工业网络安全“情报解码”-2022年第40期

工业网络安全“情报解码”-2022年第40期

时间:2022-10-09 作者:安帝科技

本期摘要

政策法规方面,全国信息安全标准化技术委员会发布《信息安全技术 软件供应链安全要求》征求意见稿,规定了软件供应链组织管理和供应活动管理的安全要求。美国总统拜登签署关于美欧个人数据隐私的行政命令,为跨大西洋数据流提供了一个新的法律框架。美国网络安全和基础设施安全局发布《约束性操作指令 23-01》,旨在提高整个联邦机构的资产可见性和漏洞发现。

漏洞态势方面,研究人员在Carlo Gavazzi的停车场管理系统中发现11个漏洞,攻击者可利用漏洞获得对受影响设备的完全访问权限。研究人员发现宜家智能照明系统存在漏洞,可导致用户无法通过宜家智能家居应用程序以及配套的Trådfri遥控器控制智能灯。VMware发布安全公告,修复了vCenter Server的反序列化漏洞。研究人员发现Apache Pulsar存在安全漏洞,可允许对目标系统进行中间人攻击。研究人员发现Canon Medical Vitrea View存在XSS漏洞,可允许攻击者访问病患信息。

安全事件方面,美国能源部发布《美国电网分布式能源的网络安全注意事项》报告,详细说明了对与分布式能源相关的网络安全考虑因素的长期评估。黑客利用BSC Token Hub跨链桥中的漏洞,转移了200万枚BNB。研究人员发现了针对Microsoft SQL服务器的恶意软件,目前已经感染数百台机器。

产品技术方面,Tenable推出风险管理平台,旨在帮助组织确定威胁的优先级。Phosphorus宣布对其xIoT安全平台进行重要的增强,以加强企业设备安全性。

并购融资方面,Tidal Cyber完成400万美元融资,用于扩展基于SaaS的威胁情报防御平台。Oort完成1500万美元A轮融资,以阻止基于身份的网络攻击。
1、‍全国信安标委发布《信息安全技术软件供应链安全要求》征求意见稿
9月30日,全国信息安全标准化技术委员会发布了《信息安全技术 软件供应链安全要求》征求意见稿,给出了软件供应链安全保护目标,规定了软件供应链组织管理和供应活动管理的安全要求。《安全要求》指出,软件供应链安全目标是识别和防范供应关系和供应活动中面临的安全风险,提升软件供应链安全保障能力。安全风险包括软件漏洞利用、软件后门植入、恶意篡改、供应链劫持、供应中断、信息泄露等。
资料来源:https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20220930173005&norm_id=20211108000018&recode_id=48921

2、美国总统拜登签署关于美欧个人数据隐私的行政命令
美国总统拜登10月7日签署了一项行政命令,旨在保护欧盟与美国之间个人数据传输的隐私,并解决欧洲对美国情报收集活动的担忧。白宫表示,该行政命令为对数字经济至关重要的跨大西洋数据流提供了一个新的法律框架,该行政命令解决了欧盟法院在裁定之前被称为隐私盾的框架没有提供足够保护时提出的担忧。
资料来源:https://www.securityweek.com/biden-signs-executive-order-us-eu-personal-data-privacy

3.美国网络安全和基础设施安全局发布《约束性操作指令23-01》
10月3日,美国网络安全和基础设施安全局(CISA)发布了《约束性操作指令 23-01》,旨在提高整个联邦机构的资产可见性和漏洞发现。《约束性操作指令 23-01》旨在让联邦机构维护最新的网络资产清单,并在技术上可行的情况下使用特权或基于客户端的方式识别软件漏洞。它还试图跟踪该机构枚举其资产的频率、其资产的覆盖范围、其漏洞签名的最新情况,并向CISA的持续诊断和缓解(CDM)联邦仪表盘提供资产和漏洞信息。
资料来源:https://industrialcyber.co/cisa/cisa-directive-mandates-asset-discovery-vulnerability-enumeration-on-fceb-agencies/

4.停车场管理系统存在多个漏洞
研究人员在Carlo Gavazzi的CPY停车场服务器和UWP 3.0监控网关和控制器产品中发现11个漏洞,攻击者可利用漏洞获得对受影响设备的完全访问权限。研究人员称,受影响的UWP产品是一个基于Web的应用程序,旨在远程管理楼宇自动化、能源管理和停车场引导系统,为驾驶员提供有关停车设施内停车位可用性的信息。已发现这些产品受到与硬编码凭据、SQL注入、缺少身份验证、不正确的输入验证和路径遍历相关漏洞的影响。这些安全漏洞可被用来绕过身份验证、获取信息和执行命令,从而使攻击者能够完全控制目标系统。
资料来源:https://www.securityweek.com/critical-vulnerabilities-expose-parking-management-system-hacker-attacks

5.宜家智能照明系统存在漏洞
研究人员发现宜家智能照明系统存在漏洞,可导致用户无法通过宜家智能家居应用程序以及配套的Trådfri遥控器控制智能灯,且智能灯保持常亮状态。漏洞追踪为CVE-2022-39064和CVE-2022-39065,攻击者可通过重复发送相同的畸形Zigbee帧(IEEE 802.15.4)利用漏洞。
资料来源:https://www.darkreading.com/application-security/ikea-smart-light-system-flaw-lets-attackers-turn-bulbs-on-full-blast

6.VMware修补vCenter Server中的反序列化漏洞
10月6日,VMware发布安全公告,修复了vCenter Server的反序列化漏洞。漏洞追踪为CVE-2022-31680,CVSS评分为7.2,可允许具有vCenter Server管理员访问权限的恶意行为者在托管vCenter Server的底层操作系统上执行任意代码。
资料来源:https://www.securityweek.com/vmware-patches-code-execution-vulnerability-vcenter-server?&web_view=true

