工业网络安全周报-2023年第4期

工业网络安全周报-2023年第4期

时间:2023-01-28 作者:安帝科技

本期摘要

政策法规方面,NIST发布人工智能风险管理框架,以帮助管理人工智能技术的诸多风险。NSA发布安全指南,以帮助国防部和其他系统管理员识别和减轻与过渡到IPv6相关的网络风险。欧盟通过跨境获取电子证据法规和指令草案,相关规定将使欧盟当局可直接向其他成员国相关数据提供方发送获取电子证据的司法指令。澳大利亚网络和基础设施安全中心发布了针对食品和杂货行业的风险评估咨询,评估了国际和国内威胁形势的持续演变。

漏洞态势方面,Lexmark打印机存在SSRF漏洞,攻击者可能利用此漏洞在设备上执行任意代码。研究人员在OpenText的企业内容管理产品中发现多个漏洞,包括允许未经身份验证的远程代码执行漏洞。Apple发布安全更新,修补了iOS和macOS平台的多个安全漏洞。VMware vRealize Log Insight存在多个漏洞,未经身份验证的攻击者可利用这些漏洞控制目标系统。

安全事件方面,Dragos在2022年第四季度工业勒索软件分析报告中指出,勒索软件继续给全球工业组织带来巨大的财务和运营风险。在合法渗透大型勒索软件组织HIVE七个月后,FBI夺取了HIVE勒索软件组织的基础设施。乌克兰计算机应急响应小组在该国国家新闻机构的网络上发现了五种不同的数据擦除恶意软件组合,其功能旨在破坏信息的完整性和可用性。德国机场、行政机构和银行的网站遭到DDoS攻击,目前没有迹象表明服务受到影响。攻击者通过API窃取3700万T-Mobile客户的数据,泄露的信息包括客户姓名、账单和电子邮件地址和T-Mobile帐号等信息。82万名客户受到Zacks Investment Research数据泄露的影响,泄露的信息包括姓名、地址、电话号码、电子邮件地址和密码。

产品技术方面,Nozomi Networks推出Nozomi Arc终端探针,旨在以指数方式加快实现全面运营弹性的时间。Otorio发布DCOM Hardening Toolkit,旨在帮助组织检测和解决与Microsoft即将推出的更新相关的问题。

并购融资方面,Bitwarden收购Passwordless.dev,以帮助公司在没有密码的情况下对用户进行身份验证。Exterro收购Zapproved,以帮助客户主动和防御性地管理他们的法律治理、风险和合规义务。

1.NIST退出人工智能风险管理框架
1月26日,美国国家标准技术研究院(NIST)发布了人工智能风险管理框架(AI RMF 1.0),以帮助管理人工智能技术的诸多风险。该文件概述了人工智能和机器学习技术中常见的风险类型,以及实体如何构建合乎道德、值得信赖的系统。该框架提供了四种相互关联的功能作为风险缓解方法:治理、映射、测量和管理。框架指出,用户将增强他们全面评估系统可信度、识别和跟踪现有和紧急风险以及验证指标有效性的能力。
资料来源:https://g.yam.com/E0mVB

2.NSA为向IPv6过渡的组织发布安全指南
美国国家安全局(NSA)发布安全指南,以帮助国防部(DoD)和其他系统管理员识别和减轻与过渡到互联网协议版本6(IPv6)相关的网络风险。指南强调了在新加入IPv6网络时或在IPv6过渡的早期阶段会出现的几个安全问题。NSA指出,向IPv6的过渡预计将对网络基础设施产生严重的影响,所有联网的硬件和软件都会以一种或另一种方式受到影响,并且还会影响网络安全。
资料来源:https://g.yam.com/AqSVQ

3.欧盟通过跨境获取电子证据法规和指令草案
1月25日,欧盟理事会发布公告称,欧盟理事会和欧洲议会就跨境获取电子证据的相关法规和指令草案达成协议。相关规定将使欧盟当局可直接向其他成员国相关数据提供方发送获取电子证据的司法指令。欧盟轮值主席国瑞典司法部长表示,新规则使法官和检察官能在证据消失前快速获取它们,无论这些证据存储在何处。
资料来源:https://www.secrss.com/articles/51342

