工业网络安全“情报解码”-2021年第3期

工业网络安全“情报解码”-2021年第3期

时间:2021-07-16 作者:安帝科技

摘要

本周,工信部出台了《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》以提升网络安全产业规模;工信部、国家网信办、公安部印发《网络产品安全漏洞管理规定》,严格规范漏洞管理;研究人员发现施耐德电气工控系统、研华监控软控中存在严重漏洞,其中施耐德PLC设备中的漏洞面临被大规模利用的风险;三菱电机修复了其空调控制器中的高危漏洞;SAP、SolarWind、VMware、Adobe等均发布更新,修复各自产品存在的漏洞;kaseya公司遭遇声势浩大的勒索攻击后,发布了更新补丁,开始恢复SaaS服务;恶意攻击依旧势头不减,LuminousMoth鱼叉式网络钓鱼攻击在亚洲泛滥;BIOPASS恶意软件滥用OBS Studio监视受害者;微软收购网络安全公司RiskIQ,Arctic Wolf融资1.5亿美元;无口令认证创业公司Stytch融资3000万美元。

1、工信部:到2023年网络安全产业规模超过2500亿元

人民网北京7月12日电 (赵超)据工业和信息化部官网消息,工信部日前发布《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》(简称《行动计划》)。《行动计划》明确提出,到2023年,网络安全产业规模超过2500亿元,年复合增长率超过15%。一批网络安全关键核心技术实现突破,达到先进水平。新兴技术与网络安全融合创新明显加快,网络安全产品、服务创新能力进一步增强。
《行动计划》提出,到2023年,网络安全技术创新能力明显提高,产品和服务水平不断提升,经济社会网络安全需求加快释放,产融合作精准高效,网络安全人才队伍日益壮大,产业基础能力和综合实力持续增强,产业结构布局更加优化,产业发展生态健康有序。网络安全产业规模超过2500亿元,年复合增长率超过15%。一批网络安全关键核心技术实现突破,达到先进水平。新兴技术与网络安全融合创新明显加快,网络安全产品、服务创新能力进一步增强。
《行动计划》要求,到2023年,一批质量品牌、经营效益优势明显的具有网络安全生态引领能力的领航企业初步形成,一批面向车联网、工业互联网、物联网、智慧城市等新赛道的“专精特新”中小企业群体迅速成长,网络安全产品、服务、解决方案单项冠军企业数量逐步壮大。电信等重点行业网络安全投入占信息化投入比例达10%。
资料来源:http://sh.people.com.cn/n2/2021/0712/c176738-34816446.html

2、三部门:不得利用网络产品安全漏洞从事危害网络安全活动

中新网7月13日电 据工信部网站消息,工信部、国家网信办、公安部近日印发《网络产品安全漏洞管理规定》,规定自2021年9月1日起施行。规定明确,任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动,不得非法收集、出售、发布网络产品安全漏洞信息;明知他人利用网络产品安全漏洞从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。
规定称,鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞。网络产品提供者应当履行下列网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施。
鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制,对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。网络运营者发现或者获知其网络、信息系统及其设备存在安全漏洞后,应当立即采取措施,及时对安全漏洞进行验证并完成修补。
资料来源:http://www.chinanews.com/gn/2021/07-13/9518929.shtml

3、施耐德电气工控系统存在严重漏洞

企业物联网安全公司Armis的研究人员发现施耐德电气的Modicon可编程逻辑控制器(PLC)存在一个高危漏洞,该漏洞被追踪为CVE-2021-22779,并被命名为ModiPwn,允许通过利用UMAS协议完全接管受影响的设备,并影响 Modicon M340、M580 和 Modicon系列的其他型号。数以百万计的设备使用这些PLC,现在被认为存在大规模漏洞的风险。例如,此类控制器广泛用于制造、建筑服务、自动化应用、能源公用事业、HVAC系统。
攻击者利用该漏洞可以绕过认证机制,完全控制目标设备。利用Modipwn的攻击将从对Modicon PLC的网络访问开始。通过这种访问,攻击者可以利用UMAS协议中未记录的命令并从设备的内存中泄漏特定的哈希值。使用此哈希值,攻击者可以接管控制器与其管理工作站之间的安全连接,以使用无密码配置重新配置控制器。这将允许攻击者滥用其他未记录的命令,导致远程代码执行,完全接管设备。然后,此接管可用于在控制器上安装恶意软件,以更改其操作,并向管理此控制器的工作站隐藏这些更改的存在。
ModiPwn漏洞最初于2020年11月中旬报告给施耐德电气。该供应商当地时间7月13日发布了一份安全建议,为这个漏洞提供缓解措施,但一个补丁尚未发布。
资料来源:https://www.itsecurityguru.org/2021/07/13/armis-discloses-critical-vulnerability-that-allows-remote-takeover-of-schneider-electric-industrial-controllers/?utm_source=rss

