工業網絡安全周報

本期摘要

政策法規方面，本周觀察到國內外網絡安全相關政策法規4項，值得關注的有美國NIST公布了NIST SP 800-82文件的第三次迭代以應對OT環境中網絡威脅的復雜性、美國安全機構發布防止網絡釣魚入侵的指南并提供緩解策略。

漏洞態勢方面，本周監測到漏洞動態24條，值得關注的有中國物聯網和視頻監控產品制造商Milesight制造的一些工業路由器存在高危漏洞。

安全事件方面，本周監測到重大網絡安全事件29起，其中典型的事件有烏克蘭至少11家電信公司遭到攻擊導致服務暫時中斷、日本最大通信運營商九百萬條數據被盜等。

產品技術方面，OT網絡安全公司Radiflow宣布與Cyolo建立合作伙伴關系，以提高安全遠程訪問并進一步檢測異常行為。

01.?美國NIST公布了NIST SP 800-82文件的第三次迭代以應對OT環境中網絡威脅的復雜性

在直接針對操作技術(OT)的威脅不斷加劇和危險的近距離攻擊的背景下，美國國家標準與技術研究院(NIST)最近公布了NIST SP 800-82文件的第三次迭代。新版本強調了對OT的更大關注，這與之前對工業控制系統(ICS)的重視不同。值得注意的是，NIST SP 800-82r3出版物納入了涵蓋所有OT威脅和漏洞的關鍵更新，同時還推進了OT風險管理、建議實踐和架構考慮因素領域。

資料來源：http://vdjy6.xai8.sbs/P5ffrg8

02.?美國安全機構發布防止網絡釣魚入侵的指南并提供緩解策略

美國網絡安全和基礎設施安全局(CISA)、國家安全局(NSA)、聯邦調查局(FBI)和多州信息共享與分析中心(MS-ISAC)推出指南，幫助組織了解惡意行為者是什么這樣做，防御者可以采取適當的網絡釣魚緩解措施。該文檔詳細介紹了惡意行為者的技術，以及技術緩解措施和最佳實踐，以幫助防止成功的網絡釣魚嘗試。

資料來源：http://f5fx3.xai8.sbs/aZM12tB

03.?美國財政部與阿聯酋簽署網絡安全協議

美國和阿拉伯聯合酋長國已敲定一項協議，規定兩國將如何在網絡安全和數字彈性方面進行合作。美國財政部和阿聯酋網絡安全委員會簽署的協議中呼吁加強有關金融部門數字威脅的信息共享;更多的員工培訓和參觀;據財政部稱，還有“能力建設活動”，例如聯合在線演習。

資料來源：https://therecord.media/treasury-deal-with-uae-cybersecurity

04.?NSA發布ICS/OT入侵檢測簽名和分析工具

美國國家安全局發布了一個名為Elitewolf工具庫，幫助關鍵基礎設施實體追查ICS和其他OT環境中的惡意活動，該工具庫包含以ICS/SCADA/OT為重點的入侵檢測簽名和分析，使國防工業基礎(DIB)、國家安全系統(NSS)和服務以及其他關鍵基礎設施所有者和運營商能夠實施持續的系統監控。

資料來源：http://dee25.xai6.sbs/s2Hv8qU

05. 思科Talos披露一帆YF325工業路由器中的11個嚴重漏洞

思科Talos的研究人員最近披露了工業蜂窩路由器一帆YF325中的11個漏洞，其中10個是未打補丁的零日漏洞。攻擊者可以利用路由器中的漏洞進行各種攻擊，在某些情況下獲得在目標設備上執行任意shell命令的能力。

資料來源：http://3fqj5.xai6.sbs/8kvKeM8

06.?Cisco透露其IOS XE軟件中身份驗證繞過漏洞已被利用

媒體10月16日報道，Cisco透露其IOS XE軟件中的身份驗證繞過漏洞(CVE-2023-20198)已被主動利用。未經身份驗證的攻擊者可利用該漏洞獲得管理員權限，并遠程控制受影響的路由器和交換機。該漏洞僅影響啟用了Web用戶界面(Web UI)功能且同時啟用了HTTP或HTTPS服務器功能的設備，目前仍在等待補丁。Cisco于9月28日發現了這些攻擊，進一步調查發現攻擊可追溯到9月18日，并于10月12日發現了與該漏洞利用相關的其它活動。該公司建議管理員禁用面向互聯網的系統上的HTTP服務器功能，以抵御此類攻擊。

資料來源：http://8nai5.xai6.sbs/hsiAn8J

07.?Milesight工業路由器被爆高危漏洞

據漏洞利用和漏洞情報公司VulnCheck稱，影響中國物聯網和視頻監控產品制造商Milesight制造的一些工業路由器的漏洞可能已在攻擊中被利用。Milesight (Ursalink)的多款UR系列工業蜂窩路由器受到CVE-2023-43261的影響，這是一個暴露系統日志文件(例如“httpd.log”)的嚴重漏洞。

