工业网络安全“情报解码”-2021年第15期

工业网络安全“情报解码”-2021年第15期

时间:2021-10-09 作者:安帝科技

摘要

政策法规方面

工信部等八部门印发《物联网新型基础设施建设三年行动计划(2021-2023年)》,明确到2023年底,在国内主要城市初步建成物联网新型基础设施。美国白宫计划于10月召开一次30个国家的会议,以解决网络安全问题。英国计划投资50亿英镑以加强国家网络安全,其中包括建立一个“网络部队”单位来执行报复性攻击。新加坡调整其网络安全战略,加强对运营技术(OT)的关注。

漏洞态势方面

霍尼韦尔提供的分布式控制系统 (DCS) 产品受到漏洞影响,恶意行为者可能会破坏工业流程。思科针对其安全设备、商业交换机等产品中的高危漏洞进行了修复,发布了安全补丁。谷歌发布了Chrome版本更新,以修复其中的四个严重漏洞。Apache修复了正被在野广泛利用的零日漏洞。

安全事件方面

电信巨头Syniverse披露长达数年的数据泄露,自2016年5月以来,黑客一直可以访问其IT和OT系统,数百万甚至数十亿人的信息被泄露。苏格兰最大的工程公司之一Weir的IT系统在9月遭到勒索软件攻击,这起事件可能造成高达500万英镑的损失。

融资并购方面

云安全公司Orca获得5.5亿美元C轮融资,将在亚太地区扩张其业务。安全数据协作公司Duality Technologies融资3000万美元,旨在提升其在隐私保护领域和隐私增强技术(PET)的地位。

1、工信部等八部门印发《物联网新型基础设施建设三年行动计划(2021-2023年)》

工业和信息化部、中央网络安全和信息化委员会办公室、科学技术部、生态环境部、住房和城乡建设部、农业农村部、国家卫生健康委员会、国家能源局等八部门近日联合印发《物联网新型基础设施建设三年行动计划(2021-2023年)》。
《行动计划》明确到2023年底,在国内主要城市初步建成物联网新型基础设施,社会现代化治理、产业数字化转型和民生消费升级的基础更加稳固。突破一批制约物联网发展的关键共性技术,培育一批示范带动作用强的物联网建设主体和运营主体,催生一批可复制、可推广、可持续的运营服务模式,导出一批赋能作用显著、综合效益优良的行业应用,构建一套健全完善的物联网标准和安全保障体系。
资料来源:https://mp.weixin.qq.com/s/8wrLyJ25tHQCW1yLUvNE9w

2、美国白宫将召开30国网络安全会议

美国总统拜登在一份声明中表示,白宫计划于10月召开一次30个国家的会议,以解决网络安全问题。会议的主题将包括打击网络犯罪、改善执法合作、阻止非法使用加密货币、建立可信赖的5G技术以及更好地保护供应链。拜登表示:“我们正在充分发挥我们的能力来破坏恶意网络活动,包括管理量子计算和人工智能等新兴技术的风险和机遇。”据美国有线电视新闻网报道,第一次网络安全会议将以虚拟方式举行。
此次会议是在过去一年发生的一系列重大网络安全事件之后召开的,其中包括导致整个东南部天然气和石油运输中断的Colonial Pipeline勒索软件攻击、SolarWinds软件供应链攻击以及对Microsoft Exchange服务器的大规模黑客攻击。
除了动员多国网络安全举措外,拜登政府还采取措施提高国内网络弹性。拜登表示,“联邦政府需要每个美国人和每个美国公司的合作”来解决网络安全问题。
资料来源:https://www.zdnet.com/article/white-house-to-convene-30-country-cybersecurity-meeting/?&web_view=true

3、英国计划投资50亿英镑用于报复性网络攻击

英国计划投资50亿英镑以加强国家网络安全,其中包括建立一个“网络部队”单位来执行报复性攻击。网络战被视为国际冲突的“第五领域”,并被纳入包括军队在内的国家的核心职能方面。这包括与更传统的部门拥有相同水平的资金和关注。
英国国防大臣Ben Wallace在接受《每日电讯报》采访时指出,英国不仅希望加强其应对威胁的能力,而且还希望增强其发动报复性攻击的能力。英国的目标是反击“一级”攻击,目标是俄罗斯、中国和朝鲜等国家的关键部门。典型的目标可能包括发电站、电信服务提供商和各种基础设施实体,在这些实体中,任何服务中断都会导致大规模影响以及显著的不利经济影响。
Wallace表示,新部门应在2030年全面投入运营,英国首相鲍里斯·约翰逊会在即将在曼彻斯特举行的保守党会议上透露更多细节。
资料来源:https://www.bleepingcomputer.com/news/security/uk-plans-to-invest-5-billion-in-retaliatory-cyber-attacks/?&web_view=true#comments