7.Apache Pulsar存在安全漏洞
研究人员发现Apache Pulsar存在安全漏洞,可允许对目标系统进行中间人攻击。Apache Pulsar是一个开源分布式云原生发布者订阅(pub-sub)消息传递和流媒体平台。研究人员称,利用该漏洞需要攻击者接管目标服务器和客户端之间的一台机器。由于易受攻击的客户端会将身份验证数据暴露给攻击者,并且由于身份验证发生在主机名验证之前,因此攻击者可以通过为不相关的主机发送加密有效的证书来欺骗客户端。资料来源:https://latesthackingnews.com/2022/10/03/apache-pulsar-vulnerability-could-allow-mitm-attacks/

8.Canon Medical Vitrea View存在XSS漏洞
研究人员发现Canon Medical Vitrea View存在两个反射型跨网站脚本(Reflected Cross-site scripting,XSS)漏洞,合称为CVE-2022-37461,可允许攻击者访问病患资讯和获得对与Vitrea View相关的某些功能的额外访问权限。其中一个漏洞为未经授权的反射型XSS,它存在于/vitrea-view/error/的错误消息中,将/error/子目录之后的所有输入都反映给用户。另一个漏洞是Vitrea View管理面板中的反射型XSS,恶意行为者可以通过诱使受害者单击特制链接来访问面板。
资料来源:https://www.cysecurity.news/2022/10/xss-bugs-in-canons-vitrea-view-tool-can.html

9.美国能源部发布《美国电网分布式能源的网络安全注意事项》报告
10月6日,美国能源部发布了《美国电网分布式能源的网络安全注意事项》报告,详细说明了对与分布式能源相关的网络安全考虑因素的长期评估。报告概述了电力部门在对美国电网进行转型时应考虑的网络安全注意事项,包括公用事业和分布式能源运营商、供应商、集成商、开发商以及政策制定者。
资料来源:https://industrialcyber.co/reports/doe-reports-on-cybersecurity-considerations-for-distributed-energy-resources-across-us-electric-grid/

10.Binance Bridge遭受网络攻击,200万枚BNB被盗
黑客利用BSC(BNB链)Token Hub跨链桥(blockchain bridge)中的漏洞,转移了200万枚BNB。BNB转移后,攻击者立即试图通过多个池分割被盗资金,而加密货币交易所要求所有验证者暂时暂停BSC。大部分被盗资金仍保留在BNB智能链上,Binance Bridge预估从BNB智能链中扣除了7000万至8000万美元。
资料来源:https://securityaffairs.co/wordpress/136779/cyber-crime/hackers-stole-binance-funds.html

11.Maggie感染数百台Microsoft SQL服务器
研究人员发现了一种针对Microsoft SQL服务器的新恶意软件Maggie,目前已经感染数百台机器。Maggie通过SQL(结构化查询语言)查询语句进行控制,这些查询语句指示它运行命令并与文件交互。研究人员称,Maggie支持的各种命令允许查询系统信息、执行程序、与文件和文件夹交互、启用远程桌面服务(TermService)、运行SOCKS5代理以及设置端口转发。
资料来源:https://www.bleepingcomputer.com/news/security/hundreds-of-microsoft-sql-servers-backdoored-with-new-malware/?&web_view=true

12.Tenable推出风险管理平台
Tenable推出风险管理平台Tenable One,旨在帮助组织确定威胁的优先级。Tenable One整合了漏洞管理、Web应用程序扫描、攻击面管理和Active Directory(AD)安全等产品,目的是改进数据分析并为客户提供更主动的安全态势。Tenable One还加入新功能攻击路径分析和资产清单,用于帮助安全团队更好地缓解威胁和为客户提供IT资产的全面视图。
资料来源:https://www.techtarget.com/searchsecurity/news/252525666/Tenable-shifts-focus-launches-exposure-management-platform

13.Phosphorus增强xIoT安全平台
Phosphorus宣布对其xIoT安全平台进行增强,以加强企业设备安全性。Phosphorus Enterprise xIoT安全平台是一个整合的xIoT安全产品,可跨所有IoT、OT和网络连接设备(包括新设备和旧设备)提供攻击面管理、强化和修复以及检测和响应,其更新版本现在包括跨配置管理、强化和修复功能。
资料来源:https://www.helpnetsecurity.com/2022/10/07/phosphorus-enterprise-xiot-security-platform/

14.Tidal Cyber完成400万美元融资
Tidal Cyber完成400万美元融资,用于扩展基于SaaS的威胁情报防御平台。威胁情报防御通过专注于最有可能瞄准他们的对手所使用的战术和技术,为公司提供了更具战略性的防御手段。Tidal Platform平台旨在简化实施威胁知情防御的流程,它具有来自MITRE ATT&CK®和其他开源资源的丰富技术数据。
资料来源:https://www.darkreading.com/cloud/tidal-cyber-closes-4m-funding-round-to-continue-making-threat-informed-defense-achievable

15.Oort完成1500万美元A轮融资
Oort完成1500万美元A轮融资,以阻止基于身份的网络攻击。Oort是一个以身份为中心的企业安全平台。作为身份威胁检测和响应的交钥匙解决方案,Oort通过与现有身份来源合作,在几分钟内实现全面的身份攻击面管理,为安全团队提供即时价值。
资料来源:https://finance.yahoo.com/news/enterprise-security-startup-oort-raises-120500665.html?&web_view=true