工業(yè)網(wǎng)絡(luò)安全周報（2024年第2期）

本期摘要

政策法規(guī)方面，本周觀察到國內(nèi)外網(wǎng)絡(luò)安全相關(guān)政策法規(guī)2項，值得關(guān)注的有英國NCSC發(fā)布針對中小型企業(yè)的實用安全指南。

漏洞態(tài)勢方面，本周監(jiān)測到漏洞動態(tài)14條，值得關(guān)注的有博世螺母扳手漏洞可助黑客攻擊汽車生產(chǎn)線、思科Unity Connection嚴(yán)重漏洞可讓攻擊者獲得root權(quán)限。

安全事件方面，本周監(jiān)測到重大網(wǎng)絡(luò)安全事件35起，其中典型的事件有沙特工業(yè)和礦產(chǎn)資源部(MIM)敏感數(shù)據(jù)暴露長達15個月、巴拉圭最大運營商Tigo遭到Black Hunt的勒索攻擊。

1、英國NCSC發(fā)布針對中小型企業(yè)的實用安全指南

1月11日，英國安全機構(gòu)發(fā)布了針對中小型企業(yè)(SMB)的新指南，旨在幫助減少使用在線服務(wù)時網(wǎng)絡(luò)攻擊的潛在影響。國家網(wǎng)絡(luò)安全中心(NCSC)表示，其安全使用在線服務(wù)指南專門針對可能無法獲得專門IT和支持人員的組織。

資料來源：https://www.infosecurity-magazine.com/news/ncsc-practical-security-guidance/

2、思科Unity Connection嚴(yán)重漏洞可讓攻擊者獲得root權(quán)限

1月10日，思科稱已經(jīng)修補了一個關(guān)鍵的Unity Connection安全漏洞，該漏洞(CVE-2024-20272)是在該軟件基于Web的管理界面中發(fā)現(xiàn)的，它允許攻擊者通過將任意文件上傳到目標(biāo)系統(tǒng)來在底層操作系統(tǒng)上執(zhí)行命令，最終可讓未經(jīng)身份驗證的攻擊者遠程獲取未修補設(shè)備上的root權(quán)限。

資料來源：http://njsfc.dwa1.sbs/lgQBIuu

3、兩個Ivanti零日漏洞在野外被積極利用

1月1日，據(jù)報道，Ivanti在確認(rèn)其Connect Secure和Policy Secure網(wǎng)關(guān)中的兩個零日漏洞(CVE-2023-46805和CVE-2024-21887)正在被積極利用后，Ivanti敦促其客戶盡快修復(fù)漏洞。資料來源：http://btd5a.dwa1.sbs/M8onzDN

4、Windows Kerberos漏洞導(dǎo)致Microsoft安全機制被繞過

1月9日，Microsoft發(fā)布的更新中包含兩個嚴(yán)重錯誤，其中之一是CVE-2024-20674，這是一個Windows Kerberos安全功能繞過漏洞，允許攻擊者繞過身份驗證機制并發(fā)起模擬攻擊。另一個嚴(yán)重漏洞是CVE-2024-20700，這是Windows超虛擬化技術(shù)中的遠程代碼執(zhí)行漏洞。

資料來源：http://zdbcb.dwa1.sbs/wh8keEr

5、博世螺母扳手漏洞可助黑客攻擊汽車生產(chǎn)線

1月9日，據(jù)報道，網(wǎng)絡(luò)安全公司Nozomi Networks的研究人員表示，德國工程技術(shù)公司博世子公司生產(chǎn)的一系列流行的氣動扭矩扳手中發(fā)現(xiàn)了多個漏洞。部分漏洞的CVE評分高達8.8分。所有CVE均影響14個版本的Rexroth Nexo充電式擰緊器和5個版本的Rexroth Nexo專用充電式擰緊器。

資料來源：http://busib.dwa1.sbs/WYmyB0S

6、QNAP修補QTS、Video Station、QuMagie、Netatalk產(chǎn)品中的高嚴(yán)重性缺陷

1月5日，臺灣QNAP Systems宣布修復(fù)其產(chǎn)品組合中的十幾個漏洞，其中包括操作系統(tǒng)中的高嚴(yán)重性缺陷其中包括操作系統(tǒng)中的高嚴(yán)重性缺陷。第一個高嚴(yán)重性問題是CVE-2023-39296，它被描述為原型污染缺陷，可能允許遠程攻擊者用類型不兼容的屬性覆蓋現(xiàn)有屬性，這可能會導(dǎo)致系統(tǒng)崩潰。

資料來源：http://7c8yb.dwa1.sbs/yxp0TIF

7、網(wǎng)絡(luò)威脅情報巨頭Mandiant賬戶遭劫持

1月10日，網(wǎng)絡(luò)威脅情報巨頭Mandiant的X(以前的Twitter)賬戶被接管，并開始向其123,5000名關(guān)注者發(fā)送指向加密貨幣Drainer釣魚頁面的鏈接。1月11日該公司公布了此次調(diào)查的結(jié)果，確定此次劫持很可能是由于暴力密碼攻擊造成的。

