工業網絡安全周報
政策法規方面,本周觀察到國內外網絡安全相關政策法規7項���,值得關注的有《網絡安全合規咨詢服務規范》團體標準正式發布、美國NIST發布網絡安全框架2.0等���。
漏洞態勢方面,本周監測到漏洞動態18條���,其中涉及工業漏洞2條���,值得關注的有微軟公布CODESYS V3
SDK中的15個高危漏洞���,CISA披露了施耐德電氣EcoStruxure和Modicon���、羅克韋爾Armor PowerFlex中的安全漏洞等���。
安全事件方面���,本周監測到重大網絡安全事件22起���,其中典型的事件有南部非洲發電機成為DroxiDat惡意軟件的攻擊目標���,清潔產品巨頭Clorox在遭受網絡攻擊后使系統離線等���。
產品技術方面���,Claroty為擴展后的德勤MXDR平臺增加安全運營技術,OT網絡安全平臺供應商Radiflow宣布與臺灣供應商CyCraft建立合作伙伴關系以提高OT網絡安全檢測和響應能力���。
01、《網絡安全合規咨詢服務規范》團體標準正式發布
由北京網絡空間安全協會���、廣東省網絡空間安全協會聯合批準《網絡安全合規咨詢服務規范》T/BJCSA
03—2023團體標準發布。標準規定了網絡安全合規咨詢服務機構的咨詢服務類型���、咨詢服務機構等級劃分以及通用評價要求等內容。
資料來源:http://gdtbt.org.cn/html/note-354548.html
02、美國NIST發布網絡安全框架2.0
8月15日���,美國國家標準與技術研究院(NIST)發布了網絡安全框架(CSF 2.0)參考工具。該框架允許用戶探索CSF
2.0核心草案(函數、類別���、子類別、實施示例),并以JSON和Excel格式提供人類和機器可讀版本的核心草案。該工具旨在利用NIST網絡安全和隱私參考工具(CPRT),用戶可以在其中查看NIST許多網絡安全和隱私資源的信息。
資料來源:https://csrc.nist.gov/Projects/Cybersecurity-Framework/Filters#/csf/filters
03���、美國CISA發布遠程監控和管理(RMM)網絡防御計劃
8月16日,網絡安全和基礎設施安全局(CISA)宣布發布一項戰略計劃,以幫助關鍵基礎設施組織降低與使用遠程監控和管理(RMM)解決方案相關的風險。新發布的RMM網絡防御計劃(PDF)由聯合網絡防御協作組織(JCDC)根據2023年6月有關保護遠程訪問軟件免受惡意攻擊的指南制定���,并與CISA
2023-2025年戰略計劃保持一致。
資料來源:http://hdco2.xai6.sbs/Uf420JF
04、微軟公布CODESYS V3 SDK中的15個高危漏洞
8月10日���,微軟研究員公布了CODESYS V3軟件開發套件(SDK)中的15個高嚴重性漏洞的研究報告,CODESYS V3
SDK是一種廣泛用于編程和設計可編程邏輯控制器(PLC)的軟件開發環境。已發現的漏洞分別被標識為CVE-2022-47379(CVSS評分8.8)���、CVE-2022-47380(CVSS評分8.8)等,這些漏洞會影響3.5.19.0版之前的所有CODESYS
V3版本,成功利用這些漏洞可實現遠程代碼執行(RCE)和拒絕服務(DoS)攻擊���。
資料來源:http://iucw6.xai8.sbs/GP0CeZQ
05、CISA披露了施耐德電氣EcoStruxure和Modicon、羅克韋爾Armor PowerFlex中的安全漏洞
8月15日,美國網絡安全和基礎設施安全局(CISA)發布了兩份ICS(工業控制系統)公告���,公告強調了施耐德電氣EcoStruxure和Modicon以及羅克韋爾自動化Armor
PowerFlex組件中存在的硬件漏洞。公告顯示,施耐德電氣的EcoStruxure Control Expert���、EcoStruxure Process
Expert、Modicon M340 CPU���、Modicon M580 CPU、Modicon Momentum Unity M1E處理器、Modicon
