工业网络安全“情报解码”-2022年第52期
时间:2022-12-31 作者:安帝科技
本期摘要
政策法规方面,反间谍法修订草案二审稿增加有关网络间谍的规定,进一步准确界定“间谍行为”。俄罗斯政府批准了信息安全文化发展的概念,以提高网络素养的整体水平。美国2023财年综合拨款法案倡导开发者使用可支持内存安全的编码语言,以阻止网络对手利用绝大多数软件漏洞。
漏洞态势方面,三菱电机工业控制器软件中存在多个漏洞,其高危漏洞可导致项目信息泄露。罗克韦尔产品中存在多个漏洞,可导致远程代码执行或拒绝服务。Linux内核存在高危漏洞,可允许未经身份验证的远程攻击者执行任意代码。WordPress插件漏洞仍被在野利用,通过该漏洞可获取网站的完全访问权限。ZyXE路由器中存在硬编码凭据,攻击者可使用该凭据远程访问目标设备。
安全事件方面,Sargent & Lundy遭受勒索攻击,目前事件已得到控制。Royal勒索组织声称攻击了Intrado,目前Intrado未就此次网络攻击发表公开声明。查尔斯湖纪念医疗系统披露了一起数据泄露事件,该事件影响了近270,000名患者。新的信息窃取程序正通过虚假的PrivateLoader网站感染设备。黑客在暗网上出售4亿Twitter用户的数据,包括政客、公司、普通用户的电子邮件和电话号码。圣罗斯医院患者数据出现在黑客论坛,涉及财务数据、业务数据和患者医疗数据等信息。
产品技术方面,NordLayer发布设备状态监控功能,以提高公司网络安全性。
并购融资方面,Netwrix收购Remediant,为客户提供增强的特权访问安全性。
1.反间谍法修订草案二审稿增加有关网络间谍的规定
12月27日,反间谍法修订草案再次提请十三届全国人大常委会第三十八次会议审议。修订草案规定了间谍行为的定义。有意见提出,帮助实施间谍行为具有一定的社会危害性,需要依法惩处,但性质应区别于直接实施间谍行为。修订草案二审稿将帮助实施间谍行为在法律责任中明确予以处罚。还有意见提出,网络窃密、攻击、破坏是间谍行为新形态,建议增加有关网络间谍的规定。修订草案二审稿将为间谍组织及其代理人提供针对关键信息基础设施的网络安全漏洞等信息的行为规定为间谍行为。
资料来源:http://www.npc.gov.cn/npc/c30834/202212/b0517126986c48a2ab3c1ab5a165fd1b.shtml
2.俄罗斯政府批准了信息安全文化发展的概念
俄罗斯总理米哈伊尔·米舒斯京签署了一项关于批准俄罗斯信息安全文化形成和发展概念的法令。该概念将信息安全威胁定义为信息泄露、未经授权访问资源(从技术角度),以及数字空间中的欺凌、虚假和恶意内容的传播(从心理学角度)。该概念指出,在与官员合作时,应特别强调应对网络威胁的实用技能。国家政策在提升信息安全文化方面的战略目标是培养公民应对网络威胁的技能,提高网络素养的整体水平。
资料来源:https://www.securitylab.ru/news/535389.php
3.美国政府立法推动改善内存安全问题
美国国会于12月23日通过的2023财年综合拨款法案中包含一份“圣诞彩蛋”,倡导开发者使用可支持内存安全的编码语言,以阻止网络对手利用绝大多数软件漏洞。NSA认为“软件程序的内存管理机制是预防各类漏洞、保障程序健壮性的核心所在”,并建议开发者应尽可能使用内存安全语言。典型内存安全语言包括JavaScript、Ruby、Python等。NSA指出,与C、C++等常见的非内存安全语言不同,内存安全语言可以“控制内存的分配、访问和管理方式,在很大程度上提供安全保护。
资料来源:https://www.secrss.com/articles/50499
4.三菱电机工业控制器软件中存在多个漏洞
研究人员在三菱电机的工业控制器软件中发现了七个漏洞,利用这些漏洞允许未经授权的用户访问MELSEC iQ-R/F/L系列CPU模块和MELSEC iQ-R系列OPC UA服务器模块。一个高危漏洞跟踪为CVE-2022-29830,CVSS评分9.1,成功利用该漏洞可导致所有项目信息的泄露。另一个高危漏洞跟踪为CVE-2022-25164,CVSS评分8.6,可允许攻击者从获取的项目文件提取密码并连接到PLC。