4、三菱电机修补空调系统漏洞

三菱电机最近修补了影响其许多空调产品(主要是集中控制器)的关键和高危漏洞。
第一个漏洞为CVE-2021-20595,该漏洞存在于控制系统中,利用该漏洞可以进行未经身份验证的XML外部实体注入(XXE)攻击,该漏洞CVSS得分为9.3。此漏洞可以通过向侦听TCP1025端口的进程发送XXE负载来触发,这会导致应用程序发出任意HTTP和/或FTP请求。利用此漏洞可能会导致受影响系统模型和固件版本的信息泄露和/或拒绝服务。这是一个容易利用的漏洞,一个标准的XXE攻击,可能最严重的事情是通过调用DoS攻击来使控制器脱机。
第二个漏洞被追踪为CVE-2021-20593并被评为高严重性,经过身份验证的攻击者可以利用该漏洞将权限提升为“管理员”,因为身份验证算法的实现不正确。此漏洞允许低权限用户(公共用户)访问三菱中央控制器EW-50A或AE-200A网络浏览器界面的管理员页面,从而使他们能够完全控制系统。
除了补丁之外,三菱电机还提供了可用的缓解措施,以及用于检查设备版本号以查看其是否受漏洞影响的说明。
资料来源:https://www.securityweek.com/mitsubishi-electric-patches-vulnerabilities-air-conditioning-systems

5、研华R-SeeNet中存在多个漏洞

Cisco Talos最近在研华R-SeeNet监控软件中发现了多个漏洞。R-SeeNet是用于监控研华路由器的软件系统。它不断从网络中的各个路由器收集信息,并将数据记录到SQL数据库中。Talos发现的漏洞存在于R-SeeNet网络应用程序内的各种脚本中。
其中CVE-2021-21799-CVE-2021-21801全部可以使攻击者在目标用户浏览器的上下文中执行任意JavaScript代码。攻击者可以通过向目标发送恶意URL并诱使用户打开它来利用这些漏洞中的任何一个。另一个命令执行漏洞CVE-2021-21805允许攻击者通过向目标设备发送特制的HTTP请求来执行操作系统命令。还有一个文件包含漏洞CVE-2021-21804,允许攻击者执行任意PHP命令,该漏洞存在于R-SeeNet的options.php脚本功能中,可以通过恶意HTTP请求触发。
思科鼓励用户尽快更新这些受影响的产品:研华R-SeeNet,版本2.4.12(20.10.2020)。Talos测试并确认这些版本的R-SeeNet可被此漏洞利用。
资料来源:https://blog.talosintelligence.com/2021/07/vuln-spotlight-r-see-net.html?&web_view=true

6、SAP修补NetWeaver中的高风险漏洞

作为2021年7月安全补丁的一部分,德国软件制造商SAP发布了12个新的安全说明,以及之前发布的三个安全说明的更新。最重要的新安全说明涉及NetWeaver中的两个高危漏洞。第一个是缺少授权检查(CVE-2021-33671,CVSS 评分为7.6),而第二个是拒绝服务(CVE-2021-33670,CVSS 评分为7.5)。
第一个漏洞影响SAP NetWeaver引导程序(SAP GP),它是复合应用程序框架(CAF)的一个组件,可提供对多个后端系统的基于角色的访问。缺失的授权在GP的中央管理工具中被识别,并可能导致未经授权的数据访问和操作。
第二个漏洞影响SAP NetWeaver AS for Java(Http 服务),在存储监控数据时HTTP请求没有得到正确验证。因此,能够操纵HTTP请求的攻击者可能会耗尽系统资源,从而完成拒绝服务攻击。
SAP还发布了九个新的安全说明,处理CRM ABAP、NetWeaver AS ABAP和ABAP平台、Lumira Server、Web Dispatcher和Internet Communication Manager、NetWeaver AS for Java(企业门户)、Business Objects Web Intelligence(BI Launchpad)中的中等严重性漏洞, 和3D可视化企业查看器;以及NetWeaver AS for JAVA(管理员)中一个低严重性错误的安全说明。
此外,该公司还发布了两个Hot News安全说明的更新:一个是针对SAP Business Client中Chromium浏览器的安全更新(CVSS 评分 10),另一个是针对 NetWeaver ABAP服务器和ABAP平台中的不当身份验证缺陷(CVSS 评分为9)最初于2021年6月解决。第三个更新的安全说明涉及SAP流程集成(ESR Java映射)中的中等严重性潜在XML外部实体(XXE)漏洞。
资料来源:https://www.securityweek.com/sap-patches-high-risk-vulnerabilities-netweaver

