工业网络安全“情报解码”-2022年第48期

工业网络安全“情报解码”-2022年第48期

时间:2022-12-03 作者:安帝科技

本期摘要

政策法规方面,全国信安标委发布关于征求国家标准《工业互联网企业网络安全 第4部分:数据防护要求》(征求意见稿)意见的通知,标准规定了不同级别工业互联网数据的安全防护流程、防护要求和安全管理要求。美国联邦通信委员会通过新规则,禁止被视为对国家安全构成不可接受风险的通信设备获准在美国进口或销售。美国运输安全管理局正在寻求有关加强管道和铁路行业网络安全和弹性的方法的意见。欧盟议会批准了关于加强欧盟基本基础设施保护的规定,以统一关键基础设施的定义。欧盟理事会通过在整个欧盟内实现高度共同网络安全的立法,以进一步提高公共和私营部门以及整个欧盟的网络安全、弹性及事件响应能力。

漏洞态势方面,研究人员发现Delta Electronics的DVW-W02W2-E2和DX-2100-L1-CN设备存在安全漏洞,允许攻击者在设备上执行任意命令。CISA更新已知被利用漏洞目录,新增影响Oracle融合中间件的漏洞。研究人员披露了CODESYS和Festo自动化控制器中的三个安全漏洞,这些漏洞可能导致源代码篡改和拒绝服务。Google发布Chrome安全更新,总计修复28个漏洞。研究人员披露了Amazon Web Services中的跨租户漏洞,攻击者可利用该漏洞获得对资源的未授权访问。

安全事件方面,Dragos称黑客组织在持续攻击荷兰液化天然气站,试图找到进入系统的方法。Mandiant发布公告,报道了利用USB设备作为初始感染媒介的间谍活动。Group-IB发现多起针对2022年FIFA世界杯的钓鱼活动。全印度医学科学研究所(AIIMS)遭到网络攻击,其服务器已连续宕机6天。

产品技术方面,零信任安全供应商Xage推出Zero Trust Session Collaboration,旨在为关键基础设施和工业组织实现更快、更安全的协作。Ridge Security推出了网站安全测试服务PurpleRidge,旨在帮助组织对其Web应用程序进行安全测试。

并购融资方面,CloudWave收购Sensato Cybersecurity,以扩展其医疗网络安全产品。

1.国家标准《工业互联网企业网络安全 第4部分:数据防护要求》公开征求意见
12月1日,全国信息安全标准化技术委员会发布关于征求国家标准《工业互联网企业网络安全 第4部分:数据防护要求》(征求意见稿)意见的通知,标准规定了不同级别工业互联网数据的安全防护流程、防护要求和安全管理要求。标准适用于应用工业互联网的工业企业、工业互联网平台企业、工业互联网标识解析企业开展数据防护,也可供第三方评估机构等主体开展数据安全评估时参考。
资料来源:https://www.tc260.org.cn/front/postDetail.html?id=20221201145510

2.FCC禁止对构成国家安全威胁的设备进行授权
美国联邦通信委员会(FCC)根据2021《两党安全设备法案》通过了新规则,禁止被视为对国家安全构成不可接受风险的通信设备获准在美国进口或销售。修订后的规则涉及设备授权,以进一步保护通信网络和供应链免受对美国国家安全或其公民的安全构成不可接受风险的设备的影响。FCC报告和命令适用于通信机构公共安全和国土安全局根据2019年《安全和可信通信网络法》发布的涵盖清单中确定的设备的未来授权。
资料来源:https://g.yam.com/LxqMO

3.TSA寻求关于改进运输系统地面网络风险管理的反馈
美国国土安全部(DHS)正通过其运输安全管理局(TSA)部门寻求有关如何加强管道和铁路(包括货运、客运和过境铁路)部门的网络安全和弹性的意见。TSA期望从代表这些所有者/运营商的行业协会、第三方网络安全主题专家以及这些运输行业网络安全风险的保险公司和承保人处获得关于改进运输系统表面网络风险管理的意见。
资料来源:https://www.federalregister.gov/documents/2022/11/30/2022-25941/enhancing-surface-cyber-risk-management