4.澳大利亚推出食品和杂货行业的风险评估咨询
澳大利亚网络和基础设施安全中心(CISC)发布了针对食品和杂货行业的风险评估咨询,评估了国际和国内威胁形势的持续演变。CISC在文件中表示:“澳大利亚食品和杂货行业的利益相关者必须调整其风险管理策略,以确保对国家经济和社会福祉至关重要的资产运营风险得到适当控制。”通过提供建议的风险评估方法,该材料旨在帮助部门利益相关者调整现有的风险实践,并帮助组织了解更广泛的国家关键基础设施背景下的风险。
资料来源:https://g.yam.com/0AykC

5.Lexmark警告影响100种打印机型号的RCE漏洞
Lexmark发布安全固件更新以修复一个严重的漏洞,该漏洞可能会在100多种打印机型号上启用远程代码执行(RCE)。该漏洞跟踪为CVE-2023-23560,CVSS评分9.0,是Lexmark设备的Web服务功能中的服务器端请求伪造(SSRF)漏洞,攻击者可能利用此漏洞在设备上执行任意代码。Lexmark建议用户尽快升级为最新固件版本。
资料来源:https://g.yam.com/Q9H0X

6.OpenText修复企业内容管理系统中的严重漏洞
研究人员在OpenText的企业内容管理(ECM)产品中发现了多个安全漏洞,包括允许未经身份验证的远程代码执行漏洞。第一个远程代码执行漏洞跟踪为CVE-2022-45923,可允许未经身份验证的攻击者使用特制请求执行任意代码。第二个远程代码执行漏洞跟踪为CVE-2022-45927,可允许攻击者绕过身份验证,并最终导致远程代码执行。
资料来源:https://g.yam.com/A1xIb

7.Apple修补WebKit代码执行漏洞
Apple于1月23日发布安全更新,以修补iOS和macOS平台的多个安全漏洞。Apple推出了iOS和iPadOS 16.3,修复了一系列操作系统组件中的多个安全缺陷。其中包括三个WebKit渲染引擎错误,这些错误可能会导致任意代码执行。WebKit漏洞还影响了苹果macOS Ventura、Monterey和Big Sur操作系统的用户。该公司还推出了macOS Ventura 13.2,其中包含约25个已记录漏洞的补丁。
资料来源:https://www.securityweek.com/apple-patches-webkit-code-execution-flawsj

8.VMware修复多个高危漏洞
1月24日,VMware发布了安全公告,其中包含多个高危漏洞的补丁,这些漏洞使企业面临远程代码执行攻击。VMware表示,这些安全缺陷会影响其VMware vRealize Log Insight的用户,未经身份验证的攻击者可能会利用这些缺陷来完全控制目标系统。VRealize Log Insight是一种日志收集和分析虚拟设备,管理员使用它来收集、查看、管理和分析系统日志数据。
资料来源:https://easysam.co.uk/news/vmware-plugs-critical-code-execution-flaws/

9.Dragos发布2022年第四季度工业勒索软件分析报告
1月23日,Dragos发布了2022年第四季度工业勒索软件分析报告。报告指出,76%的勒索软件攻击影响了制造业(总共143起事件),比第三季度增加了38%。其次是食品和饮料,占攻击的8%(15起),与第三季度大致持平。7%的攻击(14起事件)针对能源行业,而制药行业的攻击占5%(9起事件)。石油和天然气为2%(四起事件),其他制造业为攻击总数的1%或更少。
资料来源:https://www.dragos.com/blog/industry-news/dragos-industrial-ransomware-analysis-q4-2022

10.FBI合法渗透大型勒索软件团伙HIVE七个月后没收服务器
当地时间1月26日,美国联邦调查局局长克里斯托弗·雷与司法部长梅里克·加兰和助理司法部长丽莎·摩纳哥一起在华盛顿就司法部的国际勒索软件执法行动发表了讲话。克里斯托弗·雷在新闻发布会上说,扣押行动包括美国、德国和荷兰警方的参与,是正在进行的调查的一部分,可能会导致逮捕。司法部副部长Lisa O. Monaco告诉记者,美国警方攻击了黑客。总检察长梅里克加兰说,联邦特工没收了位于洛杉矶的两台服务器。Hive的暗网泄漏站点现在显示一条消息(交替使用俄语和英语),表明FBI已控制该站点。
资料来源:https://mp.weixin.qq.com/s/5jjmZBZDLNASfotHUlt_uA

