工業網絡安全周報

● 政策法規方面，本周觀察到國內外網絡安全相關政策法規10項，值得關注的有世界經濟論壇啟動多方利益相關者社區、美國網絡空間日光浴委員會提出加強海上網絡安全的建議等。

● 漏洞態勢方面，本周監測到漏洞動態6條，涉及工業漏洞1條，值得關注的有Osprey水泵控制器中存在多個安全漏洞、QNAP修復NAS設備中的Sudo提權漏洞等。

● 安全事件方面，本周監測到重大網絡安全事件14起，其中典型的事件有南亞黑客組織Bitter APT針對中國核能機構展開攻擊、Latitude Financial數據泄露事件影響1400萬名客戶等。

● 產品技術方面，設備級零信任OT網絡安全公司NanoLock Security與ISTARI合作，為客戶提供設備級零信任OT保護。網絡安全檢測和預防領域領導者ReasonLabs推出了暗網監控功能，可針對一系列惡意在線活動提供實時的保護。

01?世界經濟論壇啟動多方利益相關者社區

世界經濟論壇(WEF)發起了一個多方利益相關者社區，以加強整個制造業生態系統的網絡安全彈性。利益相關者包括公共部門和學術界等，其計劃通過提高決策者的意識和動員全球承諾來加強整個工業制造生態系統的網絡安全彈性。新舉措將在五大網絡彈性支柱的基礎上，定義整個制造業生態系統集體責任的關鍵指導原則和實踐。

資料來源：http://lj2t.u.dwx1.sbs/brXYMYA

02?FDA提高醫療設備網絡安全的標準

美國衛生與公眾服務部(HHS)食品和藥物管理局(FDA)機構于3月29日發布了最終指南，為網絡設備制定了新的網絡安全要求，其中包括要求設備制造商提交有關網絡安全的信息。該文件還要求醫療保健利益相關者將涵蓋軟件物料清單(SBOM)和漏洞披露報告的網絡安全規定納入其基礎設施。

資料來源：http://lblw.u.dwx1.sbs/fYQfLjW

03?網絡空間日光浴委員會提出加強海上網絡安全的建議

美國網絡空間日光浴委員會提出了四項建議，以增強海上領域的網絡安全。其中包括要求美國海岸警衛隊增加資源以支持其作為部門風險管理機構(SRMA)的職責，以及在網絡安全和基礎設施安全局(CISA)內建立運營技術(OT)測試臺來識別海上運輸系統(MTS)中使用的關鍵系統的潛在網絡安全漏洞。

資料來源：http://2cg9.u.dwx1.sbs/BVAk2J0

04?ENISA發布ECSMAF v2.0以分析歐盟網絡安全市場

歐洲網絡和信息安全局(ENISA)發布了網絡安全市場分析框架(ECSMAF) v2.0，用于分析歐洲網絡安全市場。ECSMAF v2.0有助于分析歐盟網絡安全市場的趨勢，以幫助ENISA及其利益相關者確定創新的、新興的并具有需求和供應潛力的網絡安全領域。資料來源：

http://0suv.f.dzxt.sbs/ZzoHkVJ

05?Osprey水泵控制器中存在多個安全漏洞

研究人員在ProPump and Controls制造的Osprey水泵控制器中發現了多個安全漏洞，攻擊者可以利用這些漏洞遠程入侵系統并完全控制設備。這些漏洞包括遠程代碼執行、身份驗證繞過、命令注入和后門訪問等，其中許多漏洞無需身份驗證即可被利用。研究人員試圖向供應商報告漏洞，但供應商未做出回應，漏洞可能仍未修補。

資料來源：http://fhqn.u.dwx1.sbs/FrvE5NE

06?Wi-Fi漏洞允許攔截流量和繞過客戶端隔離

研究人員在IEEE 802.11 WiFi協議標準的設計中發現了一個漏洞，該漏洞被跟蹤為CVE-2022-23961。攻擊者可以利用該漏洞欺騙接入點，以明文形式泄漏網絡幀。這些幀按隊列排序受控傳輸，而排隊緩沖的幀缺乏安全保護機制，攻擊者可以操縱數據傳輸、客戶端欺騙、幀重定向和捕獲。該缺陷可以用來劫持TCP連接或攔截客戶端和網絡流量，影響各種設備和操作系統(包括Linux、FreeBSD、iOS和Android)。

