一、政策扫描

本月观察到国内外网络安全相关政策法规18项，涉及国内2项、美国14项、新加坡1项、英国1项，值得关注的有国家标准《网络关键设备安全技术要求可编程逻辑控制器(PLC)》公开征求意见、IIC、ISA更新物联网安全成熟度模型用于指导工业自动化控制系统安全。
1、国家标准《网络关键设备安全技术要求可编程逻辑控制器(PLC)》公开征求意见
全国信息安全标准化技术委员会归口的国家标准《网络关键设备安全技术要求可编程逻辑控制器（PLC）》现已形成标准征求意见稿。根据《全国信息安全标准化技术委员会标准制修订工作程序》要求，现将该标准征求意见稿面向社会公开征求意见。
资料来源：https://www.tc260.org.cn/front/postDetail.html?id=20230921164223

2、工信部印发《关于开展移动互联网应用程序备案工作的通知》
为促进互联网行业规范健康发展，进一步做好移动互联网信息服务管理，工业和信息化部近日印发通知，组织开展移动互联网应用程序（以下简称APP）备案工作。要求在中华人民共和国境内从事互联网信息服务的APP主办者，应当依照《中华人民共和国反电信网络诈骗法》《互联网信息服务管理办法》等规定履行备案手续。
资料来源：http://esd13.xai8.sbs/pi2QKdU

3、CISA发布开源软件安全路线图
9月12日，美国网络安全和基础设施安全局(CISA)发布了一份新文件，详细介绍了其支持开源软件(OSS)生态系统并确保联邦机构使用OSS的计划。据该机构称，任何人都可以访问、修改和分发的OSS可以驱动更高质量的代码并促进协作，但也通过Log4Shell等影响广泛的漏洞带来高风险。
资料来源：http://s0y13.xai8.sbs/2tLWynU

4、美国CISA小组提出国家网络安全警报系统的想法
美国网络安全和基础设施安全局(CISA)提出美国需要一个国家网络安全警报系统，该系统可以提供有关威胁和风险的可操作信息。
资料来源：https://therecord.media/national-cybersecurity-alert-system-idea-cisa-panel

5、美国CISA发布新的身份和访问管理指南
CISA于2023年9月发布了关于联邦机构如何将身份和访问管理(IDAM)功能集成到其身份、凭证和访问管理(ICAM)架构中的新指南。新指南是作为CISA持续诊断和缓解(CDM)计划的一部分发布的，该计划提供信息安全持续监控(ISCM)功能，帮助联邦机构提高其网络的安全性。
资料来源：http://eoqb5.xai6.sbs/IcmUAsB

6、美国CISA发布开源软件安全路线图
9月20日，联邦调查局(FBI)和网络安全和基础设施安全局(CISA)发布了一份联合网络安全通报(CSA)，传播与FBI调查中最近于6月1日发现的Snatch勒索软件变种相关的已知勒索软件IOC和TTP。除了启用和实施防网络钓鱼的多因素身份验证(MFA)之外，还敦促关键基础设施组织保护并密切监控远程桌面协议(RDP)，并维护数据的离线备份。
资料来源：http://libd5.xai6.sbs/HPaAjc4

7、美国DHS建议协调关键基础设施实体的网络事件报告，以识别趋势、防止攻击
美国国土安全部(DHS)概述了一系列关于联邦政府如何简化和协调网络事件报告以保护国家关键基础设施的可行建议。这些建议在9月19日提交给国会的一份报告中，允许政府识别恶意网络事件的趋势，并帮助组织预防、响应攻击并从攻击中恢复。
资料来源：http://9vz56.xai8.sbs/YSQBEOr

二、安全事件

本月监测到勒索事件16起、数据泄露事件29起、网络攻击45起，DDOS攻击3起、钓鱼攻击6起。其中典型的事件有国际自动化巨头江森自控遭勒索软件攻击致部分运营中断，大众汽车遭遇严重网络故障致德国生产暂停。
1、国际自动化巨头江森自控遭勒索软件攻击致部分运营中断
9月27日，美国网络安全事件报告的FORM 8-K文件显示，江森自控国际公司遭受了网络攻击。Nextron Systems威胁研究员 Gameel Ali在推特上发布消息称该攻击对江森自控的许多设备（包括VMware ESXi服务器）进行了加密，影响了公司及其子公司的运营。
资料来源：http://dawq6.xai8.sbs/etZ7qmp

2、大众汽车遭遇严重网络故障致德国生产暂停
9月27日，大众汽车表示其遭遇重大IT故障，导致该汽车制造商同名品牌在德国的生产陷入停顿，并补充说，包括保时捷公司和奥迪品牌在内的整个集团都受到了影响。该公司发言人表示该故障自中午12点30分以来就已存在，目前正在分析中。”这对汽车生产厂有影响。大众表示，根据目前的分析情况，外部攻击不太可能是系统故障的原因。目前还无法估计问题何时得到解决以及生产何时能够重新开始。
资料来源：http://0unk6.xai8.sbs/cqO01yu

