工业网络安全“情报解码”-2021年第26期
时间:2021-12-25 作者:安帝科技
本期摘要
政策法规方面,国家标准化管理委员会发布《“十四五”国家标准体系建设规划》,安全标准被重点提及。美国国土安全部扩展“Hack DHS”漏洞赏金计划, Log4j漏洞被囊括其中。
漏洞态势方面,myPROHMI/SCADA产品存在严重漏洞,在全球范围内用于能源、食品和农业、水和交通系统部门的该产品受影响。步行式金属探测器中的漏洞可能允许攻击者操纵安全设备,给用户带来安全风险。NVIDIA产品受Log4j漏洞影响,包括CUDA工具包视觉探查和Nsight Eclipse的版本,NetQ和的vGPU软件许可服务器。谷歌警告称超过35,000个Java包受Log4j漏洞影响,修复需要数年时间。微软敦促客户尽快修复Active Directory漏洞,攻击者可利用其获取域管理员权限。VMware修复Workspace ONE Access中的漏洞。
安全事件方面,阿里云被工信部暂停网络安全威胁信息共享平台合作单位,这是国家电信主管部门首次就漏洞披露不合规开出的罚单。比利时国防部确认遭受利用Log4j漏洞的网络攻击,成为第一个受害者。针对铺天盖地的核弹级漏洞,CISA发布扫描器以识别受Apache Log4j漏洞影响的Web服务。
融资并购方面,数据安全公司闪捷信息完成6亿元人民币B轮融资,将致力于全栈数据安全。无代码安全自动化公司ContraForce获得200万美元的种子资金,其产品旨在帮助中小型企业检测威胁并做出响应。授权、身份和访问管理解决方案提供商PlainID融资7500万美元,用于加速产品开发并扩大其上市战略。社交媒体威胁防护公司ZeroFox收购事件响应服务公司IDX,并通过与L&F Acquisition Corp合并成为一家上市公司。
1、《“十四五”国家标准体系建设规划》发布安全标准被重点提及
为贯彻落实《国家标准化发展纲要》,指导国家标准的制定与实施,加快构建推动高质量发展的国家标准体系,国家标准化管理委员会会同有关部门组织编制了《“十四五”推动高质量发展的国家标准体系建设规划》。《规划》第14点指出,要建设网络安全标准。推动关键信息基础设施安全保护、数据安全、个人信息保护、数据出境安全管理、网络安全审查、网络空间可信身份、网络产品和服务、供应链安全、5G安全、智慧城市安全、物联网安全、工业互联网安全、车联网安全、人工智能安全等重点领域国家标准研制,完善网络安全标准体系,支撑网络强国建设。
资料来源:https://gkml.samr.gov.cn/nsjg/bzjss/202112/t20211214_338077.html
2、美国国土安全部“Hack DHS”漏洞赏金计划扩展到Log4j安全漏洞
美国国土安全部(DHS)宣布,“Hack DHS”计划现在也向愿意追踪受Log4j漏洞影响的DHS系统的漏洞赏金猎人开放。DHS 12月14日宣布了“Hack DHS”漏洞赏金计划。它允许经过审查的网络安全研究人员发现和报告外部DHS系统中的漏洞,每个报告的错误可获得高达5,000美元的奖励。参加该计划的黑客需要披露他们的发现以及有关漏洞的详细信息、攻击者如何利用它以及威胁行为者如何使用它来访问来自DHS系统的信息。
资料来源:https://www.bleepingcomputer.com/news/security/hack-dhs-bug-bounty-program-expands-to-log4j-security-flaws/?&web_view=true
3、myPROHMI/SCADA产品存在严重漏洞
研究人员在捷克工业自动化公司mySCADA的myPRO产品中发现了12个漏洞。myPRO是一套HMI/SCADA系统,专为可视化和控制工业过程而设计。据CISA称,受影响的产品在全球范围内用于能源、食品和农业、水和交通系统部门。mySCADA在8.20.0版本修复了四个高危漏洞,可利用这些漏洞获取敏感信息或远程上传任意文件而无需身份验证。8.22.0版修复了八个漏洞,有七个是严重漏洞。其中一个严重漏洞可用于绕过身份验证,一个与后门帐户有关,而其余漏洞可被远程、未经身份验证的攻击者利用以进行操作系统命令注入。
资料来源:https://www.securityweek.com/several-critical-vulnerabilities-found-mypro-hmiscada-product?&web_view=true
4、步行式金属探测器中的漏洞可能允许攻击者操纵安全设备
