工业网络安全“情报解码”-2022年第30期

业网络安全“情报解码”-2022年第30期

时间:2022-07-30 作者:安帝科技

本期摘要

政策法规方面,新加坡网络安全局发布关键信息基础设施供应链文件,以应对不断变化的威胁形势和日益增长的数字化。美国国土安全部发布关键管道所有者、运营商的网络安全要求,致力于为关键管道建立网络安全弹性。美国众议院通过《能源网络安全大学领导力法案》,旨在培养能源网络安全方面的研究人员。

漏洞态势方面,工业连接设备Moxa NPort存在两个高危漏洞,可能导致能源、制造以及运输等领域的关键基础设施遭受破坏性攻击。大华网络摄像头存在高危漏洞,攻击者可利用其控制关基领域用于监控生产的摄像头,从而在物理方面破坏生产过程。Atlassian Confluence严重漏洞正在被积极在野利用,攻击者通过利用获取到硬编码凭据可访问所有页面。Palo的调查报告显示,攻击者在CVE披露15分钟内即可开始扫描漏洞,并将获取到的目标在暗网贩卖。

安全事件方面,微软发布《保护关键基础设施免受威胁报告》,为政府和关键基础设施提供商应提出了五项应优先解决的关键建议。Mandiant Red Team通过模拟FIN11技术,以了解勒索软件运营商在OT网络中的潜在影响。研究人员发现在针对乌克兰一家大型软件开发公司的攻击中使用了GoMet后门,企图进行供应链攻击。

产品技术方面,关键基础设施安全厂商Fortress宣布与NetRise建立战略合作伙伴关系,以扩展XIoT产品。Spot by NetApp推出针对云基础架构的持续安全解决方案,以帮助SecOps和CloudOps团队确保持续的云安全性和合规性。

融资并购方面,关键基础设施网络安全解决方案提供商Fend获VIPC投资,旨在从物理上保护连接的设备免受网络攻击和勒索软件的侵害。数据安全公司Sotero融资800万美元,供以数据为中心的安全平台。

1、新加坡发布关键信息基础设施供应链文件
新加坡网络安全局(CSA)7月27日发布了一份CII(关键信息基础设施)供应链计划文件,作为CSA、行业领导、CIIO(关键信息基础设施所有者)和供应商的蓝图,以在CII供应链中构建网络安全和弹性以应对不断变化的威胁形势和日益增长的数字化。该计划制定了五项基础举措,以减轻网络供应链风险并提高新加坡基本服务的网络弹性,并作为新加坡CII迈向安全和弹性未来之旅的开端。
资料来源:https://industrialcyber.co/critical-infrastructure/csas-cii-supply-chain-paper-works-on-mitigating-cyber-risks-uplifting-cyber-resilience/

2、美国国土安全部发布关键管道所有者、运营商的网络安全要求
美国国土安全部(DHS)宣布,其运输安全管理局(TSA)部门已修订并重新发布了有关石油和天然气管道所有者和运营商网络安全的安全指令。该安全指令现在要求TSA指定的关键管道的所有者和运营商实施具体的缓解措施,以防止勒索软件攻击和其他已知威胁信息技术(IT)和运营技术(OT)系统,制定和实施网络安全应急和恢复计划并进行网络安全架构设计审查。
资料来源:https://www.samr.gov.cn/hd/zjdc/202207/t20220721_348831.html

3.美国众议院通过《能源网络安全大学领导力法案》
美国众议院7月28日通过了《能源网络安全大学领导力法案》,该法案要求能源部建立能源网络安全大学领导力计划。作为该计划的一部分,研究生和博士后研究人员将获得经济援助,以参加将网络安全和与能源基础设施需求相关的学科相结合的课程。两党法案还要求美国能源部确保这些学生和研究人员能够在国家实验室和公用事业公司获得经验。
资料来源:https://www.securityweek.com/house-passes-cybersecurity-bills-focusing-energy-sector-information-sharing

4.工业连接设备Moxa NPort存在两个高危漏洞
研究人员在Moxa的NPort5110设备服务器发现了两个高危漏洞CVE-2022-2043和CVE-2022-2044,该服务器用于将串行设备连接到以太网网络,适用于包括能源、关键制造和运输系统等关键基础设施领域。这些类型的设备在2015年对乌克兰电网的攻击中成为破坏目标,导致严重停电。第一个DoS漏洞可以让攻击者使目标设备停止响应合法命令,第二个漏洞是越界问题,攻击者可以访问和/或覆盖设备上的元素,从而导致数据崩溃或损坏。
资料来源:https://www.securityweek.com/moxa-nport-device-flaws-can-expose-critical-infrastructure-disruptive-attacks

5.大华网络摄像头存在高危漏洞
研究人员发现大华网络摄像头存在高危漏洞CVE-2022-30563,成功利用该漏洞可能允许攻击者秘密添加恶意管理员帐户并利用它以最高权限获得对受影响设备的无限制访问,包括观看实时摄像头录像。发起此攻击的威胁者只需要能够捕获一个通过WS-Username Token模式进行身份验证的未加密ONVIF请求,然后使用该请求发送具有相同身份验证数据的伪造请求,以诱骗设备创建管理员帐户。
资料来源:https://thehackernews.com/2022/07/dahua-ip-camera-vulnerability-could-let.html