7、SolarWind修复了新的零日漏洞

据黑客新闻报道,在2020年底成为大规模供应链攻击的目标后,SolarWinds发布了新的修复程序,以修复Serv-U控制的文件传输服务中的远程代码执行漏洞。
这些更新解决了Serv-U托管文件传输和Serv-U安全FTP协议,并在Microsoft发现漏洞后提供。目前尚不清楚漏洞背后的威胁参与者是谁,也不知道攻击是如何进行的,尽管这些漏洞已经在野外使用了一段时间。
成功利用该漏洞(CVE-2021-35211)可使攻击者删除、读取或更改敏感数据,并在受影响的系统上安装恶意程序。从IP地址98.176.196.89和68.235.178.32的SSH连接以及端口443到IP地址208.113.35.58的TCP连接都是可能表明受到威胁的因素。为防止违规,受影响的用户需要在Serv-U安装上禁用SSH访问。
据估计,通过未经授权访问SolarWinds的Orion网络管理产品,约有18,000名客户受到影响。到目前为止,已知大约110个客户端也成为后续攻击的目标,该攻击通过Sunburst恶意软件泄露机密数据。
资料来源:https://news.softpedia.com/news/new-solarwinds-zero-day-vulnerability-used-in-cyberattacks-533504.shtml

8、Adobe修复了多个产品中的严重漏洞

Adobe在Windows和macOS系统上运行的多个产品中存在多个关键远程代码执行和权限提升漏洞。这些漏洞影响Acrobat和Reader、Illustrator、Framemaker、Dimension和Bridge产品。Adobe已发布适用于Windows和macOS的Adob​​eAcrobat和Reader安全更新。这些更新解决了总共19个关键和重要的漏洞。攻击者可以利用该漏洞在当前用户的上下文中执行任意代码。
Dimension的更新还未修复代码执行漏洞。对于Illustrator,正在修复三个漏洞。允许代码执行的两个过程发生在处理PDF和JPEG2000文件期间。这些问题是由于缺乏对用户提供的数据的正确验证造成的,这可能导致写入超过已分配缓冲区的末尾。Bridge的五个修复程序中存在类似的越界(OOB)写入错误。同样,代码执行会发生在不同权限级别的用户登录过程中。Framemaker补丁修复的单个CVE更正了嵌入在PDF文件中TrueType字体解析过程中存在的OOB写入。
Adobe产品安全事件响应团队(PSIRT)确认,目前还没有发现任何针对通过最新安全更新解决的任何安全漏洞的公开漏洞利用。
资料来源:https://securityaffairs.co/wordpress/120062/security/adobe-reader-acrobat-illustrator-flaws.html?utm_source=rss

9、VMware修补ESXi、ThinApp中的漏洞

VMware13日宣布针对影响其ESXi管理程序、Cloud Foundation混合云平台和ThinApp应用程序虚拟化工具的漏洞提供补丁。
这些问题中最严重的是CVE-2021-21994,这是ESXi使用的SFCB(小尺寸CIM代理)中一个不正确的身份验证漏洞,CVSS评分为7.0。据VMware称,对ESXi5989端口具有网络访问权限的恶意行为者可能会发送特制的请求来绕过SFCB身份验证。该漏洞仅在SFCB服务正在运行时才可利用,默认情况下不启用该服务。
VMware ThinApp中的安全漏洞被跟踪为CVE-2021-22000,CVSS评分为6.8,它是由不安全的DLL加载引起的。具有非管理权限的恶意行为者可能会利用DLL劫持漏洞将权限提升到安装ThinApp的Windows操作系统的管理员级别。VMware ThinApp5.2.10版修复了该漏洞。
资料来源:https://www.securityweek.com/vmware-patches-vulnerabilities-esxi-thinapp

10、Palo Alto Networks修复了Prisma Cloud Compute、Cortex XDR Agent中的漏洞

Palo Alto Networks本周发布了针对Prisma Cloud Compute云工作负载保护解决方案和用于Cortex XDR检测和响应平台的Windows代理中安全漏洞的补丁。
其中最严重的CVE-2021-3042,是Windows系统Palo Alto Networks Cortex XDR代理中存在的本地权限提升(PE)漏洞,该漏洞CVSS评分为7.8。该漏洞可能会被具有本地访问权限且在Windows根目录中具有文件创建权限的经过身份验证的攻击者利用,成功利用可能会导致攻击者以SYSTEM权限执行程序。
第二个漏洞CVE-2021-3043,CVSS评分为7.5,是影响Prisma Cloud Compute Web控制台的反射型跨站脚本(XSS)漏洞。能够利用此漏洞的远程攻击者可以在基于浏览器的Web控制台中执行任意JavaScript代码。但是,只有在经过身份验证的管理员使用该Web界面时才能利用该漏洞。
资料来源:https://www.securityweek.com/palo-alto-networks-patches-flaws-prisma-cloud-compute-cortex-xdr-agent

