本期摘要

政策法规方面，本周观察到国外网络安全相关政策法规8项，值得关注的有CISA和FBI发布《安全需求指南》推动软件制造商增强安全性。

漏洞态势方面，本周监测到漏洞动态10条，值得关注的有Cisco发出警告，其Smart Software Manager On-Prem（SSM On-Prem）存在严重漏洞（CVE-2024-20419），允许远程攻击者无需原始凭据即可更改任意用户密码，包括管理员账户。

安全事件方面，本周监测到重大网络安全事件22起，其中典型的事件有电子制造服务提供商Keytronic在2024年5月遭受勒索软件攻击，损失超1700万美元。

融资并购方面，Claroty的Team82发布了两款工具，用于从Unitronics PLC/HMI设备提取取证信息，应对去年CyberAv3ngers组织的网络攻击。

1.CISA和FBI发布《安全需求指南》推动软件制造商增强安全性
8月8日，美国CISA和FBI发布《安全需求指南》，指导组织采购安全技术产品，推动安全技术生态系统发展。该指南提供评估软件制造商网络安全方法的问题和资源，强调”安全设计”的重要性，并建议在采购全周期融入安全性考虑。客户应通过采购决策推动制造商落实”安全设计”，保持在日志管理、第三方依赖性管理和漏洞报告等领域的透明性和及时性。
资料来源：http://tuhwb.dwa5.sbs/t7LGzZ4

2.美国立法推动医疗电子设备在敏感设施中的安全使用
8月5日，据媒体报道，美国参议员提出立法，为机密信息设施中的医疗电子设备使用制定标准化政策和透明度要求。法案旨在确保需使用医疗设备的员工能在安全标准下工作于SCIFs，同时要求官员重视设备准入。政府问责办公室报告指出权限应用不一致，国家情报总监办公室已发布统一管理指令。法案将部分指令法制化，要求机构向国会提交审批信息，并在180天内制定政策。
资料来源：http://u01ja.dwa5.sbs/4EYppfR

3.Cisco SSM允许远程更改管理员密码漏洞曝出
8月8日，Cisco发出警告，其Smart Software Manager On-Prem（SSM On-Prem）存在严重漏洞（CVE-2024-20419），允许远程攻击者无需原始凭据即可更改任意用户密码，包括管理员账户。漏洞由身份验证系统错误实现引起，可通过HTTP请求利用。目前无已知攻击利用，但Cisco已发布更新修复，并建议立即升级系统。同时，Cisco修补了其他关键漏洞，建议禁用Smart Install功能以防进一步攻击。
资料来源：http://uxoka.dwa5.sbs/1H4FAFD

4.数字录像机严重漏洞暴露40万设备给黑客
2024年8月5日，Dhivya报道发现多款DVR存在严重安全漏洞，超40.8万台设备面临网络攻击风险。漏洞因访问控制不足，允许未授权访问设备敏感信息。CWE-200信息暴露，特定端点可被利用，无需认证获取硬件、软件版本等信息。受影响软件版本包括1.3.4.22966B181219.D00.U1等。Provision-ISR承认问题，与TVT合作制定缓解策略。攻击者可通过特制POST请求利用漏洞。
资料来源：https://cybersecuritynews.com/vulnerability-digital-video-recorders/

5.Windows壁纸功能漏洞“FakePotato”可被用于提升攻击者权限
2024年8月5日，安全研究人员Andrea Pierini发现了Windows的严重安全漏洞”FakePotato”，允许攻击者通过壁纸文件提升权限至SYSTEM账户。漏洞影响多版本Windows，包括Windows 10和Server 2019，CVSS得分7.8，表明高严重性。概念验证利用已开发，展示攻击者如何获取用户凭据。成功利用可导致敏感信息泄露和网络横向移动。
资料来源：https://gbhackers.com/leaked-wallpaper-vulnerability-exposes-windows/

6.Ubiquiti漏洞暴露两万用户信息，补丁更新未能彻底修复问题
2024年8月5日，Check Point Research发现超2万台Ubiquiti设备，包括G4 Wi-Fi摄像头和Cloud Key+，存在漏洞，允许攻击者访问个人数据。问题源于不安全的UDP端口，部分设备已被黑，显示“HACKED”信息。泄露信息包括平台名称、软件版本、IP地址等，为社会工程攻击提供资源。尽管2019年已发布补丁，但更新缓慢和用户忽视更新导致漏洞依旧存在。
资料来源：https://www.securitylab.ru/news/550791.php

7.SEC决定不对MOVEit制造商Progress Software采取执法行动
8月9日，美国SEC决定不对Progress Software采取执法行动，尽管其MOVEit工具去年被黑客利用，导致数百万个人信息泄露。Progress Software因事件处理面临多项调查，但SEC已结束对MOVEit漏洞的调查，暂不采取行动。公司披露已花费约420万美元处理事件，大部分由网络保险赔偿。此外，Progress还面临144起集体诉讼，涉及敏感数据泄露，黑客组织Clop从攻击中可能获得7500万至1亿美元赎金。
资料来源：http://8dr9a.dwa5.sbs/WtB62zA