CiscoTalos最近在Garrett Metal Detectors的设备中发现了9个漏洞,这些漏洞可能允许远程攻击者绕过身份验证要求、操纵金属探测器配置,甚至在设备上执行任意代码。这些漏洞特别存在于Garretti C模块中,该模块为安全检查站常用的Garrett PD6500i或Garrett MZ6100步行式金属探测器提供网络连接。攻击者可以操纵该模块远程监控金属探测器的统计数据,例如是否触发了警报或有多少访客经过。他们还可以更改配置,例如更改设备的灵敏度级别,这可能会给依赖这些金属探测器的用户带来安全风险。
资料来源:https://blog.talosintelligence.com/2021/12/vuln-spotlight-garrett-metal-detector.html?&web_view=true
5、NVIDIA产品受Log4j漏洞影响
NVIDIA已确认其部分产品受到最近披露的ApacheLog4j日志实用程序漏洞的影响。12月22日,NVIDIA证实,Log4j漏洞影响CUDA工具包视觉探查和Nsight Eclipse的版本,NetQ和的vGPU软件许可服务器。NVIDIA还指出,虽然DGX系统不包含Log4j Java库,但用户可能已将易受攻击的实用程序安装为附加软件。因此,NVIDIA决定也为多个DGX操作系统版本发布修复程序。
资料来源:https://nvidia.custhelp.com/app/answers/detail/a_id/5294
6、谷歌:超过35,000个Java包受Log4j漏洞影响
谷歌开源团队扫描了Maven中央Java包存储库,发现35,863个包(占总数的8%)正在使用易受Log4Shell漏洞和CVE-2021-4504 6RCE攻击的Apache Log4j库版本。谷歌专家使用Open Source Insights(一个用于确定开源依赖项的项目)来评估Maven中央存储库中所有工件的所有版本。专家指出,直接依赖项约占受影响软件包的7,000个,大多数受影响的工件都与间接依赖相关。并确定只有48%受漏洞影响的工件已得到修复。尽管最近都在急于修复Log4J,但整个过程可能需要数年时间。
资料来源:https://securityaffairs.co/wordpress/125845/security/log4j-java-packages-flaws.html
7、微软敦促客户尽快修复Active Directory漏洞
图片
微软12月20日发布了两个关于Active Directory漏洞的警报,敦促客户尽快安装可用的补丁,以防止潜在的危害。这两个漏洞被跟踪为CVE-2021-42287和CVE-2021-42278,当结合这两个漏洞时,攻击者可以在没有应用这些新更新的Active Directory环境中创建一个直接访问域管理员用户的路径。这种升级攻击允许攻击者在攻击域中的普通用户后轻松地将他们的权限提升为域管理员的权限。
资料来源:
https://www.securityweek.com/microsoft-urges-customers-patch-recent-active-directory-vulnerabilities
8、VMware修复Workspace ONE Access中的漏洞
VMware修复了Workspace ONE Access中的两个漏洞,其中最严重的是CVE-2021-22057(CVSS评分6.6),这是一种影响VMware验证双因素身份验证的身份验证绕过。通过利用该漏洞,获得了第一因素身份验证知识的恶意行为者可能会提供它以从VMware Verify获得第二因素身份验证。第二个漏洞被跟踪为CVE-2021-22056(CVSS评分5.5),是一个SSRF漏洞,它可能允许具有网络访问权限的攻击者“向任意来源发出HTTP请求并读取完整响应。”
资料来源:https://www.securityweek.com/vmware-patches-vulnerabilities-workspace-one-access
9、阿里云被工信部暂停网络安全威胁信息共享平台合作单位
工信部人士12月22日确认,因发现严重漏洞未及时报告,阿里云被暂停工信部网络安全威胁信息共享平台合作单位6个月。工信部网络安全管理局通报称,阿里云在发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。通报指出,阿里云是工信部网络安全威胁信息共享平台合作单位。暂停期满后,根据阿里云整改情况,研究恢复其上述合作单位。
资料来源:https://cn.chinadaily.com.cn/a/202112/22/WS61c2c21aa3107be4979fe588.html
10、CISA发布扫描器以识别受Apache Log4j漏洞影响的Web服务