4、新加坡以OT为重点调整网络安全战略

新加坡已调整其网络安全战略,以加强对运营技术(OT)的关注,提供新的能力框架,为OT行业所需的技能组合和技术能力提供指导。修订后的国家网络安全路线图还希望加强整体网络安全态势并促进国际网络合作。新加坡网络安全局(CSA)表示,2021年网络安全战略还将建立在保护新加坡关键信息基础设施(CII)和其他数字基础设施的努力之上。该政府组织表示,将与CII运营商合作,加强OT系统的网络安全,因为网络攻击可能会带来物理和经济风险。
CSA将OT系统定义为包括工业控制、建筑管理和交通灯控制系统,这些系统包括监控或改变“系统的物理状态”,例如控制铁路系统。CSA表示“许多OT系统历来被设计为独立的,不连接到互联网或外部网络。然而,随着OT系统中引入新的数字解决方案以提高自动化并促进数据收集和分析,这给过去相对‘安全’的气隙操作环境带来了新的网络安全风险。”它指出,为了应对此类风险,企业需要一个框架,从中他们可以获得有关管理OT网络安全所需的流程、结构和技能的指导。CSA将其称为OT网络安全能力框架,提供OT行业部门所需的网络安全技能和技术能力的“更细粒度的细分”和参考。据CSA称,它旨在填补OT网络安全培训中的现有差距。
资料来源:https://www.zdnet.com/article/singapore-tweaks-cybersecurity-strategy-with-ot-emphasis/?&web_view=true

5、黑客可通过广泛使用的霍尼韦尔DCS中的漏洞破坏工业流程

工业网络安全公司Claroty的研究人员发现,工业巨头霍尼韦尔的Experion过程知识系统(PKS)受到三个漏洞的影响,具体产品型号为C200、C200E、C300和ACE控制器。其中CVE-2021-38395和CVE-2021-38397被评定为严重级别,CVSS评分分别为9.1和7.5,可以允许攻击者远程执行系统上的任意代码或导致拒绝服务(DoS)条件。第三个漏洞被跟踪为CVE-2021-38399,被列为高度严重,CVSS评分为10,是一个路径遍历漏洞,攻击者可以访问文件和文件夹。
Experion过程知识系统(PKS)是一种分布式控制系统(DCS),旨在控制跨越从石化炼油厂到核电站等各个领域的大型工业过程,这些领域的可靠性和安全性非常重要。霍尼韦尔ExperionPKS产品被世界各地的组织用于控制大型工业过程。恶意行为者可能会通过利用这些漏洞来破坏工业流程。
DCS利用可使用名为ExperionPKSConfigurationStudio的工程工作站软件进行编程的控制器。为控制器编程的逻辑从工程师站下载到DCS组件。
攻击者可以利用这些漏洞造成重大中断或滥用DCS对目标组织的网络进行进一步攻击。但是,Claroty指出,攻击者为了利用漏洞而需要访问的端口通常不会暴露在互联网上。在利用这些漏洞之前,攻击者需要找到一种方法来访问目标组织的OT网络。
资料来源:https://www.securityweek.com/hackers-could-disrupt-industrial-processes-flaws-widely-used-honeywell-dcs

6、思科修复安全设备、商业交换机中的高危漏洞

思科发布了针对影响其网络安全设备(WSA)、Intersight虚拟设备、Small Business 220交换机和其他产品的多个高危漏洞的补丁。成功利用这些漏洞可能允许攻击者造成拒绝服务(DoS)条件、以root身份执行任意命令或提升权限。
在Small Business 220系列智能交换机的链路层发现协议(LLDP)实施中发现两个高危漏洞CVE-2021-34779、CVE-2021-34780,可导致执行任意代码和拒绝服务条件。为企业交换机系列发布的软件更新还解决了四个中等严重性的安全漏洞,这些漏洞可能导致受影响设备上的LLDP内存损坏。
另一个严重漏洞是Intersight虚拟设备中的输入验证不足。跟踪为CVE-2021-34748,安全漏洞可能导致以root权限执行任意命令。
思科还解决了ATA 190系列和ATA 190系列多平台(MPP)软件中的两个高危漏洞。跟踪为CVE-2021-34710和CVE-2021-34735,这些缺陷可分别用于远程代码执行和导致​​拒绝服务(DoS)条件。
思科还修复了网络安全设备(WSA)的AsyncOS中可能导致DoS的不当内存管理漏洞,以及适用于Linux和macOS的AnyConnect安全移动客户端中的竞争条件,该漏洞可能被滥用以使用root权限执行任意代码。
资料来源:https://www.securityweek.com/cisco-patches-high-severity-vulnerabilities-security-appliances-business-switches