11、Kaseya发布针对勒索软件攻击中所利用漏洞的补丁

IT管理解决方案提供商Kaseya已针对最近勒索软件攻击中利用的漏洞发布了补丁,该公司也已开始恢复SaaS服务。在得知针对该公司及其客户的勒索软件攻击后不久,Kaseya于7月2日关闭了其VSA远程监控和管理产品。虽然攻击只针对本地VSA,但Kaseya还关闭了SaaS服务作为预防措施。在最初尝试恢复服务失败后,该公司11日发布了本地产品的补丁并开始恢复SaaS服务。该公司12日早上提供的最新更新称,已经为95%的客户恢复了SaaS服务。
对于本地安装的补丁,VSA9.5.7a总共修复了六个安全漏洞:凭据泄漏和业务逻辑缺陷(CVE-2021-30116)、XSS漏洞(CVE-2021-30119)、2FA绕过问题(CVE-2021-30120)、与未用于用户门户会话cookie的安全标志相关的问题、可能对暴力攻击有用的密码哈希暴露问题以及未经授权的文件上传漏洞。已分配CVE标识符的缺陷是荷兰漏洞披露研究所(DIVD)4月份向Kaseya报告的七个问题中的三个。在REvil勒索软件攻击发起之前,Kaseya已经修补了一些漏洞,但有些漏洞仍未修复,使攻击者能够利用它们来实现目标。
除了实际补丁之外,Kaseya还为本地客户发布了一个工具,可用于清除在重新启动VSA之前累积的任何程序,该公司还发布了旨在帮助客户准备推出和恢复服务的运行手册。
资料来源:https://www.securityweek.com/kaseya-releases-patches-vulnerabilities-exploited-ransomware-attack?&web_view=true

12、LuminousMoth鱼叉式网络钓鱼攻击在亚洲泛滥

卡巴斯基的安全研究人员发现了一场针对亚洲政府机构的广泛网络攻击活动,该攻击始于鱼叉式网络钓鱼电子邮件。安全专家已确认缅甸有100名受害者,菲律宾有1,400名受害者。卡巴斯基分析师在博客上解释了LuminousMoth攻击,并表示两国之间的不平衡数字可能是由于仅在菲律宾使用的额外未知感染媒介。
最初的恶意电子邮件包含一个Dropbox链接。根据卡巴斯基的分析,如果个人点击链接,此操作会下载伪装成Word文档的RAR文件,其中包含恶意软件。一旦恶意软件进入设备,它就会将数据泄露到命令和控制服务器。该恶意软件还试图通过USB驱动器传播来感染其他机器。如果驱动器可用,恶意软件会在便携式设备上创建隐藏目录,并在其中移动目标的所有文件。该恶意软件还有另外两种允许横向移动的策略。第一个是经过签名的伪造版本的Zoom,第二个是从Chrome浏览器中窃取cookie。
卡巴斯基全球研究与分析团队(GReAT)的安全研究员AseelKayal在一份新闻稿中表示,此次攻击的规模非常罕见。
资料来源:https://www.techrepublic.com/article/kaspersky-luminousmoth-spearphishing-campaign-hit-1500-targets-in-asia/

13、BIOPASS恶意软件滥用OBS Studio监视受害者

趋势科技的研究人员发现了一种名为BIOPASS的新恶意软件,它使用Open Broadcaster Software(OBS) Studio的框架来嗅探受害者的屏幕。
该恶意软件背后的威胁行为者在赌博相关网站的支持聊天页面上植入了恶意JavaScript代码,以将访问者重定向到提供恶意安装程序的页面。这种新的恶意软件被用于针对在线赌博公司的水坑攻击,黑客入侵这些网站以提供伪装成Adob​​e Flash Player或 Microsoft Silverlight合法安装程序的恶意软件加载程序。对加载程序的分析表明,它加载了Cobalt Strike shellcode或新 Python 后门BIOPASS RAT。BIOPASS RAT实现了常见的RAT功能,例如文件系统评估、远程桌面访问、文件泄露和shell命令执行。该恶意软件还能够从安装在受害者设备上的网络浏览器和即时消息客户端窃取私人信息。
恶意代码利用OBS studio的RTMP(实时消息协议)流媒体功能来记录用户的屏幕并将其广播到攻击者的控制面板。
资料来源:https://securityaffairs.co/wordpress/119990/malware/biopass-malware-obs-studio.html