3、新西兰奥克兰交通局的HOP卡遭遇重大网络攻击致票务系统部分瘫痪
9月14日，据媒体报道，奥克兰交通局（AT）的HOP卡系统遭遇重大网络事件，导致充值和其他服务中断。该事件似乎是勒索软件攻击，但调查仍在进行中。奥克兰交通局已启动安全协议，并正在与专家合作伙伴合作，尽快解决该问题。
资料来源：https://therecord.media/montreal-electricity-organization-lockbit-victim/

4、空中客车公司敏感数据泄露
9月12日，据The Record报道，欧洲跨国航空航天公司空中客车公司(Airbus)确认其3,200家供应商的数据（包括姓名、家庭地址、电子邮件地址以及电话号码）被泄露。目前空客公司已启动本次网络安全事件调查。
资料来源：http://pnxx3.xai8.sbs/o0gH41C

5、微软AI研究人员泄露38TB数据，包括密钥、密码和内部消息
Wiz Research在Microsoft的AI GitHub存储库上发现了一起数据泄露事件，其中包括30,000多条Microsoft Teams内部消息，所有这些都是由一个错误配置的SAS令牌造成的。这个案例是组织在开始更广泛地利用人工智能的力量时面临的新风险的一个例子，随着数据科学家和工程师竞相将新的人工智能解决方案投入生产，他们处理的大量数据需要额外的安全检查和保障措施。
资料来源：http://utmm3.xai8.sbs/bMClCzo

6、电信公司遭受伪装成安全软件的新型后门攻击
思科Talos研究人员发现了名为HTTPSnoop和PipeSnoop的新后门，可用于维持中东电信公司网络的长期访问。HTTPSnoop是一个简单但有效的新型后门，它使用低级Windows API直接与系统上的HTTP设备交互。它利用此功能将特定的HTTP(S) URL模式绑定到端点以侦听传入请求。PipeSnoop可以通过读取预先存在的名为Windows IPC管道的内容，在受感染端点上运行shellcode有效负载。
资料来源：https://www.helpnetsecurity.com/2023/09/21/telecom-backdoors/

三、漏洞态势

本月监测到OT漏洞67个，涉及RSA 解密中基于时序的侧通道漏洞1个，涉及缓冲区溢出漏洞8个，涉及敏感信息明文存储漏洞4个，涉及生成包含敏感信息的错误消息漏洞2个，涉及加密签名验证不当漏洞1个，涉及敏感信息的不安全存储漏洞2个，涉及访问控制不当漏洞1个，涉及无限制上传危险类型的文件漏洞1个，涉及会话过期时间不足漏洞1个，涉及权限提升漏洞4个，涉及空指针取消引用漏洞1个，涉及越界读取漏洞3个，涉及内存缓冲区范围内的操作限制不当2个，涉及释放后使用2个，涉及越界写入1个，涉及信息泄露2个，涉及检查时间使用时间 (TOCTOU) 竞争条件10个，涉及输入验证不当7个，涉及CSRF漏洞1个，涉及硬编码2个，涉及代码执行8个，涉及文件写入2个，涉及执行任意SQL 查询1个。值得关注的有严重CodeMeter漏洞影响多种西门子产品。
1、严重CodeMeter漏洞影响多种西门子产品
西门子发布了7份新公告，涵盖影响该公司工业产品的总共45个漏洞。其中一份公告描述了CVE-2023-3935，这是一个影响Wibu Systems CodeMeter软件许可和保护技术的严重漏洞，该技术被多种西门子产品使用，包括PSS、SIMATIC、SIMIT、SINEC和SINEMA。如果CodeMeter Runtime配置为服务器，则未经身份验证的远程攻击者可以利用该缺陷执行任意代码。如果CodeMeter Runtime配置为客户端，则该错误可能允许经过身份验证的本地攻击者将权限升级到root。
资料来源：http://rbgd3.xai8.sbs/PZPIIHJ

2、CISA披露西门子SIMATIC PCS、欧姆龙设备中存在ICS漏洞
9月19日，美国CISA（网络安全和基础设施安全局）发布了四份ICS（工业控制系统）公告，警告关键基础设施部门西门子SIMATIC PCS neo管理控制台、欧姆龙工程软件Zip-Slip、欧姆龙工程软件中存在硬件漏洞、欧姆龙CJ/CS/CP系列。这些通报及时提供了有关当前ICS安全问题、漏洞和漏洞的信息，该机构敦促用户和管理员查看新发布的ICS通报，了解技术细节和缓解措施。
资料来源：http://r82v5.xai6.sbs/svUAETq

