工业网络安全“情报解码”-2022年第38期

工业网络安全“情报解码”-2022年第38期

时间:2022-09-24 作者:安帝科技

本期摘要

政策法规方面,欧盟提出《网络弹性法案》,要求所有包括数字元素的产品满足最低安全要求。印度尼西亚通过《个人数据保护法案》,将规范所有形式的数据处理以保护数据安全。美国加州出台《加州适龄设计规范法案》,将限制应用程序收集未成年人数据的能力。

漏洞态势方面,Dataprobe配电单元iBoot-PDU存在7个漏洞,攻击者可利用其绕过NAT和防火墙在该设备上执行任意代码。Wiz披露了Oracle云基础设施中的严重漏洞,攻击者可利用其在未经授权的情况下修改用户的存储卷。存在了15年的Python漏洞变得更加严重,约350,000个项目受影响。uClibC库中存在内存损坏漏洞,所有基于Unix的设备都受到影响。

安全事件方面,美国NSA和CISA发布工业控制系统网络安全咨询,介绍了攻击者的常规流程以及可行的建议。欧洲将建设一个主权自主卫星系统用于实现安全的信息交换。超39,000个未经身份验证的Redis实例暴露在互联网上,近半数有试图入侵的迹象。新的社工手段MFA疲劳获得攻击者青睐。黑客从加密交易公司Wintermute窃取了1.6亿美元。

产品技术方面,Dragos与Palo Alto Networks合作集成NGFW,优化OT资产可见性和威胁检测。XONA和Nozomi Networks合作加强关键基础设施数字化转型的安全性,将零信任用户访问与全面的网络和资产可见性相结合。

并购融资方面,能源OT安全访问服务边缘解决方案供应商Operant Networks融资380万美元,通过命名数据网络来实现弹性、安全性。
1、‍欧盟提出《网络弹性法案》
欧盟委员会于2022年9月15日发布了一项关于“网络弹性法案”的提案,该法规将要求“具有数字元素的产品”(即“任何软件或硬件产品及其远程数据处理解决方案”)的任何制造商满足最低网络安全要求,以便能够将该产品投放欧盟市场。要求制造商根据网络安全要求设计、开发和生产产品,从而实现设计安全。此外,法案还要求制造商有义务报告被积极利用的漏洞以及安全事件。
资料来源:https://www.mondaq.com/Article/1232626

2、印度尼西亚通过《个人数据保护法案》
9月20日,印度尼西亚通过了已经审议了一年多的《个人数据保护法案》。该法案仿照欧盟的《通用数据保护条例》(GDPR),包括各种未囊括在其本地法规中的全球组成部分,如敏感的个人数据和数据保护官。该法案将规范所有形式的数据处理,包括获取和收集、存储、更新和纠正以及删除。同时规定了违反法案的处罚措施,包括高达年收入2%的公司罚款,以及对人员最高6年的监禁。
资料来源:https://www.zdnet.com/article/indonesia-finally-passes-personal-data-protection-law/

3.美国加州出台《加州适龄设计规范法案》
9月15日,美国加州通过加州适龄设计规范法案》将对美国儿童实施一些最严格的隐私要求,尤其是在社交媒体方面。法律限制应用程序收集18岁或以下任何人的数据的能力,并要求他们为儿童和青少年实施“最高隐私标准”。此外,该法律还将要求以技术为重点的公司在允许访问其平台之前整合技术以验证用户的年龄。
资料来源:https://www.infosecurity-magazine.com/news/california-internet-privacy/?&web_view=true

4.Dataprobe配电单元iBoot-PDU存在7个漏洞
Claroty的研究人员发现Dataprobe的iBoot-PDU配电单元产品存在7个漏洞,该产品主要用于工业环境和数据中心。除了可利用暴露在互联网上的设备,攻击者还可以通过提供对设备管理页面的访问的基于云的平台访问未直接暴露于网络的设备。成功利用这些漏洞可绕过NAT和防火墙,实现任意代码执行,使攻击者能够切断PDU控制的所有设备的电源。攻击者还可以获得在受感染网络中横向移动所需的凭据。
资料来源:https://www.securityweek.com/iboot-power-distribution-unit-flaws-allow-hackers-remotely-shut-down-devices

