安帝速递|【工业网络安全月报2023年-8月】
时间:2023-09-01 作者:安帝科技
一、政策扫描
本月观察到国内外网络安全相关政策法规27项,涉及国内9项、美国18项,值得关注的有工信部印发《关于开展移动互联网应用程序备案工作的通知》、IIC、ISA更新物联网安全成熟度模型用于指导工业自动化控制系统安全。
1、工信部发布《可信数据流通平台评估要求》等3项可信数据服务行业标准
2023年8月,中华人民共和国工业和信息化部公告(2023年第17号)批准一批行业标准,其中包含中国信通院牵头编制的3项可信数据服务行业标准。分别为《可信数据服务金融机构外部可信数据源评估要求》(编号:YD/T4384-2023)、《可信数据服务可信数据供方评估要求》(编号:YD/T4385-2023)、《可信数据服务可信数据流通平台评估要求》(编号:YD/T4386-2023)。
资料来源:http://vphp2.xai6.sbs/giKwC44
2、工信部印发《关于开展移动互联网应用程序备案工作的通知》
为促进互联网行业规范健康发展,进一步做好移动互联网信息服务管理,工业和信息化部近日印发通知,组织开展移动互联网应用程序(以下简称APP)备案工作。要求在中华人民共和国境内从事互联网信息服务的APP主办者,应当依照《中华人民共和国反电信网络诈骗法》《互联网信息服务管理办法》等规定履行备案手续。
资料来源:http://esd13.xai8.sbs/pi2QKdU
3、美国NIST发布网络安全框架2.0公开草案
8月8日,美国国家标准与技术研究院(NIST)发布了NIST网络安全框架(CSF 2.0)的公开草案,该草案修订了该框架,以使除关键基础设施部门之外的所有部门受益。该文件指导行业、政府机构和其他组织降低网络安全风险,提供高级网络安全成果的分类,任何组织(无论其规模、行业或成熟度如何)都可以使用该分类来理解、评估、优先考虑、并传达其网络安全工作。
资料来源:https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.ipd.pdf
4、IIC、ISA更新物联网安全成熟度模型,指导工业自动化控制系统安全
8月9日,工业物联网联盟(IIC)和国际自动化协会(ISA)宣布更新物联网安全成熟度模型(SMM),更新针对资产所有者、产品供应商和服务供应商的ISA/IEC62443映射。这些更新还考虑了对工业自动化和控制系统(IACS)安全程序的62443-2-1标准的重大更新。
资料来源:http://areq3.xai8.sbs/JaCmup7
5、美国NCCoE发布有关实施零信任架构的SP 1800-35D
美国国家网络安全卓越中心(NCCoE)发布了NIST网络安全实践指南SP 1800-35第3卷初稿。“实施零信任架构”,该草案将于2023年10月9日之前公开征求意见。SP 1800-35D指南总结了NCCoE及其合作者如何使用商用技术来构建可互操作的开放标准基于零信任架构(ZTA)的示例实现符合NIST特别出版物(SP) 800-207“零信任架构”中的概念和原则。
资料来源:http://gmpb3.xai8.sbs/aGkbrmW
6、美国NIST发布网络安全框架2.0
8月15日,美国国家标准与技术研究院(NIST)发布了网络安全框架(CSF 2.0)参考工具。该框架允许用户探索CSF 2.0核心草案(函数、类别、子类别、实施示例),并以JSON和Excel格式提供人类和机器可读版本的核心草案。该工具旨在利用NIST网络安全和隐私参考工具(CPRT),用户可以在其中查看NIST许多网络安全和隐私资源的信息。
资料来源:https://csrc.nist.gov/Projects/Cybersecurity-Framework/Filters#/csf/filters
二、安全事件
本月监测到勒索事件11起、数据泄露事件22起、网络攻击45起,DDOS攻击1起。其中典型的事件有全球最大金矿和钼矿厂遭网络攻击致生产受到影响,美国芝加哥贝尔特铁路公司遭遇勒索软件攻击等。
