安帝速递|【工业网络安全月报2023年-4月】

安帝速递|【工业网络安全月报2023年-4月】

时间:2023-05-01 作者:安帝科技

一、政策扫描

本月观察到国内外网络安全相关政策法规40项,涉及国内9项、美国21项、英国5项、澳大利亚2项、欧盟1项、北约1项、俄罗斯1项,值得关注的有信安标委发布《全国信息安全标准化技术委员会2023年度工作要点》、美国联邦和国际机构发布联合指南以增强技术产品的安全性等。
1、信安标委发布《全国信息安全标准化技术委员会2023年度工作要点》
4月13日,全国信息安全标准化技术委员会发布《全国信息安全标准化技术委员会2023年度工作要点》,将“六个必须坚持”贯穿于国家网络安全标准化工作的全过程,加强统筹协调和规划布局。要点提出要加快重点领域网络安全国家标准研制、加强网络安全国家标准宣传培训、着力增强我国国际标准技术储备和竞争力、不断完善工作机制并加强自身能力建设。
资料来源:https://www.tc260.org.cn/front/postDetail.html?id=20230414192211

2、北约举行世界规模最大的网络安全演习
北约合作网络防御卓越中心发布公告称,4月18日至21日,网络安全演习“Locked Shields 2023”在爱沙尼亚首都塔林举行。作为演习的一部分,参与团队将制定保护国家IT系统和关键基础设施免受敌方大规模网络攻击的方案。
资料来源:http://waap.f.dzxt.sbs/ykXrWWb

3、美国联邦和国际机构发布联合指南以增强技术产品的安全性
4月13日,美国网络安全和基础设施安全局、美国联邦调查局、美国国家安全局以及澳大利亚、加拿大、英国、德国、荷兰和新西兰的国家网络安全中心发布了联合指南,敦促软件制造商采取必要的紧急措施,以交付设计安全和默认安全的产品。
资料来源:http://vqa2.u.dwx1.sbs/cWsg0BT

4、英国披露进攻性网络行动原则
英国国家网络部队(NCF)在4月4日发布的一份指南中,分享了其开展秘密进攻网络行动的原则。在指南的核心部分,NCF解释了其网络操作遵循一组三个原则:他们需要负责任、精确和校准。NCF指出:“我们的工作可能包括针对对手使用的IT网络或技术进行秘密行动,并采用技术降低该技术的运行效率或完全停止运行。”
资料来源:https://www.infosecurity-magazine.com/news/uk-offensive-cyber-capabilities/

5、澳大利亚政府提议对航空和海运安全设置进行改革
4月3日,澳大利亚政府发布了一份讨论文件,征求航空和海事利益相关者对战略改革议程和新监管模式的看法。该讨论文件由内政部长克莱尔·奥尼尔(Clare O’Neil)发布,针对可能很快实施的建议,确定了五个具有重大影响的关键领域。
资料来源:http://ysha.u.dwx1.sbs/rfLqzL8

二、安全事件

本月监测到勒索事件8起、APT攻击16起、数据泄露事件22起、网络攻击19起。其中典型的事件有GhostSec黑客声称攻击了中国生产的卫星接收器、美国网络基础设施提供商CommScope成为Vice Society勒索软件攻击的受害者等。
1、GhostSec黑客声称攻击了中国生产的卫星接收器
研究人员跟踪发现,2023年3月14日,黑客组织GhostSec的成员分享了一条与他们攻击全球导航卫星系统(GNSS)接收器有关的推文。GNSS接收器的多个面板被共享,作为他们访问GNSS接收器的证据。研究人员认为,GhostSec针对的GNSS接收器可能是“CTI运维管理系统软件,为中国上海某导航科技公司的产品”。
资料来源:http://hhki.f.dzxt.sbs/iUy7uzH

2、以色列的灌溉系统因黑客攻击而中断
4月9日,以色列的一些水资源管理系统遭到了网络攻击,导致约旦河谷农田灌溉用水控制器和加利污水处理公司的控制系统受损。管理人员在当天解决了这个问题,并使系统恢复全面运行。然而,网络攻击的来源尚不清楚。
资料来源:https://www.jpost.com/israel-news/article-738790

3、研究人员在网络安全演习中夺取了ESA卫星的控制权
网络安全团队接受了ESA的Hack CYSAT挑战,并找到了一种方法控制了一颗OPS-SAT纳米卫星。欧空局声称在测试期间仍然保持对卫星的控制,但网络安全团队表示,他们通过其机载系统访问卫星控制,然后使用标准访问权限进入其控制界面。研究人员随后证明,他们还可以将恶意代码引入系统。
资料来源:https://gizmodo.com/hackers-control-government-owned-satellite-test-esa-1850383452

