工业网络安全周报-2023年第5期

工业网络安全周报-2023年第5期

时间:2023-02-04 作者:安帝科技

本期摘要

政策法规方面,本周观察到国内外网络安全相关政策法规6项,值得关注的有Cold River对美能源部国家实验室的网络攻击引起立法者的审查、五角大楼计划提高人工智能在战争中的作用等。

漏洞态势方面,本周监测到漏洞动态16条,值得关注的有Econolite交通控制器存在安全漏洞、OCPP漏洞允许攻击者远程关闭充电桩等。

安全事件方面,本周监测到网络安全事件18起,其中典型的事件有APT29在使馆攻击中使用新的恶意软件、黑客团伙Killnet对美国多家医疗机构发起DDoS攻击等。

产品技术方面,MITRE推出网络弹性工程框架导航器以帮助组织定制其网络弹性目标、目的和技术,云安全服务提供商Neustar Security Services推出UltraDDR以增强基于DNS的用户保护。

并购融资方面,Bitwarden收购Passwordless.dev,以帮助公司在没有密码的情况下对用户进行身份验证。Exterro收购Zapproved,以帮助客户主动和防御性地管理他们的法律治理、风险和合规义务。

1.Cold River对美能源部国家实验室的网络攻击引起立法者的审查
在针对美国能源部掌管的三个国家实验室的一系列网络攻击之后,众议院立法者要求获得有关黑客事件的相关文件,以调查其范围和该机构当前的网络安全态势。这些攻击是由名为Cold River的黑客组织实施的,立法者指出该组织“卷入”了为俄罗斯政府谋利的行动。
资料来源:http://a36.f.dzxt.sbs/eUxwhTX

2.JCDC 2023规划议程解决系统性风险、集体网络响应和高风险行业
联合网络防御协作组织(JCDC)公布了其2023年规划议程,重点是制定涵盖系统性风险、集体网络响应和高风险社区的联合网络防御计划。该倡议将保持灵活性,以便在风险环境发生变化时开展紧急规划工作,同时认识到敏捷性是共同成功的基础。2023年规划议程还概述了通过与主要政府和行业利益相关者的协作规划,努力加强对民间社会组织的保护。
资料来源:http://a80.f.dzxt.sbs/SyVR4kh

3.五角大楼计划提高人工智能在战争中的作用
国防部意识到人工智能和自主武器正在以多快的速度成为战争的一部分。因此,它十多年来首次更新其自动化武器指令,以指导新系统的开发。新框架在更新后的指令“武器系统的自主性”中进行了阐述。五角大楼新兴能力政策主任表示,自1月25日起,该框架已针对“人工智能在美国军队未来的作用的戏剧性、扩展的愿景”进行了修订。
资料来源:http://b99.f.dzxt.sbs/4yUJW0C

4.NIST发布自愿PNT配置文件以减轻中断或操纵的潜在影响
1月31日,美国国家标准与技术研究院(NIST)发布了使用NIST网络安全框架创建的自愿PNT配置文件,该配置文件可用作风险管理计划的一部分,以帮助组织管理系统、网络和资产的风险使用PNT(定位、导航和授时)服务。PNT配置文件为PNT用户提供了一个灵活的框架,用于在形成和使用PNT信号和数据时管理风险,这些信号和数据容易受到自然、人为、有意或无意的中断和操纵的影响。
资料来源:http://a43.f.dzxt.sbs/niCUqNt

5.Econolite交通控制器存在安全漏洞
研究人员发现Econolite交通控制器存在两个高危漏洞,这些漏洞可能允许未经身份验证的远程攻击者获得对流量控制功能的完全控制。其中一个漏洞跟踪为CVE-2023-0452,CVSS评分9.8,无需身份验证即可访问的配置文件使用MD5哈希来加密凭据,包括管理员和技术人员的凭据。另一个漏洞跟踪为CVE-2023-0451,CVSS评分7.5,是一个不正确的访问控制问题,攻击者可以查看日志、数据库和配置文件。
资料来源:http://c91.f.dzxt.sbs/YS4KNRE

6.Cisco IOx应用托管环境存在命令注入漏洞
Cisco IOx应用程序托管环境中存在命令注入漏洞,跟踪为CVE-2023-20076,CVSS评分7.6,可能允许经过身份验证的远程攻击者以root用户身份在底层主机操作系统上执行任意命令。此漏洞是由于为激活应用程序而传入的参数未完全清理造成的,攻击者可以通过使用精心制作的激活负载文件在Cisco IOx应用程序托管环境中部署和激活应用程序来利用此漏洞。目前Cisco已经发布了解决此漏洞的软件更新。
资料来源:http://c44.v.dzxi.sbs/Uwwy90j

7.OCPP漏洞允许攻击者远程关闭充电桩
研究人员发现,网络攻击者可以通过利用使用WebSocket通信的开放式充电点协议(OCPP)的某些版本来禁用电动汽车(EV)充电点(CP)并导致服务中断。OCPP标准没有具体说明每个CP如何同时处理多个连接。网络攻击者可以代表CP打开与计费系统管理服务(CSMS)的额外“新”连接,从而破坏CP与CSMS之间的原始连接,并使其面临各种损害,包括潜在的拒绝服务(DOS)攻击、电动车辆供电设备(EVSE)网络的数据和能源盗窃。
资料来源:https://www.saiflow.com/hijacking-chargers-identifier-to-cause-dos/

