工業(yè)網(wǎng)絡(luò)安全周報

政策法規(guī)方面，本周觀察到國內(nèi)外網(wǎng)絡(luò)安全相關(guān)政策法規(guī)12項，值得關(guān)注的有全國信安標委發(fā)布《網(wǎng)絡(luò)安全標準實踐指南——IPv6地址分配和編碼規(guī)則接口標識符》、美國CISA和NSA分享有關(guān)保護CI/CD環(huán)境安全的指南等。

漏洞態(tài)勢方面，本周監(jiān)測到漏洞動態(tài)14條，其中涉及工業(yè)漏洞2條，值得關(guān)注的有網(wǎng)絡(luò)安全解決方案公司Fortinet修復(fù)了FortiNAC遠程命令執(zhí)行缺陷、研究人員披露Atlas Copco Power Focus 6000控制器漏洞等。

安全事件方面，本周監(jiān)測到重大網(wǎng)絡(luò)安全事件18起，其中典型的事件有加拿大能源巨頭Suncor遭受網(wǎng)絡(luò)攻擊后致加拿大石油公司加油站的部分服務(wù)中斷、勒索軟件組織針對西門子能源和施耐德電氣以及霍尼韋爾發(fā)起MOVEit攻擊等。

產(chǎn)品技術(shù)方面，運營技術(shù)(OT)網(wǎng)絡(luò)和數(shù)字風險管理解決方案提供商OTORIO推出具有集成高級攻擊圖分析功能的OT安全風險評估技術(shù)。

01、全國信安標委發(fā)布《網(wǎng)絡(luò)安全標準實踐指南——IPv6地址分配和編碼規(guī)則接口標識符》

6月21日，全國信息安全標準化技術(shù)委員會為指導相關(guān)方通過IPv6網(wǎng)絡(luò)動態(tài)分配IPv6地址接口標識符，在組織編制國家標準的同時，編制了《網(wǎng)絡(luò)安全標準實踐指南——IPv6地址分配和編碼規(guī)則接口標識符》。《實踐指南》提出了IPv6地址接口標識符的編碼方法和實施要求，為互聯(lián)網(wǎng)接入服務(wù)商等相關(guān)實體通過IPv6網(wǎng)絡(luò)動態(tài)分配IPv6地址接口標識符的活動提供指導和依據(jù)。

資料來源：https://www.tc260.org.cn/front/postDetail.html?id=20230625221638

02、金融監(jiān)管總局發(fā)布《關(guān)于加強第三方合作中網(wǎng)絡(luò)和數(shù)據(jù)安全管理的通知》

國家金融監(jiān)督管理總局向各地方銀保監(jiān)局、銀行、保險、理財公司等機構(gòu)下發(fā)了《關(guān)于加強第三方合作中網(wǎng)絡(luò)和數(shù)據(jù)安全管理的通知》，《通知》要求，銀行保險機構(gòu)應(yīng)加強風險評估和盡職調(diào)查，加大監(jiān)控力度和違規(guī)問責，加強對外包服務(wù)商的監(jiān)督管理和實地檢查，合作結(jié)束后必須下線相關(guān)系統(tǒng)并刪除數(shù)據(jù)。

資料來源：https://www.cs.com.cn/sylm/jsbd/202306/t20230627_6352455.html

03、TSA正在制定有關(guān)管道、鐵路運輸?shù)年P(guān)鍵網(wǎng)絡(luò)安全要求

美國運輸安全管理局(TSA)代表David P.Pekoske在由眾議院國土安全部運輸安全管理局和海事安全小組委員會共同參與的針對美國政府TSA 2024財年預(yù)算請求舉行的聽證會上表示，TSA正在制定有關(guān)管道和鐵路運輸?shù)年P(guān)鍵網(wǎng)絡(luò)安全要求。

資料來源：http://hy6u.c.dwx3.sbs/gPG0R9n

04、NSA發(fā)布緩解BlackLotus威脅的指南

美國國家安全局(NSA)發(fā)布了針對BlackLotus UEFI惡意軟件攻擊的防御指南，以幫助用戶應(yīng)對這一新型安全威脅。BlackLotus UEFI BlackLotus已被用于針對Windows 10和11的攻擊，該惡意軟件通過利用舊版引導加載程序(又名引導管理器)中發(fā)現(xiàn)的漏洞(稱為Baton Drop，并跟蹤為CVE-2022-21894)來繞過安全引導保護并觸發(fā)一系列攻擊。