1、全球最大金矿和钼矿厂遭网络攻击致生产受到影响
8月11日,美国矿业巨头自由港·麦克莫兰铜金公司(Freeport-McMoRan Inc.简称FCX)宣布,称其正在调查一起影响其信息系统的网络安全事件,该攻击事件导致铜生产受到部分影响,公司表示,正在评估事件影响,积极采取解决措施,并与“第三方专家和执法部门密切合作”。
资料来源:https://gilaherald.com/freeport-hit-with-cyberattack-ransom-demanded/
2、美国芝加哥贝尔特铁路公司遭遇勒索软件攻击
8月12日,据Recorded Future News报道,美国最大的转辙和枢纽铁路正在调查勒索软件组织窃取数据的事件。芝加哥贝尔特铁路公司(总部位于伊利诺伊州贝德福德公园)由美国和加拿大的六家铁路公司共同拥有,每家铁路公司都使用该公司的转运和换乘设施。
资料来源:https://therecord.media/belt-railway-chicago-ransomware-data-theft-akira
3、澳大利亚能源软件提供商Energy One遭受网络攻击
据8月22日报道,能源软件提供商Energy One于8月18日报告称,一次网络攻击影响了澳大利亚和英国的“某些企业系统”。该公司在一份声明中表示,正在进行分析以确定哪些系统受到了影响。Energy One目前正在尝试确定面向客户的系统是否受到影响,以及哪些个人信息受到损害。
资料来源:https://www.darkreading.com/dr-global/energy-one-investigates-cyberattack
4、日本钟表制造商Seiko遭BlackCat勒索软件团伙攻击
8月21日,勒索团伙BlackCat声称对日本钟表制造商精工(Seiko)遭到的网络攻击负责。Seiko是世界上最大且历史最悠久的制表商之一,年收入超过16亿美元。该公司在8月10日透露,未经授权的第三方访问其基础设施并可能窃取了数据。
资料来源:http://ryz93.xai8.sbs/9A54P2d
5、丰田订单系统出现故障导致14个生产车间停产36小时
媒体8月30日称,日本丰田公司的订单系统出现故障,导致14个生产车间的28条生产线停产。故障开始于8月28日晚间,生产于8月30日按计划恢复。这家汽车制造商以其精益准时的生产系统闻名,并认为该系统非常可靠。
资料来源:https://www.theregister.com/2023/08/30/toyota_japan_production_resumes/
6、蒙特利尔电力组织成为LockBit勒索软件狂潮的最新受害者
LockBit勒索软件团伙继续占据新闻头条,并因对关键组织、政府和企业发起一系列攻击而引起网络安全专家的担忧。8月30日,该团伙声称对蒙特利尔电力服务委员会(CSEM)进行了攻击,该委员会是一个拥有100年历史的市政组织,负责管理蒙特利尔市的电力基础设施。
资料来源:https://therecord.media/montreal-electricity-organization-lockbit-victim/
三、漏洞态势
本月监测到OT漏洞74个,涉及拒绝服务漏洞6个,涉及权限提升漏洞6个,涉及SQL注入漏洞2个,涉及任意文件写入漏洞1个,涉及内存损坏漏洞4个,涉及文件解析漏洞9个,涉及身份绕过漏洞9个,涉及CSRF漏洞 4个,涉及DLL劫持漏洞5个,涉及远程代码执行漏洞16个,涉及缓冲区溢出漏洞8个,涉及硬编码凭证漏洞1个,涉及Unicode编码处理不当漏洞1个,涉及特殊元素过滤不完整漏洞1个,涉及包含来自不可信控制领域的功能漏洞1个。值得关注的有西门子修复了Ruggedcom产品中的多个漏洞、施耐德电气修复Pro-face GP-Pro EX HMI内存损坏问题。
1、西门子修复了Ruggedcom产品中的多个漏洞