资料来源:https://g.yam.com/0hVGE
5.罗克韦尔产品中存在多个漏洞
美国网络安全和基础设施安全局(CISA)发布了三个公告,描述了总共四个罗克韦尔产品的高危漏洞。CVE-2022-3156,CVSS评分7.8,不当访问控制漏洞,由于错误配置,恶意用户可能会在目标软件上实现远程代码执行。CVE-2022-3157,CVSS评分8.6,不正确的输入验证漏洞,该漏洞可能允许格式错误的CIP请求导致拒绝服务。CVE-2022-46670,CVSS评分7.1,未经身份验证的存储跨站点脚本漏洞,利用此漏洞可能导致未经身份验证的远程代码执行。CVE-2022-3166,CVSS评分7.5,点击劫持漏洞,利用此漏洞可能会导致设备上的Web服务器应用程序出现拒绝服务情况。针对前两个漏洞,供应商已发布了修补程序,对于后两个漏洞,供应商提供了可以防止攻击的缓解措施。
资料来源:https://www.securityweek.com/several-dos-code-execution-vulnerabilities-found-rockwell-automation-controllers
6.微研究团队披露启用ksmbd的SMB服务器的Linux内核漏洞
研究人员披露了一个严重的Linux内核漏洞,影响启用了ksmbd的SMB服务器。该漏洞跟踪为CVE-2022-47939,CVSS评分10,可允许未经身份验证的远程攻击者在易受攻击的Linux内核中执行任意代码。漏洞存在于SMB2_TREE_DISCONNECT命令的处理过程中,是由于在对对象执行操作之前没有验证对象的存在而导致的。建议使用ksmbd的管理员更新到Linux内核版本5.15.61或更高版本以修复漏洞。
资料来源:https://securityaffairs.co/wordpress/140013/hacking/critical-linux-kernel-vulnerability.html
7.WordPress插件漏洞仍被在野利用
研究人员发现WordPress插件YITH WooCommerce Gift Cards Premium中的漏洞仍被在野利用。该漏洞追踪为CVE-2022-45359,CVSS评分9.8,允许未经身份验证的攻击者将文件上传到易被攻击的站点,其中包括提供对该网站完全访问权限的Web shell。研究人员称,大多数攻击发生在2022年11月,当时管理员尚未修复该漏洞,但在12月14日出现了第二个高峰,其中一个IP地址对10936个网站发起了19604次攻击尝试。目前漏洞利用攻击仍在进行中,建议使用该插件的用户升级到3.21版本。
资料来源:https://g.yam.com/pmqQf
8.ZyXE路由器中存在硬编码凭据
研究人员披露了ZyXEL LTE3301-M209 LTE室内路由器中的硬编码凭据漏洞。该漏洞跟踪为CVE-2022-40602,CVSS评分9.8,如果路由器启用了远程管理功能,远程攻击者可使用预配置密码访问设备。目前ZyXEL已发布固件修复程序,用户可升级到V1.00(ABLG.6)C0版本以修复漏洞。
资料来源:https://securityaffairs.co/wordpress/139974/hacking/backdoor-credentials-zyxel-lte3301-m209.html
9.Sargent & Lundy遭受勒索攻击
美国有线电视新闻网透露,黑客对一家处理全国关键基础设施项目的美国政府承包商进行勒索软件攻击时,窃取了多家电力公司的数据。此次勒索攻击袭击了总部位于芝加哥的Sargent & Lundy工程公司,该公司设计了900多个发电站和数千英里的电力系统,并持有这些项目的敏感数据。据其网站称,该公司还处理核安全问题。调查人员称,该事件已得到控制和补救,似乎并未对其它电力行业的公司造成影响。
资料来源:https://g.yam.com/9YyUF
10.Royal勒索组织声称攻击了Intrado电信提供商