6.Atlassian Confluence严重漏洞正在被积极在野利用
在Atlassian推出补丁以修复其Confluence Server和Confluence Data Center的Questions For Confluence应用程序中的一个严重漏洞一周后,该漏洞已被积极在野利用。该漏洞为CVE-2022-26138,涉及在应用程序中使用硬编码凭据,远程、未经身份验证的攻击者可以利用该凭据获得对Confluence中所有页面的无限制访问权限。该漏洞仅在启用Confluence应用程序问题时存在,卸载Confluence应用程序并不能修复该漏洞。
资料来源:https://thehackernews.com/2022/07/latest-critical-atlassian-confluence.html

7.攻击者在CVE披露15分钟内即可开始扫描漏洞
Palo Alto7月26日发布了2022年Unit42事件响应报告,分析了过去一年中600多个事件响应案例。报告显示,攻击者一直在监视软件供应商公告板上是否有新的漏洞公告,他们可以利用这些漏洞公告对公司网络进行初始访问或执行远程代码执行。攻击者通常会在CVE披露后15分钟内开始扫描漏洞,即使是低技能的攻击者也可以扫描互联网以查找易受攻击的目标,并将他们的发现出售到更有能力的黑客知道如何利用它们的暗网市场上。
资料来源:https://www.bleepingcomputer.com/news/security/hackers-scan-for-vulnerabilities-within-15-minutes-of-disclosure/

8.微软发布《保护关键基础设施免受威胁报告》
微软7月28日发布了《保护关键基础设施免受威胁报告》,该报告的调查结果提供了宝贵的见解,强调了保护关键基础设施免受网络攻击的重要性。报告中包括为政府和关键基础设施提供商应优先解决的五项关键建议:1.网络安全必须被理解为一个持续的过程;2.关注跨部门和国家的统一监管;3.加大信息共享和能力建设力度;4.建立网络弹性文化;5.追究恶意行为者的责任。
资料来源:https://blogs.microsoft.com/eupolicy/2022/07/28/protecting-critical-infrastructure-from-cyberattacks/

9.Mandiant Red Team对勒索软件在OT环境中可能的影响范围进行评估
Mandiant Red Team在一家欧洲工程组织中模拟了FIN11技术,以了解勒索软件运营商在OT(运营技术)网络中的潜在影响力,FIN11威胁组织在各行业开展了长期运行的勒索软件分发活动,但目前没有显示出具有OT专业知识的迹象。Mandiant Red Team的三个预期目标——在IT环境中模拟勒索软件攻击者,从IT传播到单独的OT网络段,以及通过访问机密信息以窃取和重新分发来模拟多方面的勒索,全部成功实现。
资料来源:https://s.vnshu.com/1WkD3l

10.GoMet后门用于针对乌克兰的攻击
研究人员发现在针对乌克兰一家大型软件开发公司的攻击中使用了一种不常见的恶意软件GoMet后门,GoMet是一个用Go编程语言编写的简单软件,支持使用基于操作系统的Cron或任务调度程序进行作业调度、文件下载、单个命令执行以及打开shell或上传文件的能力。GoMet具有菊花链攻击能力,攻击者可以访问网络或机器,从而访问多个网络和计算机,以便从一个受感染的主机连接到另一台受感染的主机,从而到达与互联网隔离的主机。
资料来源:https://cyware.com/news/gomet-backdoor-used-in-attacks-targeting-ukraine-de384161

11.关键基础设施安全厂商Fortress与NetRise合作拓展XIoT产品
Fortress Information Security公司是美国领先的拥有数字化资产的关键基础设施组织的网络安全提供商,7月26日宣布与NetRise建立战略合作伙伴关系,以扩展XIoT产品。固件安全厂商NetRise开发了一个基于云的自动化平台,可以全面了解XIoT设备中存在的许多风险。这些风险和相关工件以清晰简洁的方式呈现,使顾问、产品安全人员和SOC分析师能够采取适当的行动并开始解决这些设备在其环境中带来的风险。
资料来源:https://s.vnshu.com/2nh0ie

12.Spot by NetApp推出针对云基础架构的持续安全解决方案
以云为主导、以数据为中心的软件公司NetApp7月26日宣布全面推出Spot Security。Spot Security专为云而构建,为持续评估和分析云安全状况提供了解决方案。Spot Security的无代理技术分析云资源关系以提供清晰的可见性和优先操作,自动确定每个云资源的预期暴露,并根据其对组织的潜在影响来应对关键安全威胁。这些自动化操作可减轻警报疲劳,并保持云基础架构安全和运营团队高效。
资料来源:https://s.vnshu.com/38k7o4

13.关键基础设施网络安全解决方案提供商Fend获VIPC投资
弗吉尼亚创新合作公司(VIPC)宣布对关键基础设施网络安全解决方案提供商Fend进行额外投资。Fend创建了新一代单向安全硬件,旨在以单向方式物理传输数据,使公司能够监控来自受保护网络和工业控制系统的网络数据,而不会暴露漏洞供黑客利用。自VIPC进行初始投资以来,Fend已将其客户群扩展到六个国家和多个行业,包括水处理、石油和天然气、制造、海事和国防,以应对关键基础设施遭受网络攻击的风险。
资料来源:https://s.vnshu.com/3PF2YW

14.数据安全公司Sotero融资800万美元
数据安全初创公司Sotero完成800万美元种子轮融资。Sotero提供以数据为中心的安全平台,允许集中管理数据实例、应用程序和安全点解决方案。Sotero的云原生零信任解决方案提供对所有数据资产的可审计性、可见性、治理和控制,以实现整个生态系统的完整数据管理。该平台依靠加密来保护所有数据,无论是静止的、传输的还是使用中的。
资料来源:https://www.securityweek.com/data-security-firm-sotero-raises-8-million-seed-funding