4、美国网络基础设施提供商CommScope成为Vice Society勒索软件攻击的受害者
4月15日,Vice Society勒索软件组织在其数据泄露网站上标记了CommScope,并共享了大量据称从CommScope窃取的信息。随后美国网络基础设施提供商CommScope确认其在上月底遭到勒索软件攻击。
资料来源:https://www.securitylab.ru/news/537650.php

5、德国武器制造商Rheinmetall遭受网络攻击
4月14日,德国武器制造商Rheinmetall遭受网络攻击,这次攻击袭击了Rheinmetall为工业客户提供服务的业务部门,尤其是汽车行业的客户。Rheinmetall发言人奥利弗霍夫曼表示,生产军用车辆、武器和弹药的国防部门未受影响,并继续可靠地运作。
资料来源:https://therecord.media/rheinmetall-cyberattack-germany-arms-manufacturer

6、阿拉斯加铁路公司遭到网络攻击导致员工信息泄露
阿拉斯加铁路公司(ARRC)遭到网络攻击,导致公司供应商和员工的机密信息被盗。据推测,攻击发生在2022年12月25日,但该公司在4月17日才报告了该事件。泄露的数据包括姓名、出生日期、社会安全号码(SSN)、驾驶执照、有关健康保险的信息和药物测试结果等。
资料来源:https://www.securitylab.ru/news/537779.php

三、漏洞态势

本月监测到OT漏洞40个,涉及引用错误组件漏洞12个、远程代码执行漏洞6个、拒绝服务漏洞6个、身份验证绕过漏洞4个、文件解析漏洞3个、整数溢出漏洞2个、权限提升漏洞2个、信息泄露漏洞1个、路径遍历漏洞1个、命令注入漏洞1个、弱加密漏洞1个、XXE漏洞1个;IT漏洞147个,涉及远程代码执行漏洞74个、权限提升漏洞34个、信息泄露漏洞15个、拒绝服务漏洞9个、安全功能绕过漏洞8个、身份验证绕过漏洞4个、任意文件读取漏洞1个、沙箱逃逸漏洞1个、硬编码凭据漏洞1个。值得关注的有西门子和施耐德电气修补数十个漏洞、斯洛文尼亚工业自动化公司Inea的ICS产品中存在远程代码执行漏洞等。
1、ICS星期二补丁日:西门子、施耐德解决了数十个漏洞
西门子发布了14份新公告,共涉及26个漏洞。其最严重的漏洞是CVE-2023-28489,CVSS评分9.8,影响Sicam A8000系列远程终端单元(RTU),该漏洞可能允许未经身份验证的远程攻击者在设备上执行任意代码。施耐德共发布了6个新公告,涵盖12个漏洞。其最严重的漏洞是CVE-2023-29412,CVSS评分9.8,影响Easy UPS在线监控软件,可能允许攻击者执行任意代码。
资料来源:http://gqfh.f.dzxt.sbs/BD2b6s0

2、Inea ICS产品中的安全漏洞使工业组织面临远程攻击
研究人员在工业自动化公司Inea制造的远程终端单元(RTU)中发现的一个漏洞可能会使工业组织面临远程攻击。该漏洞被追踪为CVE-2023-2131,CVSS评分10,影响运行3.36之前固件版本的Inea ME RTU,成功利用此漏洞可能允许攻击者远程执行任意代码。目前,供应商已发布固件更新来修补该问题。
资料来源:http://bbad.f.dzxt.sbs/ZtNHamo

3、思科修补Industrial Network Director中的远程代码执行漏洞
4月19日,思科发布了针对Industrial Network Director (IND)网络界面中高危漏洞的修复程序,该漏洞可被远程利用以在底层操作系统上执行命令。IND专为工业网络管理而设计,提供对网络和自动化设备的可见性。该漏洞被跟踪为CVE-2023-20036,CVSS评分9.9,经过身份验证的攻击者可以更改上传请求并使用管理权限执行命令。
资料来源:http://jbxn.f.dzxt.sbs/p34bxqf

4、Nexx产品存在多个安全漏洞
研究人员披露了在Nexx产品中发现的多个安全漏洞,包括使用硬编码凭据、可用于执行未授权操作的授权绕过缺陷、信息泄露问题和不正确的身份验证。在真实世界的攻击场景中,攻击者可以利用这些漏洞通过互联网远程打开或关闭车库门、劫持任何警报系统以及打开/关闭连接到家用电器的智能插头。
资料来源:http://h1bz.u.dwx1.sbs/lBIh5pA

5、英特尔CPU容易受到新的瞬态执行侧信道攻击
研究人员发现了影响多代Intel CPU的新侧信道攻击,允许数据通过EFLAGS寄存器泄漏。这种新型攻击不像许多其他侧信道攻击那样依赖缓存系统,而是利用瞬态执行中的一个缺陷,可以通过时序分析从用户内存空间中提取秘密数据。
资料来源:http://wbzt.f.dzxt.sbs/x9L6o8U

