工業網絡安全周報

政策法規方面，本周觀察到國內外網絡安全相關政策法規5項，值得關注的有國家標準《網絡關鍵設備安全技術要求可編程邏輯控制器(PLC)》公開征求意見、美國CISA發布新的身份和訪問管理指南等。

漏洞態勢方面，本周監測到漏洞動態7條，值得關注的有CISA披露西門子SIMATICPCS、歐姆龍設備中存在ICS漏洞。

安全事件方面，本周監測到重大網絡安全事件34起，其中典型的事件有微軟AI研究人員泄露38TB數據，包括密鑰、密碼和內部消息。

01、國家標準《網絡關鍵設備安全技術要求可編程邏輯控制器(PLC)》公開征求意見

全國信息安全標準化技術委員會歸口的國家標準《網絡關鍵設備安全技術要求可編程邏輯控制器(PLC)》現已形成標準征求意見稿。根據《全國信息安全標準化技術委員會標準制修訂工作程序》要求，現將該標準征求意見稿面向社會公開征求意見。

資料來源：https://www.tc260.org.cn/front/postDetail.html?id=20230921164223

02、美國CISA發布新的身份和訪問管理指南

CISA于2023年9月發布了關于聯邦機構如何將身份和訪問管理(IDAM)功能集成到其身份、憑證和訪問管理(ICAM)架構中的新指南。新指南是作為CISA持續診斷和緩解(CDM)計劃的一部分發布的，該計劃提供信息安全持續監控(ISCM)功能，幫助聯邦機構提高其網絡的安全性。

資料來源：http://irgr6.xai8.sbs/IcmUAsB

03、美國CISA發布開源軟件安全路線圖

9月20日，聯邦調查局(FBI)和網絡安全和基礎設施安全局(CISA)發布了一份聯合網絡安全通報(CSA)，傳播與FBI調查中最近于6月1日發現的Snatch勒索軟件變種相關的已知勒索軟件IOC和TTP。除了啟用和實施防網絡釣魚的多因素身份驗證(MFA)之外，還敦促關鍵基礎設施組織保護并密切監控遠程桌面協議(RDP)，并維護數據的離線備份。

資料來源：http://ukg53.xai8.sbs/HPaAjc4

04、美國DHS建議協調關鍵基礎設施實體的網絡事件報告，以識別趨勢、防止攻擊

美國國土安全部(DHS)概述了一系列關于聯邦政府如何簡化和協調網絡事件報告以保護國家關鍵基礎設施的可行建議。這些建議在9月19日提交給國會的一份報告中，允許政府識別惡意網絡事件的趨勢，并幫助組織預防、響應攻擊并從攻擊中恢復。這些措施也是2022年3月《關鍵基礎設施網絡事件報告法案》(CIRCIA)規定的。

資料來源：http://5gkn5.xai6.sbs/YSQBEOr

05、CISA披露西門子SIMATIC PCS、歐姆龍設備中存在ICS漏洞

9月19日，美國CISA(網絡安全和基礎設施安全局)發布了四份ICS(工業控制系統)公告，警告關鍵基礎設施部門西門子SIMATIC PCS neo管理控制臺、歐姆龍工程軟件Zip-Slip、歐姆龍工程軟件中存在硬件漏洞、歐姆龍CJ/CS/CP系列。這些通報及時提供了有關當前ICS安全問題、漏洞和漏洞的信息，該機構敦促用戶和管理員查看新發布的ICS通報，了解技術細節和緩解措施。

資料來源：http://lx8l2.xai6.sbs/svUAETq

06、歐姆龍修補了ICS惡意軟件分析過程中發現的PLC、工程軟件缺陷

日本電子巨頭歐姆龍最近修補了工業網絡安全公司Dragos在分析復雜惡意軟件時發現的可編程邏輯控制器(PLC)和工程軟件漏洞。這些漏洞包括標識為CVE-2022-34151的關鍵硬編碼憑據問題、標識為CVE-2022-45790的使用FINS協議的歐姆龍CJ/CS/CP系列PLC中的一個高嚴重性漏洞、標識為CVE-2022-45793的Sysmac Studio任意代碼執行漏洞等。

資料來源：http://bxgn5.xai6.sbs/77gomTi

資料來源：https://cybersecuritynews.com/fortinet-fortios-flaw/

08、漏洞GitLab修補關鍵管道執行漏洞

DevOps平臺GitLab宣布發布安全更新，解決了一個嚴重的漏洞，該漏洞允許攻擊者以另一個用戶的身份運行管道。跟蹤為CVE-2023-5009(CVSS得分為9.6)，影響16.2.7之前的所有GitLab企業版(EE)版本和16.3.4之前的GitLab社區版(CE)版本。

