安帝速递|【工业网络安全月报2024年-10月】

安帝速递|【工业网络安全月报2024年-10月】

时间:2024-11-02 作者:安帝科技

一、政策扫描

本月观察到国内外网络安全相关政策法规23项,中国6项、涉及美国13项、英国2项、俄罗斯1项、澳大利亚1项。值得关注的有国内方面国家工信安全中心发布软件物料清单 (SBOM) 标准社区版等;国际上英国提出《数据(使用和访问)法案》、美国国防部发布了网络安全成熟度模型认证(CMMC)计划的最终规则等。

1、国家工信安全中心发布软件物料清单 (SBOM) 标准社区版
10月24日,据媒体报道,国家工信安全中心发布《软件物料清单构成和要求》标准,旨在规范软件开发,提升软件质量和可维护性,保障软件供应链安全。该标准明确了SBOM的文档构成、数据字段、工具能力和管理应用要求,强调了实用性和可操作性。中心将深化合作,推进SBOM标准更新和工具迭代,促进开源技术和SBOM应用发展。
资料来源:https://www.secrss.com/articles/71651

2、三项工业互联网企业网络安全国家标准发布
10月8日,据媒体报道,国家市场监督管理总局(国家标准化管理委员会)发布了三项新的工业互联网企业网络安全国家标准,这些标准将于2025年1月1日正式实施。这三项标准是《工业互联网企业网络安全 第1部分:应用工业互联网的工业企业防护要求》(GB/T 44462.1-2024)、《工业互联网企业网络安全 第2部分:平台企业防护要求》(GB/T 44462.2-2024)、《工业互联网企业网络安全 第3部分:标识解析企业防护要求》(GB/T 44462.3-2024),这些标准旨在解决工业互联网企业在网络安全防护方面的实际需求,提出了不同级别企业的网络安全防护要求,以指导企业实施工业互联网安全分类分级管理。这些标准的发布对提升工业互联网企业的安全水平、保障产业的健康发展具有重要意义。
资料来源:https://www.secrss.com/articles/69813

3、英国政府出台新的数据治理法规
10月24日,据媒体报道,英国提出《数据(使用和访问)法案》,该法案为数字验证服务提供了一个框架,使提供身份验证工具的公司能够获得政府认证的“信任标志”。这旨在提高对数字验证服务的安全性和隐私性的信任,从而提高生活不同领域的效率,包括收集包裹、开设银行账户和搬家。
资料来源:https://www.infosecurity-magazine.com/news/uk-data-governance-legislation/

4、美国防部发布网络安全成熟度模型认证计划最终规则
10月15日,美国国防部发布了网络安全成熟度模型认证(CMMC)计划的最终规则,旨在确保国防承包商和分包商符合处理联邦合同信息(FCI)和受控非机密信息(CUI)的现有信息保护要求,并以与网络安全威胁风险相称的水平保护这些敏感的非机密信息。规则将评估级别从五个减少到三个,以简化中小企业的流程。根据最终规则,国防部将允许企业适时对其合规性进行自我评估。FCI的基本保护需要CMMC1级的自我评估,而CUI的一般保护则需要第三方评估或CMMC2级的自我评估。对于需要更高级别保护的某些CUI,以防范高级持续性威胁的风险,将由国防工业基础网络安全评估中心牵头进行CMMC3级评估。
资料来源:http://0wdhn.dz113.sbs/CyqAhAK

5、澳大利亚2024年网络安全法案侧重于加强网络弹性和保护关键基础设施
10月9日,澳大利亚政府推出了网络安全立法一揽子计划,旨在提升网络环境和关键基础设施的安全性与弹性。该计划包括《2024年网络安全法案》,这是澳大利亚首个独立的网络安全法案,确立了智能设备的最低安全标准、勒索软件报告义务、国家网络安全协调员和澳大利亚信号局(ASD)的“有限使用”义务,以及网络事件审查委员会。这些措施旨在应对当前面临的地缘政治和网络威胁环境,保护网络安全和关键基础设施对澳大利亚的国家安全和经济稳定至关重要。
资料来源:http://ufz2m.dz113.sbs/C8lTFoT

