工業(yè)網(wǎng)絡(luò)安全周報(bào)

本期摘要

政策法規(guī)方面，本周觀察到國(guó)內(nèi)外網(wǎng)絡(luò)安全相關(guān)政策法規(guī)5項(xiàng)，值得關(guān)注的有工信部發(fā)布《工業(yè)互聯(lián)網(wǎng)安全分類分級(jí)管理辦法》公開征求意見、美國(guó)運(yùn)安局更新鐵路網(wǎng)絡(luò)安全指令。

漏洞態(tài)勢(shì)方面，本周監(jiān)測(cè)到漏洞動(dòng)態(tài)10條，值得關(guān)注的有Firefox、Chrome更新補(bǔ)丁。

安全事件方面，本周監(jiān)測(cè)到重大網(wǎng)絡(luò)安全事件23起，其中典型的事件有日本制表巨頭精工證實(shí)6萬(wàn)條個(gè)人數(shù)據(jù)記錄遭到泄露、智利電信巨頭GTD遭勒索軟件團(tuán)伙襲擊等。

產(chǎn)品技術(shù)方面，一家專門從事可編程邏輯控制器(PLC)和虛擬工業(yè)控制系統(tǒng)(ICS)安全培訓(xùn)實(shí)驗(yàn)室端點(diǎn)檢測(cè)的公司Fortiphyd Logic 在SecurityWeek ICS網(wǎng)絡(luò)安全會(huì)議上提出一種PLC安全編碼技術(shù)，其目標(biāo)是為PLC程序員提供提高安全性的指南。

01. 工信部發(fā)布《工業(yè)互聯(lián)網(wǎng)安全分類分級(jí)管理辦法》公開征求意見

為貫徹落實(shí)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》以及《國(guó)務(wù)院關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》等法規(guī)政策要求，加快建立健全工業(yè)互聯(lián)網(wǎng)安全管理制度體系，深入實(shí)施工業(yè)互聯(lián)網(wǎng)安全分類分級(jí)管理，工業(yè)和信息化部起草了《工業(yè)互聯(lián)網(wǎng)安全分類分級(jí)管理辦法(公開征求意見稿)》。

資料來源：http://pirs5.xai6.sbs/f5IH6VR

02. 美國(guó)運(yùn)安局更新鐵路網(wǎng)絡(luò)安全指令

美國(guó)運(yùn)輸安全管理局(TSA)宣布更新三項(xiàng)監(jiān)管客運(yùn)和貨運(yùn)鐵路運(yùn)輸公司的安全指令(SD)，以持續(xù)努力增強(qiáng)地面運(yùn)輸系統(tǒng)和相關(guān)基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全。這三項(xiàng)指令要求TSA指定的客運(yùn)和貨運(yùn)鐵路承運(yùn)商采取行動(dòng)，采用靈活的、基于績(jī)效的方法，防止其基礎(chǔ)設(shè)施中斷和退化，并符合TSA對(duì)管道運(yùn)營(yíng)商的要求。

資料來源：http://z8fd3.xai8.sbs/bbWPZEa

03. CISA和HHS發(fā)布網(wǎng)絡(luò)安全醫(yī)療保健工具包

10月25日，美國(guó)網(wǎng)絡(luò)安全機(jī)構(gòu)CISA和衛(wèi)生與公眾服務(wù)部(HHS)發(fā)布了針對(duì)醫(yī)療保健和公共衛(wèi)生(HPH)組織的網(wǎng)絡(luò)安全資源。新發(fā)布的網(wǎng)絡(luò)安全醫(yī)療保健工具包旨在幫助各個(gè)級(jí)別的組織建立網(wǎng)絡(luò)安全基礎(chǔ)并實(shí)施更先進(jìn)的工具來提高防御能力。該工具包詳細(xì)介紹了組織和個(gè)人應(yīng)采取的網(wǎng)絡(luò)衛(wèi)生步驟，概述了威脅形勢(shì)，記錄了網(wǎng)絡(luò)安全最佳實(shí)踐，并提供了網(wǎng)絡(luò)安全框架實(shí)施指南。

資料來源：https://www.cisa.gov/topics/cybersecurity-best-practices/healthcare

04. NSA為在安全框架內(nèi)使用零信任設(shè)備支柱的成熟設(shè)備提供建議

10月19日，美國(guó)國(guó)家安全局(NSA)發(fā)布了一份網(wǎng)絡(luò)安全信息表(CSI)，涵蓋零信任安全框架，使聯(lián)邦機(jī)構(gòu)、合作伙伴和組織能夠評(píng)估其系統(tǒng)中的設(shè)備，并更好地應(yīng)對(duì)與關(guān)鍵資源相關(guān)的風(fēng)險(xiǎn)。該文檔為使用零信任設(shè)備支柱的成熟設(shè)備提供了建議，以確保尋求訪問的設(shè)備根據(jù)設(shè)備元數(shù)據(jù)贏得信任，并持續(xù)檢查以確定設(shè)備是否滿足組織的最低訪問標(biāo)準(zhǔn)。

