工業網絡安全周報（2024年第26期）

本期摘要

政策法規方面，本周觀察到國內外網絡安全相關政策法規8項，值得關注的有美國國土安全部推出1800萬美元部落網絡安全補助計劃。

漏洞態勢方面，本周監測到漏洞動態11條，值得關注的有微軟披露羅克韋爾 PanelView Plus設備存在遠程代碼執行和DoS兩個嚴重漏洞。

安全事件方面，微軟在Windows 11中新增VBS Enclave安全功能，利用虛擬化技術強化敏感數據保護。

產品技術方面，微軟在Windows 11中新增VBS Enclave安全功能，利用虛擬化技術強化敏感數據保護。

1、美國國土安全部推出1800萬美元部落網絡安全補助計劃

7月4日，美國國土安全部推出新的部落網絡安全補助計劃，撥款1800萬美元，由FEMA和CISA管理，旨在提升超過30個部落國家的網絡安全能力。計劃將資助建立治理框架、識別漏洞、實施緩解措施，并培養本地網絡勞動力。受助方還將獲得CISA的免費網絡安全服務，提高國家對網絡威脅的彈性。

資料來源：https://industrialcyber.co/cisa/dhs-provides-18-2-million-tribal-cybersecurity-grant-program-to-boost-resilience/

2、微軟發現羅克韋爾 PanelView Plus設備嚴重漏洞

7月3日，微軟披露羅克韋爾 PanelView Plus設備兩嚴重漏洞：一個遠程代碼執行(RCE，CVE-2023-2071)和一個DoS(CVE-2023-29464)。RCE漏洞通過惡意DLL利用自定義類，DoS漏洞通過特制緩沖區導致崩潰。羅克韋爾已發布補丁，微軟建議立即更新并加強安全措施。

資料來源：https://thecyberexpress.com/microsoft-rce-dos-exploits-found-in-rockwell/

3、OpenStack被曝存在允許未授權文件訪問漏洞

7月4日，據媒體報道，OpenStack現嚴重安全漏洞CVE-2024-32498，允許未授權文件訪問。QCOW2和VMDK圖像處理缺陷影響Nova和Glance組件。Red Hat評為“嚴重”，發布補丁。建議用戶立即更新，加強安全監控。

資料來源：https://cybersecuritynews.com/openstack-arbitrary-file-access-flaw/

4、東芝多功能打印機曝40多個嚴重漏洞

7月1日，據媒體報道，東芝e-STUDIO多功能打印機發現40多個漏洞，影響103種型號，包括遠程代碼執行和權限提升等安全威脅。攻擊者可能通過多種方式竊取信息。東芝已發布安全公告，建議用戶更新固件。

資料來源：https://cybersecuritynews.com/toshiba-mfp-40-vulnerabilities/

5、Ubuntu發布安全更新修復Ghostscript漏洞

7月4日，據媒體報道，西門子修復了Sicam產品中的三個安全漏洞，包括可能導致代碼執行或拒絕服務的緩沖區覆蓋問題(CVE-2024-31484)、允許攻擊者提升權限的Web界面命令注入問題(CVE-2024-31485)，以及可能導致憑據泄露的MQTT客戶端密碼保護不當問題(CVE-2024-31486)。這些漏洞主要影響能源行業的變電站自動化設備。SEC Consult的研究人員發現了這些漏洞并提供了利用細節。

資料來源：https://www.securityweek.com/siemens-sicam-vulnerabilities-could-facilitate-attacks-on-energy-sector/

6、OpenSSH服務器被曝存在未認證的RCE漏洞

7月1日，據媒體報道，Qualys團隊發現OpenSSH中嚴重漏洞regreSSHion(CVE-2024-6387)，可能使數百萬服務器面臨未認證的遠程代碼執行風險。該漏洞與Log4Shell同樣嚴重，影響基于glibc的Linux系統，允許以root權限遠程執行代碼。目前不清楚Windows和macOS是否受影響。OpenSSH廣泛用于企業遠程管理和安全通信。可能有超1400萬實例暴露。漏洞是2006年CVE-2006-5051的回歸，Qualys提供入侵指標以助檢測。

資料來源：https://www.securityweek.com/millions-of-openssh-servers-potentially-vulnerable-to-remote-regresshion-attack/

7、黑客在暗網上出售針對HackerOne漏洞賞金平臺繞過雙因素認證漏洞

7月3日，黑客在論壇宣稱發現HackerOne的2FA繞過漏洞，允許未授權訪問和修改支付信息。交易經BF Escrow和@IntelBroker中介，不公開POC。HackerOne面臨安全風險，需迅速響應。

