工业网络安全“情报解码”-2021年第21期

工业网络安全“情报解码”-2021年第21期

时间:2021-11-20作者:安帝科技

本期摘要

    政策法规方面,中共中央政治局召开会议,审议《国家安全战略》等重要文件,要求确保重要基础设施安全。工信部发布《“十四五”信息通信行业发展规划》,提出全面加强网络和数据安全保障体系和能力建设。网信办《网络数据安全管理条例 (征求意见稿)》公开征求意见,对工业企业未来如何落实数据安全管理具有重要意义。美国CISA发布网络安全事件与漏洞响应手册,为联邦民事机构提供了一套标准处理程序。
    漏洞态势方面,Netgear修复产品中的代码执行漏洞,路由器、调制解调器和WiFi范围扩展器均受到影响。英特尔CPU漏洞可以暴露加密密钥,其中受影响的Atom物联网CPU被用于许多汽车中。微软通知用户AzureAD中存在高危漏洞,攻击者可以利用该漏洞禁用或删除资源并使整个Azure租户脱机。CiscoTalos在LibreCAD、LantronixPremierWave 2050中均发现了代码执行漏洞,后者还存在文件删除漏洞。
    安全事件方面,趋势科技研究人员11月15日宣称,恶意威胁行为者正在利用阿里云弹性计算服务(ECS)实例中的功能以进行门罗币加密劫持。Cloudflare缓解了Mirai僵尸网络发起的2 Tbps DDoS攻击,此次攻击共持续了一分钟。股票交易平台Robinhood的系统遭到黑客攻击,700万份用户信息被出售。
    融资并购方面,托管检测和响应公司Expel融资1.4亿美元,将用于改进公司的产品、推动销售和上市计划、扩大合作伙伴关系并加速其国际扩张。检测和响应公司StellarCyber融资3800万美元,其解决方案利用人工智能驱动的检测来确保整个攻击面的完全可见性。云数据保护初创公司Laminar完成3200万美元的融资,承诺不断发现和分类敏感数据,为组织提供对其的完整可见性。

  1. 1、中共中央政治局召开会议,审议《国家安全战略》等重要文件
  2. 中共中央政治局11月18日召开会议,审议《国家安全战略(2021-2025年)》、《军队功勋荣誉表彰条例》和《国家科技咨询委员会2021年咨询报告》。会议强调,必须坚持把政治安全放在首要位置,统筹做好政治安全、经济安全、社会安全、科技安全、新型领域安全等重点领域、重点地区、重点方向国家安全工作。要增强产业韧性和抗冲击能力,筑牢防范系统性金融风险安全底线,确保粮食安全、能源矿产安全、重要基础设施安全,加强海外利益安全保护。要持续做好新冠肺炎疫情防控,加快提升生物安全、网络安全、数据安全、人工智能安全等领域的治理能力。
    资料来源:http://www.news.cn/politics/leaders/2021-11/18/c_1128077610.htm

    1. 2、工信部发布《“十四五”信息通信行业发展规划》
    2. 近期,工业和信息化部发布《“十四五”信息通信行业发展规划》(以下简称《规划》)。《规划》包括4大部分、26条发展重点、近3万字,描绘了信息通信行业的发展蓝图,是未来五年加快建设网络强国和数字中国、推进信息通信行业高质量发展、引导市场主体行为、配置政府公共资源的指导性文件。与以往的五年规划相比,本次《规划》进一步凸显了信息通信行业的功能和定位:是构建国家新型数字基础设施、提供网络和信息服务、全面支撑经济社会发展的战略性、基础性和先导性行业。
      资料来源:https://mp.weixin.qq.com/s/SdBhqj5xjR225MQkKjFFtA

    3. 3、网信办《网络数据安全管理条例 (征求意见稿)》公开征求意见
    4. 2021年11月14日,网信办发布《网络数据安全管理条例(征求意见稿)》公开征求意见。发布通知中指出,为落实《中华人民共和国网络安全法》、《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》等法律关于数据安全管理的规定,规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益,根据国务院2021年立法计划,网信办会同相关部门研究起草《网络数据安全管理条例(征求意见稿)》。
      资料来源:https://mp.weixin.qq.com/s/P0h_0vFkhf7US7SS4BVcNg

