工业网络安全周报-2023年第33期

工业网络安全周报-2023年第33期

时间:2023-08-19 作者:安帝科技

本期摘要

政策法规方面,本周观察到国内外网络安全相关政策法规7项,值得关注的有《网络安全合规咨询服务规范》团体标准正式发布、美国NIST发布网络安全框架2.0等。
漏洞态势方面,本周监测到漏洞动态18条,其中涉及工业漏洞2条,值得关注的有微软公布CODESYS V3 SDK中的15个高危漏洞,CISA披露了施耐德电气EcoStruxure和Modicon、罗克韦尔Armor PowerFlex中的安全漏洞等。

安全事件方面,本周监测到重大网络安全事件22起,其中典型的事件有南部非洲发电机成为DroxiDat恶意软件的攻击目标,清洁产品巨头Clorox在遭受网络攻击后使系统离线等。

产品技术方面,Claroty为扩展后的德勤MXDR平台增加安全运营技术,OT网络安全平台供应商Radiflow宣布与台湾供应商CyCraft建立合作伙伴关系以提高OT网络安全检测和响应能力。

并购融资方面,旧金山云安全初创公司ProjectDiscovery获得2500万美元的早期融资用于具有资产发现及漏洞检测功能的ProjectDiscovery云平台产品研发。

1.《网络安全合规咨询服务规范》团体标准正式发布
由北京网络空间安全协会、广东省网络空间安全协会联合批准《网络安全合规咨询服务规范》T/BJCSA 03—2023团体标准发布。标准规定了网络安全合规咨询服务机构的咨询服务类型、咨询服务机构等级划分以及通用评价要求等内容。
资料来源:http://gdtbt.org.cn/html/note-354548.html

2.美国NIST发布网络安全框架2.0
8月15日,美国国家标准与技术研究院(NIST)发布了网络安全框架(CSF 2.0)参考工具。该框架允许用户探索CSF 2.0核心草案(函数、类别、子类别、实施示例),并以JSON和Excel格式提供人类和机器可读版本的核心草案。该工具旨在利用NIST网络安全和隐私参考工具(CPRT),用户可以在其中查看NIST许多网络安全和隐私资源的信息。
资料来源:https://csrc.nist.gov/Projects/Cybersecurity-Framework/Filters#/csf/filters

3.美国CISA发布远程监控和管理(RMM)网络防御计划
8月16日,网络安全和基础设施安全局(CISA)宣布发布一项战略计划,以帮助关键基础设施组织降低与使用远程监控和管理(RMM)解决方案相关的风险。新发布的RMM网络防御计划(PDF)由联合网络防御协作组织(JCDC)根据2023年6月有关保护远程访问软件免受恶意攻击的指南制定,并与CISA 2023-2025年战略计划保持一致。
资料来源:http://hdco2.xai6.sbs/Uf420JF

4.微软公布CODESYS V3 SDK中的15个高危漏洞
8月10日,微软研究员公布了CODESYS V3软件开发套件(SDK)中的15个高严重性漏洞的研究报告,CODESYS V3 SDK是一种广泛用于编程和设计可编程逻辑控制器(PLC)的软件开发环境。已发现的漏洞分别被标识为CVE-2022-47379(CVSS评分8.8)、CVE-2022-47380(CVSS评分8.8)等,这些漏洞会影响3.5.19.0版之前的所有CODESYS V3版本,成功利用这些漏洞可实现远程代码执行(RCE)和拒绝服务(DoS)攻击。
资料来源:http://iucw6.xai8.sbs/GP0CeZQ

