工業網絡安全周報（2024年第37期）

本期摘要

政策法規方面，本周觀察到國外網絡安全相關政策法規6項，值得關注的有全國網安標委發布《網絡安全標準實踐指南——敏感個人信息識別指南》。

漏洞態勢方面，本周監測到漏洞動態10條，值得關注的有CISA發布關于Siemens、Yokogawa、Millbeck設備的多個漏洞報告。

安全事件方面，本周監測到重大網絡安全事件16起，其中典型的事件有土耳其國防制造公司KALE SAVUNMA的敏感數據被一名為ZeroSevenGroup的威脅行為者在BreachForum社區出售。

安全技術方面，Forescout推出了新的SaaS運營技術(OT)安全解決方案，旨在保護復雜的OT、IoT/IoMT和IT環境。

風險預警方面，關鍵基礎設施保護(CIP)網絡安全解決方案公司OPSWAT最新研究稱80%的關鍵基礎設施組織遭受了電子郵件安全漏洞的攻擊。

政策法規

1、全國網安標委發布《網絡安全標準實踐指南——敏感個人信息識別指南》

9月18日，全國網安標委為指導各相關組織開展敏感個人信息識別等工作，組織編制了《網絡安全標準實踐指南——敏感個人信息識別指南》。《實踐指南》給出了敏感個人信息識別規則以及常見敏感個人信息類別和示例，可用于指導各組織識別敏感個人信息，也可為敏感個人信息處理和保護工作提供參考。

資料來源：https://www.tc260.org.cn/upload/2024-09-18/1726621097544005928.pdf

2、美國CISA推出FOCAL計劃

9月17日，據媒體報道，美國網絡安全和基礎設施安全局(CISA)最近推出了FOCAL計劃，旨在加強聯邦政府的網絡安全和降低機構風險。該計劃專注于五個優先領域：資產管理、漏洞管理、可防御架構、網絡供應鏈風險管理(C-SCRM)以及事件檢測和響應。通過這些措施，CISA希望能夠提高聯邦機構在網絡安全方面的一致性和協調性，從而更有效地防御網絡威脅和提高對網絡安全事件的響應能力。FOCAL計劃的實施將有助于聯邦機構更好地管理網絡安全風險，并確保關鍵基礎設施的安全。

資料來源：http://knyyb.dwa6.sbs/thTXQFB

安全漏洞

3、CISA發布關于Siemens、Yokogawa、Millbeck設備中ICS漏洞的緊急建議

9月18日，美國網絡安全和基礎設施安全局(CISA)發布了針對工業控制系統(ICS)的三份公告，揭示了Siemens、Yokogawa和Millbeck設備中的硬件漏洞，并提供了技術細節和緩解措施。西門子SIMATIC S7-200 SMART設備存在“不受控制的資源消耗”漏洞，可能導致拒絕服務情況。此外，Millbeck Communications的Proroute H685t-w設備和橫河電機的PC2CKM平臺計算機也存在安全漏洞，可能允許攻擊者執行任意命令或導致拒絕服務。CISA建議采取防御措施，包括限制網絡訪問、使用VPN等，并強調了進行適當的影響分析和風險評估的重要性。這些公告突顯了關鍵基礎設施面臨的網絡威脅，以及加強安全措施的迫切需求。

資料來源：http://l3jyb.dwa6.sbs/MZG1xZa

4、D-Link修補影響無線路由器的關鍵漏洞

9月16日，據BleepingComputer 報道，D-Link已經修復了影響其三種無線路由器型號的幾個關鍵漏洞。其中三個漏洞(CVE-2024-45694、CVE-2024-45695 和 CVE-2024-45697)的CVSS評分為9.8。CVE-2024-45694和CVE-2024-45695都是基于堆棧的緩沖區溢出漏洞，可允許未經身份驗證的攻擊者實現遠程代碼執行。CVE-2024-45696 和CVE-2024-45697可允許攻擊者啟用telnet并使用硬編碼憑證登錄。

資料來源：http://gbizc.dwa6.sbs/GC4wv1v

安全事件

5、澳大利亞最大的食品公司遭勒索攻擊

9月19日，據媒體報道，總部位于悉尼的澳大利亞最大的食品和支持服務公司Compass Group確認遭Medusa勒索軟件攻擊，Medusa稱其竊取了785.5 GB的數據，并要求200萬美元刪除數據，或者要求任何人購買相同金額。

資料來源：http://smbja.dwa6.sbs/QILwsnY

6、俄羅斯安全公司Dr.Web遭網絡攻擊

9月17日，俄羅斯反惡意軟件公司Doctor Web(Dr.Web)稱其于9月14日起遭受了網絡攻擊，該公司在檢測到其IT基礎設施出現未授權干擾的跡象后，迅速斷開了所有服務器與其內部網絡的連接。為了應對這一安全事件，Dr.Web還暫停了向客戶提供病毒數據庫更新，并啟動了全面的安全診斷。Dr.Web強調，他們已經成功隔離了威脅，并確保了客戶的安全不會受到此次事件的影響。