資料來源：http://8fhy5.xai6.sbs/Tlrz5wx

09、Nagios XI網絡監控軟件中已披露多個安全漏洞，可能導致權限升級和信息泄露。

Nagios XI網絡監控軟件中已披露多個安全漏洞，可能導致權限升級和信息泄露。從CVE-2023-40931到CVE-2023-40934跟蹤的四個安全漏洞影響NagiosXI版本5.11.1及更低版本。繼2023年8月4日負責任地披露后，它們已于2023年9月11日進行了修補，發布了5.11.2版本。

資料來源：https://thehackernews.com/2023/09/critical-security-flaws-exposed-in.html

10、羅克韋爾報告關鍵基礎設施網絡攻擊激增，能源行業受到高度關注

9月19日，羅韋爾自動化公司公布了其報告《工業運營中100多起網絡安全事件剖析》的調查結果，調查結果顯示過去三年的OT/ICS網絡安全事件已超過1991年至2000年期間報告的總數;威脅行為者最關注能源行業(占攻擊的39%);網絡釣魚仍然是最流行的攻擊技術(34%)，這突顯了網絡安全策略(例如分段、隔離、零信任和安全意識培訓)對于降低風險的重要性;在超過一半的OT/ICS事件中，監控和數據采集(SCADA)系統是目標(53%)，可編程邏輯控制器(PLC)是第二常見的目標(22%)。

資料來源：http://13kn3.xai8.sbs/cwdTTom

11、微軟AI研究人員泄露38TB數據，包括密鑰、密碼和內部消息

Wiz Research在Microsoft的AI GitHub存儲庫上發現了一起數據泄露事件，其中包括30,000多條Microsoft Teams內部消息，所有這些都是由一個錯誤配置的SAS令牌造成的。這個案例是組織在開始更廣泛地利用人工智能的力量時面臨的新風險的一個例子，隨著數據科學家和工程師競相將新的人工智能解決方案投入生產，他們處理的大量數據需要額外的安全檢查和保障措施。

資料來源：http://q7nz5.xai6.sbs/bMClCzo

12、電信公司遭受偽裝成安全軟件的新型后門攻擊

思科Talos研究人員發現了名為HTTPSnoop和PipeSnoop的新后門，可用于維持中東電信公司網絡的長期訪問。HTTPSnoop是一個簡單但有效的新型后門，它使用低級Windows API直接與系統上的HTTP設備交互。它利用此功能將特定的HTTP(S) URL模式綁定到端點以偵聽傳入請求。PipeSnoop可以通過讀取預先存在的名為Windows IPC管道的內容，在受感染端點上運行shellcode有效負載。

資料來源：https://www.helpnetsecurity.com/2023/09/21/telecom-backdoors/

13、愛沙尼亞Elron鐵路票務系統因網絡攻擊而癱瘓

9月20日，國家鐵路公司Elron的火車票銷售因網絡攻擊而中斷，導致車終點站、火車本身以及埃爾隆在線環境內的銷售都受到干擾。票務系統由一家名為Rindago的公司提供，截至9月20日下午，該公司正在努力解決這一問題。Ridango的系統遭受了分布式拒絕服務(DDoS)攻擊，攻擊期間有人試圖阻止我們的應用程序并使服務器超載，從而導致外部服務無法訪問。

資料來源：http://abck5.xai6.sbs/l9NoPum

14、Bing Chat AI宕機影響Windows Copilot等

Bing Chat是著名的ChatGPT支持的聊天機器人，允許用戶與不同的人物和主題進行對話，但在全球范圍內都存在連接問題。BleepingComputer可以確認Bing Chat在亞洲和美國無法使用。如果您遇到“連接”錯誤，您并不孤單。這次中斷影響了所有依賴Bing Chat的服務，包括Microsoft Edge的側邊欄、Android上的SwiftKey以及Windows 11即將推出的Copilot集成。

資料來源：http://ceos2.xai6.sbs/FAgYe5B

15、Cyolo因其創新的零信任訪問解決方案榮獲Frost&Sullivan安全產品創新獎

9月19日，關鍵基礎設施安全訪問提供商Cyolo宣布其獲得2023年北美安全遠程訪問運營技術和工業控制系統(OT/ICS)的產品創新獎。該公司提供單一、易于部署、使用和管理的解決方案，保護全球公司免受高風險訪問場景的影響，并確保安全的OT環境。

資料來源：http://albj2.xai6.sbs/grmhFf8

16、思科將以約280億美元收購Splunk，增強人工智能驅動時代的組織安全性和彈性

9月22日，思科和Splunk宣布達成一項最終協議，根據該協議，思科打算收購Splunk，以幫助組織從威脅檢測和響應轉向威脅預測和預防。該交易還將幫助組織在人工智能驅動的世界中變得更加安全和有彈性。合并后，思科和Splunk將成為全球最大的軟件公司之一，并將加速思科的業務轉型，實現更多經常性收入。

資料來源：http://ahlb5.xai6.sbs/Pb2qvU8