5.CISA披露了施耐德电气EcoStruxure和Modicon、罗克韦尔Armor PowerFlex中的安全漏洞
8月15日,美国网络安全和基础设施安全局(CISA)发布了两份ICS(工业控制系统)公告,公告强调了施耐德电气EcoStruxure和Modicon以及罗克韦尔自动化Armor PowerFlex组件中存在的硬件漏洞。公告显示,施耐德电气的EcoStruxure Control Expert、EcoStruxure Process Expert、Modicon M340 CPU、Modicon M580 CPU、Modicon Momentum Unity M1E处理器、Modicon MC80设备中存在可远程利用的“通过捕获重放绕过身份验证”漏洞。Forescout Technologies的研究人员Jos Wetzels和Daniel dos Santos向施耐德电气报告了这些漏洞。对于罗克韦尔自动化的Armor PowerFlex v1.003,CISA警告称存在“计算错误”漏洞,该漏洞可通过低攻击复杂性进行远程利用,成功利用此漏洞可能会让攻击者发送大量网络命令,导致产品高速生成大量事件日志流量,从而导致正常运行停止。
资料来源:http://dgas2.xai6.sbs/3mLERkG

6.电源管理产品缺陷可能会使数据中心遭受破坏性攻击和间谍活动
Trellix研究人员在Cyber Power的PowerPanel Enterprise数据中心电源管理软件和Dataprobe的iBoot配电单元(PDU)中发现了9个漏洞。这些漏洞可能允许威胁行为者监视组织,造成重大损害,甚至获得对目标系统的完全访问权限。Cyber Power Powerpanel Enterprise的四个漏洞包括身份验证绕过和操作系统命令注入问题。五个Dataprobe iBoot PDU漏洞也存在同样的问题,以及操作系统命令注入和拒绝服务问题。Trellix描述了威胁行为者如何利用这些漏洞来中断数据中心运行数天或操纵电源管理来损坏硬件设备。在Trellix向供应商通报这些问题后,Cyber Power和Dataprobe都发布了补丁。
资料来源:http://zroq2.xai6.sbs/kjbTHD2

7.思科修补企业应用程序中的高严重性漏洞
8月16日,思科宣布对多个企业应用程序进行安全更新,以修补导致权限升级、SQL注入、目录遍历和拒绝服务(DoS)的高严重性漏洞。其中最严重的影响是Cisco Unified Communications Manager(Unified CM)和Unified Communications Manager会话管理版(Unified CM SME)的Web管理界面。该漏洞编号为CVE-2023-20211(CVSS评分8.1),被描述为对用户提供的输入的验证不当,可能允许经过身份验证的远程攻击者执行SQL注入攻击。
资料来源:https://sec.cloudapps.cisco.com/security/center/publicationListing.x

8.南部非洲发电机成为DroxiDat恶意软件的攻击目标
8月10日,网络安全公司卡巴斯基发布了一篇报告称其发现了一起针对南部非洲发电机的疑似网络攻击事件,该攻击使用了SystemBC恶意软件的新变种。报告称,这次攻击是由一个身份不明的黑客组织于今年3月发起的。黑客使用Cobalt Strike工具和DroxiDat(SystemBC有效负载的新变体)来分析受感染的系统并在电力公司上建立远程连接。
资料来源:https://securelist.com/focus-on-droxidat-systembc/110302/

9.清洁产品巨头Clorox在遭受网络攻击后使系统离线
近日,清洁产品制造商高乐氏公司(Clorox Company)已关闭部分系统以应对网络攻击。据该公司网站上发布的通知,8月14日,该公司检测到其IT系统上存在异常活动,并迅速采取行动,停止可疑活动并关闭受影响的系统。虽然Clorox尚未披露攻击的性质,但使系统脱机是对潜在勒索软件感染的常见反应。该公司正在努力恢复运营,并已通知执法部门并聘请第三方网络安全专家来调查该事件。目前尚不清楚攻击中是否有任何数据被泄露或被盗。
资料来源:https://www.infosecurity-magazine.com/news/clorox-disrupted-cyber-attack/

10.全球最大金矿和钼矿厂遭网络攻击致生产受到影响
8月11日,美国矿业巨头自由港·麦克莫兰铜金公司(Freeport-McMoRan Inc.简称FCX)宣布,称其正在调查一起影响其信息系统的网络安全事件,该攻击事件导致铜生产受到部分影响,公司表示,正在评估事件影响,积极采取解决措施,并与“第三方专家和执法部门密切合作”。
资料来源:https://gilaherald.com/freeport-hit-with-cyberattack-ransom-demanded/