11.乌克兰称沙虫黑客用5个数据擦除器攻击新闻机构
1月17日,乌克兰计算机应急响应小组(CERT-UA)在该国国家新闻机构(Ukrinform)的网络上发现了五种不同的数据擦除恶意软件组合。“截至2023年1月27日,检测到5个恶意程序(脚本)样本,其功能旨在破坏信息的完整性和可用性(写入零字节/任意数据的文件/磁盘及其随后的删除)”CERT-UA说。在针对Ukrinform的攻击中部署的破坏性恶意软件列表包括CaddyWiper(Windows)、ZeroWipe(Windows)、SDelete(Windows)、AwfulShred(Linux)和BidSwipe(FreeBSD)。
资料来源:https://g.yam.com/VRMIa

12.德国机场、行政机构和银行的网站遭到DDoS攻击
1月26日,德国政府当局表示,该国机场、公共行政机构和金融部门组织的网站受到俄罗斯黑客组织煽动的网络攻击。联邦网络安全局(BSI)发言人表示,这次攻击是俄罗斯黑客组织Killnet发起的,并且目前没有任何迹象表明机场、公共行政机构和金融部门组织的网站受到影响。
资料来源:https://g.yam.com/nzQ98

13.攻击者通过API窃取3700万T-Mobie客户的数据
T-Mobile在向美国证券交易委员会提交的一份文件中表示,数千万客户的个人和帐户信息被恶意行为者通过API访问。攻击开始于2022年11月25日前后,但直到2023年1月5日才被发现,之后T-Mobile在一天内控制并补救了该事件。威胁行为者泄露的信息包括客户姓名、账单和电子邮件地址、电话号码、出生日期、T-Mobile帐号以及帐户线路数和计划功能等信息。
资料来源:https://www.infosecurity-magazine.com/news/api-attacker-steals-data-37/

14.82万名客户受到Zacks Investment Research数据泄露的影响
股票研究公司Zacks Investment Research称,在第三方未经授权访问其系统后,有820,000名客户的个人信息遭到泄露。该公司表示,数据泄露是在2022年12月发现的,但未经授权的访问发生在2021年11月至2022年8月之间的某个时间。泄露的信息包括姓名、地址、电话号码、电子邮件地址和密码。Zacks表示已实施安全措施来阻止违规行为,并已重置受影响账户的密码。
资料来源:https://www.securityweek.com/820k-impacted-by-data-breach-at-zacks-investment-research/

15.Nozomi Arc通过提高跨端点攻击面的可见性来提高运营弹性
OT和物联网安全公司Nozomi Networks于1月24日宣布推出Nozomi Arc终端探针,旨在以指数方式加快实现全面运营弹性的时间。Nozomi Arc终端探针是一个端点可执行文件,可在任务关键型网络中的Windows、Linux或macOS主机上运行。Nozomi Arc终端探针支持漏洞评估、端点保护、流量分析功能以及对正在进行的威胁和异常的更准确诊断,包括识别带有恶意软件、流氓应用程序、未经授权的USB驱动器和可疑用户活动的受感染主机。
资料来源:https://g.yam.com/oMtH3

16.DCOM Hardening Toolkit可检测和解决与DCOM身份验证相关的问题
Otorio发布了DCOM Hardening Toolkit,旨在帮助组织检测和解决与Microsoft即将推出的更新相关的问题。DCOM Hardening Toolkit是一个PowerShell脚本,可列出安装在受测工作站上的弱DCOM身份验证应用程序,并提供解决相关安全问题的功能。该工具对于使用OPC数据访问(DA)协议在OT网络内的PLC和软件之间进行通信的组织非常有用。OPC DA依赖于Microsoft的分布式组件对象模型(DCOM)技术,该技术可能会引入严重的漏洞。
资料来源:https://g.yam.com/NUxpb

17.Bitwarden收购Passwordless.dev
Bitwarden收购Passwordless.dev以提升无密码解决方案,这使Bitwarden能够为客户配备强大的WebAuthn框架,从中开发自定义功能并提供无密码用户体验。Passwordless.dev提供了基于WebAuthn构建的API,WebAuthn是FIDO联盟和万维网联盟(W3C)开发的一种网络标准,用于支持安全密码登录。Passwordless.dev本质上使开发人员更容易通过几行代码将WebAuthn引入软件,从而降低了将无密码身份验证引入软件所涉及的许多成本和复杂性。
资料来源:https://g.yam.com/ZpBrQ

18.Exterro收购Zapproved
Exterro收购Zapproved,以帮助客户主动和防御性地管理他们的法律治理、风险和合规义务。Exterro在单一统一平台上提供解决方案,解决电子取证和取证调查过程的所有阶段。现代企业必须尽可能快速且经济高效地解决这些领域内的关键业务挑战,这是Exterro收购Zapproved的驱动力之一。
资料来源:https://g.yam.com/DEc7J