工業網絡安全周報（2024年第31期）

本期摘要

政策法規方面，本周觀察到國外網絡安全相關政策法規8項，值得關注的有CISA和FBI發布《安全需求指南》推動軟件制造商增強安全性。

漏洞態勢方面，本周監測到漏洞動態10條，值得關注的有Cisco發出警告，其Smart Software Manager On-Prem(SSM On-Prem)存在嚴重漏洞(CVE-2024-20419)，允許遠程攻擊者無需原始憑據即可更改任意用戶密碼，包括管理員賬戶。

安全事件方面，本周監測到重大網絡安全事件22起，其中典型的事件有電子制造服務提供商Keytronic在2024年5月遭受勒索軟件攻擊，損失超1700萬美元。

1、CISA和FBI發布《安全需求指南》推動軟件制造商增強安全性

8月8日，美國CISA和FBI發布《安全需求指南》，指導組織采購安全技術產品，推動安全技術生態系統發展。該指南提供評估軟件制造商網絡安全方法的問題和資源，強調"安全設計"的重要性，并建議在采購全周期融入安全性考慮。客戶應通過采購決策推動制造商落實"安全設計"，保持在日志管理、第三方依賴性管理和漏洞報告等領域的透明性和及時性。

資料來源：http://tuhwb.dwa5.sbs/t7LGzZ4

2、美國立法推動醫療電子設備在敏感設施中的安全使用

8月5日，據媒體報道，美國參議員提出立法，為機密信息設施中的醫療電子設備使用制定標準化政策和透明度要求。法案旨在確保需使用醫療設備的員工能在安全標準下工作于SCIFs，同時要求官員重視設備準入。政府問責辦公室報告指出權限應用不一致，國家情報總監辦公室已發布統一管理指令。法案將部分指令法制化，要求機構向國會提交審批信息，并在180天內制定政策。

資料來源：http://u01ja.dwa5.sbs/4EYppfR

3、Cisco SSM允許遠程更改管理員密碼漏洞曝出

8月8日，Cisco發出警告，其Smart Software Manager On-Prem(SSM On-Prem)存在嚴重漏洞(CVE-2024-20419)，允許遠程攻擊者無需原始憑據即可更改任意用戶密碼，包括管理員賬戶。漏洞由身份驗證系統錯誤實現引起，可通過HTTP請求利用。目前無已知攻擊利用，但Cisco已發布更新修復，并建議立即升級系統。同時，Cisco修補了其他關鍵漏洞，建議禁用Smart Install功能以防進一步攻擊。

資料來源：http://uxoka.dwa5.sbs/1H4FAFD

4、數字錄像機嚴重漏洞暴露40萬設備給黑客

2024年8月5日，Dhivya報道發現多款DVR存在嚴重安全漏洞，超40.8萬臺設備面臨網絡攻擊風險。漏洞因訪問控制不足，允許未授權訪問設備敏感信息。CWE-200信息暴露，特定端點可被利用，無需認證獲取硬件、軟件版本等信息。受影響軟件版本包括1.3.4.22966B181219.D00.U1等。Provision-ISR承認問題，與TVT合作制定緩解策略。攻擊者可通過特制POST請求利用漏洞。

資料來源：https://cybersecuritynews.com/vulnerability-digital-video-recorders/

5、Windows壁紙功能漏洞“FakePotato”可被用于提升攻擊者權限

2024年8月5日，安全研究人員Andrea Pierini發現了Windows的嚴重安全漏洞"FakePotato"，允許攻擊者通過壁紙文件提升權限至SYSTEM賬戶。漏洞影響多版本Windows，包括Windows 10和Server 2019，CVSS得分7.8，表明高嚴重性。概念驗證利用已開發，展示攻擊者如何獲取用戶憑據。成功利用可導致敏感信息泄露和網絡橫向移動。

資料來源：https://gbhackers.com/leaked-wallpaper-vulnerability-exposes-windows/

6、Ubiquiti漏洞暴露兩萬用戶信息，補丁更新未能徹底修復問題

2024年8月5日，Check Point Research發現超2萬臺Ubiquiti設備，包括G4 Wi-Fi攝像頭和Cloud Key+，存在漏洞，允許攻擊者訪問個人數據。問題源于不安全的UDP端口，部分設備已被黑，顯示“HACKED”信息。泄露信息包括平臺名稱、軟件版本、IP地址等，為社會工程攻擊提供資源。盡管2019年已發布補丁，但更新緩慢和用戶忽視更新導致漏洞依舊存在。

資料來源：https://www.securitylab.ru/news/550791.php

7、SEC決定不對MOVEit制造商Progress Software采取執法行動

8月9日，美國SEC決定不對Progress Software采取執法行動，盡管其MOVEit工具去年被黑客利用，導致數百萬個人信息泄露。Progress Software因事件處理面臨多項調查，但SEC已結束對MOVEit漏洞的調查，暫不采取行動。公司披露已花費約420萬美元處理事件，大部分由網絡保險賠償。此外，Progress還面臨144起集體訴訟，涉及敏感數據泄露，黑客組織Clop從攻擊中可能獲得7500萬至1億美元贖金。