5.Kingspan水箱管理系统超危漏洞尚未修复
研究人员Maxim Rupp在Kingspan的水箱管理系统中发现了一个超危漏洞,是由于缺乏正确实施的访问控制规则而导致的。攻击者无需身份验证即可访问设备的设置,只需导航到特定的URL。而这些设备可以配置为可从Internet访问,只要攻击者可以访问设备的Web界面,就可以利用此漏洞更改各种设置,包括与传感器、储罐详细信息和警报阈值相关的设置。受影响的产品在全球范围内用于水和废水系统领域,但该漏洞仍未修复。
资料来源:https://www.securityweek.com/water-tank-management-system-used-worldwide-has-unpatched-security-hole

6.Wiz披露了Oracle云基础设施中的严重漏洞
云安全公司Wiz发布了有关Oracle云基础设施(OCI)漏洞的信息,该漏洞允许攻击者在未经授权的情况下修改用户的存储卷。该漏洞被称为AttachMe,根源在于磁盘可以在没有任何明确授权的情况下通过Oracle云标识符(OCID)附加到另一个帐户中的计算实例。这意味着拥有OCID的攻击者可以利用AttachMe访问任何存储卷,从而导致数据泄露、渗漏,或者更糟的是,更改引导卷以获取代码执行。
资料来源:https://thehackernews.com/2022/09/researchers-disclose-critical.html

7.存在了15年的Python漏洞复活,影响350,000个项目
Trellix研究人员发现存在了15年之久的python漏洞CVE-2007-4559变得更加严重,最初被描述为tarfile模块中的目录遍历漏洞,但现在攻击者可以利用该漏洞编写任意文件,并在大多数情况下执行恶意代码。他们在近590,000个Github库中识别出287万个包含tarfile模块的开源文件。其中61%易受攻击,受影响的开源项目总数约为350,000个。包括人工智能/机器学习、网络、数据科学、IT管理和安全等。
资料来源:https://www.securityweek.com/15-year-old-python-vulnerability-present-350000-projects-resurrected

8.uClibC库中的内存损坏漏洞影响所有基于Unix的设备
Cisco Talos在uClibC库中发现了一个内存损坏漏洞,该漏洞可能影响使用该库的任何基于Unix的设备。uClibC和uClibC-ng是流行的gLibc库的轻量级替代品,gLibc是GNU项目对C标准库的实现。如果恶意用户反复创建线程,就会发生该漏洞。许多嵌入式设备都使用此库,但Talos特别确认Anker Eufy Homebase 2版本2.1.8.8h受此漏洞影响。Anker确认他们已针对此漏洞进行了修复。但是,uClibC尚未发布官方修复程序。
资料来源:https://blog.talosintelligence.com/2022/09/vuln-spotlight-uclibc-ng.html?&web_view=true

9.美国NSA和CISA发布工业控制系统网络安全咨询
9月22日,美国国家安全局(NSA)和网络安全和基础设施安全局(CISA)发布了一份网络安全咨询(CSA),重点介绍了恶意行为者通常采取的攻击破坏运营技术(OT)/工业控制系统(ICS)资产的步骤并提供有关如何防御它们的建议。可行的安全建议具体有:限制系统信息的暴露;识别和保护远程接入点;限制工具和脚本;定期进行安全审核;实现动态网络环境。
资料来源:https://g.yam.com/uT6A4

10.欧洲将建设一个主权自主卫星系统用于实现安全的信息交换
9月22日,由卫星运营商SES牵头的20家欧洲公司组成财团,在欧洲航天局(ESA)和欧盟委员会的支持下,将开发和发射EAGLE-1卫星综合体,这是一个安全量子密钥分发系统(QKD)。在此运行阶段,卫星将允许政府和欧盟机构以及关键部门长距离访问QKD,以确保高度安全的数据传输。ESA总干事表示,EAGLE-1将在安全通信、下一代网络和网络安全等关键领域实现下一代太空项目,将使欧洲量子通信基础设施安全且可扩展。
资料来源:https://www.securitylab.ru/news/534022.php