14、微软以5亿美元收购网络安全公司RiskIQ

来自美国的科技巨头微软正式宣布,它计划以未公开的金额收购基于云的网络威胁检测提供业务RiskIQ。根据彭博社发表的一份报告,由萨蒂亚·纳德拉(SatyaNadella)领导的微软可能会投资5亿美元,以收购RiskIQ的全部业务,这将是一笔完整的现金交易。通过收购RiskIQ,微软希望加强其在云安全业务中的地位,使公司获得更好的知名度和对互联网的曝光度。
贸易分析师表示,该交易将成为微软的助推器,因为它旨在为其客户实现“零信任”安全,因为网络中的任何用户都可能成为黑客的目标,从而危及整个网络。
微软云安全副总裁EricDoeer表示:“由于公司对迁移到具有零信任安全模型的混合云环境表现出浓厚的兴趣,微软旨在通过收购RiskIQ来全面了解其业务面临的全球威胁。”.
因此,如果公司希望在多个方面(例如Microsoft云、AWS、供应链和本地设备)上加强其安全性,他们可以使用Microsoft新获得的RiskIQ技术,帮助他们发现和评估他们跨多个平台的安全状况。
资料来源:https://www.cybersecurity-insiders.com/microsoft-to-acquire-cyber-threat-detection-business-riskiq/?utm_source=rss

15、Arctic Wolf融资1.5亿美元以持续监控网络威胁

服务解决方案提供商Arctic Wolf于13日宣布在F轮融资中筹集1.5亿美元,估值为43亿美元。Viking Global Investors、OwlRock和其他现有投资者参与了本轮融资。Arctic Wolf计划利用这笔资金扩大全球业务,将新产品推向市场,并继续加速其市场发展势头。
Arctic Wolf成立于2012年,为没有内部安全运营中心(SOC)或难以为SOC配备人员的公司提供解决方案。该公司提供托管检测和响应、风险管理、云监控和安全意识解决方案。
ArcticWolf声称拥有大约3,000名客户,并且在过去七年中报告的年度经常性收入同比增长100%。该公司表示,它在去年雇佣了400名员工,并计划在来年再招聘500名员工。
“对Arctic Wolf的这项投资将使我们能够创新产品,聘请专家,并扩大我们在世界各地的业务,”Arctic Wolf首席执行官布赖恩·内史密斯说。“这将使我们能够继续证明我们的价值主张,并向全球客户展示传统的安全方法和技术无法跟上不断变化的威胁形势。我们将继续构建高度可扩展的云原生安全运营平台,以提供无与伦比的速度、容量、有效性和保护。”
资料来源:https://www.securityweek.com/security-operations-firm-arctic-wolf-raises-150-million-43-billion-valuation

16、无口令认证创业公司Stytch融资3000万美元

无口令身份验证初创公司Stytch本周宣布已在A轮融资中筹集了3000万美元。迄今为止,该公司共筹集了3630万美元。本轮融资由Thrive Capital领投,Coatue Management、Benchmark和Index Ventures也参与其中。
这家总部位于加利福尼亚州旧金山的公司成立于2020年,旨在通过启用无需密码的身份验证来提高安全性和用户体验。Stytch正在寻求通过简化登录过程并帮助开发人员将无密码身份验证集成到他们的应用程序中来解决传统的以密码为中心的方法中的弱点,例如跨帐户重复使用密码。
Stytch正在构建API和SDK,公司可以使用这些API和SDK从他们的应用程序中删除密码,并提高用户的入职率和保留率。该公司声称,这个新方法还提高了安全性。在过去的一年中,Stytch吸引了350多个组织作为客户,其中包括一些财富500强公司。本周,该公司推出了测试版。
该公司表示,新获得的资金将帮助其提供更多身份验证选项,并推出额外的用户基础设施功能,以支持低摩擦的入职流程。它还计划投资创建会话管理和高级欺诈检测解决方案。到今年年底,Stytch预计将再雇佣20名团队成员。
“密码不再是一种安全的工具。它们使公司很容易成为黑客的目标,并使他们面临账户收购风险。Stytch首席执行官Reed McGinley-Stempel说:“现在是进入身份验证新时代的时候了,Julianna和我为团队在构建简化身份验证并使其更安全的解决方案方面取得的进展感到自豪。”
资料来源:https://www.securityweek.com/passwordless-authentication-startup-stytch-raises-30-million