      1. 4、美国CISA发布网络安全事件与漏洞响应手册
      2. 11月16日,美国网络安全与基础设施安全局(CISA)发布了网络安全事件和漏洞响应手册。据CISA介绍,这份手册主要面向联邦政府民事机构、承包商以及代表这些民事机构的其他组织所使用的信息系统。这份手册为联邦民事机构提供了一套标准程序,以识别、协调、补救、恢复与跟踪针对联邦民事系统、数据及网络事件或漏洞,实施缓解措施。手册中涵盖了若干项标准化流程与程序,包括促进受影响组织之间提升协调与响应效果;跟踪跨组织部门间的成功响应行动;对事件进行编目,从而更好地管理未来事件、指导分析与发现工作等。
        资料来源:https://www.nextgov.com/cybersecurity/2021/11/cisa-launches-government-cybersecurity-incident-and-vulnerability-response-playbooks/186869/

        1. 5、Netgear修复产品中的代码执行漏洞
        2. GRIMM安全研究人员警告说,局域网(LAN)上的攻击者可以利用Netgear小型办公室/家庭办公室(SOHO)设备中的漏洞以root权限远程执行代码。该漏洞被跟踪为CVE-2021-34991,CVSS评分8.8,被描述为预身份验证缓冲区溢出,并被发现影响设备的通用即插即用(UPnP)守护程序。受该漏洞影响的Netgear SOHO设备包括路由器、调制解调器和WiFi范围扩展器,GRIMM的研究人员表示,能够设计出一种漏洞利用程序,即使是运行默认配置的完全修补的设备也能受到影响。
          资料来源:https://www.securityweek.com/netgear-patches-code-execution-vulnerability-affecting-many-products

          1. 6、英特尔CPU漏洞可以暴露加密密钥
          2. 俄罗斯网络安全公司Positive Technologies的研究人员宣称,英特尔最近在其处理器中修复的一个漏洞可能允许攻击者通过物理访问目标系统来获取加密密钥。漏洞被追踪为CVE-2021-0146,属于高危漏洞,影响了移动、台式机和嵌入式设备上的奔腾、赛扬和AtomCPU。受影响的Atom物联网处理器被用于许多汽车中,其中就包括特斯拉。硬件允许在运行时激活某些英特尔处理器的测试或调试逻辑,这可能允许未经身份验证的用户通过物理访问实现特权升级。
            资料来源:https://www.securityweek.com/intel-cpu-vulnerability-can-expose-cryptographic-keys

            1. 7、微软通知用户AzureAD中存在高危漏洞
            2. 微软11月17号向客户通报了最近修复的影响AzureActive Directory(AD)的信息泄露漏洞。该漏洞被跟踪为CVE-2021-42306,CVSS评分8.1,该漏洞的存在是因为在Azure中设置新自动化帐户时创建其“运行方式”凭据的方式。由于Azure中的配置错误,自动化帐户“运行方式”凭据(PFX证书)最终以明文形式存储在AzureAD中,任何有权访问应用注册信息的人都可以访问。攻击者可以使用这些凭据作为应用程序注册进行身份验证。
              资料来源:https://www.securityweek.com/microsoft-informs-users-high-severity-vulnerability-azure-ad

              1. 8、LibreCAD中存在代码执行漏洞
              2. Cisco Talos最近在LibreCAD的libdfxfw开源库中发现了三个漏洞。LibreCAD是一款用于二维模型的免费计算机辅助设计软件,libdfxfw库读取和写入.dxf和.dwg文件,这些是CAD软件中矢量图形的主要文件格式。如果攻击者诱使用户打开特制的DWG文件,CVE-2021-21898和CVE-2021-21899可以触发缓冲区溢出,最终允许攻击者在受害者机器上执行代码。CVE-2021-21900的工作方式类似,但使用的是DXF文件。
                资料来源:https://blog.talosintelligence.com/2021/11/libre-cad-vuln-spotlight-.html?&web_view=true

                1. 9、Lantronix PremierWave 2050中的漏洞可能导致代码执行、文件删除
                2. Cisco Talos最近在Lantronix的PremierWave2050中发现了多个漏洞。PremierWave2050的Web Manager是一个可通过Web访问的应用程序,允许用户配置2050网关的设置。攻击者可以利用其中一些漏洞来执行一系列恶意操作,包括执行任意代码以及删除或替换目标设备上的文件。其中12个漏洞可能允许恶意用户以某种方式操纵Web管理器,例如缓冲区溢出,从而允许他们执行任意代码。利用这些漏洞都需要攻击者首先对WebManager进行身份验证。
                  资料来源:https://blog.talosintelligence.com/2021/11/lantronix-premier-wave-vuln-spotlight.html?&web_view=true