資料來源：http://uvsq3.xai8.sbs/jLroFgz

08.?Knight勒索軟件組織聲稱BMW經銷商遭受網絡攻擊

臭名昭著的Knight勒索軟件組織聲稱對BMW Munique Motors(朗多尼亞州授權的BMW經銷商)的網絡攻擊負責。此網絡攻擊聲明發布在Knight勒索軟件組織經常使用的暗網頻道上。更嚴重的是，威脅行為者給訪問者留下了一條消息，稱“倒計時結束時，下載鏈接將顯示在此處。”

資料來源：https://thecyberexpress.com/cyberattack-on-bmw-munique-motors/

09.?烏克蘭至少11家電信公司遭到攻擊導致服務暫時中斷

黑客組織的網絡攻擊構成了現代戰爭的數字沖突新前沿。新加坡網絡安全公司Group-IB表示，在巴以沖突升級期間，各種威脅組織正在加入戰局，并對政府網站和IT系統發起攻擊。地面和網絡空間的戰斗愈演愈烈，以色列正在地面和網絡空間兩條戰線上開展反擊。“匿名者蘇丹”正在加緊行動。該組織不滿足于摧毀網站，他們的目標是以色列的移動全天候防空系統“鐵穹”。

資料來源：https://www.secrss.com/articles/59473

10. 智利海關總署部分基礎設施感染勒索軟件Black Basta

10月18日報道稱，智利海關總署的部分基礎設施感染了勒索軟件Black Basta。智利國家服務局表示，在檢測到安全事件后立即采取了響應措施。該國計算機安全事件響應小組(CSIRT)調查確認，這是一次勒索攻擊，并指出該事件涉及Black Basta團伙。CSIRT提醒智利所有的政府機構，勒索軟件是在國家海關總署的部分基礎設施中發現的，并敦促他們檢查自己的系統以抵御進一步的攻擊。

資料來源：https://therecord.media/chile-black-basta-ransomware-attack-customs-department

11.?日本最大通信運營商九百萬條數據被盜，泄露時間長達十年

10月17日，日本最大通信網絡運營商NTT WEST兩家子公司宣布，一位負責系統維護的前外包臨時工非法獲取了約900萬條用戶信息，并將部分信息發給其他公司，其中包括用戶姓名、地址、電話號碼以及信用卡信息等。兩家子公司表示，目前尚無法確認信息泄露造成的損害，警方正對此展開調查。

資料來源：http://3v5o2.xai6.sbs/ph0MIPC

12. 復雜的MATA框架攻擊東歐石油和天然氣公司

作為2022年8月至2023年5月期間發生的網絡間諜活動的一部分，名為MATA的復雜后門框架的更新版本已被用于針對石油和天然氣行業以及國防工業的十幾家東歐公司的攻擊。卡巴斯基在本周發布的一份新的詳盡報告中表示：“攻擊背后的攻擊者使用魚叉式網絡釣魚郵件來瞄準多名受害者，其中一些受害者通過互聯網瀏覽器下載文件而感染了Windows可執行惡意軟件。”

資料來源：https://thehackernews.com/2023/10/sophisticated-mata-framework-strikes.html

13. 卡西歐披露數據泄露影響了149個國家的客戶

日本電子產品制造商卡西歐(Casio)披露，黑客侵入其ClassPad教育平臺的服務器后，數據泄露，影響了來自149國家/地區的客戶。卡西歐于10月11日檢測到該事件，原因是該公司開發環境中的ClassPad數據庫發生故障。

資料來源：http://gcil5.xai6.sbs/kIBlrue

14. 黑客組織Cyber Av3ngers宣稱關閉200個以色列加油站

據伊朗塔斯尼姆通訊社(Tasnim)新聞社10月15日報道，黑客組織CyberAv3ngers聲稱對以色列著名加油站控制解決方案提供商ORPAK Systems的大規模網絡攻擊負責。攻擊者在他們的Telegram頻道上發布了被盜的數據庫。據媒體報道，一次網絡攻擊導致以色列200個汽油泵關閉，進而導致特拉維夫和海法等地多個加油站關閉。CyberAv3ngers還在其Telegram頻道上發布了一些加油站閉路電視攝像機的文件和錄音。

資料來源：https://www.securitylab.ru/news/542755.php

15. Radiflow與Cyolo合作保護OT網絡免受未經授權的設備訪問

10月17日，OT網絡安全公司Radiflow宣布與Cyolo建立合作伙伴關系，以提高安全遠程訪問并進一步檢測異常行為。該合作伙伴關系確保對OT/ICS(操作技術/工業控制系統)網絡和資產的訪問和安全操作得到持續監控和控制，并通過對威脅的快速有效響應得到加強。

資料來源：http://z98c3.xai8.sbs/n3ctIad