7、谷歌修复Chrome中的四个严重漏洞

谷歌发布适用于Windows、Mac和Linux的Chrome版本更新,以修复浏览器中的四个高危漏洞。其中最严重的漏洞CVE-2021-37977,攻击者可以利用其在目标系统上实现任意代码执行。该缺陷被描述为垃圾收集中的一个释放后使用错误,上个月由一位匿名研究人员报告。谷歌表示,它为这一发现支付了10,000美元的赏金。
现在作为Chrome版本94.0.4606.81向桌面用户推出,新的浏览器迭代还解决了Blink(CVE-2021-37978)和WebRTC(CVE-2021-37979)中的两个堆缓冲区溢出漏洞。这些问题分别由360ATA的Yang kang(@dnpushme)和Cisco Talos的Marcin Towalski报告。谷歌表示,它向每位报告研究人员发放了7,500美元。
新Chrome版本解决的第四个严重漏洞是CVE-2021-37980,这是Sandbox中的一个不适当的实现。报告研究员Yong hwiJin(@jinmo123)因这一发现获得了3,000美元的赏金。攻击者可以通过特制网页利用这些漏洞来破坏访问者的系统并可能在浏览器的上下文中执行代码。
谷歌表示,Chrome扩展稳定通道也已更新至适用于Windows和Mac的版本94.0.4606.81。这家搜索巨头没有提及在针对性攻击中利用这些漏洞中的任何一个。然而,今年到目前为止,已经有十多个记录在案的针对Chrome和Android平台的零日漏洞利用。
资料来源:https://www.securityweek.com/google-patches-four-severe-vulnerabilities-chrome

8、Apache修复了在野利用的零日漏洞

Apache推出了安全补丁以修复CVE-2021-41773和CVE-2021-41524。
CVE-2021-41773是Apache HTTP Server 2.4.49中的路径遍历和文件泄露漏洞,该漏洞正被在野积极利用。攻击者可以触发该漏洞将URL映射到预期文档根目录之外的文件。
攻击者可以使用路径遍历攻击将URL映射到预期文档根目录之外的文件。如果文档根目录之外的文件不受“要求全部拒绝”的保护,这些请求可能会成功。此外,这个缺陷可能会泄露CGI脚本等解释文件的来源。该漏洞仅影响Apache 2.4.49,早期版本不受影响。该漏洞由Ash Daulton和cPanel安全团队报告。
Apache还修复了CVE-2021-41524,HTTP/2模糊测试中的空指针取消引用漏洞。攻击者可触发该漏洞以对服务器执行拒绝服务(DoS)攻击。
资料来源:https://securityaffairs.co/wordpress/122999/hacking/apache-zero-day-flaw.html

9、电信巨头Syniverse披露长达数年的数据泄露

Syniverse是一家全球几乎所有移动运营商都使用其连接服务的公司,该公司表示,黑客多年来一直可以访问其信息技术(IT)和运营技术(OT)系统。Syniverse表示,它在200个国家/地区拥有大约1,250名客户,其中包括世界上绝大多数的移动运营商,如AT&T、Verizon、T-Mobile、沃达丰、中国移动、Airtel、Telefónica和AméricaMóvil。该公司的服务用于连接不同移动运营商的网络并实现数据传输。Syniverse表示,它每天支持数十亿次交易、对话和连接。
在最近提交给美国证券交易委员会(SEC)的一份文件中,该公司承认在2021年5月发现了数据泄露。一项调查显示,自2016年5月以来,一名未知的威胁行为者可以访问其OT和IT系统。“调查结果显示,未经授权的访问始于2016年5月。Syniverse的调查显示,该个人或组织多次未经授权访问其网络内的数据库。它补充说:“Syniverse没有观察到任何意图破坏其运营或其客户运营的证据,也没有试图通过未经授权的活动获利。Syniverse没有经历也没有预料到这些事件会对其日常运营或服务或其访问或处理数据的能力产生任何重大影响。Syniverse一直维持着,目前也维持着网络保险,它预计将涵盖其调查和应对此事件的大部分支出。”
根据Syniverse对攻击的描述,这听起来像是国家资助的威胁行为者的工作。如果是这种情况,攻击者可能只针对相对较少的个人,即使他们可能已经访问了235个使用Syniverse客户服务的数百万甚至数十亿人的信息。
Syniverse没有分享有关事件影响的其他信息,但攻击者可能已经获得了通话记录和消息数据的访问权限,例如通话时长和费用,来电者和接收者的号码和位置,以及短信的内容。
资料来源:https://www.securityweek.com/telecoms-giant-syniverse-discloses-years-long-data-breach