資料來源：http://h5eq.z.dwx4.sbs/UyUdliu

05、CISA和NSA分享有關(guān)保護CI/CD環(huán)境安全的指南

美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)和國家安全局(NSA)發(fā)布了有關(guān)如何確保持續(xù)集成和持續(xù)交付(CI/CD)管道免受惡意攻擊的指南。該指南包括強化CI/CD云部署以及改進開發(fā)、安全和運營防御(DevSecOps)的建議和最佳實踐。

資料來源：http://p7ur.u.dwx1.sbs/Gq31o4h

06、Fortinet修復(fù)FortiNAC遠程命令執(zhí)行漏洞

Code White安全研究員Florian Hauser在FortiNAC中發(fā)現(xiàn)了一個不可信數(shù)據(jù)反序列化漏洞，該漏洞被跟蹤為CVE-2023-33299(CVSS評分9.6)，影響FortiNAC 7.2.1、9.4.2、9.2.7和9.1.9版以及所有8.x版本，該漏洞可導致未經(jīng)身份驗證的攻擊者通過特制的TCP/1050服務(wù)請求來執(zhí)行未經(jīng)授權(quán)的代碼或命令。Fortinet已通過發(fā)布FortiNAC版本9.4.3、9.2.8、9.1.10和7.2.2解決該漏洞。

資料來源：http://bqfs.z.dwx4.sbs/x7HRxhI

07、研究人員披露Atlas Copco Power Focus6000控制器漏洞

研究人員發(fā)現(xiàn)Atlas Copco Power Focus 6000控制器中存在硬件漏洞，漏洞被追蹤為CVE-2023-1897(CVSS評分9.4)、CVE-2023-1898(CVSS評分9.4)以及CVE-2023-1899(CVSS評分9.4)。研究人員在6月26日發(fā)布的研究報告中披露了漏洞細節(jié)并指出上述漏洞如果被成功利用，可能會導致敏感信息泄露，以及未經(jīng)授權(quán)接管活動用戶會話，這可能會導致操作延遲或生產(chǎn)錯誤。

資料來源：http://tpdz.z.dwx4.sbs/ZMwwwfg

08、Google發(fā)布Chrome 114安全更新修復(fù)4個安全漏洞

研究人員在Google開發(fā)的Chrome瀏覽器中發(fā)現(xiàn)了四個漏洞，其中包括三個高危漏洞，三個高危漏洞被跟蹤為 CVE-2023-3420、 CVE-2023-3421、CVE-2023-3422，Google已向三個高危漏洞的研究人員支付了總計35,000美元的錯誤賞金。為修復(fù)上述漏洞Google于在6月第5周發(fā)布Chrome迭代，其中適用于macOS和Linux的版本為114.0.5735.198，適用于Windows的版本為114.0.5735.198/199。

資料來源：http://ogqi.z.dwx4.sbs/ZMwwwfg

09、VMware修補vCenter Server中的多個代碼執(zhí)行漏洞

虛擬化巨頭VMware于6月22日發(fā)布了軟件更新，以解決vCenter Server中可能導致遠程代碼執(zhí)行的多個內(nèi)存損壞漏洞。該軟件在DCERPC協(xié)議的實現(xiàn)中總共修復(fù)了五個安全缺陷，其中四個被VMware標記為“重要”，CVSS評分為8.1。根據(jù)VMware的通報，其中兩個問題分別為CVE-2023-20892(由于未初始化內(nèi)存而導致堆緩沖區(qū)溢出)和CVE-2023-20893 (釋放后使用)，可能會導致代碼執(zhí)行。

資料來源：http://h92m.z.dwx4.sbs/OL2Y4a9

10、BIND修補的遠程可利用DoS漏洞

互聯(lián)網(wǎng)系統(tǒng)聯(lián)盟(ISC)發(fā)布了針對DNS軟件套件BIND中三個可遠程利用的拒絕服務(wù)(DoS)漏洞的補丁。漏洞追蹤為CVE-2023-2828、CVE-2023-2829和CVE-2023-2911，這些高嚴重性問題可能會被利用來named BIND9服務(wù)異常終止或運行named的主機可用內(nèi)存耗盡，從而導致DoS。

