工業網絡安全周報（2024年第27期）

本期摘要

政策法規方面，本周觀察到國內外網絡安全相關政策法規5項，值得關注的有美國國家安全局(NSA)發布了國防部零信任框架最終指南，強調自動化和編排在實現快速、大規模安全響應中的重要性。

漏洞態勢方面，本周監測到漏洞動態10條，值得關注的有NetgearOrbi路由器零日漏洞在暗網出售。

安全事件方面，本周監測到重大網絡安全事件22起，其中典型的事件有東歐黑客組織"Lifting Zmiy"通過入侵電梯控制器"Tekon-Automatika"，攻擊俄羅斯多部門和企業。

1、OpenStack被曝存在允許未授權文件訪問漏洞

7月11日，據媒體報道，美國國家安全局(NSA)發布了國防部零信任框架最終指南，強調自動化和編排在實現快速、大規模安全響應中的重要性。指南提倡使用AI和ML技術提高檢測和響應威脅的能力，以及策略編排和安全自動化，以增強組織面對網絡威脅時的彈性。

資料來源：https://www.tc260.org.cn/upload/2024-06-24/1719196611263024551.pdf

2、俄羅斯IT解決方案自主可控制的新舉措

7月8日，俄羅斯總理米舒斯京宣布措施以加速本土軟件應用，目標是到2030年80%企業使用國產IT解決方案。政府將提供投資稅減免、試點資助、優惠貸款和行業測試平臺，禁止國企開發已有國產替代品的軟件，監控本土軟件價格，并加強IT人才培養與教育合作。

資料來源：https://www.securitylab.ru/news/549901.php

3、美國海軍陸戰隊發布新AI戰略推動數字化現代化

7月10日，美國海軍陸戰隊發布新AI戰略，推動技術整合，強調AI在快速決策中的作用，并設定現代化條件。面臨技術與任務不一致等挑戰。戰略提出五大目標，包括理解任務、建立用例庫、加強培訓、吸引人才、現代化數據管理，并確保網絡安全。強調負責任AI治理，通過合作加速創新，由新AI任務小組執行詳細計劃。

資料來源：https://defensescoop.com/2024/07/11/marine-corps-new-ai-strategy-goals/

4、NetgearOrbi路由器零日漏洞在暗網出售

7月10日，TIKILA威脅者在論壇上出售NetgearOrbi路由器的零日漏洞，該漏洞允許遠程代碼執行并以root權限運行，影響超5萬臺設備。要求買家先證明資金，強調了消費級設備安全風險，呼吁加強安全措施和漏洞修補。

資料來源：https://dailydarkweb.net/threat-actor-claims-to-sell-0day-preauth-rce-for-netgear-orbi/

5、MongoDB Compass代碼注入漏洞危及系統安全

7月8日，Guru Baran報道發現MongoDB Compass 1.42.2前版本存在關鍵安全漏洞CVE-2024-6376，可能導致代碼注入攻擊。該漏洞因輸入驗證不當被賦予高CVSS評分，建議立即更新至最新版本并加強輸入驗證以提高安全性。

資料來源：https://cybersecuritynews.com/mongodb-compass-code-injection-flaw/

6、Realtek SDK漏洞頻發，LevelOne路由器拒絕修復

7月10日，據媒體報道，思科Talos團隊發現Realtek rtl819x Jungle SDK有15個安全漏洞，包括基于堆棧的緩沖區溢出和遠程代碼執行風險。LevelOne WBR-6013路由器使用該SDK但未發布修復。Grandstream GXP2135 IP電話也有命令注入漏洞。Realtek已修補SDK漏洞，但LevelOne的不作為可能導致用戶安全風險。用戶應更新安全規則集。

資料來源：https://blog.talosintelligence.com/vulnerability-roundup-july-10-2024/

7、Microsoft Outlook中發現零點擊RCE漏洞

7月9日，研究人員披露Microsoft Outlook存在零點擊RCE漏洞CVE-2024-38021，影響廣泛且無需身份驗證即可被利用。盡管微軟已發布補丁，但建議重新評估嚴重性。建議用戶立即更新至最新版本，加強電子郵件安全。

