception是关键基础设施防火墙风险评估领域的领导者,并建立了一个平台来验证和可视化防火墙策略,以确保组织最重要的资产得到保护和合规。其NP-View平台最初由政府资助的研究团队开发,旨在帮助组织验证网络分段并识别网络漏洞。
资料来源:https://www.securityweek.com/ot-security-firm-network-perception-raises-13-million
15.Sabanci收购OT安全公司Radiflow
OT网络安全公司Radiflow宣布分两阶段被Sabanci Group收购,初始阶段需要分期进行4500万美元的初级和次级投资,以达到Radiflow的多数股权。在第二阶段,Sabanci计划在2025年之前收购Radiflow100%的股份。Radiflow为关键基础设施网络提供网络安全解决方案,包括风险管理、可见性和异常检测以及安全访问产品。此次收购为Radiflow提供了在OT安全市场上的独特地位。通过利用Sabanci集团广泛的工业足迹,Radiflow计划进一步优化其OT安全产品。
资料来源:https://industrialcyber.co/news/sabanci-group-to-acquire-radiflow-in-a-two-phase-process-focused-on-accelerating-growth/