工业网络安全“情报解码”-2022年第20期
时间:2022-05-21 作者:安帝科技
本期摘要
政策法规方面,美国众议院提出《工业控制系统网络安全培训法案》,将通过CISA永久设立教育计划。美国拜登总统签署《国家网络安全防范联盟法案》,将用于确保关键基础设施免受网络攻击。美国司法部修订《计算机欺诈与滥用法》,将不再对出于善意安全研究目的的行为提起诉讼。欧盟推出关键领域网络安全新立法,要求有关部门在24小时内报告网络安全事件等。英国政府发布《2022民用核网络安全战略》,旨在以协作和成熟的方式有效管理和减轻民用核部门的网络风险。
漏洞态势方面,西门子楼宇自动化控制器PXC4.E16存在DoS漏洞,虽然仅为中危漏洞,但在工业环境中可造成严重影响。信捷PLC编程软件存在高危漏洞,攻击者可以利用其将任意项目文件写入PLC并获得代码执行。思科Talos研究人员发现InHand工业路由器存在17个漏洞,攻击者可链接使用其中某些漏洞获取root访问权限。Zyxel防火墙存在超危漏洞,上万台暴漏在互联网中的设备可能容易受到远程攻击。
安全事件方面,西门子楼宇自动化控制器PXC4.E16存在DoS漏洞,虽然仅为中危漏洞,但在工业环境中可造成严重影响。信捷PLC编程软件存在高危漏洞,攻击者可以利用其将任意项目文件写入PLC并获得代码执行。思科Talos研究人员发现InHand工业路由器存在17个漏洞,攻击者可链接使用其中某些漏洞获取root访问权限。Zyxel防火墙存在超危漏洞,上万台暴漏在互联网中的设备可能容易受到远程攻击。
融资并购方面,物联网安全厂商物盾安全获数千万元Pre-A轮融资,旨在确保工业互联网中“最后一公里”的安全通讯。量子安全计算厂商Cornami融资6800万美元,旨在为关键和复杂的应用程序实现高性能实时计算。
1、美国众议院提出《工业控制系统网络安全培训法案》
美国众议院5月16日提出了《工业控制系统网络安全培训法案》,以帮助加强国家的网络安全保护。该法案旨在修订2002年的《国土安全法》,以授权网络安全和基础设施安全局(CISA)建立工业控制系统网络安全培训计划并用于其他目的。该法案将通过在CISA内永久设立一个教育计划,为公共和私营部门实体提供ICS网络安全培训。还将包括年度报告要求,以及关于扩大和改进工业控制系统针对未来威胁的网络培训的建议。
资料来源:https://industrialcyber.co/threats-attacks/new-industrial-control-systems-cybersecurity-training-bill-works-toward-bolstering-nations-cybersecurity-posture/
2.美国拜登总统签署《国家网络安全防范联盟法案》
5月12日,美国总统拜登签署了《国家网络安全防范联盟法案》,将用于确保关键基础设施免受网络攻击。国土安全部将和众多大学组成国家网络安全防范联盟(NCPC),对州及地方政府的响应责任人和官员进行网络安全培训,支持创建信息共享计划,并帮助扩大州和地方应急计划的网络安全风险和事件预防及响应。除此之外,他们还将为私营企业和关键基础设施所有者和经营者提供技术援助并举办模拟演习。
资料来源:https://executivegov.com/2022/05/biden-inks-legislation-for-national-cybersecurity-preparedness-consortium/
3.美国司法部修订《计算机欺诈与滥用法》
5月19日,美国司法部公布一项政策调整,将不再对违反美国联邦黑客法《计算机欺诈与滥用法》的善意安全研究提起诉讼。美国司法部副部长LisaMonaco表示:“计算机安全研究是提高网络安全的关键驱动力,司法部从不打算将善意的计算机安全研究视为应被起诉的罪行。此次公告希望为善意的安全研究人员提供清晰指引,鼓励研究者出于公共利益去根除漏洞。”新政策将立即生效。
资料来源:https://www.cyberscoop.com/doj-cfaa-prosecution-relaxation-security-research/
4.欧盟推出关键领域网络安全新立法
欧盟已就新的立法达成政治协议,将对关键行业组织实施共同的网络安全标准。新指令将取代欧盟关于网络和信息系统安全的现有规定(NIS指令)。NIS2指令将涵盖在关键领域运营的大中型组织,其中包括公共电子通信服务、数字服务、废水和废物管理、关键产品制造、邮政和快递服务、医疗保健和公共管理的供应商。新立法要求有关部门在24小时内报告网络安全事件、修补软件漏洞和准备风险管理措施。
