工業網絡安全周報（2024年第20期）

本期摘要

政策法規方面，本周觀察到國內外網絡安全相關政策法規5項，值得關注的有由中央網絡安全和信息化委員會辦公室、中央機構編制委員會辦公室、工業和信息化部、公安部制定的《互聯網政務應用安全管理規定》已印發。

漏洞態勢方面，本周監測到漏洞動態14條，值得關注的有西門子S7產品線存在遠程調試風險。

安全事件方面，本周監測到重大網絡安全事件16起，其中典型的事件有半導體巨頭OmniVision個人信息在勒索軟件攻擊中被盜。

安全技術方面，Windows 11將淘汰NTLM并新增AI驅動安全防護。

1、四部門制定《互聯網政務應用安全管理規定》

5月23日，據媒體報道，由中央網絡安全和信息化委員會辦公室、中央機構編制委員會辦公室、工業和信息化部、公安部制定的《互聯網政務應用安全管理規定》已印發。規定要求，建設運行互聯網政務應用應當依照有關法律、行政法規的規定以及國家標準的強制性要求，采取技術措施和其他必要措施，防范內容篡改、攻擊致癱、數據竊取等風險，保障互聯網政務應用安全穩定運行和數據安全。

資料來源：https://www.freebuf.com/news/401719.html

2、美國CISA首次推出符合零信任策略的聯邦機構加密DNS實施指南

5月19日，據媒體報道，美國網絡安全和基礎設施安全局(CISA)發布了針對聯邦民事行政部門(FCEB)機構的加密域名系統(DNS)實施指南，旨在提升網絡安全彈性并符合OMB備忘錄M-22-09和國家網絡安全戰略的零信任原則。

資料來源：http://gud7a.dwa2.sbs/3jfOBhX

3、美國國防部發布《網絡安全互惠手冊》

5月22日，美國國防部首席信息官(CIO)宣布公開發布《國防部網絡安全互惠手冊》，該手冊參考了國防部長備忘錄中的互惠概念。手冊提供了在國防部系統內實施網絡安全互惠的指導，定義了互惠概念，概述了其益處和風險，并提供了示例用例。

資料來源：http://suoda.dwa2.sbs/FfaJVGA

4、西門子S7產品線存在遠程調試風險

5月21日，據媒體報道，以色列理工學院Eyal Semel等研究人員發現可利用固件修改攻擊實施對西門子S7 PLCs的遠程調試，該攻擊在西門子所有Simatic S7產品線中都有效，且存在問題的PLC無法進行漏洞修復。

資料來源：https://mp.weixin.qq.com/s/gTfSElNrLfiZZ_CC4Q19Zw

5、CISA就Apache Flink安全漏洞被主動利用發出警告

5月23日，美國網絡安全和基礎設施安全局(CISA)將一個影響開源統一流處理和批處理框架Apache Flink的安全漏洞添加到已知被利用漏洞(KEV)目錄中，并引用了積極利用的證據。該漏洞被追蹤為CVE-2020-17519，與訪問控制不當的情況有關，該情況可能允許攻擊者通過JobManager的REST接口讀取JobManager本地文件系統上的任何文件。

資料來源：http://xxmca.dwa2.sbs/zLS6VSC

6、Ivanti修補Endpoint Manager中的關鍵代碼執行漏洞

5月21日，IT軟件公司Ivanti宣布了一系列安全補丁，其中包括針對其Endpoint Manager (EPM)中的嚴重漏洞的修復。EPM中的10個安全缺陷中有6個是極其嚴重的SQL注入錯誤，這些漏洞允許未經身份驗證的攻擊者在網絡上執行任意代碼，CVE編號為CVE-2024-29822至CVE-2024-29827，CVSS評分高達9.6。Ivanti已發布熱修復和更新指南，并承諾未來版本中將包含這些補丁。

資料來源：http://rrkha.dwa5.sbs/Mnd5PuA

7、聲音攻擊可能成為針對水下數據中心的武器

5月22日，據媒體報道，佛羅里達大學和日本電子通信大學的科學家發現，水下數據中心可能因聲波干擾而運行受阻。研究人員在arXiv上發表的論文中指出，硬盤驅動器(HDD)的諧振頻率聲波可能導致RAID存儲系統性能下降甚至應用崩潰。這種聲波影響可傳遞至6米外，且正確諧振頻率的聲音會通過振動影響讀寫頭和磁盤。