8.Meta为2FA绕过漏洞颁发27,000美元的赏金
研究人员披露了双因素身份验证(2FA)漏洞的详细信息,该漏洞使他从Facebook母公司Meta获得了27,000美元的漏洞赏金。研究人员发现Meta设计的验证系统没有任何限速保护,攻击者可以通过暴力破解的方式获取六位手机验证码,并将受害者的电话号码分配给他们控制的账户。由于安全原因,这导致电话号码从受害者的Facebook和Instagram帐户中删除。
资料来源:https://www.securityweek.com/meta-awards-27000-bounty-for-2fa-bypass-vulnerability/

9.APT29在使馆攻击中使用新的恶意软件
研究人员在最近的攻击中,观察到与俄罗斯有联系的网络间谍组织APT29为可能针对大使馆相关人员的攻击准备了新的恶意软件。一个包含文本“Ambassador’s schedule November 2022”的受感染网站被用作诱饵,用名为GraphicalNeutrino的新恶意软件感染访问者。该威胁使用总部位于美国的业务自动化服务Notion进行命令和控制(C&C),是一个加载程序,其中包含许多反分析功能,包括沙盒规避、API脱钩和字符串加密。
资料来源:http://a95.v.dzxi.sbs/cZCBGIs

10.LockBit勒索软件团伙攻击了阿尔巴尼亚航空公司
阿尔巴尼亚的旗舰航空公司阿尔巴尼亚航空公司被LockBit勒索软件组织列为目标,LockBit于1月30日在泄漏站点上发布了威胁说明,支付赎金的截止日期是2月14日。一同出现的其他受害者,还包括美国地区广播公司PBS KVIE和CPL Industries。
资料来源:https://thecyberexpress.com/air-albania-cyber-attack-lockbit-ransomware/

11.黑客团伙Killnet对美国多家医疗机构发起DDoS攻击
美国卫生与公众服务部卫生部门网络安全协调中心(HC3)在一份分析报告中指出,KillNet黑客组织正在积极瞄准医疗保健和公共卫生部门。它还透露,该组织此前以美国医疗保健行业为目标,以发起DDoS(分布式拒绝服务)攻击而闻名,并运营多个公共渠道,旨在招募人员并从这些攻击中获得关注。
资料来源:http://c93.v.dzxi.sbs/EbLmwWH

12.Planet Ice遭受网络攻击
英国Planet Ice称黑客入侵其系统并窃取了超过24万名客户的个人详细信息,泄露的信息包括客户姓名、出生日期、电子邮件地址、密码和电话号码等。Planet Ice表示,它已将违规事件通知信息专员办公室(ICO),并已召集外部网络安全专家协助其调查和应对。
资料来源:http://c72.f.dzxt.sbs/dHvyX5w

13.IT Army of Ukraine从Gazprom获得1.5GB的数据
IT Army of Ukraine声称已经入侵了俄罗斯能源公司Gazprom的基础设施,并获得了1.5 GB的数据。泄露的数据包含与金融和经济活动相关的信息、测试和钻探报告以及科维克廷斯基井自动化系统的实施和调整。此外,该组织还公布了一份包含在Gazprom协议中的保密声明。
资料来源:https://securityaffairs.com/141640/hacktivism/it-army-of-ukraine-hacked-gazprom.html

14.MITRE推出网络弹性工程框架导航器
MITRE发布了网络弹性工程框架(CREF)导航器,这是一个免费的可视化工具,允许组织根据NIST SP 800-160第2卷(修订版1)定制其网络弹性目标、目的和技术。MITRE网络技术副总裁Wen Masters说“弹性是网络安全的最终目标,信息和通信系统以及依赖它们的人必须在面对持续、隐秘和复杂的网络攻击时具有弹性。虽然弹性有时被描述为一种紧急属性,但面对网络威胁的弹性必须经过设计。”
资料来源:http://a43.f.dzxt.sbs/5EOz4uT

15.Neustar Security Services推出UltraDDR以增强基于DNS的用户保护
Neustar Security Services推出了UltraDDR(DNS检测和响应),这是一种基于DNS的递归保护服务,旨在打击网络漏洞、勒索软件攻击、网络钓鱼和供应链妥协,同时为其用户实施企业可接受的使用策略。UltraDDR使用多年的历史域数据,提供出站网络通信的实时可观察性,使企业能够在恶意软件、勒索软件、网络钓鱼和供应链攻击造成损害之前检测并阻止它们。
资料来源:http://a37.v.dzxi.sbs/5RnHvQx

16.Sentra融资3000万美元以满足对云中数据安全不断增长的需求
Sentra完成了3000万美元A轮融资,这笔资金将使Sentra投资于其技术和合作伙伴生态系统,并壮大其团队以满足Sentra在全球范围内对云原生数据安全解决方案不断增长的需求。Sentra使安全团队能够全面了解和控制云数据,并防止整个公共云堆栈中的敏感数据泄露。Sentra允许企业通过查找所有云数据、根据敏感性对其进行分类,然后为数据安全团队提供可操作的补救计划,从而重新控制其数据漏洞并缩小数据攻击面。
资料来源:https://helpnetsecurity.com/2023/02/02/sentra-funding/

17.Guardz以1000万美元的资金从隐身模式中脱颖而出
Guardz完成1000万美元种子轮融资,以保护小型和成长型企业免受网络攻击,并帮助他们从第三方获得网络保险。Guardz的平台涵盖设备、电子邮件、身份、网络浏览和云应用程序,通过持续监控组织的内部和外部数字足迹以提供实时保护,并允许管理员在必要时从单一仪表板立即采取行动。
资料来源:http://b37.v.dzxi.sbs/7u8vBRi