工业网络安全周报-2024年第45期

工业网络安全周报-2024年第45期

时间:2024-11-23 作者:安帝科技


本期摘要


政策法规方面,本周观察到国外网络安全相关政策法规9项,值得关注的有《网络安全标准实践指南——粤港澳大湾区 (内地、香港) 个人信息跨境处理保护要求》发布、《工业和信息化领域数据安全合规指引》正式发布。

漏洞态势方面,本周监测到漏洞动态14条,值得关注的有5.Forti Client终端防御软件VPN存在未被发现的暴力攻击漏洞。

安全事件方面,本周监测到重大网络安全事件22起,其中典型的事件有一名威胁行为者正在出售对拉丁美洲一家年收入达30亿美元的能源公司的访问权限。

风险预警方面,全球有超过14.5万个工业控制系统(ICS)暴露在互联网上,涉及175个国家和地区。

安全技术方面,MorganFranklin与Stellar Cyber合作推出AI驱动的Orion托管检测和响应服务。

融资并购方面,Hotshot云安全供应商Wiz 宣布了收购Dazz的交易,通过收购可以实现在其企业产品套件中增加一个AI驱动的云安全修复引擎。

政策法规

1.《网络安全标准实践指南——粤港澳大湾区 (内地、香港) 个人信息跨境处理保护要求》发布
11月21日,据媒体报道,网安标委秘书处联合香港私隐公署发布了《网络安全标准实践指南——粤港澳大湾区(内地、香港)个人信息跨境处理保护要求》,规定了大湾区内个人信息跨境流动的基本原则和要求,旨在促进个人信息跨境安全有序流动。
资料来源:https://www.tc260.org.cn/upload/2024-11-21/1732148395263067719.pdf

2.《工业和信息化领域数据安全合规指引》正式发布
11月19日,据媒体报道,为贯彻落实《数据安全法》《网络数据安全管理条例》《工业和信息化领域数据安全管理办法(试行)》等法律政策要求,引导工业和信息化领域数据处理者规范开展数据处理活动,中国多个行业协会联合发布了《工业和信息化领域数据安全合规指引》,供履行数据安全保护义务时使用。
资料来源:http://v1ujm.dz113.sbs/J1gyB7q

3.美国CISA和ODNI发布指南以保护关键基础设施设施免受外国威胁
11月21日,据媒体报道,为纪念全国关键基础设施安全和弹性月,美国CISA和国家情报总监办公室发布指南,旨在帮助关键基础设施所有者和运营商识别和减轻外国情报实体的威胁。这些指南强调了保护关键基础设施的重要性,以维护国家安全和经济稳定。关键措施包括识别关键资产、实施全面的安全措施、建立应急响应计划、增强内部和物理安全、确保供应链安全、实施补丁管理流程,并在第三方合同中纳入安全要求。
资料来源:http://cjtpk.dz112.sbs/XavcCKE

4.欧盟网络弹性法案正式公布
11月20日,据媒体报道,欧盟《网络弹性法案》(CRA)已正式公布,为带有数字组件的产品设定了网络安全标准,特别关注互联设备。法案要求制造商确保产品在交付时无已知漏洞,并对其安全性负责,同时要求提供安全更新。违反规定可能面临高额罚款。
资料来源:http://se2dn.dz113.sbs/APkuoA3

安全漏洞

5.Forti Client终端防御软件VPN存在未被发现的暴力攻击漏洞
11月22日,据媒体报道,Fortinet VPN服务器存在一个设计缺陷,该缺陷允许攻击者在不被发现的情况下进行暴力破解攻击。这一问题在于Fortinet VPN服务器在身份验证阶段不会记录成功的尝试,只有当建立VPN会话的授权阶段之后,成功的身份验证尝试才会被记录。这意味着攻击者可以在不触发警报或提醒安全团队的情况下验证泄露的凭据,从而增加了安全风险。专家建议Fortinet更新其日志记录机制,以在最早阶段记录所有身份验证尝试(成功或失败),并建议使用Fortinet VPN的组织强制实施多重身份验证(MFA)以增加额外的安全层。此外,企业应定期审计VPN配置并应用更新,以及在VPN服务器前部署Web应用程序防火墙(WAF)以检测和阻止暴力破解尝试。
资料来源:https://gbhackers.com/forticlient-vpn-brute-force-attacks/

6.Palo Alto Networks修补了两个用于攻击的防火墙零日漏洞
11月17日,据媒体报道,Palo Alto Networks发布了针对其下一代防火墙(NGFW)中两个被积极利用的零日漏洞的安全更新。第一个漏洞CVE-2024-0012是PAN-OS管理Web界面中的身份验证绕过,允许远程攻击者无需身份验证或用户交互即可获得管理员权限。第二个漏洞CVE-2024-9474是一个PAN-OS权限提升安全漏洞,允许恶意PAN-OS管理员以root权限在防火墙上执行操作。受影响的产品包括多个PAN-OS版本,建议尽快应用更新并限制管理Web界面的访问。
资料来源:http://emx1m.dz113.sbs/dtFLzX9

安全事件

7.一名威胁行为者正在出售对拉丁美洲一家年收入达30亿美元的能源公司的访问权限
11月20日,据darkwebinformer报道,一名威胁行为者正在出售对拉丁美洲一家年收入达30亿美元的能源公司的访问权限,具体细节尚未披露。这类事件强调了能源行业在网络安全方面的脆弱性,尤其是面对国家行为者、网络犯罪分子和激进分子等多样化的威胁行为者。这些威胁行为者可能会针对能源基础设施提供商,以实现其更广泛的战略目标或出于经济利益。因此,能源公司需要加强其网络安全措施,以保护关键基础设施免受潜在的网络攻击和数据泄露。
资料来源:http://zx55k.dz112.sbs/m9ZsBYR

