工业网络安全周报-2023年第34期

工业网络安全周报-2023年第34期

时间:2023-08-26 作者:安帝科技

本期摘要

政策法规方面,本周观察到国内外网络安全相关政策法规5项,值得关注的有工信部发布《可信数据流通平台评估要求》等3项可信数据服务行业标准、美国NCCoE发布有关实施零信任架构的SP 1800-35D等。
漏洞态势方面,本周监测到漏洞动态22条,其中涉及工业漏洞2条,值得关注的有CISA披露日立能源、特灵、罗克韦尔设备中存在ICS漏洞,Juniper交换机和防火墙缺陷可以链接以进行远程代码执行等。

安全事件方面,本周监测到重大网络安全事件22起,其中典型的事件有澳大利亚能源软件提供商Energy One遭受网络攻击,日本钟表制造商Seiko遭BlackCat勒索软件团伙攻击等。

产品技术方面,Chrome浏览器的新功能会提醒用户自动删除恶意扩展程序。

并购融资方面,网络安全资金数字身份保护公司SpyCloud融资1.1亿美元用于加速产品创新、发布身份验证绕过预防解决方案、扩展其暴露资产数据库并提高其分析能力。
1.工信部发布《可信数据流通平台评估要求》等3项可信数据服务行业标准
2023年8月,中华人民共和国工业和信息化部公告(2023年第17号)批准一批行业标准,其中包含中国信通院牵头编制的3项可信数据服务行业标准。分别为《可信数据服务金融机构外部可信数据源评估要求》(编号:YD/T4384-2023)、《可信数据服务可信数据供方评估要求》(编号:YD/T4385-2023)、《可信数据服务可信数据流通平台评估要求》(编号:YD/T4386-2023)。
资料来源:http://6zw23.xai8.sbs/giKwC44

2.美国NCCoE发布有关实施零信任架构的SP 1800-35D
美国国家网络安全卓越中心(NCCoE)发布了NIST网络安全实践指南SP 1800-35第3卷初稿。“实施零信任架构”,该草案将于2023年10月9日之前公开征求意见。SP 1800-35D指南总结了NCCoE及其合作者如何使用商用技术来构建可互操作的开放标准基于零信任架构(ZTA)的示例实现符合NIST特别出版物(SP) 800-207“零信任架构”中的概念和原则。
资料来源:http://ulnq2.xai6.sbs/aGkbrmW

3.MITRE两项新计划将助力网络防御工作和全球网络能力建设
非营利组织MITRE宣布了两项旨在加强美国国际合作伙伴和盟友之间网络防御的计划。这些计划不仅仅是挫败对手的威胁,还旨在促进美国的安全与稳定,同时为共同努力奠定基础。保护全球公民、部门和网络。
资料来源:http://dkfv3.xai8.sbs/Uf420JF

4.美国军事和情报机构发布保护航天工业免受网络威胁的指南
美国联邦调查局(FBI)、国家反情报和安全中心(NCSC)以及美国司法部特别调查办公室呼吁保护国家航天工业并“将知识产权保留在轨道上”。这一警告发出之际,太空对于社会的各个方面都至关重要,包括紧急服务、能源、金融服务、电信、交通以及粮食和农业——所有这些都依赖于太空服务来运作。
资料来源:http://qsna3.xai8.sbs/jCzrBB2

