工业网络安全“情报解码”-2022年第12期
时间:2022-03-26 作者:安帝科技
本期摘要
政策法规方面,美国陆军组建网络军事情报组织,将历史军事情报活动与商业数据和公共信息相结合,以支持网络行动。欧盟委员会提出了新的网络安全和信息安全法规,旨在保护欧盟公共行政部门免受日益增加的网络威胁。澳大利亚推出新的网络和外国情报设施,将更好地识别威胁并破坏潜在对手。
漏洞态势方面,台达电子修复其工业能源管理系统中的17个漏洞,其中16个为超危漏洞,CVSS评分均为9.8。互联网系统联盟已发布安全更新,以修复广泛部署的伯克利互联网名称域(BIND)服务器软件中的4个漏洞。戴尔修复其企业笔记本电脑中的高危UEFI漏洞,攻击者可利用其完成远程任意代码执行。惠普宣布其200多款打印机型号受到远程代码执行漏洞的影响。VMware修复Carbon Black App Control中的超危漏洞,但成功利用需要较高权限。
安全事件方面,美国国会研究服务部(CRS)发布了一份最新报告,描述了能源、通信、医疗保健和公共卫生(HPH)领域的安全和弹性。FBI报告显示,2021 年649 个关键基础设施领域组织遭勒索软件攻击,CONTI、LockBit和REvil/Sodinokibi是最主要的三个变种。俄罗斯肉类生产商巨头遭Windows BitLocker加密攻击,背后原因似乎是进行破坏而非谋财。微软确认其37GB源代码遭泄露,适用于各种内部项目,包括Bing、Cortana和Bing地图。
融资并购方面,工业互联网公司德风科技获数亿元C轮融资,将主要用于工业互联网系列产品的持续升级及创新。供应链安全公司悬镜安全完成B轮数亿元融资,将进一步深化在中国软件供应链安全关键技术创新研发。应用安全公司ForAllSecure融资2100万美元,专注于自动化软件测试以提高安全性。
1、美国陆军组建网络军事情报组织
美国陆军已组建网络军事情报组织(CMIG),隶属于情报与安全司令部,将直接支持陆军网络司令部的需求并在其作战控制下发挥作用。它将指导、同步和协调对网络、信息和电子战行动的情报支持,同时也为美国网络司令部和其他作战司令部提供支持。通过将军事情报与商业数据、有关外国对手的公开信息和某些国家情报系统相结合,它将为陆军网络司令部运营和保卫网络以及影响外国受众提供必要的洞察力。
资料来源:https://www.fedscoop.com/new-army-unit-will-combine-military-intelligence-with-open-source-data-on-foreign-adversaries/
2.欧盟提出新的网络安全法规
欧盟委员会提出了新的网络安全和信息安全法规。根据《网络安全条例》,所有欧盟机构、团体、办公室和机构将被要求建立用于治理、风险管理和控制的网络安全框架,进行定期评估,实施改进计划,并通知计算机应急响应小组任何事件“不得无故拖延”。除《网络安全条例》外,欧盟委员会还提出了一项信息安全条例,旨在通过考虑数字化转型和远程工作的最新进展,使欧盟的信息安全政策现代化。
资料来源:https://www.techcentral.ie/eu-proposes-new-bloc-wide-cyber-security-regulations/
3.澳大利亚推出新的网络和外国情报设施
澳大利亚信号局(ASD)政府机构启动了一个新的网络和外国情报设施。新设施将加强ASD的能力,并为情报分析师、网络运营商、技术研究人员和企业推动者创造新的机会。ASD专注于信号情报、网络安全和进攻性网络行动,以支持澳大利亚国防军(ADF)和政府,该设施将使ASD及其澳大利亚网络安全中心能够更好地识别威胁并破坏潜在对手。
资料来源:https://www.army-technology.com/news/australia-asd-cyber-intelligence-facility/
4.台达修复其工业能源管理系统中的16个超危漏洞
美国网络安全和基础设施安全局(CISA)3月22日发布了一份公告,描述了台达电子制造的DIAEnergie工业能源管理系统存在的17个漏洞,其中有16个超危漏洞,CVSS评分均为9.8,绝大部分是影响应用程序各个组件的SQL注入漏洞。攻击者成功利用这些漏洞可以完成远程代码执行,将带来难以预计的影响。台达电子已在1.8.02.004版本修复了所有漏洞,但该版本尚未发布。