10、苏格兰工程公司Weir遭受重大勒索软件攻击

苏格兰最大的工程公司之一的IT系统在上个月遭到勒索软件攻击,迫使其关闭了一些业务。这家公司在一份声明中表示,它对“复杂的”攻击做出了迅速反应,但被迫推迟了价值超过5000万英镑的出货量。据估计,这起事件可能造成高达500万英镑的损失。该公司同时表示,没有证据表明任何个人或其他敏感数据已被泄露或加密。它还报告说,它没有与黑客取得联系,并继续就事件与监管机构和相关情报部门保持联系。
首席执行官乔恩·斯坦顿(Jon Stanton)表示:“我们对针对我们业务的复杂外部攻击做出了迅速而全面的反应。保护我们的基础设施和数据的有力行动导致了重大的临时中断,但我们的团队对这一挑战做出了出色的反应,并设法最大限度地减少了对我们客户的影响。我们将继续专注于所有系统的安全恢复,同时进一步加强我们未来的弹性。”
该公司表示,在袭击发生后已采取多项措施,例如隔离和关闭IT系统,包括工程应用程序。它在声明中说:“这些应用程序现在已部分恢复,其他应用程序正在按照业务优先级的顺序逐步恢复上线。“上述行动导致了一些持续但暂时的中断,包括工程、制造和装运重新分阶段,这导致收入延期和间接费用回收不足。“未来几周将逐步恢复有效能力,但预计运营中断和相关低效率的后果将持续到第四季度。”
资料来源:https://www.bbc.com/news/uk-scotland-scotland-business-58801753?&web_view=true

11、云安全公司Orca获得5.5亿美元C轮融资

云安全公司Orca Security宣布已在C轮融资中获得了5.5亿美元。本轮融资由新加坡国有投资公司Temasek领投,上汽集团和Splunk Ventures战略投资。Orca表示将利用Temasek的投资和全球网络在亚太地区扩张。此外,该公司希望继续扩大其在英国以及欧洲、中东和非洲地区的足迹和客户群。
该公司开发了一个云安全平台,旨在帮助组织识别安全和合规性问题。其无代理Side Scanning技术读取云配置元数据和工作负载运行时块存储,以识别潜在漏洞、错误配置、恶意软件、密码相关问题、可用于横向移动的弱点以及未受保护的个人信息。
“最新一轮融资证明了Orca的巨大创新技术以及令人难以置信的新客户获取率。对于企业而言,这是由于易用性和敏捷性,不仅在投入生产时始终保持所有云资产安全,而且同样重要的是,通过为企业提供缓解。”Orca Security的EMEA销售副总裁Andrew Bartlam说。“过去,我参与了四次IPO,Orca的增长和采用率是我见过的最快的。最近在欧洲、中东和非洲地区赢得的奖项包括医疗保健、快速消费品、金融服务、电信、媒体等领域的大型企业。为此,Orca将很快开设伦敦办事处,以更好地支持我们在欧洲、中东和非洲地区的客户,并同时充当该地区的商业中心和开发中心。”Bartlam补充道。
资料来源:https://www.securityweek.com/cloud-security-company-orca-raises-550-million-extended-series-c-round

12、安全数据协作公司Duality Technologies融资3000万美元

以隐私为中心的数据协作解决方案提供商Duality Technologies宣布已完成3000万美元的B轮融资。本轮融资由LG Technology Ventures领投。Duality Technologies表示,这笔资金将帮助其扩大上市业务,加强其在隐私保护领域和隐私增强技术(PET)的地位,并促进与技术供应商的合作伙伴关系。通过其Duality Secure Plus数据协作解决方案套件,Duality旨在帮助组织确保协作期间敏感数据的安全,同时遵守数据隐私法规。
Duality表示,即使组织在受保护的数据和AI模型上合作并在云或其合作伙伴的环境中运行计算,其解决方案也可以保护敏感数据,例如个人身份信息(PII)。
“Duality的协作、安全计算解决方案通过在保护数据的同时使数据可用,从而提供了摆脱这种僵局的方法。”Duality Technologies首席执行官兼联合创始人Alon Kaufman博士说:“公司和组织认识到,采用隐私保护技术正在成为核心业务需求,在保护敏感数据资产的同时赋予他们竞争优势。”
资料来源:https://www.securityweek.com/secure-data-collaboration-firm-duality-technologies-raises-30-million