美国网络安全和基础设施安全局(CISA)宣布发布一款开源扫描器,用于识别受Apache Log4j远程代码执行漏洞影响的Web服务。该存储库为log4j远程代码执行漏洞(CVE-2021-44228和CVE-2021-45046)提供了扫描解决方案。以下是log4j-scanner中实现的功能列表:支持URL列表。对60多个HTTP请求标头进行模糊测试。对HTTPPOST数据参数进行模糊测试。对JSON数据参数进行模糊测试。支持用于漏洞发现和验证的DNS回调。WAF绕过有效载荷。
资料来源:https://securityaffairs.co/wordpress/125892/security/cisa-scanner-log4j-flaws.html
11、比利时国防部确认遭受利用Log4j漏洞的网络攻击
比利时国防部网络确认受到不明网络攻击,攻击者利用Apache日志库log4j漏洞实施攻击。比利时国防部发言人Olivier Séverin表示,国防部在12月16日发现其计算机网络受到攻击,该部已采取措施隔离受影响的网络区域。并且证实这次攻击是成功利用了log4j2漏洞,部分计算机网络暂时无法使用,处于瘫痪状态。比利时政府暂未将此次袭击归咎于任何团体或民族国家。
资料来源:https://www.vrt.be/vrtnws/nl/2021/12/20/defensie-slachtoffer-zware-cyberaanval-deel-netwerk-al-dagen-pl/
12、闪捷信息完成6亿元人民币B轮融资
闪捷信息完成6亿元人民币B轮融资,由中国互联网投资基金与知名产业资本联合领投,多家一线投资机构跟投。本次融资体现了资本市场对闪捷信息的充分认可。作为数据安全领域的领军企业,闪捷信息基于多年技术积累与创新,构建了覆盖大数据安全、云数据安全、应用数据安全、数据防泄漏、工业互联网安全和数据安全治理的全栈数据安全产品体系与服务能力,已广泛应用于数千家行业客户。
资料来源:http://www.secsmart.com/news/news_1243.html
13、无代码安全自动化公司ContraForce获得200万美元的种子资金
安全自动化和合规解决方案提供商ContraForce宣布从网络代工厂DataTribe获得200万美元的种子资金。ContraForce开发了一个无代码安全自动化平台,旨在帮助可能没有专门安全团队的中小型企业检测威胁并做出响应,而无需编写复杂的检测代码。ContraForce表示,客户可以轻松集成任何安全数据源并创建剧本响应工作流程。该平台协调检测并提供攻击的可视化。
资料来源:https://www.securityweek.com/no-code-security-automation-company-contraforce-emerges-stealth
14、授权、身份和访问管理解决方案提供商PlainID融资7500万美元
授权、身份和访问管理(IAM)解决方案提供商PlainID宣布,它已经筹集了7500万美元的C轮融资。PlainID为组织提供基于策略的授权解决方案,旨在将IAM和网络安全与实时决策引擎结合在一个单一、直观的界面中。根据PlainID的说法,其基于策略的访问控制(PBAC)技术可以解决企业在其环境中实施IAM时面临的挑战。该公司还提供策略管理器和合作伙伴管理器解决方案,通过向新旧技术添加高级授权功能,帮助组织轻松地为用户提供仅访问他们需要的数据和应用程序的权限。PlainID表示,新资金将帮助其加速产品开发并扩大其上市战略。
资料来源:https://www.securityweek.com/authorization-and-iam-company-plainid-raises-75-million-series-c-funding
15、ZeroFox收购事件响应服务公司IDX
社交媒体威胁防护公司ZeroFox宣布,它将收购事件响应服务公司IDX,并通过与L&F Acquisition Corp合并成为一家上市公司。ZeroFox提供了一个AI驱动的平台,可以保护用户和品牌免受源自社交媒体的威胁。该平台分析了Microsoft 365、G Suite、LinkedIn、Facebook、Slack、Instagram以及Apple和Google移动应用商店等平台中数百万条可公开访问的内容——寻找潜在威胁,例如帐户盗用、欺诈性个人资料、数字平台上的商业电子邮件入侵和鱼叉式网络钓鱼。
资料来源:https://www.securityweek.com/zerofox-go-public-14-billion-spac-deal