                  1. 10、恶意组织瞄准阿里云ECS实例进行加密货币挖矿
                  2. 趋势科技研究人员11月15日宣称,恶意威胁行为者正在利用阿里云弹性计算服务(ECS)实例中的功能以进行门罗币加密劫持。阿里云的默认ECS实例提供root访问权限,所有用户都可以选择直接向虚拟机(VM) 内的root用户提供口令。在这种情况下,威胁行为者在攻击时拥有最高可能的特权,包括漏洞利用、任何错误配置问题、弱凭据或数据泄漏。因此,可以部署高级负载,例如内核模块rootkit和通过运行系统服务实现持久性。
                    资料来源:https://threatpost.com/cybercriminals-alibaba-cloud-cryptomining-malware/176348/

                    1. 11、Cloudflare缓解了Mirai僵尸网络发起的2 TbpsDDoS攻击
                    2. Web安全服务提供商Cloudflare表示,它缓解了分布式拒绝服务(DDoS)攻击,该攻击的峰值达到每秒2TB(Tbps)。此次攻击是由大约15,000台感染了原始Mirai恶意软件变体的机器组成的僵尸网络发起的。Cloudflare在一份新报告中表示,这些机器包括物联网(IoT)设备和GitLab实例。2 Tbps的DDoS攻击只持续了1分钟。该公司表示,这次攻击结合了DNS放大和UDP泛洪。
                      资料来源:https://securityaffairs.co/wordpress/124634/security/cloudflare-mitigated-ddos-2-tbps.html?web_view=true

                      1. 12、700万份Robinhood用户信息被出售
                      2. 股票交易平台Robinhood的系统遭到黑客攻击,攻击者获得了大约700万客户的个人信息。包括500万客户的电子邮件地址、200万其他客户的全名、300人的姓名、出生日期和邮政编码、10人的更广泛的帐户信息。在Robinhood披露这次攻击后,一个名为pompompurin的威胁行为者宣布他们正在黑客论坛上出售数据,以至少五位数的价格出售了700万份Robinhood客户的被盗信息。
                        资料来源:https://www.bleepingcomputer.com/news/security/7-million-robinhood-user-email-addresses-for-sale-on-hacker-forum/?&web_view=true

                        1. 13、托管检测和响应公司Expel融资1.4亿美元
                        2. 托管检测和响应(MDR)提供商Expel11月18号宣布在E轮融资中筹集了1.403亿美元,成为一家独角兽公司。这笔资金将用于改进公司的产品、推动销售和上市计划、扩大合作伙伴关系并加速其国际扩张。Expel为云、混合和本地环境提供24×7托管检测和响应。Expel利用第三方端点、SIEM、网络和云产品收集的数据,其分析师调查警报并监控客户环境中的潜在问题。然后会提醒客户注意重要问题,并提供有关如何解决这些问题及其根本原因的信息。
                          资料来源:https://www.securityweek.com/mdr-company-expel-raises-140-million-unicorn-valuation

                          1. 14、检测和响应公司StellarCyber融资3800万美元
                          2. 检测和响应解决方案提供商StellarCyber宣布已筹集了3800万美元的B轮融资。StellarCyber提供了一个开放的XDR(扩展检测和响应)平台,旨在与现有的EDR、NDR、SIEM、UEBA和其他解决方案配合使用,从中提取数据,并提供对应用程序、用户、网络和其他宝贵资源的洞察。该解决方案利用人工智能驱动的检测来确保整个攻击面的完全可见性,并承诺将检测和响应时间缩短到实时。
                            资料来源:https://www.securityweek.com/open-xdr-company-stellar-cyber-raises-38-million

                            1. 15、云数据保护初创公司Laminar完成3200万美元的融资
                            2. 公共云数据保护提供商Laminar11月17号宣布以完成3200万美元的A轮融资。Laminar提供了一个云数据安全平台,承诺不断发现和分类敏感数据,为组织提供对其的完整可见性。Laminar表示,该产品专为CISO和数据保护团队设计,还可以通过保护和控制数据来帮助公司改善风险状况,并声称可以在不中断数据流的情况下识别和防止泄漏。
                              资料来源:https://www.securityweek.com/cloud-data-protection-startup-laminar-closes-32m-funding-round