工业网络安全“情报解码”-2022年第27期

工业网络安全“情报解码”-2022年第27期

时间:2022-07-09 作者:安帝科技

本期摘要

政策法规方面,网信办公布《数据出境安全评估办法》,规定关键信息基础设施运营者向境外提供个人信息应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。德国发布空间基础设施IT基线保护概述文件,定义了网络安全最低要求。新加坡发布关键信息基础设施网络安全实践守则2.0,指定为确保CII网络安全而应实施的最低要求。美众议员在年度国防法案中起草了一项修正案,以加强关键基础设施网络安全。
漏洞态势方面,Robustel工业路由器中存在10个漏洞,其中9个为超危命令注入漏洞。思科修复了多个产品中的10 个漏洞,其中2个超危漏洞可被武器化以进行绝对路径遍历攻击。OpenSSL已发布紧急公告修复内存损坏漏洞,攻击者可利用其完成远程代码执行。谷歌研究显示2022年的零日漏洞半数为先前漏洞的变种,有9个被疯狂利用的漏洞完全可以避免。

安全事件方面,欧盟完成大规模网络战争演习Cyber Europe 2022,演习场景涉及对欧洲医疗基础设施的模拟攻击。韩国国防部举行18国网络安全会议,具体讨论共同应对网络威胁、加强网络安全力量的实际合作方案。以色列特拉维夫地铁IT设施遭遇大规模网络攻击,导致进度延缓。IT服务巨头SHI International遭受网络攻击,可能涉及勒索软件。

产品技术方面,美国能源部推出网络安全能力成熟度模型2.1版本,对能源部门进行了重大改进。欧盟网络安全局发布开放网络安全威胁态势框架,以支持威胁形势的发展,并实现一致和透明的威胁情报共享。

融资并购方面,安全自动化公司Swimlane完成7000万美元融资,旨在帮助组织解决其环境中的安全工作流。云原生安全厂商小佑科技完成新一轮A+轮融资,将围绕云原生应用防护平台(CNAPP)架构拓展产品。

1、网信办公布《数据出境安全评估办法》
7月7日,国家互联网信息办公室公布《数据出境安全评估办法》,自2022年9月1日起施行。国家互联网信息办公室有关负责人表示,出台《办法》旨在落实《网络安全法》、《数据安全法》、《个人信息保护法》的规定,规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,切实以安全保发展、以发展促安全。《办法》规定关键信息基础设施运营者向境外提供个人信息应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
资料来源:https://mp.weixin.qq.com/s/n91CsxUkhdzOwYy8SwBSnQ

2、德国发布空间基础设施IT基线保护概述文件
6月30日,德国联邦信息安全办公室(BSI)发布了空间基础设施IT基线保护概述文件。文件定义了卫星网络安全的最低要求。这份指南将各种卫星任务的保护要求分为正常、高、非常高三个等级,目标是尽可能覆盖更多任务,并嵌入从卫星制造到运行的整个流程。文件涵盖卫星生命周期内的各个阶段,包括设计、测试、运输、试运行和最终退役。此外,还涉及到支持航天器自身的网络和应用,再到子网、服务器机房等层级。
资料来源:https://www.theregister.com/2022/07/05/bsi_satellite_baseline/?&web_view=true/

3.新加坡发布关键信息基础设施网络安全实践守则2.0
7月4日,新加坡网络安全局(CSA)发布了CCoP2.0(关键信息基础设施网络安全实践守则2.0)。CCoP2.0旨在指定关键信息基础设施所有者(CIIO)为确保CII的网络安全而应实施的最低要求。预计CIIO将根据CII的网络安全风险状况采取超出该守则规定的措施,以进一步加强CII的网络安全。CCoP2.0旨在提高防御者抵御黑客复杂TTP的几率并阻止他们的攻击进展。它使政府和私营部门之间的协调防御能够及时识别、发现和响应网络安全威胁和攻击。
资料来源:https://s.vnshu.com/2lKqPE