資料來源：https://gbhackers.com/new-wifi-flaw/

07?QNAP修復NAS設備中的Sudo提權漏洞

QNAP修復了基于Linux的網絡附加存儲(NAS)設備中的Sudo提權漏洞。該漏洞被跟蹤為CVE-2023-22809，CVSS評分7.8，攻擊者可以利用該漏洞通過編輯未經授權的文件來提升權限。該公司已修復了QTS和QuTS hero平臺中的漏洞，并在努力提供QuTScloud和QVP安全更新。QNAP建議客戶定期將系統更新到最新版本，以防止遭受攻擊。

資料來源：http://9eyv.f.dzxt.sbs/gHXPbXy

08?微軟修補了Azure云服務中的安全漏洞

微軟修補了Azure Service Fabric組件中的一個XSS漏洞，研究人員將其稱之為Super FabriXss。Super FabriXss跟蹤為CVE-2023-23383，CVSS評分8.2，未經身份驗證的遠程攻擊者可以在其中一個Service Fabric節點托管的容器上執行代碼。攻擊者可以制作一個惡意URL，當點擊該URL時，會啟動一個多步驟過程，最終導致在其中一個集群節點上創建和部署有害容器。

資料來源：http://tnut.u.dwx1.sbs/oALErHD

09?網絡釣魚活動針對中國核能行業

Intezer發布安全報告，指出一支被認為來自南亞的黑客組織Bitter APT最近正針對中國核能機構展開攻擊。該組織偽裝成吉爾吉斯斯坦駐北京大使館，并向中國核能公司和該領域學者發送釣魚郵件，邀請他們參加由吉爾吉斯斯坦大使館主辦的核能會議。郵件簽名者是真實存在的吉爾吉斯斯坦外交部的一名官員，但郵件附件是惡意的，能夠釋放一系列惡意負載。

資料來源：http://y06o.u.dwx1.sbs/NoqFqvk

10 印度旁遮普警方遭受網絡攻擊

安全研究人員在威脅監控期間發現了一篇討論旁遮普警方網站安全漏洞的Telegram帖子，網絡犯罪組織Eagle Cyber Crew聲稱，他們通過利用本地文件包含(LFI)漏洞獲得了訪問權限。旁遮普警方網站的這一安全漏洞暴露了登錄憑據，包括數據庫的用戶名和密碼。

資料來源：https://thecyberexpress.com/punjab-police-attacked-hackers-target-websites/

11?Latitude Financial數據泄露影響了1400萬客戶

澳大利亞金融公司Latitude Finance更新了數據泄露通知，稱涉及的客戶數量已經增加到1400萬人。最初，該公司報告稱黑客入侵了其兩家服務提供商的系統，訪問了約328,000條客戶記錄，但隨著進一步調查，發現影響范圍更大。約790萬個澳大利亞和新西蘭的駕照號碼泄露，其中40%是在過去10年內提交給該公司的。此外，還有610萬條記錄也已泄露，其中94%是在2013年之前提交的。

資料來源：http://lwbj.u.dwx1.sbs/frsf0gR

12?豐田意大利公司營銷工具的訪問權限泄露長達一年半

豐田意大利公司在其官方網站上不小心泄露了其營銷工具的訪問權限，導致攻擊者可能獲得客戶電話號碼和電子郵件地址等信息。研究人員在其官網上官方網站上發現了一個環境文件(.env)，該文件包含了Salesforce Marketing Cloud和Mapbox API的憑證。該文件于2021年5月21日首次被物聯網(IoT)搜索引擎編入索引，這意味著它已經向公眾公開了一年半以上。

資料來源：https://cybernews.com/security/toyota-customer-data-leak/

13 Nanolock Security和Istari合作提供OT網絡保護

設備級零信任OT網絡安全公司NanoLock Security與ISTARI合作，為ISTARI的客戶提供NanoLock的設備級零信任OT(操作技術)保護。該聯盟還將滿足針對美國、歐盟和新加坡關鍵基礎設施安裝的新興聯邦指導方針。NanoLock提供的設備級預防將確保為新舊OT資產提供與供應商無關的保護，以抵御外部和內部網絡威脅。

資料來源：http://9nvo.u.dwx1.sbs/RWaJ2XG

14 ReasonLabs暗網監控識別惡意在線活動

ReasonLabs為其RAV在線安全解決方案推出了暗網監控功能，這是一種Web擴展，可針對一系列惡意在線活動提供實時、全天候的保護。暗網監控功能掃描數以萬計的組合列表、泄露的數據庫和隱藏在表面網絡(可公開訪問的互聯網)中的惡意軟件數據，以查找用戶的個人數據，并在發生違規時立即通知用戶。

資料來源：http://liic.u.dwx1.sbs/xak4p3d

來源：安帝Andisec