8月8日,西门子在补丁中发布了十几份公告,涵盖了30多个漏洞,受影响的产品包括Sicam Toolbox II、Parasolid、Teamcenter Visualization、JT2Go、JT Open、JT Utilities、Solid Edge和西门子软件中心(SSC)。西门子的两份公告描述了两个中度和高严重性OpenSSL漏洞对其Simatic产品的影响。
资料来源:http://xl2x3.xai8.sbs/Yamf8JB
2、施耐德电气修复Pro-face GP-Pro EX HMI内存损坏问题
8月8日,施耐德电气修复了Pro-face GP-Pro EX HMI屏幕编辑器和逻辑编程软件的中的内存损坏问题,该漏洞被标识为CVE-2023-3953(CVSS评分5.3)。受影响的模块是WinGP,它支持在Windows平台上运行。如果该漏洞被成功利用将导致运行WinGP的系统内存损坏,这可能会对HMI的机密性、完整性和可用性造成有限的影响。
资料来源:http://nkn22.xai6.sbs/xUYLZ2v
3、微软公布CODESYS V3 SDK中的15个高危漏洞
8月10日,微软研究员公布了CODESYS V3软件开发套件(SDK)中的15个高严重性漏洞的研究报告,CODESYS V3 SDK是一种广泛用于编程和设计可编程逻辑控制器(PLC)的软件开发环境。已发现的漏洞分别被标识为CVE-2022-47379(CVSS评分8.8)、CVE-2022-47380(CVSS评分8.8)等,这些漏洞会影响3.5.19.0版之前的所有CODESYS V3版本,成功利用这些漏洞可实现远程代码执行(RCE)和拒绝服务(DoS)攻击。
资料来源:http://qpna3.xai8.sbs/GP0CeZQ
4、CISA披露了施耐德电气EcoStruxure和Modicon、罗克韦尔Armor PowerFlex中的安全漏洞
8月15日,美国网络安全和基础设施安全局(CISA)发布了两份ICS(工业控制系统)公告,公告强调了施耐德电气EcoStruxure和Modicon以及罗克韦尔自动化Armor PowerFlex组件中存在的硬件漏洞。公告显示,施耐德电气的EcoStruxure Control Expert、EcoStruxure Process Expert、Modicon M340 CPU、Modicon M580 CPU、Modicon Momentum Unity M1E处理器、Modicon MC80设备中存在可远程利用的“通过捕获重放绕过身份验证”漏洞。Forescout Technologies的研究人员Jos Wetzels和Daniel dos Santos向施耐德电气报告了这些漏洞。对于罗克韦尔自动化的Armor PowerFlex v1.003,CISA警告称存在“计算错误”漏洞,该漏洞可通过低攻击复杂性进行远程利用,成功利用此漏洞可能会让攻击者发送大量网络命令,导致产品高速生成大量事件日志流量,从而导致正常运行停止。
资料来源:http://sbpd2.xai6.sbs/3mLERkG
5、CISA披露日立能源、特灵、罗克韦尔设备中存在ICS漏洞
8月22日,美国网络安全和基础设施安全局(CISA)发布了四份ICS(工业控制系统)公告,及时提供有关ICS环境的当前安全问题、漏洞和漏洞利用的信息。该机构披露了Hitachi Energy AFF66x固件、特灵恒温器和罗克韦尔自动化ThinManager ThinServer中的硬件漏洞。CISA还发布了三菱电机MELSEC WS系列的更新。该安全机构呼吁组织注意这些漏洞,并鼓励用户和管理员查看新发布的ICS公告,了解技术细节和缓解措施。CISA已确定Hitachi Energy AFF660/665设备的固件版本03.0.02及更早版本受到影响。这些漏洞包括跨站点脚本、使用不充分的随机值、源验证错误、整数溢出或环绕、不受控制的资源消耗以及空指针取消引用。它补充说:“成功利用这些漏洞可能会让攻击者破坏目标设备的可用性、完整性和机密性。”在另一份ICS通报中,CISA详细介绍了影响特灵XL824、XL850、XL1050和Pivot恒温器的低攻击复杂性注入漏洞。CISA还透露,存在一个可远程利用/低攻击复杂性的不正确输入验证漏洞,影响罗克韦尔自动化的ThinManager ThinServer设备。