資料來源：https://breachforums.st/Thread-SELLING-HackerOne-Bug-Bounty-Platform-2FA-Bypass-Vulnerability

8、Cloudflare因BGP劫持事件導致近期服務中斷

7月5日，互聯網巨頭Cloudflare報告稱其1.1.1.1 DNS服務在6月27日遭遇BGP劫持和路由泄漏，影響了70國300網絡，但總體影響有限。起因是Eletronet錯誤宣布IP，Nova Rede誤將流量泄漏至其他網絡。Cloudflare迅速響應，與涉事網絡合作減輕影響，RPKI保護了內部路由。

資料來源：https://www.bleepingcomputer.com/news/security/hackers-leak-alleged-taylor-swift-tickets-amp-up-ticketmaster-extortion/

9、印尼云服務提供商SYSMON管理員訪問權限被出售

7月4日，暗網論壇上出現廣告，聲稱出售印尼云服務提供商SYSMON的管理員訪問權限，涉及11,903臺設備和超過600TB數據。訪問權限允許通過多種協議連接和編輯設備。威脅行為者采用拍賣方式出售，起始價格未公開，每次加價1000美元，并提供了Telegram賬號和TOX ID以供聯系。

資料來源：https://dailydarkweb.net/alleged-sysmon-admin-access-for-an-indonesian-cloud-service-provider-is-for-sale/

10、微軟Exchange服務器遭黑客攻擊

7月5日，據媒體報道，黑客利用ProxyLogon和ProxyShell漏洞攻擊微軟Exchange服務器，目標包括阿富汗總統府等政府通信。這些漏洞允許未認證攻擊者執行命令、訪問郵箱。Hunt Research Team在DigitalOcean服務器發現敏感文件，揭示復雜攻擊者針對多地區政府。

資料來源：https://cybersecuritynews.com/hackers-proxylogon-proxyshell-microsoft-exchange-attacks/

11、澳大利亞四大銀行遭遇持續網絡攻擊威脅

7月1日，據媒體報道，澳大利亞四大銀行面臨持續網絡攻擊，威脅來自業余黑客、有組織犯罪集團和國家支持的攻擊者。攻擊手段包括惡意代碼、漏洞利用和拒絕服務，目標是盜取信息和資金。澳大利亞年損失達30億美元。銀行業協會稱其為“詐騙戰爭”，呼吁客戶提高警覺。

資料來源：https://thecyberexpress.com/national-australia-bank-warn-cyber-threats/

12、云通信平臺Twilio確認遭受數據泄露

7月4日，云通信平臺Twilio確認數據泄露，涉及3300萬個Authy應用電話號碼。ShinyHunters黑客宣稱泄露，包括賬戶ID等信息。Twilio已保護未認證終端，未發現系統或其他數據被訪問。建議Authy用戶更新安全更新，警惕可能的網絡釣魚和垃圾短信。

資料來源：https://www.securityweek.com/twilio-confirms-data-breach-after-hackers-leak-33m-authy-user-phone-numbers/

13、國際汽聯FIA遭受數據泄露

7月4日，據媒體報道，國際汽車聯合會(FIA)遭受網絡釣魚攻擊，導致個人數據泄露和電子郵件賬戶被非法訪問。FIA已切斷非法訪問，通知監管機構，并采取措施加強安全。盡管迅速響應，FIA尚未公布攻擊細節，如檢測時間和受影響人數。媒體正尋求更多信息，同時呼吁加強網絡安全。

資料來源：https://thecyberexpress.com/fia-data-breach-emails-hacked-confirmed/

14、路由器制造商 Mercku 門戶遭入侵

7月1日，據媒體報道，加拿大路由器制造商Mercku支持門戶遭受攻擊，發送偽裝MetaMask更新通知的網絡釣魚郵件。郵件誘使用戶更新賬戶，實際鏈接至惡意網站。MetaMask是常用加密貨幣錢包，常受釣魚攻擊。Mercku建議用戶警惕，避免使用受影響的支持門戶。資料來源：

https://www.bleepingcomputer.com/news/security/router-makers-support-portal-responds-with-metamask-phishing/

15、軟推出基于虛擬化的技術旨在提升Windows 11數據保護能力

7月1日，微軟在Windows 11中新增VBS Enclave安全功能，利用虛擬化技術強化敏感數據保護。VBS Enclave作為基于虛擬化的軟件可信執行環境，允許通過DLL文件保護應用部分，創建隔離虛擬環境VTL1，與低權限VTL0隔離，安全存儲密碼和加密數據。雖對Windows API訪問受限，但安全性顯著提升，抵御現代網絡威脅。

資料來源：https://www.securitylab.ru/news/549764.php