資料來源：http://afbk.z.dwx4.sbs/vf3BU5W

11、三大工業(yè)巨頭施耐德電氣、西門子能源以及霍尼韋爾遭受MOVEit零日攻擊

6月第5周 Cl0p 勒索軟件組織在其暗網(wǎng)上公布遭受MOVEit攻擊的受害者包括德國西門子能源公司以及法國施耐德電氣，同時西門子證實，它是MOVEit攻擊的目標之一。6月26日，施耐德電氣發(fā)布聲明稱已成為MOVEit漏洞相關(guān)的網(wǎng)絡(luò)攻擊的受害者。6月霍尼韋爾發(fā)布的MOVEit進展聲明稱，經(jīng)調(diào)查發(fā)現(xiàn)攻擊者對單個MOVEit服務(wù)器進行了未經(jīng)授權(quán)訪問。

資料來源：http://grqb.c.dwx3.sbs/tspt6RK

12、加拿大能源巨頭Suncor遭受網(wǎng)絡(luò)攻擊致加油服務(wù)中斷

Suncor是一家總部位于加拿大的公司，在北美生產(chǎn)石油并經(jīng)營多家煉油廠，該組織擁有超過1,800個加拿大石油公司零售和批發(fā)地點的網(wǎng)絡(luò)。Suncor在6月25日發(fā)布的一份聲明中表示，該公司經(jīng)歷了一次網(wǎng)絡(luò)安全事件，可能會影響與供應(yīng)商和客戶的部分交易。6月26日，加拿大石油公司在推特上表示，其正在與Suncor合作應(yīng)對網(wǎng)絡(luò)安全事件，告知客戶部分服務(wù)可能無法使用，包括信用卡支付和洗車服務(wù)以及通過登錄個人賬戶功能。

資料來源：http://pqo7.u.dwx1.sbs/I0KjFrI

13、數(shù)十家企業(yè)受到“8Base”勒索軟件團伙的攻擊

據(jù)VMware報告稱名為8Base的勒索軟件團伙是2023年6月第二活躍的團伙。該組織自2022年3月起活躍，主要針對小型企業(yè)，采用雙重勒索策略，公開點名并羞辱受害者，迫使他們支付贖金。截止至6月30日，8Base團伙已襲擊了汽車、商業(yè)服務(wù)、建筑、金融、醫(yī)療保健、酒店、IT、制造和房地產(chǎn)等行業(yè)的約80個組織。資料來源：https://www.techrepublic.com/article/8base-ransomware-group/

14、俄羅斯衛(wèi)星通信運營商Dozor-Teleport遭受網(wǎng)絡(luò)攻擊

6月29日，Amtel集團旗下的Dozor-Teleport衛(wèi)星通信運營商成為網(wǎng)絡(luò)攻擊的受害者，該公司為公共和私人客戶提供衛(wèi)星互聯(lián)網(wǎng)和電話服務(wù)。網(wǎng)絡(luò)監(jiān)控公司Kentik的互聯(lián)網(wǎng)分析主管Doug Mador在推特上發(fā)布報告稱俄羅斯衛(wèi)星運營商Dozor-Teleport于莫斯科時間凌晨5點左右退出了全球路由表。

資料來源：https://www.securitylab.ru/news/539455.php

15、OTORIO 推出OT安全風險評估技術(shù)

運營技術(shù)(OT)網(wǎng)絡(luò)和數(shù)字風險管理解決方案提供商OTORIO推出具有集成高級攻擊圖分析功能的OT安全風險評估技術(shù)。OTORIO通過將其攻擊圖分析技術(shù)以及強大的網(wǎng)絡(luò)數(shù)字孿生(CDT)模型結(jié)合，使用戶可以獲得動態(tài)可視化網(wǎng)絡(luò)拓撲和高級風險評估，從而能夠主動管理其OT基礎(chǔ)設(shè)施中的漏洞。

資料來源：http://ipgb.u.dwx1.sbs/ZDOYUfJ

16、Cyera籌集1億美元為混合云提供數(shù)據(jù)保護

一家總部位于硅谷的致力于數(shù)據(jù)安全保護的供應(yīng)商Cyera公司獲得了B系列資金，用于支持混合組織的云和本地數(shù)據(jù)保護需求。該公司的聯(lián)合創(chuàng)始人兼首席執(zhí)行官Yotam Segev表示，這1億美元將用于Cyera擴大和拓寬其產(chǎn)品范圍，以解決企業(yè)在數(shù)據(jù)安全方面遇到的更多痛點。

資料來源：http://1rwu.z.dwx4.sbs/0jPxjdS