6、欧洲理事会通过《网络弹性法案》
10月10日,据媒体报道,欧洲理事会通过的新法规要求欧盟内的互联设备制造商必须提供产品的修补和漏洞更新,以增强网络安全。这项安全设计法规源自2022年欧盟委员会提出的《网络弹性法案》,要求制造商进行风险评估、确保默认数据保护,并定期提供缺陷信息和修补。法规将在欧盟委员会主席签署后36个月生效。
资料来源:http://37s9l.dz112.sbs/YtYctpV

二、安全事件

本月监测到勒索事件16起、数据泄露事件14起、网络攻击38起,钓鱼攻击4起。其中典型的勒索事件为黑客勒索保险巨头Globe Life;典型的数据泄露事件为日本电产精密株式会社(Nidec Precision Corporation)披露其越南子公司NPCV在2024年8月5日遭受网络攻击,导致约50,694个文件泄露;典型的网络攻击事件为塞浦路斯遭遇了一系列重大网络攻击,这些攻击主要针对政府网站和关键互联网基础设施;典型的钓鱼攻击事件为乌克兰计算机应急响应小组(CERT-UA)最近观察到一系列针对乌克兰关键行业的恶意网络钓鱼电子邮件攻击。
1、日本电产精密公司披露安全事件
10月23日,日本电产精密株式会社(Nidec Precision Corporation)披露其越南子公司NPCV在2024年8月5日遭受网络攻击,导致约50,694个文件泄露。攻击者通过非法获取通用域帐户的ID和密码访问了服务器,并要求赎金。公司拒绝支付,攻击者在暗网上披露了数据。Nidec Precision已采取措施加强安全,包括重置密码和审查访问权限,并提醒员工警惕可疑邮件。公司正与外部安全组织合作,以防止未来类似事件。
资料来源:http://r3lsm.dz113.sbs/0kmBNC7

2、金砖国家主要峰会期间俄外交部遭受网络攻击
10月24日,俄罗斯外交部发言人玛丽亚·扎哈罗娃 (Maria Zakharova) 表示,俄罗斯外交部10月23日遭到严重网络攻击,恰逢金砖国家主要峰会在该国举行。扎哈罗娃指出,该部经常遇到类似的攻击,但此次攻击“规模空前”。
资料来源:http://es00m.dz113.sbs/zdwJ4T9

3、乌克兰政府、军队遭受钓鱼攻击
10月23日,据媒体报道,乌克兰计算机应急响应小组(CERT-UA)最近观察到一系列针对乌克兰关键行业的恶意网络钓鱼电子邮件攻击。这些攻击利用了远程桌面协议(RDP)配置文件,这些文件被伪装成与Amazon和Microsoft服务相关的合法文件,以吸引目标用户。攻击者通过这些钓鱼邮件试图非法获取未经授权的远程访问权限。
资料来源:https://thecyberexpress.com/rogue-rdp-files-used-in-ukraine-cyberattacks/

4、UnitedHealth 表示 Change Healthcare 泄露事件中被盗了 1 亿个数据
10月24日,据媒体报道,UnitedHealth Group证实其旗下的 Change Healthcare 在 2024 年 2 月遭受的勒索软件攻击中,导致超过 1 亿人的个人信息和医疗保健数据被盗。这是近年来最大的医疗保健数据泄露事件之一。泄露的数据包括健康保险信息、健康信息、账单、索赔和付款信息,以及其他个人信息,如社会安全号码、驾驶执照或州身份证号码或护照号码。
资料来源:http://7yk0l.dz112.sbs/c5AzJKq