12月27日,Royal勒索组织声称对针对电信公司Intrado的网络攻击负责。据相关人士透露,攻击于12月1日开始,最初的赎金为6000万美元。Royal声称已从受感染的Intrado设备中获取内部文件、护照和员工驾照,并共享了一个52.8MB的文件作为泄露的证据,其中包含护照、商业文件和驾驶执照的扫描件。目前Intrado未就此次网络攻击发表公开声明。
资料来源:https://g.yam.com/8ZZbV
11.查尔斯湖纪念医疗系统遭受勒索攻击
查尔斯湖纪念医疗系统(LCMHS)披露了一起数据泄露事件,该事件影响了近270,000名患者。根据LCMHS网站上发布的公告,网络安全事件发生在2022年10月21日,当时该组织的安全团队检测到计算机网络上存在异常活动。内部调查显示,黑客获得了对LCMHS网络的未授权访问权限,并窃取了敏感文件,包含患者姓名、支付信息和家庭住址等信息。
资料来源:https://securityaffairs.com/140106/cyber-crime/lcmhs-hospital-ransomware-attack.html
12.新的信息窃取程序通过虚假的PrivateLoader网站感染设备
研究人员发现了一种新的信息窃取程序RisePro。RisePro通过PPI服务(按安装付费)PrivateLoader管理的虚假站点进行传播,RisePro窃取受害者的信用卡、密码和加密钱包。研究人员称,攻击者已经在俄罗斯暗网市场上出售数以千计的RisePro日志(从被感染设备中窃取的数据包)。
资料来源:https://g.yam.com/CVtwN
13.4亿Twitter用户数据在暗网上出售
名为“Ryushi”的攻击者声称获得了4亿名Twitter用户的数据并将试图其出售。攻击者表示该数据库是私人的,并提供了1,000个帐户的样本作为证明,其中包括Donald Trump JR、Brian Krebs等知名用户的私人信息。攻击者称数据是通过漏洞抓取的,其中包括名人、政客、公司、普通用户的电子邮件和电话号码,以及大量OG和特殊用户名。
资料来源:https://securityaffairs.co/wordpress/139993/data-breach/twitter-400-million-users-leak.html
14.圣罗斯医院患者数据出现在黑客论坛
研究人员在黑客论坛上发现了据称是来自加利福尼亚州海沃德圣罗斯医院的文件数据,该清单被描述为泄露文件的样本数据包,据称总泄露数据包含1.7TB的文件,涉及财务数据、业务数据、患者医疗数据、员工和患者个人信息等。研究人员发现样本中记录了2022年10月下旬的文件,因此泄露事件可能发生在11月或12月。目前圣罗斯医院对该事件没有回应。
资料来源:https://www.databreaches.net/st-rose-hospital-patient-data-appears-on-hacking-forum/
15.NordLayer发布设备状态监控
NordLayer发布了一项名为设备状态监控的新功能,该功能允许公司确定设备是否符合现有的网络安全政策,是否可以信任访问公司资源,从而显着提高网络安全性。通过一组预定义的规则,管理员可以监控对公司资源的访问,并定期对已批准设备的更新进行虚拟检查。
资料来源:https://g.yam.com/vRTlU
16.Netwrix收购Remediant
数据安全软件供应商Netwrix收购了Remediant,为客户提供增强的特权访问安全性。Remediant的SecureONE解决方案通过自动发现和删除始终可用的管理访问来防止横向移动。通过此次收购,Netwrix丰富了其特权访问管理(PAM)产品,该产品作为零站立特权(ZSP)安全模型的一部分提供即时访问。此外,Netwrix还增强了其在NIST网络安全框架的识别和保护功能方面的技术能力。
资料来源:https://www.securityweek.com/netwrix-acquires-remediant-pam-technology