工业网络安全周报-2024年第50期

工业网络安全周报-2024年第50期

时间:2024-12-28 作者:安帝科技


本期摘要


政策法规方面,本周观察到国外网络安全相关政策法规6项,值得关注的有《珠江委数据安全管理办法 (试行)》印发实施。

漏洞态势方面,本周监测到漏洞动态12条,值得关注的有Fortinet紧急修复FortiManager和FortiWLM产品中的高危漏洞。

安全事件方面,本周监测到重大网络安全事件22起,其中典型的事件有美国国防巨头通用动力公司遭钓鱼攻击、日本航空遭网络攻击致航班延误。

风险预警方面,朝鲜黑客组织拉撒路集团(Lazarus Group)利用CookiePlus恶意软件攻击核电部门、AI生成恶意软件变体可达88%逃避率。

政策法规

1.《珠江委数据安全管理办法 (试行)》印发实施
12月21日,据媒体报道,珠江委发布《珠江委数据安全管理办法(试行)》,旨在加强数据安全管理,落实党中央和水利部的数据安全要求,推进数字孪生珠江建设。《办法》明确了数据安全保护职责,细化了全生命周期的安全防护要求,并强化了对外部单位的安全管理。珠江委将严格执行《办法》,提升数据安全能力,保障水利高质量发展。
资料来源:https://www.secrss.com/articles/73813

2.联大通过《联合国打击网络犯罪公约》
12月24日,据媒体报道,联合国大会通过了《联合国打击网络犯罪公约》,这是20多年来首个此类国际条约,旨在加强国际合作打击网络犯罪。公约将于2025年在河内开放签署,并在40国批准后生效。
资料来源:https://www.secrss.com/articles/73939

3.美国参议院提出了《维护美国在人工智能领域的主导地位法案》
12月19日,据媒体报道,美国参议院提出了《维护美国在人工智能领域的主导地位法案》,旨在通过设立人工智能安全审查办公室来保护AI技术免受滥用,并确保美国在AI领域的领导地位。该办公室将与行业合作,评估AI模型风险,提供技术援助,研究未来风险,并要求数据中心报告信息以保护AI模型。同时,法案强调了与商务部的人工智能安全研究所合作,推进AI安全科学的重要性。
资料来源:https://www.secrss.com/articles/73814

安全漏洞

4.锐捷网络云平台漏洞危及50,000台设备安全
12月25日,据媒体报道,Claroty研究人员在锐捷网络的云管理平台中发现了多个安全漏洞,这些漏洞可能使攻击者控制网络设备。Claroty研究人员发现10个漏洞,并设计了名为“芝麻开门”的攻击方式,可入侵物理上靠近云的接入点,获得未授权网络访问。其中3个漏洞被评为“严重”,包括CVE-2024-47547(CVSS评分9.4)、CVE-2024-48874(CVSS评分9.8)和CVE-2024-52324(CVSS评分9.8)。锐捷网络已修复所有发现的漏洞,约50,000台云连接设备可能受影响。
资料来源:https://thehackernews.com/2024/12/ruijie-networks-cloud-platform-flaws.html

5.Apache修复MINA、HugeGraph-Server和Traffic Control三大严重漏洞
12月26日,据媒体报道,Apache Software Foundation发布安全更新,修复了影响MINA、HugeGraph-Server和Traffic Control的三个严重漏洞。其中一个MINA的漏洞(CVE-2024-52046)因不安全的Java反序列化可能导致远程代码执行,评分为10分。HugeGraph-Server的身份验证绕过问题(CVE-2024-43441)和Traffic Control的SQL注入问题(CVE-2024-45387)也已修复。建议尽快升级至最新版本以减少假期期间被攻击的风险。
资料来源:http://63p2m.dz114.sbs/6a7IXzk

6.Adobe紧急修复ColdFusion严重路径遍历漏洞CVE-2024-53961
12月24日,Adobe发布了针对ColdFusion中的一个严重漏洞CVE-2024-53961的带外安全更新,该漏洞的CVSS评分为7.4,并且已有概念验证(PoC)漏洞利用代码公开。这个路径遍历漏洞影响Adobe ColdFusion 2023和2021版本,可能允许攻击者读取易受攻击服务器上的任意文件。Adobe建议用户将ColdFusion更新至最新版本,以修复这一关键漏洞。
资料来源:https://securityaffairs.com/172281/security/adobe-coldfusion-flaw-poc.html

安全事件

7.美国国防巨头通用动力公司遭钓鱼攻击
12月26日,据媒体报道,美国航空航天和国防巨头通用动力公司遭受网络钓鱼攻击,数十名员工福利账户被入侵。攻击者通过第三方托管的登录门户访问并更改了员工福利账户,获取了员工的个人信息,包括姓名、出生日期、政府颁发的身份证号码、社会安全号码、银行账户信息和残疾状况。通用动力公司已通知受影响账户的所有者,并提供两年免费信用监控服务。
资料来源:http://pti9n.dz115.sbs/LmMhoBD

8.日本航空遭网络攻击致航班延误
12月26日,日本航空(JAL)遭受网络攻击,导致系统故障,国内和国际航班机票销售暂停,部分航班延误,,公司股价跳水。JAL确认飞行安全未受影响,并已查明路由器故障为问题根源,正在恢复系统。航班已逐步恢复,无组织声称负责,也无客户信息泄露。
资料来源:http://9yavn.dz115.sbs/wCVByDe