8.Keytronic遭勒索软件攻击，损失超1700万美元
8月5日，据媒体报道，电子制造服务提供商Keytronic在2024年5月遭受勒索软件攻击，损失超1700万美元。黑客组织Black Basta宣称负责，公开了从Keytronic窃取的数据。攻击影响了墨西哥和美国的业务，导致额外支出和收入损失。尽管大部分订单预计在2025年完成，公司仍面临保险赔偿问题。Black Basta自2022年运营以来已攻击超过500家机构，Keytronic尚未透露数据泄露影响人数。
资料来源：http://g3yoa.dwa5.sbs/nqtIbas

9.俄罗斯间谍组织侵入英国政府系统窃取敏感数据和邮件
8月8日，据Recorded Future News报道，俄罗斯黑客组织Midnight Blizzard入侵英国内政部系统，窃取邮件和个人数据。攻击始于微软系统被黑，影响包括内政部在内的多个客户。微软1月披露攻击，内政部5月才报告。事件突显政府对供应商依赖风险，引发网络安全和供应商多样性担忧。专家呼吁严肃应对，维护公众信任。
资料来源：https://therecord.media/russia-hack-uk-government-home-office-microsoft

10.俄罗斯库尔斯克地区在乌克兰跨境行动期间遭遇大规模DDoS攻击
8月8日，据媒体报道，库尔斯克地区在乌克兰跨境行动期间遭大规模DDoS攻击，匿名黑客致政府和商业网站服务中断。NetBlocks数据显示，该地区出现间歇性互联网中断。俄罗斯数字部指出，攻击高峰时每秒超过10万垃圾请求，IP地址多在德国和英国注册，但来源可能多样。目前未知攻击发起者，乌克兰相关组织未声称负责。
资料来源：https://therecord.media/kursk-military-offensive-ddos-russia-ukraine

11.ADT公司遭遇黑客攻击，客户信息部分外泄
8月9日，据媒体报道，ADT Inc.宣布黑客未经授权入侵了其客户订单数据库，盗取了有限的客户信息如邮件地址、电话和住址。公司迅速采取措施并开始调查，目前未发现家居安全系统或敏感数据如银行信息被访问。受影响客户为少数，公司认为事件未对运营产生实质影响，已通知受影响客户。
资料来源：https://therecord.media/adt-says-hackers-obtained-limited-customer-data

12.密歇根州医疗系统遭受网络攻击
8月7日，密歇根州著名的医疗系统McLaren Health Care确认，密歇根州McLaren Health Care医疗系统遭网络攻击，导致电话和计算机系统中断。尽管设施基本运行正常，但需执行停机程序以恢复IT系统。IT团队正与专家合作分析攻击并减轻影响。急诊部门继续运营，部分手术和程序取消，非紧急预约被重新安排。患者需携带相关医疗文件，McLaren正与合作伙伴和保险公司合作确保供应链和保险授权不受影响。
资料来源：https://therecord.media/michigan-hospital-system-struggling-after-cyberattack

13.英国NHS软件供应商因数据泄露遭勒索软件攻击面临600万英镑罚款
8月7日，据媒体报道，英国NHS软件供应商Advanced因2022年勒索软件攻击导致数万个人信息泄露，面临ICO的609万英镑初步罚款。攻击导致电话号码、医疗记录和家庭护理方法被盗。ICO发现攻击者通过未启用多因素认证的客户账户访问系统，认为Advanced在信息安全方面存在严重失误。公司有机会在最终确定前提出异议。
资料来源：https://therecord.media/nhs-software-supplier-hit-with-6-million-fine

14.澳美签署谅解备忘录加强打击虚假信息合作
8月6日，据媒体报道，澳大利亚与美国签署谅解备忘录，加强打击信息操纵合作。黄英贤与布林肯在华盛顿宣布，澳大利亚成为第20个签署国，显示全球共识。备忘录将促进信息共享，应对印太地区威胁，增强信息完整性。黄英贤强调，这有助于保护民主价值观，应对外国干涉。澳大利亚还将加入美国的”Landsat Next 2030″倡议，支持气候变化应对。
资料来源：http://kjhwa.dwa5.sbs/qNPb4fu

15.日本计划强制关键领域企业报告网络事件用于提升网络安全
8月6，据媒体报道，日本政府考虑强制关键基础设施领域企业报告网络攻击，以解决因担心股价受损而隐瞒问题的情况。此举旨在快速共享信息，防止攻击扩散。2022年的自愿报告计划现拟转为法律义务，以建立透明合作文化。关键领域包括电信、金融等15个行业。企业高管协会支持此举，认为有助于主动采取网络安全措施，提高保护能力。
资料来源：https://thecyberexpress.com/japan-mandatory-cybersecurity-reporting/

16.Claroty团队推出工具以对抗关键基础设施的网络威胁
8月9日，Claroty的Team82发布了两款工具，用于从Unitronics PLC/HMI设备提取取证信息，应对去年CyberAv3ngers组织的网络攻击。这些工具基于对PCOM通信协议的研究，可将串行消息转换为TCP消息，并查询设备提取信息，帮助用户识别攻击者行为并保护关键数据。同时，研究还发现了Unitronics产品的两项安全漏洞。
资料来源：http://hyx7b.dwa5.sbs/2HiXtXx