資料來源：http://vbcsc.dwa6.sbs/1PTaOBy

7、巴西最大銀行敏感數據暴露

9月17日，據媒體報道，Cybernews研究人員發現巴西最大銀行Braza Bank存在安全漏洞，導致敏感數據泄露。泄露的數據包括身份驗證密鑰、API訪問數據和電子郵件服務配置，可能影響銀行及其客戶安全。Cybernews聯系銀行后，銀行立即關閉了文件訪問，并聲明泄露不會影響內部數據，已加強網絡安全措施。

資料來源：https://www.securitylab.ru/news/552144.php

8、土耳其國防制造公司KALE SAVUNMA遭受網絡攻擊

9月14日，土耳其國防制造公司KALE SAVUNMA的敏感數據被一名為ZeroSevenGroup的威脅行為者在BreachForum社區出售。這些數據包括備份、數據庫、項目、制造設計、員工及客戶信息、研究資料、協議合同、銀行財務信息、軟件應用程序、系統示意圖等，涉及多家土耳其頂級國防公司。總數據量約為70GB，售價待議，具體聯系方式為私信。

資料來源：https://breachforums.st/Thread-SELLING-Defense-Company-In-Turkey

安全技術

9、Forescout 宣布推出SaaS運營技術(OT)解決方案

9月19日，據媒體報道，Forescout推出了新的SaaS運營技術(OT)安全解決方案，旨在保護復雜的OT、IoT/IoMT和IT環境。該解決方案結合了主動安全、風險管理、威脅檢測、關鍵操作監控和跨網絡控制。它通過統一多個用例，減少人工錯誤，降低運營復雜性。主要功能包括為OT、IoT和IT環境設計的全面安全規則、資產智能、AI報告、角色特定儀表板和利用漏洞優先級確定。Forescout首席執行官Barry Mainz強調，該解決方案提供了跨OT、IT和IoT環境的行業領先安全策略。

資料來源：https://www.helpnetsecurity.com/2024/09/19/forescout-for-ot-security/

風險預警

10、OPSWAT報告稱關鍵基礎設施面臨電子郵件安全漏洞的風險

9月18日，據媒體報道，關鍵基礎設施保護(CIP)網絡安全解決方案公司OPSWAT最新研究稱80%的組織遭受了電子郵件安全漏洞的攻擊，其中75%的關鍵基礎設施網絡威脅是通過電子郵件傳播的。這些攻擊可能包括網絡釣魚、惡意鏈接和惡意軟件附件。盡管如此，超過一半的組織仍然認為電子郵件不包含威脅，而63.3%的組織認為他們的電子郵件安全需要改進，48%的組織對現有的電子郵件防御措施缺乏信心。隨著關鍵基礎設施中的關鍵系統，尤其是運營技術，越來越多地連接到通用IT網絡和互聯網，電子郵件攻擊不僅能夠橫向傳播到受害者的IT系統，還能夠傳播到OT網絡上和內部，增加了風險。網絡安全專家因此建議西方國家應立即修復漏洞并加強多身份驗證，以應對嚴重的網絡威脅。

資料來源：https://www.infosecurity-magazine.com/news/cisa-warns-critical-infrastructure/

11、朝鮮黑客攻擊能源和航空航天行業

9月19日，據媒體報道，谷歌旗下的Mandiant追蹤發現一個朝鮮的網絡間諜組織UNC2970通過偽裝成招聘人員，針對能源和航空航天行業的高級員工進行網絡釣魚攻擊，目的是獲取敏感和機密信息。他們使用的惡意軟件包括MISTPEN后門，通過特制的PDF文件和木馬化的Sumatra PDF閱讀器應用程序傳播。這些攻擊活動表明，UNC2970正在不斷改進其技術手段，以保持隱蔽性和有效性。

資料來源：http://ufv2b.dwa6.sbs/Vl7fCkK

12、Orca AI安全現狀報告顯示，大多數公司都在部署AI而不考慮安全性

9月18日，云安全提供商Orca Security發布了《2024年AI安全現狀報告》，揭示了當前AI使用趨勢及其對組織安全的影響。報告指出，許多組織在快速采用AI工具時忽視了基本的安全措施，導致風險增加。主要發現包括：56%的受訪者使用自定義AI模型，62%的組織部署了至少一個存在已知漏洞的AI包，98%使用Google Vertex AI的組織未啟用靜態加密。這些問題主要源于云服務提供商的默認設置，強調了在AI創新中加強安全的重要性。

資料來源：http://xe1ea.dwa6.sbs/8yePhFx

13、俄羅斯加大網絡攻擊力度，西方關鍵基礎設施面臨嚴重威脅

9月18日，據媒體報道，俄羅斯加強了網絡攻擊部隊的建設，特別是GRU 29155部隊，已經對西方關鍵基礎設施發起了大規模網絡攻擊。Mandiant首席分析師約翰·赫爾奎斯特警告，這些攻擊可能導致物理損害和生命損失。美國財政部長擔心俄羅斯可能破壞海底電纜等基礎設施。網絡安全專家建議西方國家修復漏洞并加強多身份驗證來抵御網絡威脅。

資料來源：https://www.theregister.com/2024/09/18/Russia_west_ritic_infrastruct/