3、欧姆龙修补了ICS恶意软件分析过程中发现的PLC、工程软件缺陷
日本电子巨头欧姆龙最近修补了工业网络安全公司Dragos在分析复杂恶意软件时发现的可编程逻辑控制器(PLC)和工程软件漏洞。这些漏洞包括标识为CVE-2022-34151的关键硬编码凭据问题、标识为CVE-2022-45790的使用FINS协议的欧姆龙CJ/CS/CP系列PLC中的一个高严重性漏洞、标识为CVE-2022-45793的Sysmac Studio任意代码执行漏洞等。
资料来源：http://r8lm6.xai8.sbs/77gomTi

4、Fortinet修补FortiOS、FortiProxy、FortiWeb产品中的高严重性漏洞
Fortinet已针对影响多个FortiOS和FortiProxy版本的高严重性跨站脚本(XSS)漏洞发布了补丁。该安全缺陷被追踪为CVE-2023-29183（CVSS评分为7.3），被描述为“网页生成期间输入的不正确中和”。成功利用该漏洞可能允许经过身份验证的攻击者使用精心设计的访客管理设置来触发恶意JavaScript代码的执行。
资料来源：https://cybersecuritynews.com/fortinet-fortios-flaw/

5、日本欧姆龙公司对抗复杂的恶意软件
日本公司欧姆龙最近发布了针对网络安全公司Dragos在分析复杂恶意软件时发现的可编程逻辑控制器(PLC)和工程软件中的漏洞的补丁。去年，美国网络安全机构CISA向组织发出了三个影响Omron NJ和NX系列控制器的漏洞的警告。Dragos报告称，其中一个漏洞（硬编码凭据关键问题CVE-2022-34151）被用来访问欧姆龙PLC，并且是名为Pipedream(Incontroller)的工业控制系统(ICS)的攻击目标。
资料来源：https://www.securitylab.ru/news/542075.php

6、西门子ALM漏洞导致访问权限被完全接管
以色列Otorio公司的研究团队发现并报告了西门子一款软件产品中的多个0day漏洞，特别是西门子ALM（自动化许可证管理器）。关键漏洞之一CVE-2022-43513允许攻击者在目标计算机内移动文件。更严重的威胁是漏洞CVE-2022-43514，该漏洞允许攻击者绕过路径清理并获得目标系统的系统级权限。利用这些漏洞可以通过多次重命名和移动文件导致远程代码执行。攻击者可以替换并重新启动ALM服务可执行文件，从而有效地控制受影响的系统。
资料来源：https://www.securitylab.ru/news/542067.php

四、产品方案

MITRE和CISA发布用于OT攻击模拟的开源工具。Claroty在其SaaS平台中添加VRM功能，以帮助组织降低CPS风险。
1、MITRE和CISA发布用于OT攻击模拟的开源工具
9月5日，MITRE公司和美国网络安全和基础设施安全局(CISA)宣布了开源Caldera平台的新扩展，该平台可模拟针对运营技术(OT)的对抗性攻击。新的Caldera for OT扩展是国土安全系统工程与开发研究所(HSSEDI)与CISA合作的成果，旨在帮助提高关键基础设施的弹性。
资料来源：http://fif32.xai6.sbs/crEdH24

2、Claroty在其SaaS平台中添加VRM功能，以帮助组织降低CPS风险
9月13日，网络物理系统(CPS)保护公司Claroty宣布增强其SaaS平台的漏洞和风险管理(VRM)功能，进一步增强安全团队评估和加强其组织的CPS风险态势。这些增强功能包括独特的细粒度且灵活的风险评分框架、使漏洞优先级工作流程的效率比行业标准1高11倍的功能。
资料来源：http://wz4b5.xai6.sbs/gQCLJ5S

五、融资并购

Tenable将以2.4亿美元收购云安全公司Ermetic用于增强其Tenable One暴露管理平台的功能；思科将以约280亿美元收购Splunk，增强人工智能驱动时代的组织安全性和弹性。
1、Tenable将以2.4亿美元收购云安全公司Ermetic
9月7日，风险管理解决方案提供商Tenable宣布，已达成最终协议，将以约2.4亿美元现金和2500万美元限制性股票和限制性股票单位(RSU)收购以色列云安全初创公司Ermetic。Tenable计划使用Ermetic解决方案来增强其Tenable One暴露管理平台的功能，其中包括漏洞管理、Web应用程序安全、云安全、身份安全、攻击面管理和OT安全功能。
资料来源：http://r4uc5.xai6.sbs/cHdoO3o

2、思科将以约280亿美元收购Splunk，增强人工智能驱动时代的组织安全性和弹性
9月22日，思科和Splunk宣布达成一项最终协议，根据该协议，思科打算收购Splunk，以帮助组织从威胁检测和响应转向威胁预测和预防。该交易还将帮助组织在人工智能驱动的世界中变得更加安全和有弹性。
资料来源：http://aiuk5.xai6.sbs/Pb2qvU8