安帝速递|【工业网络安全月报2024年-5月】
时间:2024-6-4 作者:安帝科技
一、政策扫描
本月观察到国内外网络安全相关政策法规16项,中国3项、涉及美国10项、欧盟1项、新加坡1项、英国1项,值得关注的有由中央网络安全和信息化委员会办公室、中央机构编制委员会办公室、工业和信息化部、公安部制定的《互联网政务应用安全管理规定》已印发。
1、四部门制定《互联网政务应用安全管理规定》
5月23日,据媒体报道,由中央网络安全和信息化委员会办公室、中央机构编制委员会办公室、工业和信息化部、公安部制定的《互联网政务应用安全管理规定》已印发。规定要求,建设运行互联网政务应用应当依照有关法律、行政法规的规定以及国家标准的强制性要求,采取技术措施和其他必要措施,防范内容篡改、攻击致瘫、数据窃取等风险,保障互联网政务应用安全稳定运行和数据安全。
资料来源:https://www.freebuf.com/news/401719.html
2、美国NIST推出ARIA计划
5月29日,据媒体报道,美国国家标准与技术研究院(NIST)推出了“人工智能风险与影响评估”(ARIA) 计划,旨在通过测试、评估、确认和验证(TEVV)方法,增强对人工智能能力和影响的理解。ARIA计划评估人工智能系统在现实世界中的社会风险和影响,特别是其有效性、可靠性、安全性、隐私保护和公平性。
资料来源:http://p1wja.dwa5.sbs/Kk5Yajg
3、欧盟发布首部电力行业《网络安全网络守则》提升能源基础设施网络弹性
5月28日,欧盟近日发布了首部针对电力行业的《欧盟网络安全网络守则》,标志着在增强重要能源基础设施和服务网络弹性方面取得了重大进展。该守则是对《欧洲议会和理事会条例(EU)2019/943》的重要补充,旨在通过制定共同规则来进行网络安全风险评估、报告网络攻击、威胁和漏洞,并建立网络安全风险管理,为跨境电力流动提供统一的网络安全标准。
资料来源:http://0gbta.dwa2.sbs/2sjImiz
4、美国CISA首次推出符合零信任策略的联邦机构加密DNS实施指南
5月19日,据媒体报道,美国网络安全和基础设施安全局(CISA)发布了针对联邦民事行政部门(FCEB)机构的加密域名系统(DNS)实施指南,旨在提升网络安全弹性并符合OMB备忘录M-22-09和国家网络安全战略的零信任原则。
资料来源:http://uewhb.dwa5.sbs/3jfOBhX
5、美国政府更新国家网络安全战略实施计划
5月7日,美国政府发布了更新后的国家网络安全战略实施计划(NCSIP)第2版,概述了100项旨在增强数字安全和系统弹性的高影响力举措。这些举措以之前的NCSIP为基础,并与国家网络安全战略的目标保持一致。
资料来源:http://moqlc.dwa5.sbs/D6Mx0pl
6、新加坡批准《网络安全法》修正案
5月7日,新加坡议会批准了一项《网络安全法》修正案,旨在加强对该国不断发展的关键基础设施的防御,并适应技术进步。《网络安全法》修正案要求关键信息基础设施(CII)的所有者报告更广泛的事件,包括发生在其供应链中的事件。
资料来源:https://thecyberexpress.com/singapore-amends-cybersecurity-law/
二、安全事件
本月监测到勒索事件20起、数据泄露事件30起、网络攻击55起,钓鱼攻击2起、DDOS攻击2起。其中典型的事件有Ransomhub组织对塞尔维亚天然气公司工控系统发起网络攻击。
1、Ransomhub对塞尔维亚天然气公司工控系统发起网络攻击
5月28日,RansomHub 组织声称对塞尔维亚天然气存储服务提供商 PSG BANATSKI DVOR DOO 发起了网络攻击。Ransomhub声称窃取了总计80 GB的大量数据。被盗信息包括 IT、会计、财务、项目、客户数据库(SQL 格式)、预算、税收、物流和供应链管理、生产数据、人力资源、法律数据、KPI 和研发文档等关键文件,并对SCADA系统进行破坏。
资料来源:https://thecyberexpress.com/ransomhub-group-strikes-ics/
2、印度警方和军方500GB生物特征数据遭泄露