资料来源:https://www.cisa.gov/uscert/ics/advisories/icsa-22-081-01
5.互联网系统联盟修复BIND服务器中的4个漏洞
互联网系统联盟(ISC)已发布安全更新,以修复广泛部署的伯克利互联网名称域(BIND)服务器软件中的4个漏洞。其中两个漏洞影响BIND9.18版本,CVSS评分均为7.0。第一个漏洞为CVE-2022-0635,可以使用一系列特定查询来触发导致指定进程终止的失败断言检查。第二个漏洞CVE-2022-0667可能导致BIND进程退出。ISC修复的另一个漏洞影响BIND9.11.0到9.11.36、9.12.0到9.16.26和9.17.0到9.18.0版本。
资料来源:https://www.securityweek.com/high-severity-vulnerabilities-patched-bind-server
6.戴尔修复其企业笔记本电脑中的高危UEFI漏洞
固件安全公司Binarly披露了5个影响多款戴尔企业笔记本电脑型号的统一可扩展固件接口(UEFI)漏洞的详细信息,包括多款Alienware、Inspiron和Vostro型号。5个漏洞跟踪为CVE-2022-24415、CVE-2022-24416、CVE-2022-24419、CVE-2022-24420和CVE-2022-24421,CVSS评分均为8.2,被描述为输入不当可能允许经过身份验证的本地攻击者在易受攻击的系统上执行任意代码的验证问题。
资料来源:https://www.securityweek.com/high-severity-uefi-vulnerabilities-patched-dell-enterprise-laptops
7.200多款HP打印机存在高危漏洞
惠普宣布其200多款打印机型号受到远程代码执行漏洞的影响,该漏洞被跟踪为CVE-2022-3942,CVSS得分为8.4,但惠普认为它是超危漏洞。该漏洞被描述为缓冲区溢出,攻击者可以利用此漏洞在root上下文中执行代码。该漏洞与链路本地多播名称解析(LLMNR)的使用有关,并且存在是因为在将用户提供的数据的长度复制到固定长度的基于堆栈的缓冲区之前未正确验证其长度。
资料来源:https://www.securityweek.com/serious-vulnerability-exploited-hacking-contest-impacts-over-200-hp-printers
8.VMware修复Carbon Black App Control中的超危漏洞
VMware修复了其Carbon Black App Control产品中两个超危漏洞,CVSS评分均为9.1。其中CVE-2022-22951是可能导致远程代码执行的操作系统命令注入漏洞,原因在于未正确验证用户输入。想要利用该漏洞的攻击者需要作为高权限用户进行身份验证,并且需要对App Control界面进行网络访问才能在服务器上执行命令。CVE-2022-22952并被描述为文件上传漏洞,具有App Control管理访问权限的攻击者可以利用第二个漏洞上传特制文件并执行任意代码。
资料来源:https://www.securityweek.com/vmware-patches-critical-vulnerabilities-carbon-black-app-control
9.美国新的CRS报告概述了关键基础设施的安全性和弹性
美国国会研究服务部(CRS)最近的一份报告仔细研究了关键基础设施安全和弹性导向社区的发展如何提供强大的部门和跨部门的专业网络、关键基础设施信息的多边流动、与相关政府机构的合作。该报告总结了美国关键基础设施社区,描述了能源、通信、医疗保健和公共卫生(HPH)领域网络风险管理计划和活动的当前发展。
资料来源:https://industrialcyber.co/threats-attacks/new-crs-report-delivers-overview-of-critical-infrastructure-security-and-resilience/
10.FBI报告显示,2021年649个关键基础设施领域组织遭勒索软件攻击