資料來源：http://yfoc2.xai6.sbs/s2Hv8qU

05. Firefox、Chrome更新補(bǔ)丁

10月24日，Mozilla發(fā)布了Firefox119，修補(bǔ)了11個(gè)漏洞，其中包括3個(gè)高嚴(yán)重性問題。分別被標(biāo)識(shí)為CVE-2023-5721(激活延遲不足的錯(cuò)誤，可能會(huì)導(dǎo)致用戶無意中激活或忽略瀏覽器提示和對(duì)話框，從而可能導(dǎo)致點(diǎn)擊劫持)、CVE-2023-5730和CVE-2023-5731，這些問題可能允許攻擊者執(zhí)行任意代碼。谷歌宣布了Chrome的軟件更新，解決了兩個(gè)漏洞，其中包括外部研究人員報(bào)告的一個(gè)高嚴(yán)重性問題。

資料來源：http://fcpe5.xai6.sbs/Ize1kXc

06. VMware修復(fù)了vCenter Server中的關(guān)鍵代碼執(zhí)行缺陷

VMware發(fā)布了安全更新來修復(fù)一個(gè)嚴(yán)重的vCenter Server漏洞，該漏洞可用于對(duì)易受攻擊的服務(wù)器進(jìn)行遠(yuǎn)程代碼執(zhí)行攻擊。vCenter Server是VMware vSphere套件的中央管理中心，可幫助管理員管理和監(jiān)控虛擬化基礎(chǔ)架構(gòu)。該漏洞(CVE-2023-34048)由趨勢(shì)科技零日計(jì)劃的Grigory Dorodnov報(bào)告，是由于vCenter DCE/RPC協(xié)議實(shí)現(xiàn)中的越界寫入漏洞造成的。

資料來源：http://n3ag3.xai8.sbs/88IM33t

07. 日本制表巨頭精工證實(shí)6萬(wàn)條個(gè)人數(shù)據(jù)記錄遭到泄露

10月25日，日本制表巨頭精工證實(shí)，幾個(gè)月前發(fā)現(xiàn)的勒索軟件攻擊導(dǎo)致約60,000條個(gè)人數(shù)據(jù)記錄遭到泄露，泄露的數(shù)據(jù)不僅包括SWC客戶信息，包括姓名、地址、電話號(hào)碼和電子郵件地址，還包括SGC、SWC和SII業(yè)務(wù)合作伙伴信息，例如姓名、職務(wù)、公司隸屬關(guān)系和公司聯(lián)系方式，影響了客戶、業(yè)務(wù)合作伙伴和員工。

資料來源：http://rqrp6.xai8.sbs/2pUHzcv

08. 思科零日漏洞已被利用在數(shù)千臺(tái)設(shè)備上植入惡意Lua后門

思科警告稱，IOS XE中存在新的零日漏洞，未知威脅者已積極利用該漏洞在易受影響的設(shè)備上部署基于Lua的惡意植入程序。該漏洞被追蹤為CVE-2023-20273(CVSS評(píng)分：7.2)，與Web UI功能中的權(quán)限升級(jí)缺陷有關(guān)，據(jù)說與CVE-2023-20198(CVSS評(píng)分：10.0)一起使用，作為漏洞利用鏈。

資料來源：http://4dkr6.xai8.sbs/4jDgaKo

09. Kaspersky披露針對(duì)俄羅斯工業(yè)部門和政府機(jī)構(gòu)的攻擊

10月24日，Kaspersky在披露了針對(duì)俄羅斯工控行業(yè)和政府機(jī)構(gòu)的攻擊活動(dòng)。研究人員于6月首次檢測(cè)到該活動(dòng)，而在8月中旬發(fā)現(xiàn)了新版本的后門，該后門具有更復(fù)雜的繞過功能，表明攻擊正在進(jìn)行優(yōu)化。攻擊始于一個(gè)包含惡意ARJ文件的郵件，其中有一個(gè)誘餌PDF文檔和一個(gè)NSIS腳本，該腳本用于獲取主要payload并啟動(dòng)它。Kaspersky稱，同一釣魚活動(dòng)還傳播了兩個(gè)名為Netrunner和Dmcserv的后門，這些是具有不同C2服務(wù)器配置的相同惡意軟件。