5月26日,据媒体报道,网络安全研究员Jeremiah Fowler发现并报告了一个未加密码保护的数据库,该数据库包含超过160万份文档(总计约496.4GB),包括面部扫描图像、指纹、签名以及警察、军事人员、教师和铁路工人的身份标记。这起数据泄露事件涉及2021年至2024年的记录,包含警察和执法人员的体能测试(PET)数据、签名图像、PDF文档、移动应用程序安装数据等。
资料来源:http://kri4a.dwa5.sbs/vW9DIjf
3、日产汽车确认遭到勒索致53000名员工信息泄露
5月15日,日产透露攻击者在2023年11月对其进行了攻击导致大规模数据泄露,影响了53,000名现任和前任员工的社会保障号码,攻击者要求支付赎金,日产已通知执法部门,聘请网络安全专家进行调查和缓解威胁,并提供了为期两年的免费身份盗窃保护服务。公司还实施了额外的安全措施,并进行了彻底的网络安全审查。
资料来源:https://thecyberexpress.com/nissan-data-breach-update/
4、美国无线电中继联盟(ARRL)遭受重大网络攻击
5月22日,据媒体报道,美国无线电中继联盟(ARRL),已确认遭受严重网络攻击,影响了包括“世界日志”(LoTW)互联网数据库在内的多个关键在线服务。ARRL尚未明确网络事件的性质,正与外部网络安全专家合作,以减轻影响并恢复服务。
资料来源:https://thecyberexpress.com/cyberattack-on-arrl/
5、美国电信设备供应商Allied Telesis疑遭LockBit勒索软件攻击
5月28日,据媒体报道,LockBit 勒索软件集团声称对美国电信设备供应商 Allied Telesis, Inc. 发动网络攻击,声称泄露了大量敏感数据。此次事件发生于2024年5月27日,据称泄露的信息包括自2005年以来的机密项目细节、护照信息和产品规格。威胁者设定了2024年6月3日的最后期限,威胁将全面发布被盗数据。然而,Allied Telesis 尚未确认或否认这些指控,情况仍不明确。
资料来源:https://thecyberexpress.com/lockbit-alleges-allied-telesis-data-breach/
6、戴尔公司发生数据泄露
5月9日,据媒体报道,戴尔科技集团已向数百万客户发出通知,警告包括全名和物理地址在内的数据在安全事件中被盗。被黑客入侵的数据库包含与从戴尔购买产品相关的非常基本的客户数据。戴尔表示,调查已证实访问的数据包括客户姓名、实际邮寄地址以及戴尔硬件信息和订单信息。
资料来源:http://bju1a.dwa2.sbs/Zb0d59S
三、漏洞态势
本月监测到OT漏洞98个。跨界内存读15个,跨界内存写10个,栈缓冲区溢出6个,使用硬编码的密码5个,SQL注入5个,路径遍历4个,访问控制不当3个,外部控制文件名或路径3个,使用不兼容类型访问资源3个,剩余调试代码2个,未充分验证数据可靠性2个,输入验证不当2个,内存缓冲区边界内操作的限制不恰当2个,堆缓冲区溢出2个,使用硬编码的密码学密钥2个,关键资源的权限分配不正确2个,不充分的凭证保护机制2个,使用硬编码的凭证2个,对非受控部件的依赖2个,操作系统命令注入1个,参数注入1个,弱密码1个,长度值不正确的缓冲区访问1个,传统缓冲区溢出1个,授权缺失1个,关键功能的认证机制缺失1个,信息泄露1个,下载没有完整性检查的代码1个,敏感数据的明文传输1个,不加限制或调节的资源分配1个,不受控制的资源消耗1个,隐藏功能1个,缺少硬件中的不可变信任根1个,字符串没有结束符1个,命令注入1个,敏感数据的明文存储1个,空指针解引用1个,非受控搜索路径或元素1个,使用默认凭证1个,跨站脚本1个,路径遍历1个,以可恢复格式存储口令1个,授权机制不恰当1个。
1、思科FIREPOWER管理中心高危漏洞CVE-2024-20360
5月27日,思科Firepower管理中心(FMC)软件的Web管理界面中存在一个漏洞,可能导致经过身份验证的远程攻击者对受影响的系统进行SQL注入攻击。存在此漏洞的原因是 Web 管理界面没有充分验证用户输入。攻击者可以通过对应用程序进行身份验证并向受影响的系统发送精心设计的SQL查询来利用此漏洞。成功利用此漏洞可能允许攻击者从数据库获取任何数据,在底层操作系统上执行任意命令,并将权限提升到 root。
