工業網絡安全周報（2024年第13期）

本期摘要

政策法規方面，本周觀察到國內外網絡安全相關政策法規6項，值得關注的有自然資源部印發《自然資源領域數據安全管理辦法》。

漏洞態勢方面，本周監測到漏洞動態10條，值得關注的有Claroty Team82的研究人員披露了Unitronics UniStream集成PLC/HMI產品中存在嚴重硬件漏洞。

安全事件方面，本周監測到重大網絡安全事件16起，其中典型的事件有黑客攻擊印度國防和能源部門。

1、自然資源部印發《自然資源領域數據安全管理辦法》

3月29日，為規范自然資源領域數據處理活動，加強數據安全管理，保障數據安全，促進數據開發利用，自然資源部近日印發《自然資源領域數據安全管理辦法》(以下簡稱《辦法》)，要求自然資源部、國家林業和草原局及地方行業監管部門將數據安全納入黨委(黨組)國家安全責任制，按照“誰管業務，誰管數據，誰管數據安全”的原則，落實本行業本地區本領域數據安全指導監管責任。

資料來源：https://www.mnr.gov.cn/dt/ywbb/202403/t20240329_2840955.html

2、《網絡安全標準實踐指南——網絡安全產品互聯互通 資產信息格式》發布

3月29日，為促進網絡安全產品互聯互通資產信息有效互通和整合，全國信安標委秘書處組織編制了《網絡安全標準實踐指南——網絡安全產品互聯互通 資產信息格式》。本《實踐指南》給出了網絡安全產品互聯互通時資產信息的描述格式，可用于指導網絡安全產品互聯互通功能的設計、開發、應用和測試。

資料來源：https://www.tc260.org.cn/front/postDetail.html?id=20240325113218

3、美國五角大樓制定國防工業基礎網絡安全戰略

3月28日，五角大樓發布了首個網絡安全戰略，以更好地保護其龐大的工業基礎免受黑客攻擊。該戰略將作為增強供應鏈網絡安全和彈性的路線圖，涵蓋2024至2027財年，制定了四個首要目標，例如改進工業基礎內的最佳實踐等。

資料來源：http://ljg1b.dwa2.sbs/s87Csjy

4、美國參議員提出《2024年醫療保健網絡安全改進法案》

3月25日，美國參議員提出了《2024年醫療保健網絡安全改進法案》，該法案提議在網絡事件發生后，在滿足最低網絡安全標準的情況下，向醫療保健提供者提供預付款和加速付款。這項立法是為了應對針對Change Healthcare的勒索軟件攻擊，該攻擊擾亂了全國范圍內提供商的計費服務，使許多提供商面臨財務破產的風險。

資料來源：http://1fc7c.dwa2.sbs/JbBHPQm

5、美國CISA發布447頁的網絡事件報告規則草案

3月28日，美國最高網絡安全機構公布了一項新規則的初稿，詳細說明了關鍵基礎設施組織需要如何向聯邦政府報告網絡攻擊。網絡安全和基礎設施安全局(CISA)根據《關鍵基礎設施網絡事件報告法》向《聯邦公報》發布了447頁的法規，允許公眾對其發表評論。

資料來源：http://l5v3a.dwa2.sbs/2DPHR4P

6、Claroty的Team82揭示了Unitronics UniStream設備中的嚴重漏洞

3月25日，據媒體報道，Claroty Team82的研究人員披露了Unitronics UniStream集成PLC/HMI產品中存在嚴重硬件漏洞，導致供應商更新產品線。這些漏洞可能允許攻擊者繞過身份驗證并在直接連接到互聯網的設備上啟用遠程代碼執行。

資料來源：http://5jswa.dwa2.sbs/hlUyATi

7、德國警告稱1.7萬臺易受攻擊的Microsoft Exchange服務器在線暴露

3月26日，德國國家網絡安全機構警告稱，它發現德國至少17,000臺Microsoft Exchange服務器暴露在網上，容易受到一個或多個嚴重安全漏洞的影響。據德國聯邦信息安全局(BSI)稱，德國大約45,000臺Microsoft Exchange服務器啟用了Outlook Web Access(OWA)，并且可以通過Internet進行訪問。

資料來源：http://apc5c.dwa2.sbs/ghxMYVV

8、OpenVPN修復Windows中的多個嚴重漏洞

3月24日，OpenVPN已發布重要安全更新(版本2.6.10)，以解決其Windows軟件中的一系列漏洞，這些漏洞可能導致權限升級、遠程攻擊和系統崩潰。這些漏洞凸顯了定期軟件更新的必要性，特別是對于OpenVPN等處理網絡流量的工具。本次更新的漏洞包括CVE-2024-27459(堆棧溢出保護)、CVE-2024-24974(遠程訪問限制)、CVE-2024-27903(插件加載限制)和CVE-2024-1305(TAP驅動程序溢出修復)。