5、塞浦路斯遭遇了一系列重大网络攻击
10月21日,据媒体报道,塞浦路斯遭遇了一系列重大网络攻击,这些攻击主要针对政府网站和关键互联网基础设施。自周五以来,已记录了6起事件,影响了公共服务和私营企业。这些攻击包括对爱马仕机场网站、塞浦路斯银行、电力局(EAC)、电信管理局(CYTA)和燃料公司EKO Cyprus Limited的DDoS攻击。尽管这些攻击具有破坏性,但到目前为止,它们都已被成功抵御,没有对服务造成显著影响。
资料来源: http://vdqem.dz113.sbs/Bg8n8fg

6、黑客勒索保险巨头Globe Life
10月17日,据媒体报道,保险巨头Globe Life今年遭受了一起数据泄露事件,影响了其子公司American Income Life Insurance Company至少5,000名客户。攻击者试图通过勒索手段,要求公司支付赎金以换取不公开被盗数据。泄露的数据包括全名、电子邮件地址、电话号码、邮政地址、社会安全号码、健康相关数据和政策信息。Globe Life表示,这次勒索企图并未涉及勒索软件,公司系统上没有数据被加密。
资料来源:http://kf6cm.dz113.sbs/hFh66jQ

三、漏洞态势

本月监测到操作技术(OT)漏洞共91个。其中内存缓冲区范围内的操作限制不当8个,越界读取5个,不正确的输入验证4个,关键功能的认证机制缺失4个,未定义的资源释放3个,过量数据分配3个,未定义的Behavior of Unreferenced Code3个,空指针解引用3个,密码在标准输入中硬编码3个,命令行注入3个,未定义的行为当超出缓冲区3个,SQL注入3个,堆栈缓冲区溢出2个,信息泄露 – 外部实体2个,未定义的Denial of Service Free2个,未定义的认证2个,通过未加密的通信传输敏感数据2个,未定义的跨站请求伪造(CSRF)保护2个,未定义的跨站脚本(XSS)保护2个,未定义的跨站请求伪造(CSRF)保护2个,未定义的跨站脚本(XSS)2个,未定义的权限绕过2个等。
1、ICONICS和Mitsubishi Electric产品套件被爆存在高危漏洞
10月22日,CISA发布涉及 ICONICS 和 Mitsubishi Electric 的产品套件中的高危漏洞公告。该漏洞被归类为 CVE-2024-7587,CVSS v3.1 基本评分为 7.8,由于攻击复杂度较低,此漏洞给 ICONICS Suite 的用户带来了严重问题,包括 GENESIS64、Hyper Historian、AnalytiX 和 MobileHMI(版本 10.97.3 及更早版本)等产品,以及三菱电机的所有版本的 MC Works64。如果成功利用,此漏洞可能会导致数据泄露、未经授权的数据篡改,在最坏的情况下,还可能导致拒绝服务 (DoS) 情况。
资料来源:http://258rm.dz113.sbs/hMcmehc

2、Nozomi研究人员在跨IoT、嵌入式、ICS设备部署的GoAhead Web服务器中发现严重安全漏洞
10月16日,据媒体报道,Nozomi Networks Labs研究人员在EmbedThis开发的GoAhead Web服务器中发现了三个安全漏洞(CVE-2024-3184、CVE-2024-3187和CVE-2024-3186),可能影响嵌入式和IoT设备。这些漏洞主要涉及HTTP请求处理、输入解析和会话管理,可能导致拒绝服务。EmbedThis已发布补丁6.0.1版以修复这些问题。研究人员建议用户更新至最新版本或评估漏洞潜在存在。
资料来源:http://eeltk.dz112.sbs/JtDoX4A