4.欧盟议会批准保护基本基础设施的新法规
欧盟议会批准了关于加强欧盟基本基础设施保护的规定,以统一关键基础设施的定义,实现成员国之间的一致性。保护关键基础设施免受物理和数字威胁的行动,在欧盟议程上比以往任何时候都更为重要,尤其是考虑到最近发生的北溪(Nord Stream)天然气管道破坏事件。该规则涉及能源、运输、银行、金融市场基础设施、数字基础设施、饮水和废水、食品(包括生产、加工和运送)、卫生、公共行政和空间等部门。
资料来源:https://g.yam.com/VxNph

5.欧盟理事会通过“实现高度共同网络安全”新立法
11月28日,欧盟理事会通过了在整个欧盟内实现高度共同网络安全的立法,以进一步提高公共和私营部门以及整个欧盟的网络安全、弹性及事件响应能力。这项名为“NIS2”的新指令将取代现行的网络和信息系统安全指令(NIS指令)。NIS2将为该指令涵盖的所有部门(如能源、交通、卫生和数字基础设施)的网络安全风险管理措施和报告义务设定基准。修订后的指令旨在协调不同成员国的网络安全要求和网络安全措施的实施。
资料来源:https://g.yam.com/yGpDH

6.Delta Electronics修补工业网络设备中的安全漏洞
研究人员发现Delta Electronics的DVW-W02W2-E2和DX-2100-L1-CN设备存在安全漏洞,允许攻击者在设备上执行任意命令。DVW-W02W2-E2存在经过身份验证的命令注入漏洞,允许攻击者获得对设备底层操作系统的完全访问权限。DX-2100-L1-CN存在经过身份验证的命令注入漏洞和存储跨站点脚本(XSS)漏洞,XSS漏洞可用于在用户浏览器的上下文中执行任意命令,命令注入漏洞允许攻击者在设备上执行系统命令。
资料来源:https://www.securityweek.com/delta-electronics-patches-serious-flaws-industrial-networking-devices

7.CISA更新已知被利用漏洞目录
11月28日,CISA更新了已知被利用漏洞目录,新增影响Oracle融合中间件的漏洞。该漏洞跟踪为CVE-2021-35587,CVSS评分9.8,允许未经身份验证的攻击者通过HTTP进行网络访问来破坏Oracle Access Manager,成功攻击此漏洞可导致接管Oracle Access Manager。
资料来源:https://securityaffairs.co/wordpress/139077/security/oracle-fusion-middleware-flaw-known-exploited-vulnerabilities-catalog.html

8.研究人员披露了三个影响OT产品的漏洞
研究人员披露了CODESYS和Festo自动化控制器中的三个安全漏洞,这些漏洞可能导致源代码篡改和拒绝服务(DoS)。最严重的漏洞是CVE-2022-3270,CVSS评分9.8,使用Festo Generic Multicast(FGMC)协议的Festo自动化控制器允许在未经身份验证的情况下重新启动。Festo控制器中的另一个漏洞为CVE-2022-3079,CVSS评分7.5,允许未经身份验证的攻击者远程访问关键网页功能从而导致拒绝服务。最后一个漏洞为CVE-2022-4048,CVSS分数7.7,CODESYS使用弱加密技术下载代码和启动应用程序,这可能会被不法分子滥用解密和操纵源代码,从而破坏机密性和完整性保护。
资料来源:https://www.forescout.com/blog/oticefall-continues-vedere-labs-discloses-three-new-vulnerabilities-affecting-ot-products-how-to-mitigate/

9.Google修复Chrome中的多个漏洞
11月29日,Google发布Chrome安全更新,总计修复了28个漏洞,其中22个是外部研究人员报告的。其中较为严重的是V8中的类型混淆漏洞(CVE-2022-4174)、Camera Capture中的释放后使用漏洞(CVE-2022-4175)、Lacros Graphics中的越界写入漏洞(CVE-2022-4176)、扩展中的释放后使用漏洞(CVE-2022-4177)以及Mojo中的释放后使用漏洞(CVE-2022-4178)等。
资料来源:https://chromereleases.googleblog.com/2022/11/stable-channel-update-for-desktop_29.html

10.研究人员披露AWS AppSync中的跨租户漏洞
研究人员披露了Amazon Web Services中的跨租户漏洞,攻击者可以利用该漏洞获得对资源的未授权访问。该漏洞与混淆代理问题有关,是一种权限提升漏洞。这种攻击利用了AppSync服务来承担其他AWS账户中的IAM角色,这使得攻击者能够进入到受害组织中并访问这些账户中的资源。
资料来源:https://thehackernews.com/2022/11/researchers-detail-appsync-cross-tenant.html