MC80設備中存在可遠程利用的“通過捕獲重放繞過身份驗證”漏洞���。Forescout Technologies的研究人員Jos Wetzels和Daniel
dos Santos向施耐德電氣報告了這些漏洞。對于羅克韋爾自動化的Armor PowerFlex
v1.003,CISA警告稱存在“計算錯誤”漏洞,該漏洞可通過低攻擊復雜性進行遠程利用,成功利用此漏洞可能會讓攻擊者發送大量網絡命令,導致產品高速生成大量事件日志流量,從而導致正常運行停止。
資料來源:http://dgas2.xai6.sbs/3mLERkG
06、電源管理產品缺陷可能會使數據中心遭受破壞性攻擊和間諜活動
Trellix研究人員在Cyber Power的PowerPanel
Enterprise數據中心電源管理軟件和Dataprobe的iBoot配電單元(PDU)中發現了9個漏洞���。這些漏洞可能允許威脅行為者監視組織���,造成重大損害,甚至獲得對目標系統的完全訪問權限���。Cyber
Power Powerpanel Enterprise的四個漏洞包括身份驗證繞過和操作系統命令注入問題。五個Dataprobe iBoot
PDU漏洞也存在同樣的問題���,以及操作系統命令注入和拒絕服務問題。Trellix描述了威脅行為者如何利用這些漏洞來中斷數據中心運行數天或操縱電源管理來損壞硬件設備���。在Trellix向供應商通報這些問題后,Cyber
Power和Dataprobe都發布了補丁���。
資料來源:http://zroq2.xai6.sbs/kjbTHD2
07、思科修補企業應用程序中的高嚴重性漏洞
8月16日���,思科宣布對多個企業應用程序進行安全更新,以修補導致權限升級���、SQL注入、目錄遍歷和拒絕服務(DoS)的高嚴重性漏洞���。其中最嚴重的影響是Cisco
Unified Communications Manager(Unified CM)和Unified Communications
Manager會話管理版(Unified CM
SME)的Web管理界面。該漏洞編號為CVE-2023-20211(CVSS評分8.1)���,被描述為對用戶提供的輸入的驗證不當,可能允許經過身份驗證的遠程攻擊者執行SQL注入攻擊���。
資料來源:https://sec.cloudapps.cisco.com/security/center/publicationListing.x
08、南部非洲發電機成為DroxiDat惡意軟件的攻擊目標
8月10日���,網絡安全公司卡巴斯基發布了一篇報告稱其發現了一起針對南部非洲發電機的疑似網絡攻擊事件,該攻擊使用了SystemBC惡意軟件的新變種���。報告稱���,這次攻擊是由一個身份不明的黑客組織于今年3月發起的���。黑客使用Cobalt
Strike工具和DroxiDat(SystemBC有效負載的新變體)來分析受感染的系統并在電力公司上建立遠程連接。
資料來源:https://securelist.com/focus-on-droxidat-systembc/110302/
09���、清潔產品巨頭Clorox在遭受網絡攻擊后使系統離線
近日���,清潔產品制造商高樂氏公司(Clorox
Company)已關閉部分系統以應對網絡攻擊���。據該公司網站上發布的通知���,8月14日���,該公司檢測到其IT系統上存在異?��;顒?��,并迅速采取行動���,停止可疑活動并關閉受影響的系統���。雖然Clorox尚未披露攻擊的性質���,但使系統脫機是對潛在勒索軟件感染的常見反應���。該公司正在努力恢復運營,并已通知執法部門并聘請第三方網絡安全專家來調查該事件���。目前尚不清楚攻擊中是否有任何數據被泄露或被盜���。
資料來源:https://www.infosecurity-magazine.com/news/clorox-disrupted-cyber-attack/
10���、全球最大金礦和鉬礦廠遭網絡攻擊致生產受到影響
8月11日���,美國礦業巨頭自由港·麥克莫蘭銅金公司(Freeport-McMoRan
