工業(yè)網(wǎng)絡(luò)安全周報(bào)（2024年第3期）

本期摘要

政策法規(guī)方面，本周觀察到國(guó)內(nèi)外網(wǎng)絡(luò)安全相關(guān)政策法規(guī)4項(xiàng)，值得關(guān)注的有美國(guó)聯(lián)邦機(jī)構(gòu)發(fā)布了水務(wù)部門(mén)的網(wǎng)絡(luò)安全最佳實(shí)踐指南。

漏洞態(tài)勢(shì)方面，本周監(jiān)測(cè)到漏洞動(dòng)態(tài)22條，值得關(guān)注的有UEFI固件中發(fā)現(xiàn)的重大安全缺陷影響頂級(jí)科技公司包括American Megatrends Inc.、Intel Corp. 和Phoenix Technologies Ltd.等。

安全事件方面，本周監(jiān)測(cè)到重大網(wǎng)絡(luò)安全事件27起，其中典型的事件有烏克蘭最大電信提供商遭受網(wǎng)絡(luò)攻擊將損失約1億美元、匿名蘇丹的DDoS攻擊破壞了以色列頂級(jí)煉油廠BAZAN集團(tuán)的網(wǎng)絡(luò)。

安全技術(shù)方面，網(wǎng)絡(luò)安全供應(yīng)商Radiflow宣布將在ServiceNow OTM平臺(tái)上開(kāi)發(fā)豐富的資產(chǎn)數(shù)據(jù)發(fā)現(xiàn)方案。

1、美國(guó)聯(lián)邦機(jī)構(gòu)發(fā)布了水務(wù)部門(mén)的網(wǎng)絡(luò)安全最佳實(shí)踐指南

1月17日，環(huán)境保護(hù)局(EPA)與聯(lián)邦調(diào)查局(FBI)以及網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)合作發(fā)布了水務(wù)部門(mén)的網(wǎng)絡(luò)安全最佳實(shí)踐指南。該指南包括四個(gè)主要支柱，涵蓋組織如何為網(wǎng)絡(luò)攻擊做好準(zhǔn)備，包括如何檢測(cè)和分析事件;如何遏制、消除攻擊并從中恢復(fù);以及事件發(fā)生后該怎么辦。

資料來(lái)源：https://therecord.media/federal-agencies-release-cyber-guidance-water

2、美國(guó)CISA和FBI為關(guān)鍵基礎(chǔ)設(shè)施所有者和運(yùn)營(yíng)商發(fā)布有關(guān)中國(guó)制造無(wú)人機(jī)的指南

1月17日，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)和聯(lián)邦調(diào)查局(FBI)周三發(fā)出警告，要求提高對(duì)中國(guó)制造的無(wú)人機(jī)系統(tǒng)(UAS)相關(guān)潛在威脅的認(rèn)識(shí)。他們還提供了網(wǎng)絡(luò)安全措施建議，以幫助保護(hù)關(guān)鍵基礎(chǔ)設(shè)施實(shí)體以及州、地方、部落和領(lǐng)地(SLTT)合作伙伴的網(wǎng)絡(luò)和敏感數(shù)據(jù)。

資料來(lái)源：http://i4fub.dwa1.sbs/eiiwLzB

3、美國(guó)FBI和CISA發(fā)布有關(guān)Androxgh0st惡意軟件和僵尸網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)威脅的咨詢(xún)

1月16日，美國(guó)聯(lián)邦調(diào)查局(FBI)和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)發(fā)布了一份聯(lián)合網(wǎng)絡(luò)安全咨詢(xún)(CSA)，以傳播與黑客相關(guān)的已知妥協(xié)指標(biāo)(IOC)以及策略、技術(shù)和程序(TTP)部署Androxgh0st惡意軟件。多項(xiàng)持續(xù)的調(diào)查和可信的第三方報(bào)告產(chǎn)生了IOC和TTP，并提供了有關(guān)Androxgh0st惡意軟件建立僵尸網(wǎng)絡(luò)的能力的信息，該僵尸網(wǎng)絡(luò)可以進(jìn)一步識(shí)別和危害易受攻擊的網(wǎng)絡(luò)。資料來(lái)源：

http://zdayc.dwa1.sbs/OuOjHrS

4、美國(guó)國(guó)防部發(fā)布首份國(guó)防工業(yè)生戰(zhàn)略

1月15日，美國(guó)國(guó)防部(DoD)發(fā)布了首份國(guó)防工業(yè)戰(zhàn)略(NDIS)，提出了戰(zhàn)略愿景，以協(xié)調(diào)和優(yōu)先考慮在未來(lái)三到五年內(nèi)建設(shè)現(xiàn)代化國(guó)防工業(yè)生態(tài)系統(tǒng)的行動(dòng)。擬議的國(guó)防工業(yè)生態(tài)系統(tǒng)現(xiàn)代化途徑認(rèn)識(shí)到，這不是也不可能是國(guó)防部獨(dú)有的解決方案。NDIS文件需要美國(guó)政府、私營(yíng)企業(yè)以及國(guó)際盟友和合作伙伴之間的努力、合作和協(xié)調(diào)。