资料来源:http://jqhw2.xai6.sbs/4SuVaM5
6、Nozomi发现工程工作站中使用的SEL软件应用程序存在漏洞
Nozomi Networks Labs团队的研究和分析发现了九个漏洞,影响了Schweitzer Engineering Laboratories (SEL)开发的两个主要软件应用程序:SEL-5030 acSELeratorQuickSet和SEL-5037 GridConfigurator。这些应用程序通常安装在Windows工作站上,供工程师或技术人员用来调试、配置和监控SEL设备。研究人员在8月31日的博客文章中写道:“这9个漏洞中最严重的一个将允许威胁行为者在工程工作站上进行远程代码执行(RCE)。”“由于这两种SEL软件产品都包含广泛的功能,可以帮助资产所有者和系统运营商有效地监督和管理复杂的基础设施,因此威胁行为者可以利用它们来改变由任一软件应用程序控制的所有SEL设备的逻辑。”
资料来源:http://mldl6.xai8.sbs/lop5Xas
四、产品方案
Tenable推出ExposureAI,在整个网络安全平台上添加生成式AI功能。Claroty为扩展后的德勤MXDR平台增加安全运营技术。
1、Tenable推出ExposureAI,在整个网络安全平台上添加生成式AI功能
8月9日,Tenable推出了ExposureAI,这是TenableOne风险暴露管理平台上提供的一套新的生成式AI功能和服务。此举提供了一个庞大的威胁、漏洞和资产数据存储库,使“前所未有的”情报能够识别和减轻网络风险。通过ExposureAI,Tenable使用AI(生成人工智能、深度学习、AI和机器学习)来增强公司的风险暴露管理能力。
资料来源:http://jkei5.xai6.sbs/Mv5lmuH
2、Claroty为扩展后的德勤MXDR平台增加安全运营技术
8月16日,网络物理系统保护公司Claroty宣布,Claroty xDome将为德勤软件服务托管扩展检测和响应(MXDR)平台中内置的操作技术(OT)模块提供支持,支持包括云和OT安全运营中心(SOC)交付。
资料来源:http://v7f32.xai6.sbs/aJug1ih
五、融资并购
Radiflow与CyCraft合作致力于提高OT网络安全检测和响应能力。美国能源部拨款3900万美元用于电网现代化项目,其中包括网络安全。
1、Radiflow与CyCraft合作致力于提高OT网络安全检测和响应能力
8月17日,OT网络安全平台供应商Radiflow宣布与台湾供应商CyCraft建立合作伙伴关系,CyCraft是一家专注于生成人工智能检测、调查和应对国家资助的APT(高级持续威胁)的公司。此次合作利用了东西方20多年的威胁情报,通过利用生成式人工智能的力量,这种合作伙伴关系为企业客户、MSSP和MDR释放了未开发的、无限的检测和响应能力,以应对针对OT资产的日益复杂的攻击。
资料来源:http://rcfk2.xai6.sbs/yz2LJMI
2、美国能源部拨款3900万美元用于电网现代化项目,其中包括网络安全
美国能源部(DOE)宣布为其国家实验室的项目提供高达3900万美元的资金,以帮助实现电网现代化。这些资金来自2023年电网现代化计划(GMI)实验室呼吁,旨在支持测量、分析、预测、保护和控制未来电网所需的概念、工具和技术的开发和部署,同时纳入公平性以及现有的最好的气候科学。现代化工作还将侧重于加强网络安全态势。
资料来源:http://acv02.xai6.sbs/FIPiu2V