8.福特否认泄露指控,称客户数据未受到影响
11月20日,据媒体报道,福特正在调查一起数据泄露指控,一名名为“EnergyWeaponUser”的威胁行为者在黑客论坛BreachForums上声称泄露了44,000条福特客户记录。这些记录包括客户的全名、实际位置、购买详细信息等。这些信息可能被用于网络钓鱼和社会工程攻击。威胁行为者没有出售数据,而是以极低的价格提供给论坛成员。福特表示正在积极调查此事。为了安全,建议客户对未经请求的通信保持警惕。
资料来源:http://vnekm.dz113.sbs/lI2RS8z

9.美国俄克拉荷马州医院表示勒索软件黑客攻击已造成133,000人死亡
11月19日,据媒体报道,俄克拉荷马州的大平原地区医疗中心(Great Plains Regional Medical Center)在9月遭受勒索软件攻击,导致133,149人的个人信息可能被黑客访问。受影响信息包括姓名、人口统计信息、健康保险信息、临床治疗信息、驾照号码,以及在某些情况下的社会安全号码。尽管医院迅速恢复了IT系统,但部分患者数据无法恢复。
资料来源:http://8ekdk.dz112.sbs/LOYptQO

10.太空科技巨头Maxar Space Systems数据泄露
11月18日,据媒体报道,美国太空技术公司Maxar确认了一起数据泄露事件,其中员工的个人数据被黑客访问。这次泄露包括员工的姓名、家庭住址、社会安全号码(SSN)、业务联系信息、性别、就业状况、员工编号、职称等敏感信息。Maxar在10月11日发现了这一事件,并立即采取行动以防止进一步未经授权的系统访问。据Maxar披露,黑客可能在采取行动前大约一周内访问了系统文件。目前,Maxar并未透露具体有多少员工受到此次数据泄露的影响。
资料来源:https://straussborrelli.com/2024/11/18/maxar-space-systems-data-breach-investigation/

11.墨西哥政府正在调查法律事务办公室遭受勒索软件攻击的报告
11月20日,墨西哥政府法律事务办公室遭受勒索软件攻击,Ransomhub组织声称拥有政府合同、保险和财务信息,并要求支付赎金,否则将公开约313GB的文件。此前,墨西哥已发生个人信息泄露事件,包括记者的个人信息。
资料来源:http://hpxpl.dz112.sbs/TJD80eG

风险预警

12.超14.5万个工业控制系统暴露在互联网上
11月21日,据媒体报道,新的研究发现,全球有超过14.5万个工业控制系统(ICS)暴露在互联网上,涉及175个国家和地区,其中美国占总暴露量的三分之一以上。这些ICS服务风险最多的国家包括美国、土耳其、韩国、意大利等。这些暴露的ICS设备主要涉及的协议包括Modbus、IEC 60870-5-104、CODESYS、OPC UA等。这一发现突显了全球关键基础设施面临的网络安全风险,尤其是对于工业控制系统的保护,需要采取更加严格的网络安全措施来应对潜在的网络攻击。
资料来源:https://thehackernews.com/2024/11/over-145000-industrial-control-systems.html

13.研究人员详细介绍了攻击ICS设备的FrostyGoop恶意软件
11月21日,据媒体报道,新发现的恶意软件FrostyGoop专门针对工业控制系统(ICS),利用Modbus TCP协议破坏关键基础设施。这种恶意软件能够读取和写入ICS设备中包含输入、输出和配置数据的寄存器,通过JSON格式的配置文件指定目标IP地址和Modbus命令,并记录输出到控制台和/或JSON文件。FrostyGoop的出现揭示了运营技术恶意软件对现实世界可能产生重大影响的风险,强调了加强网络安全措施的必要性。
资料来源:https://gbhackers.com/frostygoop-malware-ics/

安全技术

14.MorganFranklin,Stellar Cyber推出AI驱动的Orion托管检测和响应服务
11月20日,MorganFranklin Consulting与Stellar Cyber合作推出Orion MDR服务,整合了NextGen-SIEM和XDR平台,提供AI驱动的威胁检测、全面安全仪表板、简化集成和全天候监控响应。Orion MDR通过Stellar Cyber平台的自动化SecOps解决方案,实现全面的威胁检测和快速响应,帮助组织领先于威胁。
资料来源:http://nypim.dz113.sbs/EErMuMGllion/

融资并购

15.Wiz以4.5亿美元收购Dazz
11月21日,Hotshot云安全供应商Wiz宣布了收购Dazz的交易,通过收购可以实现在其企业产品套件中增加一个AI驱动的云安全修复引擎。该交易的财务条款尚未公布,但业内消息人士证实,价格在4.5亿美元左右。Wiz首席执行官Assaf Rappaport在一份报告中证实了这笔交易,表明了“重塑”ASPM(应用程序安全态势管理)和代码到云修复业务的雄心勃勃的计划。
资料来源:https://www.securityweek.com/wiz-buys-dazz-for-450-million/

16.Trustero获得1000万美元融资,用于发展AI驱动的安全与合规平台
11月21日,人工智能安全和合规解决方案提供商Trustero Trustero完成了1035万美元的A轮融资,由Bright Pixel Capital领投,现有投资者Engineering Capital、Zetta Ventures Partners和Vertex Ventures US参投。新资本将用于支持产品开发、扩大运营、扩大市场范围和招聘更多人才。
资料来源:http://5vmwn.dz113.sbs/c2tD838