FBI的一份报告显示,2021年649个关键基础设施领域组织遭勒索软件攻击,并预计今年关键基础设施受害的人数会增加。报告显示,在向FBI报告的已知勒索软件变种中,针对关键基础设施部门的三个主要变种是CONTI、LockBit和REvil/Sodinokibi。CONTI最常针对关键制造业、商业设施以及食品和农业部门。LockBit最常侵害政府设施、医疗保健和公共卫生以及金融服务部门。REvil/Sodinokibi则侧重于金融服务、信息技术、医疗保健和公共卫生部门。
资料来源:https://industrialcyber.co/threats-attacks/649-organizations-targeted-by-ransomware-across-critical-infrastructure-sector-in-2021-fbi-ic3-report-discloses/
11.俄罗斯肉类生产商巨头遭Windows BitLocker加密攻击
根据俄罗斯联邦兽医和植物检疫监督机构Rosselkhoznadzor的一份报告,俄罗斯顶级肉类生产商和分销商Miratorg Agribusiness Holding遭受了一次重大网络攻击,攻击者对其IT系统进行了加密。该公告指出,攻击者利用Windows BitLocker功能加密文件,实质上是执行勒索软件攻击。据该机构称,此次攻击的背后原因似乎是进行破坏而非谋财,因为Miratorg是俄罗斯最大的食品供应商之一。
资料来源:https://www.bleepingcomputer.com/news/security/top-russian-meat-producer-hit-with-windows-bitlocker-encryption-attack/
12.微软确认其37GB源代码遭泄露
微软已经确认他们的一名员工受到了Lapsus黑客组织的入侵,并且数据已被泄露。Lapsus团伙3月21日发布了从微软Azure DevOps服务器窃取的37GB源代码,适用于各种微软内部项目,包括Bing、Cortana和Bing地图。微软表示其不依赖代码保密作为安全措施,源代码泄露不会导致风险升高。同时提供了Lapsus团伙在多次攻击中观察到的战术、技术和程序(TTP)的总体概述。
资料来源:https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-they-were-hacked-by-lapsus-extortion-group/?&web_view=true
13.工业互联网公司德风科技获数亿元C轮融资
德风科技专注大数据、人工智能、安全物联网及工业互联网;以大数据及人工智能方式重新定义安全物联网和工业互联网视角全面拓展新安全、新工业、新能源、新制造等。近日完成数亿元C轮融资。德风科技具备将IT与OT结合的产品和解决方案能力,具备从数据采集、治理、存储、分析、到挖掘应用的综合一体化服务能力,已经在能源电力、烟草工商、石油石化、制造建造、运营商领域积累了大量成功案例。
资料来源:https://36kr.com/newsflashes/1664123551422465
14.供应链安全公司悬镜安全完成B轮数亿元融资
3月22日,DevSecOps敏捷安全头部厂商悬镜安全正式宣布完成数亿元人民币B轮融资。悬镜安全将进一步深化在中国软件供应链安全关键技术创新研发及上下游产业生态前瞻性布局上的战略投入,凭借领先的下一代敏捷安全框架,在DevSecOps敏捷安全、软件供应链安全和云原生安全等新兴应用场景下打造闭环的第三代悬镜DevSecOps智适应威胁管理体系。
资料来源:https://mp.weixin.qq.com/s/NdcdXxdOyJIqL1vQNNIaUg
15.应用安全公司ForAllSecure融资2100万美元
应用程序安全测试公司ForAllSecure宣布已完成2100万美元的B轮投资。ForAllSecure专注于自动化软件测试以提高安全性,并已为航空航天、汽车和高科技等领域的财富1000强公司以及美国军方提供服务。该公司名为Mayhem的自主安全测试平台将安全测试集成到连续工作流程中,以提高生产力。ForAllSecure计划利用这笔资金来加速增长并构建一个解决方案,以帮助保护全球企业所依赖的开源项目。
资料来源:https://www.securityweek.com/application-security-firm-forallsecure-raises-21-million