资料来源:https://www.infosecurity-magazine.com/news/eu-cybersecurity-legislation/?&web_view=true
5.英国政府发布《2022民用核网络安全战略》
英国政府发布了《2022民用核网络安全战略》。该战略得到了英国民用核组织、核管制办公室和国家网络安全中心的共同制定和认可,计划在未来五年内加强演习计划,改进网络监控、记录和识别趋势,并响应并在网络事件期间进行协调,战略目标是以协作和成熟的方式有效管理和减轻英国民用核部门的网络风险,在应对和防范事件方面具有弹性,以加强英国民用核工业网络安全态势。
资料来源:https://industrialcyber.co/threats-attacks/new-uk-2022-civil-nuclear-cyber-security-strategy-focuses-on-building-cybersecurity-across-the-sector/
6.西门子楼宇自动化控制器PXC4.E16存在DoS漏洞
Nozomi研究人员发现西门子楼宇自动化控制器PXC4.E16设备受到可用于拒绝服务(DoS)攻击的漏洞的影响。在创建或更新帐户期间,Web应用程序未能强制执行PBKDF2派生密钥的成本因子上限,具有用户配置文件访问权限的攻击者可以通过以非常高的成本设置PBKDF2派生密钥然后尝试登录到如此修改的帐户来通过CPU消耗导致DoS条件。该漏洞被追踪为CVE-2022-24040,根据其CVSS评分该漏洞属于中危漏洞,但是在在工业环境中,DoS攻击可能会产生重大影响。
资料来源:https://www.securityweek.com/hackers-can-make-siemens-building-automation-controllers-unavailable-days
7.信捷PLC编程软件存在高危漏洞
Claroty的研究人员在信捷PLC编程软件中发现了两个漏洞。第一个为zipslip漏洞(CVE-2021-34605),该漏洞可以为攻击者提供具有程序权限的任意写入权限,在大多数情况下都是管理员权限。第二个漏洞CVE-2021-34606是一个经典的DLL劫持漏洞。一旦一个特制的恶意项目文件被信捷PLC编程软件打开,就会触发zipslip漏洞并将一个.dll文件写入程序目录,在加载新项目的过程中,将加载此DLL而不是真正的DLL。
资料来源:https://industrialcyber.co/threats-attacks/clarotys-team82-finds-two-vulnerabilities-in-xinje-plc-program-tool-deployed-across-critical-infrastructure-sector/
8.InHand工业路由器存在17个漏洞
思科Talos的研究人员在InHandNetworks制造的无线工业路由器中总共发现了17个漏洞,可能导致任意文件上传、代码执行、权限提升、操作系统命令注入和未经授权的固件更新。攻击者首先可以利用跨站脚本(XSS)漏洞盗取Cookie,如果没有获得特权访问,可以利用其中某两个漏洞进行提权,如果获得特权访问,可以利用另外两个漏洞获得对路由器上运行的Linux操作系统的root访问权限,可用于注入、丢弃或检查数据包、DNS中毒或进一步入侵网络。
资料来源:https://www.securityweek.com/critical-vulnerabilities-provide-root-access-inhand-industrial-routers
9.Zyxel防火墙存在超危漏洞
Rapid7研究人员在Zyxe的ATP、VPN和USGFLEX系列防火墙中发现了一个超危漏洞CVE-2022-30525,CVSS评分9.8,未经身份验证的远程攻击者可以利用该漏洞以“nobody”用户身份执行任意代码。hodan搜索引擎显示了超过15,000台可能受影响的设备暴露在互联网上。该漏洞被描述为未经身份验证的命令注入问题,可通过设备的HTTP接口加以利用。利用该漏洞的Metasploit模块也已发布。
资料来源:https://www.securityweek.com/critical-vulnerability-allows-remote-hacking-zyxel-firewalls
10.北京通管局开展2022年电信和互联网行业网络与数据安全检查