11.使用的恶意二维码对美国能源公司发起网络钓鱼攻击
8月16日,威胁情报公司Cofense发布报告称,自2023年5月以来,一场广泛的网络钓鱼活动一直针对各个行业的组织,其中包括一家美国大型能源公司。这些攻击旨在获取目标组织员工的Microsoft帐户凭据,依赖于嵌入PNG图像或PDF文档中的恶意QR码。Cofense解释说,网络钓鱼链接隐藏在二维码中。作为该活动的一部分,攻击者发送了1,000多封网络钓鱼电子邮件,其中大约29%针对美国能源公司。制造、保险、技术和金融服务领域的组织分别收到了15%、9%、7%和6%的电子邮件。
资料来源:http://ts6n5.xai6.sbs/0H4ToXr

12.美国芝加哥贝尔特铁路公司遭遇勒索软件攻击
8月12日,据Recorded Future News报道,美国最大的转辙和枢纽铁路正在调查勒索软件组织窃取数据的事件。芝加哥贝尔特铁路公司(总部位于伊利诺伊州贝德福德公园)由美国和加拿大的六家铁路公司共同拥有,每家铁路公司都使用该公司的转运和换乘设施。
资料来源:https://therecord.media/belt-railway-chicago-ransomware-data-theft-akira

13.2,000个Citrix NetScaler实例通过近期漏洞获得后门
8月15日,Fox-IT(NCC集团的一部分)在其官网发布报告称Fox-IT与荷兰漏洞披露研究所(DIVD)共同发现了Citrix NetScaler的大规模利用活动。攻击者似乎以自动化方式利用了CVE-2023-3519,在易受攻击的NetScaler上放置Webshell以获得持久访问权限。即使NetScaler已打补丁或重新启动,攻击者也可以使用此Webshell执行任意命令。截至8月15日,仍有1900多个NetScaler仍存在后门。荷兰漏洞披露研究所利用Fox-IT提供的数据通知了受害者。
资料来源:http://q0yq2.xai6.sbs/MjQltwG

14.Claroty为扩展后的德勤MXDR平台增加安全运营技术
8月16日,网络物理系统保护公司Claroty宣布,Claroty xDome将为德勤软件服务托管扩展检测和响应(MXDR)平台中内置的操作技术(OT)模块提供支持,支持包括云和OT安全运营中心(SOC)交付。德勤OT模块的MXDR为任务关键型OT系统提供端到端检测和响应、漏洞管理、生命周期可视性和资产跟踪控制、管理和监控工业设备、流程、生产和管理的系统和资产操作。德勤全球网络检测与响应产品负责人Chris Richter表示“Claroty的技术联盟生态系统与我们的产品相结合,使组织能够在日益互联的OT环境中达到新的运营弹性水平。
资料来源:http://lnvz2.xai6.sbs/aJug1ih

15.Radiflow与CyCraft合作致力于提高OT网络安全检测和响应能力
8月17日,OT网络安全平台供应商Radiflow宣布与台湾供应商CyCraft建立合作伙伴关系,CyCraft是一家专注于生成人工智能检测、调查和应对国家资助的APT(高级持续威胁)的公司。此次合作利用了东西方20多年的威胁情报,通过利用生成式人工智能的力量,这种合作伙伴关系为企业客户、MSSP和MDR释放了未开发的、无限的检测和响应能力,以应对针对OT资产的日益复杂的攻击。
资料来源:http://qdwx6.xai8.sbs/yz2LJMI

16.旧金山云安全初创公司ProjectDiscovery获得2500万美元的早期融资
随着投资者继续押注于攻击面管理领域的供应商,旧金山云安全初创公司ProjectDiscovery已获得2500万美元的早期融资。该公司表示,这轮2500万美元的A轮融资由硅谷老牌风险投资公司CRV领投。ProjectDiscovery还获得了Point72、SignalFire、Rain Capital、Mango Capital、Accel和Lightspeed的投资。ProjectDiscovery公司的旗舰产品ProjectDiscovery云平台有助于自动化资产发现和漏洞扫描,以持续检测组织攻击面中的新元素。
资料来源:http://qewh3.xai8.sbs/0HkQHsH