資料來源：http://2oxhc.dwa2.sbs/VYF9CLg

9、TheMoon惡意軟件在72小時內感染6,000臺華碩路由器

3月26日，據媒體報道，TheMoon”惡意軟件僵尸網絡的新變種感染了88個國家/地區數千個過時的小型辦公室和家庭辦公室(SOHO)路由器和物聯網設備。TheMoon與“Faceless”代理服務相關聯，該服務使用一些受感染的設備作為代理，為希望匿名其惡意活動的網絡犯罪分子路由流量。Black Lotus Labs研究人員對2024年3月上旬開始的最新TheMoon活動進行監控，發現72小時內有6,000臺華碩路由器成為攻擊目標。

資料來源：http://b4gua.dwa2.sbs/H0scNAy

10、代碼執行缺陷困擾著NVIDIA公司的Windows版ChatRTX擊

人工智能計算巨頭NVIDIA周三(3月27日)針對其ChatRTX for Windows應用程序中的兩個軟件缺陷推出了緊急補丁，同時警告用戶面臨代碼執行和數據篡改攻擊的風險。根據NVIDIA的一份報告，這些缺陷具有“高風險”評級，可被利用通過跨站點腳本攻擊來啟動有害代碼。標記為CVE-2024-0082和CVE-2024-0083的安全缺陷影響Windows 0.2及之前版本的ChatRTX。

資料來源：http://uwdda.dwa2.sbs/TKbFfWj

11、黑客攻擊印度國防和能源部門

3月27日，印度政府實體和能源公司發布公告稱其遭遇攻擊，攻擊者通過網絡釣魚電子郵件發送偽裝成印度空軍的邀請函，進而利用Slack通道作為滲透點，在惡意軟件執行后上傳機密文檔、私人電子郵件和緩存的網絡瀏覽器數據。

資料來源：http://56nia.dwa2.sbs/ImadCJF

12、美國佛羅里達州的圣克勞德市遭到勒索攻擊

3月26日，圣克勞德市表示，勒索攻擊導致許多部門受到影響，但他們正在盡可能最佳地運作，直到問題得到解決。圣克勞德位于奧蘭多以南約一小時車程處，擁有60000名居民。并且公園和休閑活動及服務的現場付款也暫時只能使用現金。

資料來源：http://tdlaa.dwa2.sbs/WxAmVAy

13、INC勒索軟件襲擊蘇格蘭NHS，威脅泄露3TB患者數據

3月27日，據媒體報道，INC勒索軟件團伙在其暗網泄密博客上發布公告，聲稱已成功竊取蘇格蘭國家醫療服務體系(NHS Scotland)高達3TB的敏感數據。但是截止至當前截至撰寫本文時，NHS Scotland尚未證實勒索軟件攻擊的發生或是否經歷過數據泄露。

資料來源：http://xbieb.dwa2.sbs/uHxvBSW

14、越南證券經紀商的網絡攻擊

3月27日，越南第三大證券經紀商VNDirect在3月24日遭遇網絡攻擊后仍在努力全面恢復運營。據路透社報道，自27日以來，VNDirect的股價已下跌近4%。同時另一個更大的越南市場胡志明市證券交易所(簡稱HOSE或HSX)的交易量下降了10%，因為使用VNDirect的投資者無法進行交易。

資料來源：http://g1nyc.dwa2.sbs/ewvWbRW

15、Top.gg Discord機器人社區遭到供應鏈攻擊

3月25日，多年來，威脅行為者一直在使用多種策略、技術和程序(TTP)，包括劫持GitHub帳戶、分發惡意Python包、使用虛假的Python基礎設施和社會工程。上傳到PyPI的惡意包充當了破壞系統的初始載體。一旦系統遭到破壞，或者攻擊者劫持了特權GitHub帳戶，他們就會更改項目文件以指向假鏡像上托管的依賴項。Top.gg是攻擊者最近的受害者之一，這是一個流行的搜索和發現平臺，適用于Discord服務器、機器人和其他社交工具，旨在游戲、提高參與度和改進功能。攻擊者入侵了top.gg維護者“editor-syntax”的帳戶，該維護者對該平臺的GitHub存儲庫擁有重要的寫入訪問權限。

資料來源：http://orada.dwa2.sbs/azPKN5D