北京通管局发布关于开展2022年电信和互联网行业网络与数据安全检查的通知。重点检查相关网络运行单位的关键信息基础设施和重要网络单元及承载的信息系统,包括但不限于:通信网络基础设施、公共云服务平台、域名服务系统、工业互联网平台、标识解析系统、车联网应用服务平台、网约车信息服务平台等。在工业互联网企业网络安全防护情况检查方面,重点检查工业互联网服务平台、工业互联网标识解析系统企业。
资料来源:https://bjca.miit.gov.cn/zwgk/tzgg/art/2022/art_6dad7c7ba2e54942bde655044f46deee.html
11.MITRE成立旨在加强ICS/OT网络防御的特别兴趣小组
MITRE与美国能源部(DOE)网络安全、能源安全和应急响应办公室(CESER)合作,宣布扩大通用弱点枚举/通用攻击模式枚举和分类(CWE/CAPEC)计划。CWE/CAPEC计划由CISA资助的国土安全系统工程与开发研究所(HSSEDI)运营,宣布成立一个新的特别兴趣小组(SIG),重点关注工业控制系统(ICS)和运营技术(OT)框架中的安全漏洞。MITRE指出,SIG向ICS/OT漏洞研究人员、工程师、OEM代表、系统集成商、基础设施供应商以及资产所有者和运营商开放。
资料来源:https://industrialcyber.co/cisa/cwe-capec-ics-ot-special-interest-group-focuses-on-security-weaknesses-within-these-environments/
12.爱达荷国家实验室的CELR研究区为ICS、OT环境提供交互式测试站点
美国CISA的工业控制系统(ICS)网络应急响应小组扩大了爱达荷国家实验室控制环境实验室资源(CELR)研究区的范围。实验室环境现在将为ICS和OT环境提供交互式测试站点,使政府和私营行业合作伙伴能够体验动态信息物理攻击的可能影响。CELR测试范围环境使用多个平台,能够针对真实的关键基础设施(CI)流程托管模拟风险场景,并允许用户对ICS和监督控制和数据采集(SCADA)系统进行安全研究。
资料来源:https://industrialcyber.co/threats-attacks/idaho-national-laboratorys-celr-research-zone-delivers-interactive-test-site-for-ics-ot-environments/
13.超380,000台KubernetesAPI服务器暴露在互联网上
Shadowserver基金会每天在互联网上对IPv4地址上的443和6443端口进行扫描,寻找以HTTP200OK状态响应的IP地址,这表明请求已成功。在Shadowserver识别的450,000多个KubernetesAPI实例中,有381,645个响应“200OK”。虽然这并不意味着这些服务器完全开放或容易受到攻击,但Shadowserver认为它们代表了“不必要地暴露的攻击面”。超过一半的暴露实例位于美国,西欧、东南亚和澳大利亚也又许多。
资料来源:https://www.securityweek.com/over-380000-kubernetes-api-servers-exposed-internet-shadowserver
14.物联网安全厂商物盾安全获数千万元Pre-A轮融资
近日,上海物盾信息科技有限公司成功完成Pre-A轮数千万元的融资。物盾安全以智能电力物联网安全为入口,聚焦物联网边缘侧安全领域,以零信任为核心理念,致力于解决“物联网+边缘计算”场景下的安全问题。以物安盾零信任安全防护管理系统为核心产品,通过边缘计算本体防护、南向终端管控、北向可信接入以及云边协同安全管理,实现工业互联网中“最后一公里”的安全通讯。
资料来源:https://finance.sina.com.cn/tech/2022-05-18/doc-imcwipik0568578.shtml?finpagefr=p_114
15.量子安全计算厂商Cornami融资6800万美元
Cornami是一家帮助组织加密数据以使其免受后量子威胁的公司,宣布已经完成6800万美元的C轮融资。Cornami提供软件定义的TruStream计算结构架构,旨在为关键和复杂的应用程序实现高性能实时计算。Cornami的技术可以为海量数据集提供扩展的性能,帮助组织加速全同态加密(FHE),保护数据免受后量子威胁。通过支持对加密数据的操作,FHE提供了在使用过程中解密数据的解决方案,从而即使环境已被破坏,也可以降低数据泄露的风险。
资料来源:https://www.securityweek.com/cornami-raises-68-million-quantum-secure-computing-encrypted-data