資料來源：https://securelist.ru/ataki-na-industrialnyj-i-gosudarstvennyj-sektory-rf/108229/

10. 身份供應(yīng)商Okta被黑后市值蒸發(fā)逾20億美元

知名身份供應(yīng)商Okta自10月20日披露其遭黑客攻擊以來，公司市值已經(jīng)減少超過20億美元。Okta于10月20日披露，一個(gè)不明身份的黑客組織能夠通過支持系統(tǒng)訪問客戶文件。該公司股價(jià)應(yīng)聲下跌，跌幅超過11%。10月23日開盤后，該公司股價(jià)繼續(xù)下跌，收盤時(shí)跌幅達(dá)8.1%。

資料來源：http://mmye5.xai6.sbs/5fQeB6G

11. 美國(guó)能源公司分享Akira勒索軟件如何入侵其系統(tǒng)

美國(guó)能源服務(wù)公司BHI Energy罕見地展示了透明度，詳細(xì)介紹了Akira勒索軟件操作如何在攻擊期間破壞其網(wǎng)絡(luò)并竊取數(shù)據(jù)。BHI Energy隸屬于西屋電氣公司，是一家專業(yè)工程服務(wù)和人員配置解決方案提供商，為私營(yíng)和政府運(yùn)營(yíng)的石油和天然氣、核能、風(fēng)能、太陽(yáng)能和化石發(fā)電裝置以及輸配電設(shè)施提供支持。

資料來源：http://4zd16.xai8.sbs/XthJrRF

12. Zscaler報(bào)告物聯(lián)網(wǎng)、OT惡意軟件攻擊大幅增加；強(qiáng)調(diào)需要改進(jìn)零信任安全

云安全公司Zscaler在其最新報(bào)告中指出，物聯(lián)網(wǎng)和OT(運(yùn)營(yíng)技術(shù))惡意軟件攻擊同比增長(zhǎng)400%，強(qiáng)調(diào)需要更好的零信任安全性來保護(hù)關(guān)鍵基礎(chǔ)設(shè)施。該報(bào)告發(fā)現(xiàn)，制造業(yè)和教育行業(yè)是最受攻擊的行業(yè)，其中教育行業(yè)的物聯(lián)網(wǎng)惡意軟件攻擊增加了近1000%。

資料來源：http://e1bn6.xai8.sbs/j6kmPzA

13. 智利電信巨頭GTD遭勒索軟件團(tuán)伙襲擊

智利電信巨頭Grupo GTD是一家在整個(gè)拉丁美洲提供服務(wù)的電信公司，在智利、西班牙、哥倫比亞和秘魯設(shè)有分支機(jī)構(gòu)。該公司提供各種IT服務(wù)，包括互聯(lián)網(wǎng)接入、移動(dòng)和固定電話、數(shù)據(jù)中心和IT托管服務(wù)。10月23日，Grupo GTD稱其遭受網(wǎng)絡(luò)攻擊，影響其基礎(chǔ)設(shè)施即服務(wù)(IaaS)平臺(tái)，導(dǎo)致在線服務(wù)中斷。

資料來源：http://qwg76.xai8.sbs/yHNVSF4

14. 新的TetrisPhantom黑客從政府系統(tǒng)的安全USB驅(qū)動(dòng)器中竊取數(shù)據(jù)

一種名為“TetrisPhantom”的新型復(fù)雜威脅一直在使用受損的安全USB驅(qū)動(dòng)器來攻擊亞太地區(qū)的政府系統(tǒng)。安全USB驅(qū)動(dòng)器將文件存儲(chǔ)在設(shè)備的加密部分中，并用于在系統(tǒng)(包括氣隙環(huán)境中的系統(tǒng))之間安全地傳輸數(shù)據(jù)。可以通過自定義軟件訪問受保護(hù)的分區(qū)，該軟件根據(jù)用戶提供的密碼解密內(nèi)容。UTetris.exe就是此類軟件之一，它捆綁在USB驅(qū)動(dòng)器的未加密部分上。

資料來源：http://hdjt2.xai6.sbs/j1J1JDI

15. Fortiphyd Logic提出一種PLC安全編程技術(shù)

一家專門從事可編程邏輯控制器(PLC)和虛擬工業(yè)控制系統(tǒng)(ICS)安全培訓(xùn)實(shí)驗(yàn)室端點(diǎn)檢測(cè)的公司Fortiphyd Logic 在SecurityWeek ICS網(wǎng)絡(luò)安全會(huì)議上提出一種PLC安全編碼技術(shù)，其目標(biāo)是為PLC程序員提供提高安全性的指南。

資料來源：http://evqp3.xai8.sbs/37a3HfX