資料來源：https://www.securitylab.ru/news/548466.php

8、網絡安全公司和物聯網設備制造商聯合修復軟件漏洞

5月22日，據媒體報道，網絡安全公司Bitdefender與物聯網技術公司ThroughTek合作，成功修復了Kalay工具中的四個軟件漏洞，這些漏洞可能被惡意黑客利用以深入訪問網絡。受影響的公司包括設備制造商Roku、嬰兒監視器制造商Owlet和無線相機銷售商Wyze。

資料來源：http://8rnta.dwa5.sbs/vMUUAUm

9、特斯拉汽車的開源數據記錄器 TeslaLogger 中發現漏洞

5月17日，據媒體報道，得克薩斯大學達拉斯分校(UT Dallas)網絡安全專業碩士研究生Harish SG發現 TeslaLogger(用于從 Tesla 車輛收集數據的第三方軟件)中存在一個漏洞，該漏洞利用不安全的默認設置，可被利用來獲得對TeslaLogger實例的未經授權的訪問。隨后TeslaLogger維護人員通過啟用加密以在數據庫中存儲tesla API密鑰和刷新令牌來緩解風險。

資料來源：https://cybersecuritynews.com/30-tesla-cars-hacked/

10、半導體巨頭OmniVision個人信息在勒索軟件攻擊中被盜

5月21日，據媒體報道，半導體制造公司OmniVision Technologies在2023年9月遭受勒索軟件攻擊后，披露了一起數據泄露事件。該事件在系統被加密后被發現，OmniVision迅速展開調查并通知執法部門。調查確定攻擊者在9月4日至30日竊取了個人信息。

資料來源：http://zuizc.dwa5.sbs/RbK0lyo

11、威脅行為者聲稱獲取7000萬行監獄數據

5月21日，據媒體報道，威脅行為者USDoD和SXUL聲稱對LeakBase上涉嫌的重大監獄數據泄露事件負責，該事件泄露了與犯罪數據庫相關的約7000萬行敏感數據。監獄數據泄露包括唯一的身份證號碼、社會安全號碼、全名、出生日期、出生州、身體特征、家庭和備用地址、犯罪代碼、犯罪日期、犯罪描述、法院處理、定罪日期和指控日期。數據以.csv格式共享，壓縮后文件大小為3GB，未壓縮時文件大小為22GB。

資料來源：http://oqydc.dwa5.sbs/i8SDVJE/

12、美國無線電中繼聯盟(ARRL)遭受重大網絡攻擊

5月22日，據媒體報道，美國無線電中繼聯盟(ARRL)，已確認遭受嚴重網絡攻擊，影響了包括“世界日志”(LoTW)互聯網數據庫在內的多個關鍵在線服務。ARRL尚未明確網絡事件的性質，正與外部網絡安全專家合作，以減輕影響并恢復服務。

資料來源：https://thecyberexpress.com/cyberattack-on-arrl/

13、與伊朗相關的攻擊者對阿爾巴尼亞和以色列進行了網絡攻擊

5月22日，一個與伊朗情報和安全部(MOIS)有關的威脅行為者被認為是針對阿爾巴尼亞和以色列進行破壞性擦除攻擊的幕后黑手，分別以“Homeland Justice”和“Karma”的名義進行活動。研究人員將這一活動追蹤為“Void Manticore”。

資料來源：http://dmo5a.dwa2.sbs/arG3p7t

14、微軟必應全球宕機波及 ChatGPT、Copilot、DuckDuckGo等服務

5月24日，據媒體報道，微軟全球必應搜索服務出現宕機事件，且持續了1天時間，但影響并不僅僅局限于必應搜索網站，很多調用必應搜索API的服務也因此受到影響。微軟表示正在積極調查問題的根本原因，并將在必要時采取進一步的緩解措施。

資料來源：https://www.ithome.com/0/770/260.htm

15、Singing River醫療系統遭勒索軟件攻擊

5月20日，Singing River Health System 表示，2023年8月的勒索軟件攻擊造成數據泄露影響了895,204人。根據數據泄露通知，暴露的信息包括全名、出生日期、物理地址、社會安全號碼 (SSN)和以及醫療和健康信息。

資料來源：http://f27pa.dwa5.sbs/PBSHOEV

16、Windows 11將淘汰NTLM并新增AI驅動安全防護

5月20日，微軟確認計劃在2024年下半年逐步淘汰Windows 11中的NT LAN Manager(NTLM)，并宣布了采用Kerberos進行身份驗證等一系列新的安全措施，以增強廣泛使用的桌面操作系統的安全性。

資料來源：http://q3thb.dwa5.sbs/TwL1iKV