5.CISA披露日立能源、特灵、罗克韦尔设备中存在ICS漏洞
8月22日,美国网络安全和基础设施安全局(CISA)发布了四份ICS(工业控制系统)公告,及时提供有关ICS环境的当前安全问题、漏洞和漏洞利用的信息。该机构披露了Hitachi Energy AFF66x固件、特灵恒温器和罗克韦尔自动化ThinManager ThinServer中的硬件漏洞。CISA还发布了三菱电机MELSEC WS系列的更新。该安全机构呼吁组织注意这些漏洞,并鼓励用户和管理员查看新发布的ICS公告,了解技术细节和缓解措施。CISA已确定Hitachi Energy AFF660/665设备的固件版本03.0.02及更早版本受到影响。这些漏洞包括跨站点脚本、使用不充分的随机值、源验证错误、整数溢出或环绕、不受控制的资源消耗以及空指针取消引用。它补充说:“成功利用这些漏洞可能会让攻击者破坏目标设备的可用性、完整性和机密性。”在另一份ICS通报中,CISA详细介绍了影响特灵XL824、XL850、XL1050和Pivot恒温器的低攻击复杂性注入漏洞。CISA还透露,存在一个可远程利用/低攻击复杂性的不正确输入验证漏洞,影响罗克韦尔自动化的ThinManager ThinServer设备。
资料来源:http://kcut2.xai6.sbs/4SuVaM5

6.Chrome安全更新修补高严重性漏洞
8月第4周,谷歌宣布了Chrome 116安全更新,修复了外部研究人员报告的五个内存安全漏洞,其中包括四个被评为“高严重性”的问题。根据Google为这些缺陷支付的错误赏金奖励,其中最严重的是CVE-2023-4430,这是Vulkan(3D图形的跨平台开放标准)中的一个释放后使用错误。谷歌在其公告中指出,该漏洞由Cassidy Kim报告,他因这一发现获得了10,000美元的漏洞赏金。
资料来源:http://ctki2.xai6.sbs/OmG1JTL

7.Juniper交换机和防火墙缺陷可以链接以进行远程代码执行
网络设备制造商瞻博网络(Juniper Networks)发布了针对四个漏洞的补丁,这些漏洞组合在一起可允许在Junos OS J-Web界面中未经身份验证的远程代码执行。这些错误的严重程度为“中”,并被跟踪为CVE-2023-36844至CVE-2023-36847。然而,瞻博网络对其链式利用的“严重严重性”发出警告。该公司警告说:“通过串联利用这些漏洞,未经身份验证的网络攻击者可能能够在设备上远程执行代码。”
资料来源:http://kfzj5.xai6.sbs/HrI6SKa

8.思科修补了导致交换机、防火墙遭受DoS攻击的漏洞
8月23日,思科宣布为其产品中的六个漏洞提供补丁,其中包括NX-OS和FXOS软件中的三个高严重性错误,这些错误可能被利用导致拒绝服务(DoS)情况。这些缺陷中最严重的是CVE-2023-20200,它影响Firepower 4100和Firepower 9300安全设备以及UCS 6300系列交换矩阵互连的FXOS软件,该缺陷被描述为对特定SNMP请求的不当处理。该问题允许经过身份验证的远程攻击者向受影响的设备发送精心设计的SNMP请求并导致其重新加载,从而导致DoS情况。
资料来源:http://ducy3.xai8.sbs/3GWG2af

9.澳大利亚能源软件提供商Energy One遭受网络攻击
据8月22日报道,能源软件提供商Energy One于8月18日报告称,一次网络攻击影响了澳大利亚和英国的“某些企业系统”。该公司在一份声明中表示,正在进行分析以确定哪些系统受到了影响。Energy One目前正在尝试确定面向客户的系统是否受到影响,以及哪些个人信息受到损害。
资料来源:http://xyp56.xai8.sbs/vLr2hg0

10.日本钟表制造商Seiko遭BlackCat勒索软件团伙攻击
8月21日,勒索团伙BlackCat声称对日本钟表制造商精工(Seiko)遭到的网络攻击负责。Seiko是世界上最大且历史最悠久的制表商之一,年收入超过16亿美元。该公司在8月10日透露,未经授权的第三方访问其基础设施并可能窃取了数据。8月21日,BlackCat称对此事负责,表示Seiko的网络和产品的安全性较低。攻击者泄露了生产计划、员工护照、新型号发布计划和实验室测试结果等内容,样本还包括技术原理图和精工手表设计图纸。尚不清楚黑客是否窃取了公司机密或专利等知识产权。
资料来源:http://04bk2.xai6.sbs/uu4H7wF