11.Dragos称黑客组织在持续攻击荷兰液化天然气站
Dragos发现黑客组织Xenotime和Kamacite一直在攻击荷兰鹿特丹Gasunie液化天然气站,并试图找到进入系统的方法。FBI透露Xenotime和Kamacite与俄罗斯有关联。Fox-IT表示,由于全球能源危机,黑客组织一直以能源行业的公司为目标,特别是液化天然气供应和分销的供应链。
资料来源:https://finance.yahoo.com/news/russian-hackers-target-dutch-lng-170000151.html?&web_view=true

12.Mandiant发现了利用USB设备攻击菲律宾组织的活动
11月28日,Mandiant发布公告,报道了近期发现的利用USB设备作为初始感染媒介的间谍活动。Mandiant将此活动跟踪为UNC4191,该活动主要影响了东南亚的组织,并延伸到了美国、欧洲和亚太地区。研究人员发现虽然目标组织位于其他位置,但UNC4191所针对的系统实际位于菲律宾。在通过USB设备进行初始感染后,攻击者会利用合法签名的二进制文件加载新的恶意软件,并通过NCAT执行反向shell以获取后门访问。
资料来源:https://www.mandiant.com/resources/blog/china-nexus-espionage-southeast-asia

13.Group-IB发现多起针对2022年FIFA世界杯的钓鱼活动
11月29日,Group-IB发布安全公告称,发现了多起针对卡塔尔2022年FIFA世界杯门票、官方商品和工作的诈骗和钓鱼攻击活动。研究人员检测到16,000多个诈骗域,以及诈骗者创建的数十个虚假社交媒体账户、广告和移动应用程序。研究人员还在卡塔尔2022年官方球迷ID门户网站Hayya上发现了90多个可能遭到入侵的账户,据调查,攻击者利用RedLine和Erbium等信息窃取恶意软件获得了这些账户的密码。
资料来源:https://www.group-ib.com/media-center/press-releases/scammers-on-the-pitch/

14.全印度医学科学研究所遭受网络攻击
全印度医学科学研究所(AIIMS)遭到网络攻击,其服务器已连续宕机6天。门诊和住院服务(包括智能实验室、账单、报告生成、预约系统等)受到影响,目前这些服务均由人工管理。德里警方、内政部和印度计算机应急响应小组(CERT-IN)正在调查此攻击事件,目前可能已经泄露了3-4千万患者的数据。
资料来源:https://g.yam.com/SwCwe

15.Xage推出Zero Trust Session Collaboration
零信任安全供应商Xage推出了Zero Trust Session Collaboration,旨在为关键基础设施和工业组织实现更快、更安全的协作。Zero Trust Session Collaboration允许管理员安全地邀请批准的用户远程查看或控制桌面、应用程序或终端屏幕。该工具还为管理员提供了完整的可见性和命令,管理员可以断开与参与者的连接、接管控制、完全终止会话以及查看对所有参与者采取的所有操作的完整审计。
资料来源:https://industrialcyber.co/zero-trust/xages-zero-trust-session-collaboration-tool-delivers-remote-access-collaboration-across-industrial-frameworks/

16.Ridge Security推出PurpleRidge
Ridge Security推出了网站安全测试服务PurpleRidge,旨在帮助组织对其Web应用程序进行安全测试。PurpleRidge遵循OWASP Top 10合规性测试的安全最佳实践,以帮助资源不足的组织发现网站中的漏洞,并更好地了解其安全和风险管理状况。PurpleRidge的免费报告包括对其Web应用程序的自动渗透测试和包含完整攻击面列表的测试摘要。
资料来源:https://g.yam.com/bVWpZ

17.CloudWave收购Sensato
CloudWave收购Sensato Cybersecurity,以扩展其医疗网络安全产品。Sensato开发了完全集成的网络安全即服务平台(CaaS),该平台可提供实时网络监控、入侵检测和资产指纹识别,以及专为医疗基础设施和连接的设备设计的7×24安全运营中心。
资料来源:https://www.helpnetsecurity.com/2022/11/30/cloudwave-sensato/?web_view=true