工業網絡安全周報

本期摘要

政策法規方面，本周觀察到國內外網絡安全相關政策法規8項，值得關注的有全國信安標委發布國家標準《信息安全技術網絡安全產品互聯互通框架》公開征求意見、國家鐵路局發布關于《鐵路關鍵信息基礎設施安全保護管理辦法(征求意見稿)》公開征求意見的通知等。

漏洞態勢方面，本周監測到漏洞動態11條，其中涉及工業漏洞1條，值得關注的有GE修補其Cimplicity產品中十多個漏洞、AMI MegaRAC BMC軟件中的嚴重供應鏈漏洞使數百萬臺服務器面臨遠程攻擊等。

安全事件方面，本周監測到重大網絡安全事件17起，值得關注的有挪威采礦和回收巨頭Tomra遭網絡攻擊后致系統離線、化妝品制造巨頭雅詩蘭黛成為兩個勒索軟件組織的目標等。

01、全國信安標委發布國家標準《信息安全技術網絡安全產品互聯互通框架》公開征求意見

7月19日，全國信息安全標準化技術委員會歸口的國家標準《信息安全技術網絡安全產品互聯互通框架》現已形成標準征求意見稿。根據《全國信息安全標準化技術委員會標準制修訂工作程序》要求，現將該標準征求意見稿面向社會公開征求意見。標準相關材料已發布在信安標委網站。

資料來源：http://43nf2.xai6.sbs/XGcTGQD

02、國家鐵路局發布關于《鐵路關鍵信息基礎設施安全保護管理辦法(征求意見稿)》公開征求意見的通知

為了保障鐵路關鍵信息基礎設施安全，維護網絡安全，根據《中華人民共和國網絡安全法》《關鍵信息基礎設施安全保護條例》等法律、行政法規，國家鐵路局起草形成《鐵路關鍵信息基礎設施安全保護管理辦法(征求意見稿)》。現向社會公開征求意見。

資料來源：http://vfrm4.xai1.sbs/NOFcYTO

03、美國NIST繼續致力于其網絡安全框架2.0，凸顯國際參與

國際參與在美國國家標準與技術研究所(NIST)正在進行的多項工作中發揮著至關重要的作用，其中包括更新“網絡安全框架之旅(CSF2.0)”、修訂數字身份指南以及提高對NIST隱私的認識框架和物聯網網絡安全工作。該機構還與國際參與者舉行了多次會議并舉辦了研討會。

資料來源：http://4rey1.xai1.sbs/D9CCkQs

04、歐盟理事會成員國就數字產品網絡安全要求達成共識

歐盟理事會(EuropeanCouncil)成員國宣布就數字產品的安全要求達成共同立場。該法規草案對硬件和軟件產品的設計、開發、生產和上市提出了強制性網絡安全要求，以避免歐盟(EU)成員國不同立法產生的重疊要求。這些共同要求確保數字產品滿足最高級別的安全性并保護用戶的敏感信息。

資料來源：http://z0083.xai8.sbs/jDXAgm3

05、美國白宮推出智能設備網絡安全標簽計劃

7月18日，拜登-哈里斯政府宣布了一項新的網絡計劃，該計劃是為可以安全使用且不易受到攻擊的智能設備貼上標簽。作為新網絡安全標簽計劃的一部分，新的“美國網絡信任標志”盾牌徽標將應用于符合特定網絡安全標準的產品。

資料來源：http://5vgx3.xai8.sbs/kXfI9wF

06、CISA和NSA發布新指南加強5G網絡切片應對威脅

7月17日，美國國家安全局(NSA)和CISA發布了《5G網絡切片：設計、部署和維護的安全注意事項》。該指南由持久安全框架(ESF)(一個由NSA和CISA領導的公私跨部門工作組)創建，提出了解決5G獨立網絡切片一些已識別威脅的建議，并提供了業界認可的設計實踐強化5G獨立網絡切片的部署、操作和維護。本指南以2022年ESF指南《5G網絡切片的潛在威脅》為基礎。

資料來源：http://urwy4.xai1.sbs/t5kw6YK

07、GE修補其Cimplicity產品中十多個漏洞

7月18日，美國網絡安全和基礎設施安全局(CISA)發布了一份公告，通知用戶有關GE的Cimplicity人機界面(HMI)以及監督控制和數據采集(SCADA)產品中發現的漏洞并敦促用戶及時更新，該漏洞被標識為CVE-2023-3463，成功利用此漏洞可能會導致攻擊者造成內存損壞問題，從而導致代碼執行等不良行為。雖然只分配了一個CVE標識符，但實際上總共存在14個內存損壞漏洞。

資料來源：http://rjek3.xai8.sbs/hSw7SZH

08、AMI MegaRAC BMC軟件中的嚴重供應鏈漏洞使數百萬臺服務器面臨遠程攻擊

American Megatrends(AMI)是一家專業生產ASIC數字產品和混合信號ASIC產品的公司。該公司的American Megatrends的服務器遠程管理控制軟件MegaRAC BMC被曝出存在兩個嚴重漏洞，該軟件被用于安培、華擎、華碩、Arm、戴爾、技嘉、HPE、華為、浪潮、聯想、Nvidia、高通、廣達、泰安等大公司的數以百萬計的設備中，兩個漏洞分別為CVE-2023-34329(一個嚴重的身份驗證繞過問題，可通過欺騙HTTP標頭來利用)、CVE-2023-34330(一個代碼注入缺陷 )，當這兩個漏洞鏈接在一起時，即使是通過網絡訪問BMC管理界面但沒有BMC憑據的遠程攻擊者，也可以通過欺騙BMC來實現遠程代碼執行。