11.Akira勒索软件针对突破Cisco VPN来破坏组织
越来越多的证据表明Akira勒索软件将Cisco VPN(虚拟专用网络)产品作为攻击媒介,以破坏企业网络、窃取并最终加密数据。Akira勒索软件是一种相对较新的勒索软件操作,于2023年3月推出,该组织后来添加了一个Linux加密器来针对VMware ESXi虚拟机。思科VPN解决方案在许多行业得到广泛采用,可在用户和企业网络之间提供安全、加密的数据传输,通常由远程工作的员工使用。Akira一直在使用受损的Cisco VPN帐户来破坏企业网络,而无需删除额外的后门或设置可能泄露这些帐户的持久性机制。
资料来源:http://s7xv6.xai8.sbs/MJOKov2

12.丹麦托管公司遭勒索软件攻击后丢失了所有客户数据
丹麦托管公司CloudNordic和AzeroCloud遭受勒索软件攻击,导致大部分客户数据丢失,并迫使托管提供商关闭所有系统,包括网站、电子邮件和客户站点。这两个品牌属于同一家公司,并表示袭击发生在上周五(8月18日)晚上。然而,如今的运营状态仍然存在很大问题,该公司的IT团队只能恢复一些服务器,而没有任何数据。
资料来源:http://avzy6.xai8.sbs/fp0e7w5

13.TP-Link智能灯泡漏洞使家庭面临黑客攻击
来自意大利和英国的学术研究人员在TP-Link Tapo L530E智能灯泡及其随附的移动应用程序中发现了四个漏洞,可用于获取本地Wi-Fi网络的密码。已发现的最严重的问题被描述为“缺乏使用Tapo应用程序对智能灯泡进行身份验证”,这使得攻击者可以冒充智能灯泡并对应用程序进行身份验证,该问题的CVSS评分为8.8。第二个错误同时影响智能灯泡和Tapo应用程序,该应用程序使用由代码片段暴露的硬编码、简短的共享秘密,CVSS得分为7.6。
资料来源:http://uwgx3.xai8.sbs/3mLERkG

14.3,000台Openfire服务器容易受到近期针对漏洞的攻击
漏洞情报公司VulnCheck报告称,超过3,000个Openfire服务器尚未针对最近的漏洞进行修补,因此很容易受到利用新发现的漏洞的攻击。Openfire是一个用Java编写的跨平台实时协作服务器,使用XMPP协议并支持通过Web界面进行管理。它由Ignite Realtime维护。该高严重性缺陷被标识为CVE-2023-32315,是在Openfire管理控制台中发现的,被描述为路径遍历错误,可通过设置环境利用该缺陷,使未经身份验证的攻击者能够访问管理控制台中的受限页面。
资料来源:http://xvzv3.xai8.sbs/jBZ8zcw

15.Chrome浏览器的新功能会提醒用户自动删除恶意扩展程序
谷歌宣布计划在即将推出的Chrome网络浏览器版本中添加一项新功能,以便在用户安装的扩展程序已从Chrome网上应用店中删除时主动提醒用户。该功能将与Chrome 117一起发布,当开发人员取消发布、因违反Chrome Web Store政策而删除或标记为恶意软件时,用户可以收到通知。
资料来源:https://thehackernews.com/2023/08/google-chromes-new-feature-alerts-users.html

16.数字身份保护公司SpyCloud融资1.1亿美元
8月23日,账户接管和欺诈预防公司SpyCloud宣布,在Riverwood Capital领投的一轮融资中筹集了1.1亿美元。此前,该公司已在四轮融资中筹集了超过5800万美元,其中包括2020年C轮融资中的3000万美元。新投资将帮助SpyCloud加速产品创新、发布身份验证绕过预防解决方案、扩展其暴露资产数据库并提高其分析能力。
资料来源:http://2pj12.xai6.sbs/Os1Qnsw