Inc.簡稱FCX)宣布���,稱其正在調查一起影響其信息系統的網絡安全事件���,該攻擊事件導致銅生產受到部分影響���,公司表示���,正在評估事件影響���,積極采取解決措施���,并與“第三方專家和執法部門密切合作”。
資料來源:https://gilaherald.com/freeport-hit-with-cyberattack-ransom-demanded/
11使用的惡意二維碼對美國能源公司發起網絡釣魚攻擊
8月16日,威脅情報公司Cofense發布報告稱���,自2023年5月以來,一場廣泛的網絡釣魚活動一直針對各個行業的組織,其中包括一家美國大型能源公司。這些攻擊旨在獲取目標組織員工的Microsoft帳戶憑據���,依賴于嵌入PNG圖像或PDF文檔中的惡意QR碼。Cofense解釋說,網絡釣魚鏈接隱藏在二維碼中���。作為該活動的一部分,攻擊者發送了1,000多封網絡釣魚電子郵件,其中大約29%針對美國能源公司。制造、保險、技術和金融服務領域的組織分別收到了15%���、9%���、7%和6%的電子郵件。
資料來源:http://ts6n5.xai6.sbs/0H4ToXr
12���、美國芝加哥貝爾特鐵路公司遭遇勒索軟件攻擊
8月12日,據Recorded Future
News報道���,美國最大的轉轍和樞紐鐵路正在調查勒索軟件組織竊取數據的事件。芝加哥貝爾特鐵路公司(總部位于伊利諾伊州貝德福德公園)由美國和加拿大的六家鐵路公司共同擁有���,每家鐵路公司都使用該公司的轉運和換乘設施。
資料來源:https://therecord.media/belt-railway-chicago-ransomware-data-theft-akira
13���、2,000個Citrix NetScaler實例通過近期漏洞獲得后門
8月15日���,Fox-IT(NCC集團的一部分)在其官網發布報告稱Fox-IT與荷蘭漏洞披露研究所(DIVD)共同發現了Citrix
NetScaler的大規模利用活動���。攻擊者似乎以自動化方式利用了CVE-2023-3519���,在易受攻擊的NetScaler上放置Webshell以獲得持久訪問權限���。即使NetScaler已打補丁或重新啟動���,攻擊者也可以使用此Webshell執行任意命令���。截至8月15日���,仍有1900多個NetScaler仍存在后門���。荷蘭漏洞披露研究所利用Fox-IT提供的數據通知了受害者。
資料來源:http://q0yq2.xai6.sbs/MjQltwG
14���、Claroty為擴展后的德勤MXDR平臺增加安全運營技術
8月16日,網絡物理系統保護公司Claroty宣布���,Claroty
xDome將為德勤軟件服務托管擴展檢測和響應(MXDR)平臺中內置的操作技術(OT)模塊提供支持,支持包括云和OT安全運營中心(SOC)交付���。德勤OT模塊的MXDR為任務關鍵型OT系統提供端到端檢測和響應、漏洞管理���、生命周期可視性和資產跟蹤控制���、管理和監控工業設備���、流程���、生產和管理的系統和資產操作���。德勤全球網絡檢測與響應產品負責人Chris
Richter表示“Claroty的技術聯盟生態系統與我們的產品相結合���,使組織能夠在日益互聯的OT環境中達到新的運營彈性水平���。
資料來源:http://lnvz2.xai6.sbs/aJug1ih
15���、Radiflow與CyCraft合作致力于提高OT網絡安全檢測和響應能力
8月17日���,OT網絡安全平臺供應商Radiflow宣布與臺灣供應商CyCraft建立合作伙伴關系���,CyCraft是一家專注于生成人工智能檢測、調查和應對國家資助的APT(高級持續威脅)的公司。此次合作利用了東西方20多年的威脅情報,通過利用生成式人工智能的力量���,這種合作伙伴關系為企業客戶、MSSP和MDR釋放了未開發的���、無限的檢測和響應能力,以應對針對OT資產的日益復雜的攻擊���。
資料來源:http://qdwx6.xai8.sbs/yz2LJMI