6、新的SLP漏洞可让攻击者发起放大2200倍的DDoS攻击
4月25日,研究人员披露了服务定位协议(SLP)中发现的高危漏洞的详细信息。该漏洞被跟踪为CVE-2023-29552,CVSS评分8.6,利用此漏洞的攻击者可以发起高达2200倍的大规模拒绝服务(DoS)放大攻击。
资料来源:https://thehackernews.com/2023/04/new-slp-vulnerability-could-let.html

四、产品方案

MITRE发布MITRE Caldera for OT,以帮助防御者更好地响应攻击行为。多家OT网络安全公司联合推出ETHOS平台,用于与同行和政府跨行业共享匿名预警威胁信息。MITRE发布ATT&CK v13,提供了分析伪代码、关键网站更新、ICS资产重构以及更多的云和Linux覆盖范围。Cynalytica推出工业控制系统监控传感器OTNetGuard,以加强全面监控OT网络的能力。Industrial Defender发布Phoenix,以满足小型运营商对安全运营的迫切需求。
1、MITRE发布MITRE Caldera for OT简化网络安全评估
MITRE在RSA 2023会议上发布了MITRE Caldera for OT工具,该工具允许安全团队运行针对OT(操作技术)环境的自动化对手仿真练习。MITRE Caldera for OT建立在MITRE ATT&CK for ICS框架之上,模拟通过ATT&CK for ICS或其他定制插件定义的攻击路径和攻击者能力,使组织能够评估其网络风险分析和对抗性仿真工具,以保护关键基础设施环境。
资料来源:http://pij9.u.dwx1.sbs/V622Aff

2、OT网络安全领导者推出ETHOS平台
4月24日,多家OT网络安全公司联合公布了ETHOS(新兴威胁开放共享)计划,这是一个与供应商无关的开源技术平台,用于与同行和政府跨行业共享匿名预警威胁信息。ETHOS将为关键行业提供供应商中立的信息共享选项,以应对日益增多的网络威胁。
资料来源:https://www.helpnetsecurity.com/2023/04/26/ethos-open-source-platform/

3、MITRE发布ATT&CK v13
MITRE于4月25日发布了ATT&CK v13,它将提供分析伪代码、特定于移动设备的数据源、关键网站更新、ICS资产重构以及更多的云和Linux覆盖范围。ATT&CK v13中最大的变化是为ATT&CK for Enterprise、移动数据源中的一些技术添加了详细的检测指南,以及两种新类型的变更日志,以帮助更准确地识别ATT&CK中发生了什么变化。
资料来源:https://medium.com/mitre-attack/attack-v13-enters-the-room-5cef174c32ff

4、Cynalytica OTNetGuard提供对关键基础设施网络的可见性
工业网络安全解决方案供应商Cynalytica推出了工业控制系统监控传感器OTNetGuard,该传感器可以被动且安全地捕获模拟、串行和IP通信,从而加强全面监控OT网络的能力。OTNetGuard为需要监控远程或难以访问位置的组织提供可选的安全无线回程功能。
资料来源:https://www.helpnetsecurity.com/2023/04/13/cynalytica-otnetguard/

5、Industrial Defender推出Phoenix
OT资产数据和网络安全解决方案公司Industrial Defender于4月4日发布了Phoenix,这是一款针对中小型企业的OT(运营技术)可见性和安全产品。Phoenix通过易于使用且具有成本效益的OT安全解决方案满足了小型运营商对安全运营的迫切需求。
资料来源:http://0z3z.f.dzxt.sbs/6lrGxfW

五、融资并购

XIoT安全公司NetRise获得800万美元的融资,,以推进XIoT安全技术。外部网络安全解决方案提供商ZeroFox收购LookingGlass,以增强其平台对外部攻击面资产和漏洞的可见性。
1、NetRise融资800万美元用于推进XIoT安全技术
XIoT安全公司NetRise获得800万美元的融资,这笔资金将使NetRise能够扩展其平台功能。NetRise开发了一个基于云的SaaS平台,可以分析并持续监控扩展物联网(XIoT)设备的固件。作为软件供应链检测和响应平台引领市场,NetRise使设备制造商和企业客户能够检测、响应和预防整个供应链中的威胁。
资料来源:http://wkvb.f.dzxt.sbs/0r5SBMO

2、ZeroFox以2600万美元收购威胁情报公司LookingGlass
4月17日,外部网络安全解决方案提供商ZeroFox宣布正在收购威胁情报和攻击面管理公司LookingGlass。ZeroFox计划将LookingGlass技术集成到其平台中,以增强对外部攻击面资产和漏洞的可见性。ZeroFox提供针对可能对客户品牌产生负面影响的网络钓鱼和其他威胁的保护、威胁情报和事件响应等服务,以帮助企业检测和破坏网络威胁。
资料来源:http://r28q.f.dzxt.sbs/geUtogn