11.超39,000个未经身份验证的Redis实例暴露在互联网上
Censys的研究人员警告称,互联网上暴露的数以万计未经身份验证的Redis服务器正受到攻击。威胁行为者正在针对这些实例安装加密货币矿工。在公共互联网上的350,675个Redis服务中,有39,405个未经身份验证的Redis服务,潜在的数据暴露超过 300 GB。互联网上近50%的未经身份验证的Redis服务显示出企图入侵的迹象。
资料来源:https://thehackernews.com/2022/09/over-39000-unauthenticated-redis.html

12.新的社工手段MFA疲劳获得攻击者青睐
随着多因素身份验证的兴起,一种被称为MFA Fatigue(MEA疲劳)的社工手段越来越流行。MFA疲劳攻击是指威胁参与者运行一个脚本,一遍又一遍地尝试使用被盗凭据登录,从而导致向帐户所有者的移动设备发送无休止的MFA推送请求流。目标是日夜保持这种状态,使员工对这些MFA提示产生“疲劳”感,进而在不知不觉中同意登录请求。
资料来源:https://www.bleepingcomputer.com/news/security/mfa-fatigue-hackers-new-favorite-tactic-in-high-profile-breaches/

13.谷歌完成对Mandiant的收购黑客从加密交易公司Wintermute窃取了1.6亿美元
在针对去中心化金融(DeFi)领域的最新加密抢劫案中,黑客从加密交易公司Wintermute窃取了价值约 1.6 亿美元的数字资产。此次黑客攻击涉及一系列未经授权的交易,将USD Coin、Binance USD、Tether USD、Wrapped ETH和66种其他加密货币转移到攻击者的钱包中。该公司表示,其集中式金融(CeFi)和场外交易(OTC)业务并未受到安全事件的影响。
资料来源:https://thehackernews.com/2022/09/crypto-trading-firm-wintermute-loses.html

14.Dragos与Palo Alto Networks合作集成NGFW,优化OT资产可见性和威胁检测
Dragos与Palo Alto Networks合作,将Dragos平台与世界上第一个ML-Powered Next-Generation Firewall(NGFW)相集成,使共同客户能够主动预防影响信息技术(IT)和运营技术(OT)环境。这种技术集成为防御者提供了跨IT和OT网络的资产可见性,以查看风险、减少攻击路径和保护更广泛的环境。Dragos平台通过分析网络流量和捕获详细的资产信息和通信来构建不断更新的资产列表。
资料来源:https://g.yam.com/6U2IW

15.XONA和Nozomi Networks合作加强关键基础设施数字化转型的安全性
XONA和Nozomi Networks在9月20日宣布建立合作伙伴关系,以帮助关键基础设施的运营商通过增强的安全和零信任原则。通过集成他们的技术,XONA和Nozomi Networks为组织提供了先进的工具,可以在任何地方和任何设备上远程管理操作技术和工业控制系统的安全性。全面的网络可见性是自动化的,因此使网络管理员能够以更有效的方式平衡优先级,同时通过细粒度的安全性确保最大程度的保护。
资料来源:https://g.yam.com/Oqig8

16.能源OT安全访问服务边缘解决方案供应商Operant Networks融资380万美元
专注于能源领域运营技术(OT)的安全访问服务边缘(SASE)解决方案供应商Operant Networks 获得了380万美元的种子资金。该公司提供机器对机器通信,其目标是帮助能源组织满足其网络和网络安全要求。该公司的SASE解决方案使用命名数据网络来实现弹性、安全性和可观察性。此外,它将零信任架构原则应用于每个数据包,以提高不影响网络性能的安全级别。
资料来源:https://www.securityweek.com/operant-networks-emerges-stealth-sase-solution-energy-ot