資料來源：http://8dr9a.dwa5.sbs/WtB62zA

8、Keytronic遭勒索軟件攻擊，損失超1700萬美元

8月5日，據媒體報道，電子制造服務提供商Keytronic在2024年5月遭受勒索軟件攻擊，損失超1700萬美元。黑客組織Black Basta宣稱負責，公開了從Keytronic竊取的數據。攻擊影響了墨西哥和美國的業務，導致額外支出和收入損失。盡管大部分訂單預計在2025年完成，公司仍面臨保險賠償問題。Black Basta自2022年運營以來已攻擊超過500家機構，Keytronic尚未透露數據泄露影響人數。

資料來源：http://g3yoa.dwa5.sbs/nqtIbas

9、俄羅斯間諜組織侵入英國政府系統竊取敏感數據和郵件

8月8日，據Recorded Future News報道，俄羅斯黑客組織Midnight Blizzard入侵英國內政部系統，竊取郵件和個人數據。攻擊始于微軟系統被黑，影響包括內政部在內的多個客戶。微軟1月披露攻擊，內政部5月才報告。事件突顯政府對供應商依賴風險，引發網絡安全和供應商多樣性擔憂。專家呼吁嚴肅應對，維護公眾信任。

資料來源：https://therecord.media/russia-hack-uk-government-home-office-microsoft

10、俄羅斯庫爾斯克地區在烏克蘭跨境行動期間遭遇大規模DDoS攻擊

8月8日，據媒體報道，庫爾斯克地區在烏克蘭跨境行動期間遭大規模DDoS攻擊，匿名黑客致政府和商業網站服務中斷。NetBlocks數據顯示，該地區出現間歇性互聯網中斷。俄羅斯數字部指出，攻擊高峰時每秒超過10萬垃圾請求，IP地址多在德國和英國注冊，但來源可能多樣。目前未知攻擊發起者，烏克蘭相關組織未聲稱負責。

資料來源：https://therecord.media/kursk-military-offensive-ddos-russia-ukraine

11、ADT公司遭遇黑客攻擊，客戶信息部分外泄

8月9日，據媒體報道，ADT Inc.宣布黑客未經授權入侵了其客戶訂單數據庫，盜取了有限的客戶信息如郵件地址、電話和住址。公司迅速采取措施并開始調查，目前未發現家居安全系統或敏感數據如銀行信息被訪問。受影響客戶為少數，公司認為事件未對運營產生實質影響，已通知受影響客戶。

資料來源：https://therecord.media/adt-says-hackers-obtained-limited-customer-data

12、密歇根州醫療系統遭受網絡攻擊

8月7日，密歇根州著名的醫療系統McLaren Health Care確認，密歇根州McLaren Health Care醫療系統遭網絡攻擊，導致電話和計算機系統中斷。盡管設施基本運行正常，但需執行停機程序以恢復IT系統。IT團隊正與專家合作分析攻擊并減輕影響。急診部門繼續運營，部分手術和程序取消，非緊急預約被重新安排。患者需攜帶相關醫療文件，McLaren正與合作伙伴和保險公司合作確保供應鏈和保險授權不受影響。

資料來源：https://therecord.media/michigan-hospital-system-struggling-after-cyberattack

13、英國NHS軟件供應商因數據泄露遭勒索軟件攻擊面臨600萬英鎊罰款

8月7日，據媒體報道，英國NHS軟件供應商Advanced因2022年勒索軟件攻擊導致數萬個人信息泄露，面臨ICO的609萬英鎊初步罰款。攻擊導致電話號碼、醫療記錄和家庭護理方法被盜。ICO發現攻擊者通過未啟用多因素認證的客戶賬戶訪問系統，認為Advanced在信息安全方面存在嚴重失誤。公司有機會在最終確定前提出異議。

資料來源：https://therecord.media/nhs-software-supplier-hit-with-6-million-fine

14、澳美簽署諒解備忘錄加強打擊虛假信息合作

8月6日，據媒體報道，澳大利亞與美國簽署諒解備忘錄，加強打擊信息操縱合作。黃英賢與布林肯在華盛頓宣布，澳大利亞成為第20個簽署國，顯示全球共識。備忘錄將促進信息共享，應對印太地區威脅，增強信息完整性。黃英賢強調，這有助于保護民主價值觀，應對外國干涉。澳大利亞還將加入美國的"Landsat Next 2030"倡議，支持氣候變化應對。

資料來源：http://kjhwa.dwa5.sbs/qNPb4fu

15、日本計劃強制關鍵領域企業報告網絡事件用于提升網絡安全

8月6，據媒體報道，日本政府考慮強制關鍵基礎設施領域企業報告網絡攻擊，以解決因擔心股價受損而隱瞞問題的情況。此舉旨在快速共享信息，防止攻擊擴散。2022年的自愿報告計劃現擬轉為法律義務，以建立透明合作文化。關鍵領域包括電信、金融等15個行業。企業高管協會支持此舉，認為有助于主動采取網絡安全措施，提高保護能力。

資料來源：https://thecyberexpress.com/japan-mandatory-cybersecurity-reporting/

16、Claroty團隊推出工具以對抗關鍵基礎設施的網絡威脅

8月9日，Claroty的Team82發布了兩款工具，用于從Unitronics PLC/HMI設備提取取證信息，應對去年CyberAv3ngers組織的網絡攻擊。這些工具基于對PCOM通信協議的研究，可將串行消息轉換為TCP消息，并查詢設備提取信息，幫助用戶識別攻擊者行為并保護關鍵數據。同時，研究還發現了Unitronics產品的兩項安全漏洞。

資料來源：http://hyx7b.dwa5.sbs/2HiXtXx