資料來源：http://etia4.xai1.sbs/Ps8JMgy

09、Oracle發布508個新安全補丁

7月18日，Oracle發布508個新安全補丁，其中包括超過75個解決關鍵嚴重性漏洞的補丁，包括超過350個解決了無需身份驗證即可遠程利用的漏洞的安全補丁，同時還包括針對公用事業應用程序、供應鏈、零售應用程序、JavaSE、PeopleSoft、SiebelCRM、商務、企業管理器、建筑和工程、電子商務套件、JDEdwards以及十多個其他產品的安全補丁。

資料來源：https://www.oracle.com/security-alerts/cpujul2023.html

10、Adobe再次修復ColdFusion零日漏洞

7月19日，Adobe官方發布了針對Adobe Coldfusion的安全更新補丁，該更新解決了3個漏洞，包括CVE-2023-29298(CVSS評分7.5)、CVE-2023-29300(CVSS評分9.8)以及CVE-2023-29301(CVSS評分5.9)。CVE-2023-29298是Rapid7研究員StephenFewer于7月11日發現的ColdFusion身份驗證繞過該漏洞，該漏洞允許攻擊者繞過安全控制，CVE-2023-29300為ColdFusion嚴重的反序列化漏洞，CVE-2023-29301為ColdFusion對過多身份驗證嘗試的不當限制漏洞。

資料來源：https://helpx.adobe.com/security/products/coldfusion/apsb23-40.html

11、CitrixADC和網關中的嚴重漏洞被零日攻擊利用

7月18日，Citrix警告客戶其NetScalerADC和NetScalerGateway產品中存在嚴重漏洞，該漏洞被標識為CVE-2023-3519(CVSS評分9.8)，攻擊者可以利用此漏洞無需身份驗證即可遠程執行代碼，該漏洞已被廣泛利用。Citrix強烈敦促客戶立即安裝這些產品的更新版本。

資料來源：http://ywrm3.xai8.sbs/Rc7EvAd

12、挪威采礦和回收巨頭Tomra遭網絡攻擊后致系統離線

挪威采礦和回收巨頭Tomra是一家跨國公司，專注于廢物和回收解決方案、金屬分選系統、采礦機械系統和食品分選設備等領域。7月17日，Tomra宣布其部分數據系統受到7月16日發現的網絡攻擊影響，并立即斷開部分系統的連接以遏制該事件。隨后在7月17日的聲明中，該公司宣布已斷開其他系統的連接，并將讓所有受影響的系統保持離線狀態，直到事件得到解決。

資料來源：https://www.theregister.com/2023/07/18/tomra_cyberattack/

13、化妝品制制造巨頭雅詩蘭黛成為兩個勒索軟件組織的目標

總部位于紐約的化妝品制造巨頭雅詩蘭黛于當地時間7月18日發表聲明稱，未經授權的第三方已訪問其部分系統，在意識到這一事件后，該公司主動關閉了部分系統，并在領先的第三方網絡安全專家的協助下迅速開始調查。7月18日，MOVEit活動的幕后黑手Clop 組織在暗網上的一篇帖子中聲稱其擁有131GB的雅詩蘭黛數據。與此同時，勒索軟件團伙ALPHV(BlackCat)表示，將持有雅詩蘭黛公司的數據以獲取贖金。

資料來源：https://www.dailydot.com/debug/estee-lauder-hack-ransomware-blackcat-cl0p/

14、MOVEit漏洞攻擊受害者接近400個組織

隨著大規模供應鏈攻擊的影響進入第七周，與MOVEit文件傳輸黑客攻擊相關的受害者數量和成本繼續攀升。截止至7月20日，受影響的組織數量已接近400個，其中包括一些非常知名的機構如美國能源部和其他聯邦機構，以及能源公司殼牌、知名自動化頭部企業美國艾默生電氣、德意志銀行、咨詢和商業服務公司普華永道以及零售巨頭TJX公司等大公司，遍布美國、英國、加拿大、德國、法國等20多個國家和地區，涉及政府、電信、金融、教育、科技等多個行業。

資料來源：https://www.theregister.com/2023/07/20/moveit_victim_count/

15、具有RAT功能的新型勒索軟件冒充Sophos

網絡安全供應商Sophos被一種名為SophosEncrypt的勒索軟件冒充，威脅行為者使用該公司名稱進行操作。MalwareHunterTeam昨天發現了該勒索軟件，最初被認為是Sophos紅隊演習的一部分。然而，SophosX-Ops團隊在推特上表示，他們沒有創建加密器，他們正在對事件進行調查。

資料來源：http://faj63.xai8.sbs/UAUJ4rU

16、Netcraft籌集1億美元并聘請新首席執行官進行全球擴張

Netcraft是一家以反網絡釣魚和網絡犯罪破壞工具而聞名的英國公司，該公司的威脅檢測和響應平臺由其數十年來收集的數據提供支持，該公司籌集了高達1億美元的資金，并宣布聘請一位新首席執行官來推行全球擴張計劃。該公司表示，此次1億美元融資由SpectrumEquity領投，這是一家專注于互聯網軟件和數據服務公司的成長型股權公司。

資料來源：https://www.verdict.co.uk/netcraft-raises-100m-in-funding/