资料来源:http://emwyc.dwa5.sbs/FPoj9Hr
2、西门子S7产品线存在远程调试风险
5月21日,据媒体报道,以色列理工学院Eyal Semel等研究人员发现可利用固件修改攻击实施对西门子S7 PLCs的远程调试,该攻击在西门子所有Simatic S7产品线中都有效,且存在问题的PLC无法进行漏洞修复。
资料来源:https://mp.weixin.qq.com/s/gTfSElNrLfiZZ_CC4Q19Zw
3、Telit Cinterion蜂窝调制解调器存在多个严重漏洞
5月10日,据媒体报道,卡巴斯基ICS CERT发现Telit Cinterion蜂窝调制解调器中的危险漏洞允许未经授权的攻击者通过SMS消息远程执行任意代码。已发现八个不同的漏洞,其中7个收到了从CVE-2023-47610到CVE-2023-47616的CVE标识符,第八个尚未注册。卡巴斯基ICS CERT指出,由于设备的广泛使用,可能会造成严重的全球后果。
资料来源:https://www.securitylab.ru/news/548123.php
4、CISA就罗克韦尔自动化、alpitrononic、台达电子的硬件漏洞发布ICS建议
5月9日,美国网络安全和基础设施安全局(CISA)发布了ICS(工业控制系统)建议,解决部署在关键基础设施部门的设备中存在的硬件漏洞。该机构警告说,罗克韦尔自动化公司、alpitronic公司和台达电子公司存在安全漏洞。此外,CISA还发布了罗克韦尔自动化ControlLogix和GuardLogix的更新。
资料来源:http://en5pa.dwa2.sbs/LMs8VOu
5、物联网摄像头因可链接漏洞而暴露或致数百万人受到影响
5月16日,据媒体报道,Bitdefender的研究人员在ThroughTek的Kalay Platform中发现了4个安全漏洞(CVE-2023-6321-CVE-2023-6324),该平台广泛用于物联网(IoT)监控设备,全球超过1亿台设备可能受到影响。这些漏洞包括允许以root用户身份运行系统命令、获取根访问权限、泄露AuthKey密钥以及推断DTLS会话的预共享密钥,从而允许攻击者在本地网络内进行未经授权的root访问,甚至远程执行代码。
资料来源:https://www.hackread.com/iot-cameras-exposed-by-chainable-exploits/
6、Tinyproxy严重漏洞导致超过50,000台主机可以远程执行代码
5月6日,据媒体报道,90,310台主机中超过50%被发现在互联网上暴露了Tinyproxy服务,该服务容易受到HTTP/HTTPS代理工具中未修补的严重安全漏洞的影响。根据Cisco Talos,该问题的编号为CVE-2023-49606,CVSS评分为 9.8分,该问题将其描述为影响版本1.10.0和1.11.1的释放后使用错误。
资料来源:https://thehackernews.com/2024/05/critical-tinyproxy-flaw-opens-over.html
四、融资并购
一家致力于构建保护工业控制系统(ICS)和运营技术(OT)环境技术的初创公司TXOne Networks获得5100万美元的B轮融资。
1、TXOne Networks获得5100万美元的B轮融资
5月7日,据媒体报道,一家致力于构建保护工业控制系统(ICS)和运营技术(OT)环境技术的初创公司TXOne Networks从台湾新投资者那里吸引了5100 美元的早期融资。该公司提供安全网关、端点代理和网络分段解决方案,旨在帮助组织保护、控制和监控设备和运营技术(OT)。TXOne表示,其技术目前被全球超过3,600家组织使用,涉及行业包括半导体、汽车、制药、食品和饮料、公共交通、公用事业、电子、医疗保健、采矿和金属、石油和天然气以及航空航天。
资料来源:
https://www.securityweek.com/txone-networks-scores-51m-series-b-extension/