資料來源：http://c3bzb.dwa1.sbs/SUNiCb2

8、沙特工業(yè)和礦產(chǎn)資源部(MIM)敏感數(shù)據(jù)暴露長達15個月

1月8日，據(jù)報道，沙特工業(yè)和礦產(chǎn)資源部(MIM)的環(huán)境文件被曝光，敏感細(xì)節(jié)向任何愿意獲取這些信息的人開放。Cybernews研究團隊認(rèn)為敏感數(shù)據(jù)暴露已長達15個月。文件泄露了多種類型的數(shù)據(jù)庫憑據(jù)、郵件憑據(jù)和數(shù)據(jù)加密密鑰。

資料來源：http://p8qba.dwa1.sbs/DdDAUfX

9、美國交通部數(shù)據(jù)泄露致航空記錄受損

1月8日，名為IntelBroker的威脅參與者在Breachforums上發(fā)帖稱對對1月7日美國交通部(DOT)的重大數(shù)據(jù)泄露事件負(fù)責(zé)，Dot數(shù)據(jù)泄露泄露的數(shù)據(jù)庫據(jù)稱包含敏感信息，包含2015年的580萬條飛行日志。截至目前，DOT尚未發(fā)布聲明。

資料來源：http://nrmpa.dwa1.sbs/KPqLJ9S

10、黎巴嫩貝魯特國際機場遭遇網(wǎng)絡(luò)攻擊

1月7日，下午5點剛過，黎巴嫩貝魯特的拉菲克哈里里國際機場遭到網(wǎng)絡(luò)黑客攻擊。威脅行為者破壞了機場的航班信息顯示系統(tǒng)(FIDS)，與此同時，行李系統(tǒng)出現(xiàn)技術(shù)故障，攻擊者意在敦促伊朗支持的強大組織真主黨不要“將國家拖入戰(zhàn)爭”。資料來源：

https://www.arabnews.pk/node/2437611/middle-east

11、AsyncRAT惡意軟件攻擊針對美國基礎(chǔ)設(shè)施長達11個月

1月7日，AT&T的Alien Labs研究人員發(fā)布通告稱其通過調(diào)查發(fā)現(xiàn)向選定目標(biāo)傳送AsyncRAT惡意軟件的活動至少在過去11個月內(nèi)一直活躍，使用了數(shù)百個獨特的加載程序樣本和100多個域。其中一些已確定的受害者管理著美國的關(guān)鍵基礎(chǔ)設(shè)施。

資料來源：http://qt8qb.dwa1.sbs/EbOqoEC

12、土耳其黑客Sea Turtle攻擊荷蘭ISP、電信公司

1月8日，據(jù)報道，被追蹤為“海龜”的土耳其國家支持的網(wǎng)絡(luò)間諜組織一直在荷蘭開展多次間諜活動，重點攻擊對象為電信公司、媒體、互聯(lián)網(wǎng)服務(wù)提供商(ISP)和庫爾德網(wǎng)站。此前該組織主要針對中東地區(qū)以及瑞典和美國，利用DNS劫持和流量重定向等技術(shù)對政府進行中間人攻擊以及非政府組織、媒體、ISP和IT服務(wù)提供商。

資料來源：http://ziw9d.dwa1.sbs/1okCCe2

13、巴拉圭最大運營商Tigo遭到Black Hunt的勒索攻擊

1月9日，據(jù)報道稱，巴拉圭最大的移動運營商Tigo Business遭受網(wǎng)絡(luò)攻擊，影響該公司業(yè)務(wù)部門的云和托管服務(wù)后，巴拉圭軍方就Black Hunt勒索軟件攻擊發(fā)出警告。社交媒體上的大量報道指出其超過330臺服務(wù)器被加密，備份在攻擊期間遭到破壞。

資料來源：http://c6n2c.dwa1.sbs/CV6lT9N

14、美國某安全公司遭到攻擊導(dǎo)致瑞士空軍敏感文件泄露

1月10日，據(jù)報道，總部位于英國的國防和安全組織Ultra的子公司Ultra Intelligence&Communications(I&C)的30GB數(shù)據(jù)被盜，包括財務(wù)數(shù)據(jù)、員工數(shù)據(jù)和審計數(shù)據(jù)。其中一份泄露的文件涉及瑞士國防部與I&C之間的一份價值近500萬美元的合同。

資料來源：http://6h9kd.dwa1.sbs/5jPlvUp

15、Forescout與ServiceNow集成，以增強跨數(shù)字工作流程的OT和ICS資產(chǎn)可視性

1月11日，網(wǎng)絡(luò)安全公司Forescout宣布推出Forescout eyeInspect與ServiceNow集成。通過這種集成，F(xiàn)orescout使安全團隊能夠獲取實時運營技術(shù)(OT)和工業(yè)控制系統(tǒng)(ICS)資產(chǎn)信息，從而有助于縮短平均檢測時間(MTTD)和平均響應(yīng)時間(MTTR)威脅。

資料來源：http://qxwqb.dwa1.sbs/Q7RBAuR