資料來(lái)源：https://industrialcyber.co/critical-infrastruc...rial-ecosystem/

5、未修補(bǔ)的Rapid SCADA漏洞使工業(yè)組織面臨攻擊

1月11日，美國(guó)網(wǎng)絡(luò)安全機(jī)構(gòu)CISA發(fā)布了一份有關(guān)工業(yè)組織通報(bào)Claroty研究人員在Rapid SCADA中發(fā)現(xiàn)七個(gè)漏洞的公告。根據(jù)CISA的通報(bào)，這些漏洞可用于讀取敏感文件、遠(yuǎn)程執(zhí)行任意代碼、通過(guò)網(wǎng)絡(luò)釣魚(yú)攻擊訪問(wèn)敏感系統(tǒng)、提升權(quán)限、獲取管理員密碼以及訪問(wèn)有關(guān)的敏感數(shù)據(jù)及應(yīng)用程序的內(nèi)部代碼。其中一個(gè)缺陷被歸類(lèi)為“嚴(yán)重”，另外兩個(gè)缺陷被歸類(lèi)為“高嚴(yán)重性”，但盡管開(kāi)發(fā)人員已于2023年7月上旬收到通知，但尚未發(fā)布補(bǔ)丁。

資料來(lái)源：http://rsidc.dwa1.sbs/zQLT5TT

6、CISA發(fā)布AVEVA PI服務(wù)器存在漏洞的公告

1月18日，CISA披露AVEVA PI服務(wù)器存在異常情況檢查或處理不當(dāng)(CVE-2023-34348)及有效生命周期后缺少資源釋放(CVE-2023-31274)漏洞，成功利用這些漏洞可能會(huì)導(dǎo)致攻擊者使正在訪問(wèn)的產(chǎn)品崩潰或限制內(nèi)存，從而導(dǎo)致部分拒絕服務(wù)情況。

資料來(lái)源：https://www.cisa.gov/news-events/ics-advisories/icsa-24-018-01

7、UEFI固件中發(fā)現(xiàn)的重大安全缺陷影響頂級(jí)科技公司

1月17日，法國(guó)網(wǎng)絡(luò)安全研究公司Quarkslab的研究人員披露TianoCore EDK II中發(fā)現(xiàn)了九個(gè)漏洞，TianoCore EDK II是各種硬件和軟件制造商使用的開(kāi)源統(tǒng)一可擴(kuò)展固件接口。九個(gè)漏洞，涵蓋了NetworkPkg IP堆棧中的緩沖區(qū)溢出、可預(yù)測(cè)隨機(jī)化和不正確解析等問(wèn)題。這些缺陷使未經(jīng)身份驗(yàn)證的本地攻擊者以及在某些情況下遠(yuǎn)程攻擊者能夠執(zhí)行一系列惡意活動(dòng)。使用Tianocore EDK II并確認(rèn)受到影響的公司包括American Megatrends Inc.、Intel Corp. 和Phoenix Technologies Ltd.。不過(guò)，其他可能受到影響的公司還包括Arm Holdings plc、Cisco Systems Inc.、Dell Technologies Inc.、亞馬遜網(wǎng)絡(luò)服務(wù)公司、微軟公司、谷歌有限責(zé)任公司、惠普企業(yè)有限公司、惠普公司和聯(lián)想集團(tuán)有限公司。

資料來(lái)源：http://1t9pc.dwa1.sbs/UL5m8tx

8、博世智能恒溫器固件存在漏洞

1月18日，據(jù)報(bào)道，廣泛使用的聯(lián)網(wǎng)博世BCC100恒溫器中發(fā)現(xiàn)了一個(gè)嚴(yán)重漏洞，該恒溫器是酒店環(huán)境中的流行設(shè)備。利用此缺陷(CVE-2023-49722)可能會(huì)導(dǎo)致本地未經(jīng)授權(quán)的訪問(wèn)，例如，黑客可以在恒溫器的原始操作系統(tǒng)中植入后門(mén)，以便能夠從外部連接到網(wǎng)絡(luò)并控制設(shè)備和HVAC命令。

資料來(lái)源：http://ytmyc.dwa1.sbs/ub49mha

9、“零點(diǎn)擊”藍(lán)牙攻擊對(duì)主流的操作系統(tǒng)構(gòu)成嚴(yán)重威脅

1月14日，藍(lán)牙技術(shù)為全球數(shù)十億設(shè)備使用的無(wú)線鍵盤(pán)、鼠標(biāo)、游戲控制器和其它外圍設(shè)備提供支持。然而，安全研究員Marc Newlin(@marcnewlin)新的研究揭示了影響Android、iOS、Linux、macOS和Windows的關(guān)鍵藍(lán)牙漏洞，這些漏洞(編號(hào)為CVE-2023-45866、 CVE-2024-0230和CVE-2024-21306)可能允許遠(yuǎn)程攻擊者將設(shè)備作為藍(lán)牙鍵盤(pán)進(jìn)行配對(duì)，并注入擊鍵來(lái)執(zhí)行惡意操作。