4.美众议员在年度国防法案中推动关键基础设施保护
美国国会关于网络安全的主要声音正在寻求修改年度国防政策立法,以包括对国家最重要的关键基础设施的网络保护。众议员起草了一项修正案,以加强对“具有系统重要性的关键基础设施(SICI)”的防御。提出在识别和指定此类基础设施后,国土安全部网络安全和基础设施安全局局长和国家网络主管将为其所有者和运营商制定关键资产和供应链风险管理实践等报告要求。
资料来源:https://www.cyberscoop.com/sici-defense-authorization-amendment-langevin/

5.Robustel工业路由器中存在10个漏洞
思科在Robustel的工业蜂窝物联网网关中发现了10个漏洞,受影响的产品为R1510路由器。其中九个漏洞被描述为命令注入漏洞,可以通过向目标设备发送特制的网络请求来执行任意命令,均为超危漏洞。另外一个高危漏洞是一个数据删除问题,可以利用特制的网络请求来删除任意文件。如果攻击者在设备上拥有管理员帐户,他们可以提升权限以获得对设备的完全控制权,这使他们能够监控通过设备的流量并攻击设备后面可能无法访问的设备。
资料来源:https://www.securityweek.com/10-vulnerabilities-found-widely-used-robustel-industrial-routers

6.思科修复其产品中的10个漏洞
思科7月6日修复了多个产品中的10个漏洞。两个超危漏洞CVE-2022-20812和CVE-2022-20813影响Cisco Expressway系列和Cisco TelePresence Video Communication Server可能允许远程攻击者覆盖任意文件或对受影响的文件进行空字节中毒攻击设备。CVE-2022-20812(CVSS评分9.0)涉及集群数据库API中任意文件覆盖的情况,要求经过身份验证的远程攻击者对应用程序具有管理员读写权限,以便能够挂载路径以root用户身份进行遍历攻击。
资料来源:https://thehackernews.com/2022/07/cisco-and-fortinet-release-security.html

7.OpenSSL修复远程代码执行漏洞
OpenSSL已修复远程代码执行漏洞CVE-2022-2274。SSL/TLS服务器或其他使用2048位RSA私钥的服务器在支持X86_64架构的AVX512IFMA指令的机器上运行会受到此漏洞的影响。该漏洞可导致RSA实现错误,并且在计算过程中会发生内存损坏,从而导致攻击者能够在执行计算的机器上触发远程代码执行。OpenSSL敦促用户升级到OpenSSL3.0.5。
资料来源:https://www.securityweek.com/openssl-patches-remote-code-execution-vulnerability

8.谷歌研究显示2022年的零日漏洞半数为先前漏洞的变种
Google Project Zero在2022年上半年共观察到18个被利用的零日漏洞,其中至少有一半漏洞之所以存在,因为之前的漏洞没有得到妥善解决。其中之一是Windows平台中的Follina漏洞CVE-2022-30190,它是一个MSHTML零日漏洞CVE-2021-40444的变体。CVE-2022-21882是另一个Windows漏洞,它是去年未正确解决的野生零日漏洞的变体,即CVE-2021-1732。研究员表示,如果组织应用更全面的修补程序,上半年被疯狂利用的9个漏洞完全可以避免。
资料来源:https://www.securityweek.com/google-half-2022s-zero-days-are-variants-previous-vulnerabilities

9.欧盟完成大规模网络战争演习CyberEurope 2022
欧洲各国完成了迄今为止最大的国际网络危机模拟之一CyberEurope 2022,涉及来自欧盟29个国家和欧洲自由贸易区(EFTA)以及欧盟机构和机构的800多名网络安全专家,演习场景涉及对欧洲医疗基础设施的模拟攻击。该演习测试了参与者的事件响应能力以及欧盟机构与CERT-EU和欧盟网络安全机构ENISA合作提高态势感知的能力。从演习中汲取的经验教训将在ENISA的事后报告中公布。
资料来源:https://portswigger.net/daily-swig/cyber-europe-2022-eu-completes-large-scale-cyber-war-game-exercise?&web_view=true