9.斯坦福大学服务器遭黑客攻击泄露数据
12月26日,据媒体报道,威胁行为者antigov声称拥有斯坦福大学190多台服务器的sudo SSH访问权限,并在暗网论坛以10万美元出售,包括管理权限、数据访问等。该行为者提供了终端会话截图以验证其声称,但真实性未得到证实。若情况属实,可能导致斯坦福大学的机密研究、个人身份信息(PII)和敏感机构数据泄露。此次事件凸显了教育机构面临的网络安全风险,以及对强大监控、频繁审计和严格身份验证协议的需求。
资料来源:https://breachforums.st/User-antigov

10.英国情报文件泄露
12月26日,据GrayZone披露报道,英国情报文件泄露,泄露的文件显示伦敦秘密支持与基地组织有联系的叙利亚“解放组织”(HTS),试图建立“温和反对派”并推动社会服务与媒体网络。英国通过承包商投入资金进行心理战,塑造反对派形象,但行动反而助长了HTS的崛起和影响力,特别是在伊德利卜地区。英国的双重政策在国际舞台上对叙利亚政治局势产生影响。
资料来源:https://thegrayzone.com/2024/12/26/leaked-files-uk-syria-jolanis-hts/

11.美国匹兹堡地区交通因勒索软件攻击遭遇重大服务中断
12月25日,据媒体报道,美国匹兹堡地区交通局(PRT)近期遭受勒索软件攻击,导致公共交通服务出现重大中断。该机构在12月19日首次检测到攻击,并正在积极应对。虽然铁路服务短暂中断后已恢复,但客户服务中心仍受影响,无法处理Senior和Kid’s ConnectCards。PRT的IT官员正在检查是否有数据被盗,并承诺提供公开更新。此次攻击导致火车延误超过20分钟,影响了匹兹堡和阿勒格尼县700多辆公共汽车、80辆轻轨车辆等的正常运营。
资料来源:http://gzjon.dz115.sbs/qMFKvsy

12.印尼政府遭遇大规模数据泄露:82GB敏感信息被盗
12月25日,据GBHackers News报道,黑客从印度尼西亚政府的区域财务管理信息系统(SIPKD)中窃取并提取了大量82GB的敏感数据。敏感数据包括财务、管理和个人数据,引发了严重的安全和隐私问题。
资料来源:https://gbhackers.com/indonesia-government-data-breach/

13.Clop勒索软件攻击Cleo软件漏洞,影响66家公司
12月25日,据Securitylab报道,勒索软件组织Clop宣布已开始勒索66家公司,这些公司因Cleo产品中的零日漏洞CVE-2024-50623而数据泄露。Clop利用该漏洞实施攻击,允许远程代码执行。Cleo发布了更新以修补漏洞,但研究人员发现绕过补丁的方法。Clop专注于新一轮勒索,删除旧数据。CISA已将Cleo产品漏洞加入已知被利用漏洞目录,并要求联邦机构修复。攻击使用的恶意软件基于Java,允许攻击者窃取文件。全球有4,000多家公司使用Cleo软件,具体受影响组织数量不明。
资料来源:https://www.securitylab.ru/news/555082.php

14.欧洲航天局官方商店遭黑客攻击:支付卡被盗
12月24日,据媒体报道,欧洲航天局(ESA)官方商店在圣诞节购物季遭黑客攻击,黑客通过注入恶意JavaScript代码,在结账时生成虚假的Stripe支付页面以窃取用户支付卡信息。该商店目前显示“暂时失去轨道”,无法使用。攻击者使用的域名与官方商店相似,但使用了不同的顶级域(TLD),即“esaspaceshop.pics”而非“esaspaceshop.com”。
资料来源:http://ewogn.dz115.sbs/zgYcS4G

风险预警

15.朝鲜黑客利用CookiePlus恶意软件攻击核电部门
12月24日,据媒体报道,朝鲜黑客组织拉撒路集团(Lazarus Group)近期将攻击目标扩展至核工业组织,这是其“Operation Dream Job”行动的一部分。该行动以提供虚假工作机会为诱饵,通过社会工程手段诱骗目标下载并执行含有恶意软件的文件。拉撒路集团利用这一策略,已经成功感染了包括国防、政府公司在内的多个部门和特定员工。他们创建虚假的LinkedIn账号,发送电子邮件到目标的个人地址,并与目标进行直接对话,以实现感染和渗透目标系统。此外,该组织还引入了名为“CookiePlus”的新型下载器,这种基于插件的恶意软件主要在内存中运行,动态加载恶意负载,增加了网络安全工具的检测难度,显示该组织不断更新武器库以逃避安全检测。
资料来源:https://hackread.com/lazarus-group-nuclear-industry-cookieplus-malware/

16.AI生成恶意软件变体可达88%逃避率
12月23日,据媒体报道,Palo Alto Networks Unit 42团队的安全研究人员发现,利用大型语言模型(LLM)可以大规模生成新型恶意JavaScript代码变体,这些变体更难被安全防护设备检测。研究人员指出,尽管LLM难以独立创建恶意软件,但犯罪分子能利用它们重写或混淆现有恶意软件,加大检测难度。通过大量转换,这种方法可能降低恶意软件检测系统的性能,甚至使其误判恶意代码为良性。Unit 42表示,他们利用LLM反复重写现有恶意软件样本,成功创造了10000种新JavaScript变体,且功能不变。这些重写的JavaScript代码在上传至VirusTotal平台时,也成功逃避了其他恶意软件分析设备的检测。
资料来源:https://thehackernews.com/2024/12/ai-could-generate-10000-malware.html