資料來源：https://blog.morphisec.com/cve-2024-38021-microsoft-outlook-moniker-rce-vulnerability

8、利用電梯控制器的“Lifting Zmiy”黑客攻擊

7月8日，東歐黑客組織"Lifting Zmiy"通過入侵電梯控制器"Tekon-Automatika"，攻擊俄羅斯多部門和企業。黑客利用SpaceX Starlink掩蓋行蹤，盡管漏洞已知，部分用戶未更新或被破解，暴露了SCADA系統安全風險。

資料來源：https://www.securitylab.ru/news/549896.php

9、黑客出售國內天然氣公司數據

7月6日，監測泄露論壇發現，黑客BlackKing在論壇上宣布出售從某大型天然氣公司竊取的數據，包含220萬條用戶詳細記錄，如姓名、身份證號、手機號等。數據泄露帶來隱私風險，呼吁相關機構和用戶加強安全防護。

資料來源：https://breachforums.st/

10、Advance Auto Parts 數據泄露事件影響230萬用戶

7月11日，據媒體報道，全球最大的汽車產品零售商之一Advance Auto Parts數據泄露事件影響超230萬人，包括敏感個人信息。泄露源于5月對數據存儲公司Snowflake的攻擊，Advance Auto Parts是160家受影響公司之一。黑客在論壇發布3.8億客戶信息，部分已證實。公司發現并調查泄露后，為受害者提供12個月身份保護服務。專家警告，憑證竊取和銷售活動正增加。

資料來源：https://therecord.media/advance-auto-parts-data-breach-2million

11、黑入50組織：Fortinet VPN遭未授權威脅行為者入侵

7月11日，據媒體報道，威脅行為者聲稱非法訪問了美國50多個組織的Fortinet VPN，并在暗網上出售訪問權限，價格為7500美元。行為者還聲稱擁有RDP訪問和管理員權限，可能用于執行惡意活動。事件引起網絡安全社區關注，暴露了安全系統的漏洞。專家建議審查VPN配置、實施多因素認證并監控網絡流量，強調了網絡安全措施和主動威脅檢測的重要性。

資料來源：https://cybersecuritynews.com/claims-to-have-unauthorized-fortinet-vpn/

12、微軟員工數據遭第三方泄露事件

7月10日，微軟公司數據泄露，2073名員工的個人信息和工作詳情外泄。泄露由第三方供應商系統被入侵導致，涉及敏感數據如全名、職稱、聯系方式等。事件暴露了第三方安全風險，微軟需采取措施如通知員工、加強教育和安全審核，以減輕影響并重建信任。

資料來源：https://cybersecuritynews.com/microsoft-employees-data-exposed/

13、美國視頻游戲巨頭Roblox發生數據泄露事件

7月6日，美國視頻游戲巨頭Roblox宣布，其年度開發者大會的注冊數據因第三方應用程序數據泄露而暴露，包括全名、同意和IP地址。事件影響過去兩年的注冊數據。Roblox正采取措施防止未來類似事件，同時指出游戲行業面臨日益惡化的黑客攻擊問題。

資料來源：https://thecyberexpress.com/third-party-data-breach-exposes-roblox-data/

14、肯德基數據庫遭威脅行為者聲稱入侵

7月10日，威脅行為者聲稱非法入侵肯德基數據庫，可能獲取了客戶敏感信息。聲明在社交媒體平臺X發布，引起安全界關注。網絡安全專家正在驗證聲明真實性。肯德基尚未回應，事件凸顯了網絡安全和信息保護的重要性。

資料來源：https://gbhackers.com/claiming-breach-of-kfc-database/

15、疑似外國黑客攻擊導致澳門政府網站癱瘓

7月11日，據媒體報道，澳門至少五家政府網站遭受DDoS攻擊，導致服務癱瘓一小時。受影響的包括保安、警察、消防和公共安全學院網站。澳門警方已開始刑事調查。保安司司長黃少澤稱，當局已與電信運營商合作恢復服務，并要求改進計劃防止未來攻擊。黑客組織和動機不明，但澳門關鍵基礎設施網絡攻擊頻次上升。

資料來源：https://therecord.media/macau-government-websites-hit-with-cyberattack