10.韩国国防部举行18国网络安全会议
韩国国防部表示,7月5日至6日以视频形式举行东盟防长扩大会议(ADMM Plus)网络安全专家工作组第8次会议。届时将有18国代表参加,具体讨论共同应对网络威胁、加强网络安全力量的实际合作方案。韩国计划在今年10月举行的第9次会议期间举办成员国之间的首次网络安全跨国演习。因此,本次会议上还将研议演习计划。
资料来源:https://www.cls.cn/detail/1061797

11.以色列特拉维夫地铁IT设施遭遇大规模网络攻击
伊朗法尔斯通讯社7月4日报道称,特拉维夫地铁的操作系统和服务器遭到大规模网络攻击,一家参与建设特拉维夫地铁的公司在本次事件中遭遇袭击,导致该在建中的地铁建设进度延缓。该通讯社称该起攻击事件与伊拉克黑客组织Al-Tahera有关,这是以色列第二次遭到伊拉克的网络攻击,该种类型的攻击事件最早可追溯到2021年9月。
资料来源:https://securityaffairs.co/wordpress/132897/hacking/tel-aviv-metro-company-attacked.html?web_view=true

12.IT服务巨头SHI International遭受网络攻击
信息技术解决方案提供商SHI International在7月4日遭受严重网络攻击后,正努力全面恢复系统和运营。该事件被SHI描述为“协调和专业的恶意软件攻击”,迫使该公司关闭了许多系统,其中一些系统仍处于离线状态。截至7月8日,SHI的网站仍处于关闭状态,显示的网络事件通知提供了有关攻击的稀缺细节,系统已脱机且恢复工作仍在进行中的事实表明可能涉及勒索软件。
资料来源:https://www.securityweek.com/it-services-giant-shi-international-hit-cyberattack

13.美国能源部推出网络安全能力成熟度模型2.1版本
美国能源部(DOE)网络安全、能源安全和应急响应办公室(CESER)发布了网络安全能力成熟度模型(C2M2)2.1版本。C2M2工具是一种免费且自愿的资源,旨在帮助公司评估其网络安全能力并优化其安全投资。新版本进行了几项关键更新,包括增加实践以提高模型所涉及的网络安全活动的全面性,以及增加实践以与美国国家标准与技术研究院(NIST)网络安全框架。
资料来源:https://industrialcyber.co/analysis/doe-rolls-out-version-2-1-of-its-c2m2-model-with-significant-refinements-for-energy-sector/

14.欧盟网络安全局发布开放网络安全威胁态势框架
欧盟网络安全局(ENISA)7月6日发布了一个开放透明的框架,通过建立ENISA网络安全威胁态势(CTL)方法,该机构旨在为透明和系统地交付横向、主题和部门网络安全威胁态势设定基线。横向威胁态势包括总体ENISA威胁态势(ETL),该产品旨在全面覆盖广泛的部门和行业。ENISA CTL方法由六个主要步骤组成,其中包含可预见的反馈并与每个步骤相关联,包括指导、收集、处理、分析和生产、传播和反馈。
资料来源:https://s.vnshu.com/rMkSb

15.安全自动化公司Swimlane完成7000万美元融资
安全自动化初创公司Swimlane7月6日宣布完成7000万美元C轮融资。Swimlane提供了一个自动化平台,可统一安全操作并帮助组织解决其环境中的安全工作流。Swimlane表示,其Turbine平台依靠低代码安全自动化来捕获遥测数据,并将其与人类逻辑相结合,将其转化为有助于加速事件响应的可操作情报。
资料来源:https://www.securityweek.com/security-automation-firm-swimlane-closes-70-million-funding-round

16.云原生安全厂商小佑科技完成新一轮A+轮融资
云原生安全厂商小佑科技近日完成新一轮A+轮融资。小佑科技以容器安全为切入点,不断扩充云原生安全功能模块,如今产品的拓展符合Gartner定义的云原生应用防护平台(CNAPP)架构,现阶段打造了集开发环节中的云原生制品安全管理,容器运行安全,再到集群安全、微服务安全等的云原生安全全生命周期产品矩阵,实现解决方案完整闭环。
资料来源:https://36kr.com/p/1808606648724226