資料來(lái)源：http://hxkrc.dwa1.sbs/z2OX964

10、烏克蘭最大電信提供商遭受網(wǎng)絡(luò)攻擊將損失約1億美元

1月18日，據(jù)Veon聲明表示，最近針對(duì)烏克蘭最大電信提供商Kyivstar的網(wǎng)絡(luò)攻擊將使其母公司荷蘭Veon損失近1億美元。該公司預(yù)計(jì)，其子公司Kyivstar為彌補(bǔ)12月襲擊造成的不便而采取的“客戶(hù)忠誠(chéng)度措施造成的收入損失，將對(duì)其2024年合并收入結(jié)果產(chǎn)生影響”。

資料來(lái)源：http://galoc.dwa1.sbs/hK1Y3Vm

11、匿名蘇丹的DDoS攻擊破壞了以色列頂級(jí)煉油廠BAZAN集團(tuán)的網(wǎng)絡(luò)

1月17日，親巴勒斯坦的黑客組織“匿名蘇丹”對(duì)以色列頂級(jí)煉油廠運(yùn)營(yíng)商BAZAN集團(tuán)發(fā)起了一系列分布式拒絕服務(wù)攻擊(DDoS攻擊)開(kāi)始強(qiáng)度顯著，導(dǎo)致BAZAN Group關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)出現(xiàn)廣泛中斷。隨后NetBlocks通過(guò)其Twitter官方X賬戶(hù)正式報(bào)告了影響B(tài)azan Group的重大網(wǎng)絡(luò)中斷事件。

資料來(lái)源：http://xqbcc.dwa1.sbs/l2tfepP

12、豐田保險(xiǎn)公司客戶(hù)信息因配置錯(cuò)誤而暴露

1月18日，據(jù)報(bào)道，一系列錯(cuò)誤配置和安全漏洞使研究人員能夠訪問(wèn)存儲(chǔ)在豐田通商保險(xiǎn)經(jīng)紀(jì)人印度公司(TTIBI)電子郵件帳戶(hù)中的客戶(hù)信息。TTIBI表示該事件可能與生產(chǎn)摩托車(chē)和商用車(chē)的印度汽車(chē)公司Eicher Motors有著關(guān)系。

資料來(lái)源：http://ei8rc.dwa1.sbs/XC6watB

13、瑞士政府網(wǎng)站遭到親俄黑客攻擊

1月17日，瑞士表示，烏克蘭總統(tǒng)澤連斯基訪問(wèn)達(dá)斯后，親俄組織聲稱(chēng)遭受網(wǎng)絡(luò)攻擊，導(dǎo)致一些政府網(wǎng)站的訪問(wèn)暫時(shí)中斷。政府的國(guó)家網(wǎng)絡(luò)安全中心(NCSC)在一份聲明中強(qiáng)調(diào)，“網(wǎng)絡(luò)攻擊被及時(shí)發(fā)現(xiàn)”，專(zhuān)家“采取了必要的行動(dòng)，盡快恢復(fù)對(duì)網(wǎng)站的訪問(wèn)”。“此類(lèi)攻擊是預(yù)料之中的，并且已經(jīng)采取了適當(dāng)?shù)陌踩胧?/span>

資料來(lái)源：http://m9mec.dwa1.sbs/MWq6iUk

14、臺(tái)灣Foxsemicon成為L(zhǎng)ockBit勒索軟件攻擊的受害者

1月17日，據(jù)《臺(tái)北時(shí)報(bào)》報(bào)道稱(chēng)臺(tái)灣半導(dǎo)體制造商富士邁半導(dǎo)體(Foxsemicon Integrated Technology Inc.)網(wǎng)站顯示一條英文消息，聲稱(chēng)5TB數(shù)據(jù)被盜。當(dāng)?shù)貢r(shí)間1月17日下午，富士邁半導(dǎo)體在給臺(tái)灣證券交易所的一份聲明中表示，該公司已恢復(fù)其網(wǎng)站，并正在與安全專(zhuān)家合作。

資料來(lái)源：http://siaub.dwa1.sbs/q2Y8GsQ

15、Radiflow將在ServiceNow OTM平臺(tái)上開(kāi)發(fā)豐富的資產(chǎn)數(shù)據(jù)發(fā)現(xiàn)方案

1月17日，網(wǎng)絡(luò)安全供應(yīng)商Radiflow宣布，其用于ServiceNow運(yùn)營(yíng)技術(shù)管理(OTM)的Service Graph Connector應(yīng)用程序?qū)⒃试S公司將Radiflow的網(wǎng)絡(luò)方向和監(jiān)控功能集成到其現(xiàn)有環(huán)境和工作流程中。通過(guò)雙方的共同努力，Radiflow能夠利用其基于Now平臺(tái)構(gòu)建的獨(dú)特解決方案，創(chuàng)造更好的體驗(yàn)并為客戶(hù)創(chuàng)造價(jià)值。

資料來(lái)源：http://dx7db.dwa1.sbs/UYJ5TtW