3、漏洞Cisco修补模拟电话适配器中的高严重性漏洞
10月16日,据媒体报道,思科最近修补了ATA 190系列模拟电话适配器中的八个安全漏洞,其中包括两个高严重性的漏洞:一个允许未经身份验证的远程攻击者查看或删除配置或修改固件(CVE-2024-20458),另一个允许进行CSRF攻击执行任意操作(CVE-2024-20421)。此外,还修补了一个中等严重性漏洞(CVE-2024-20459),可能允许以root权限执行任意命令。剩余的五个中等严重性漏洞涉及XSS攻击、以root身份执行任意命令、查看密码、修改设备配置或重启设备,以及以管理员权限运行命令。受影响的设备包括ATA 191和ATA 192。
资料来源:http://twomn.dz113.sbs/ROfIeOZ

4、Claroty的Team82在MMS协议中发现5个漏洞,对工业设备构成重大风险
10月10日,Claroty的Team82研究人员发现了制造消息规范(MMS)协议中的五个漏洞,这些漏洞可能允许攻击者远程执行代码或使工业设备崩溃。受影响的协议在电力系统和IEC 61850标准中被广泛使用,控制中心与现代数字变电站设备间的通信可能会受到影响。Claroty还提供了一个名为“MMS Stack Detector”的免费工具,以帮助识别MMS协议的具体实现。这些漏洞被报告给了受影响的供应商,包括MZ Automation的libIEC61850库和Triangle MicroWorks的TMW IEC 61850库,并且其中一些漏洞已经被修复。此外,西门子的SIPROTEC 5 IED也受到了影响,但西门子已经更新了其固件以解决这个问题。研究人员强调了现代技术安全需求与过时协议之间的差距,并敦促供应商及时更新系统版本以保护工业控制系统(ICS)设备。
资料来源:http://amvol.dz112.sbs/ykATKGP

5、西门子、施耐德电气、菲尼克斯电气等公司发布安全补丁
10月9日,据媒体报道,西门子、施耐德电气、菲尼克斯电气和CERT@VDE等公司发布工业控制系统安全补丁。西门子修复了Sinec Security Monitor等产品的漏洞;施耐德电气修复了Harmony iPC等产品中的漏洞;菲尼克斯电气针对PLCnext Engineer发布了DoS漏洞补丁;CERT@VDE描述了OpenSSH漏洞对Pepperl+Fuchs产品的影响。罗克韦尔自动化修复了PowerFlex 6000T等产品的DoS漏洞,及DataMosaix产品的信息泄露漏洞。
资料来源:http://0oftk.dz112.sbs/l1SpZhk

6、汽车行业面临0-Day漏洞威胁
10月8日,据媒体报道,研究人员在汽车网络安全领域发现多个严重0-Day漏洞,可能允许攻击者控制汽车系统。漏洞包括CAN网络的远程代码执行、IPsec和SOME/IP-SD协议的漏洞、移动应用加密问题,以及蜂窝连接的远程持久性漏洞。这些漏洞的存在强调了汽车行业加强网络安全的紧迫性。
资料来源:https://gbhackers.com/automative-0-day-flaws-control-cars/

四、融资并购

资产智能网络安全公司Armis获得了2亿美元的资金。端到端安全服务提供商 Sophos以8.59亿美元收购 Secureworkss,收购有助于提高其在 XDR 市场的地位。
1、Armis获得2亿美元融资
10月30日,资产智能网络安全公司Armis获得了2亿美元的资金,在快速扩张和IPO计划中估值达到42亿美元。该公司在完成新一轮融资后保持了其增长轨迹。Armis的最新一轮融资由顶级投资者General Catalyst和Alkeon Capital以及现有投资者Brookfield Growth和Georgian领投。
资料来源:
http://afm6m.dz113.sbs/sQXBCDQ

2、Sophos以$859M收购Secureworks以扩展XDR产品
10月21日,端到端安全服务提供商Sophos以8.59亿美元收购Secureworkss,收购将使 Secureworks在托管侦测和响应(MDR)、安全信息和事件管理(SIEM)以及其他关键领域的广泛专业知识添加到Sophos安全产品中,以增强其威胁情报、检测和响应能力,并提高其在XDR市场的地位。
资料来源:
https://thecyberexpress.com/sophos-to-acquire-secureworks/