工業網絡安全周報（2024年第39期）

本期摘要

政策法規方面，本周觀察到國外網絡安全相關政策法規10項，值得關注的有三項工業互聯網企業網絡安全國家標準發布，包括《工業互聯網企業網絡安全 第1部分：應用工業互聯網的工業企業防護要求》(GB/T 44462.1-2024)、《工業互聯網企業網絡安全 第2部分：平臺企業防護要求》(GB/T 44462.2-2024)、《工業互聯網企業網絡安全 第3部分：標識解析企業防護要求》(GB/T 44462.3-2024)。

漏洞態勢方面，本周監測到漏洞動態13條，值得關注的有Claroty的Team82研究人員發現了制造消息規范(MMS)協議中的五個漏洞，這些漏洞可能允許攻擊者遠程執行代碼或使工業設備崩潰。

安全事件方面，本周監測到重大網絡安全事件12起，其中典型的事件有美國水務巨頭遭受網絡攻擊致計費系統癱瘓。

安全技術方面，FBitdefender推出了Bitdefender GravityZone主動強化和攻擊面減少(PHASR)，這項技術改變了跨企業應用和管理深度防御安全的方式。

1、三項工業互聯網企業網絡安全國家標準發布

10月8日，據媒體報道，國家市場監督管理總局(國家標準化管理委員會)發布了三項新的工業互聯網企業網絡安全國家標準，這些標準將于2025年1月1日正式實施。這三項標準是《工業互聯網企業網絡安全 第1部分：應用工業互聯網的工業企業防護要求》(GB/T 44462.1-2024)、《工業互聯網企業網絡安全 第2部分：平臺企業防護要求》(GB/T 44462.2-2024)、《工業互聯網企業網絡安全 第3部分：標識解析企業防護要求》(GB/T 44462.3-2024)，這些標準旨在解決工業互聯網企業在網絡安全防護方面的實際需求，提出了不同級別企業的網絡安全防護要求，以指導企業實施工業互聯網安全分類分級管理。這些標準的發布對提升工業互聯網企業的安全水平、保障產業的健康發展具有重要意義。

資料來源：https://www.secrss.com/articles/69813

2、澳大利亞2024年網絡安全法案側重于加強網絡彈性和保護關鍵基礎設施

10月9日，澳大利亞政府推出了網絡安全立法一攬子計劃，旨在提升網絡環境和關鍵基礎設施的安全性與彈性。該計劃包括《2024年網絡安全法案》，這是澳大利亞首個獨立的網絡安全法案，確立了智能設備的最低安全標準、勒索軟件報告義務、國家網絡安全協調員和澳大利亞信號局(ASD)的“有限使用”義務，以及網絡事件審查委員會。這些措施旨在應對當前面臨的地緣政治和網絡威脅環境，保護網絡安全和關鍵基礎設施對澳大利亞的國家安全和經濟穩定至關重要。

資料來源：http://2hrrl.dz112.sbs/C8lTFo

3、歐洲理事會通過《網絡彈性法案》

10月10日，據媒體報道，歐洲理事會通過的新法規要求歐盟內的互聯設備制造商必須提供產品的修補和漏洞更新，以增強網絡安全。這項安全設計法規源自2022年歐盟委員會提出的《網絡彈性法案》，要求制造商進行風險評估、確保默認數據保護，并定期提供缺陷信息和修補。法規將在歐盟委員會主席簽署后36個月生效。

資料來源：http://ddqvk.dz111.sbs/YtYctpV

4、Claroty的Team82在MMS協議中發現5個漏洞，對工業設備構成重大風險

10月10日，Claroty的Team82研究人員發現了制造消息規范(MMS)協議中的五個漏洞，這些漏洞可能允許攻擊者遠程執行代碼或使工業設備崩潰。受影響的協議在電力系統和IEC 61850標準中被廣泛使用，控制中心與現代數字變電站設備間的通信可能會受到影響。Claroty還提供了一個名為“MMS Stack Detector”的免費工具，以幫助識別MMS協議的具體實現。這些漏洞被報告給了受影響的供應商，包括MZ Automation的libIEC61850庫和Triangle MicroWorks的TMW IEC 61850庫，并且其中一些漏洞已經被修復。此外，西門子的SIPROTEC 5 IED也受到了影響，但西門子已經更新了其固件以解決這個問題。研究人員強調了現代技術安全需求與過時協議之間的差距，并敦促供應商及時更新系統版本以保護工業控制系統(ICS)設備。

資料來源：http://y5n6k.dz112.sbs/ykATKGP

5、西門子、施耐德電氣、菲尼克斯電氣等公司發布安全補丁

10月9日，據媒體報道，西門子、施耐德電氣、菲尼克斯電氣和CERT@VDE等公司發布工業控制系統安全補丁。西門子修復了Sinec Security Monitor等產品的漏洞;施耐德電氣修復了Harmony iPC等產品中的漏洞;菲尼克斯電氣針對PLCnext Engineer發布了DoS漏洞補丁;CERT@VDE描述了OpenSSH漏洞對Pepperl+Fuchs產品的影響。羅克韋爾自動化修復了PowerFlex 6000T等產品的DoS漏洞，及DataMosaix產品的信息泄露漏洞。

資料來源：http://cggyk.dz111.sbs/l1SpZhk

6、Palo Alto Networks警告防火墻多個漏洞

10月9日，據媒體報道，Palo Alto Networks發布安全警告，修補了其Expedition解決方案中的多個安全漏洞，這些漏洞可能允許攻擊者劫持PAN-OS防火墻。受影響的產品包括Expedition工具，它用于幫助從其他供應商(如Checkpoint、Cisco)遷移配置。這些漏洞包括命令注入、反射型跨站腳本(XSS)、敏感信息的明文存儲、缺少身份驗證和SQL注入，具體CVE編號為CVE-2024-9463、CVE-2024-9464、CVE-2024-9465、CVE-2024-9466和CVE-2024-9467，CVSS評分從7.0到9.9不等。

資料來源：https://security.paloaltonetworks.com/PAN-SA-2024-0010

7、汽車行業面臨0-Day漏洞威脅

10月8日，據媒體報道，研究人員在汽車網絡安全領域發現多個嚴重0-Day漏洞，可能允許攻擊者控制汽車系統。漏洞包括CAN網絡的遠程代碼執行、IPsec和SOME/IP-SD協議的漏洞、移動應用加密問題，以及蜂窩連接的遠程持久性漏洞。這些漏洞的存在強調了汽車行業加強網絡安全的緊迫性。

資料來源：https://gbhackers.com/automative-0-day-flaws-control-cars/

8、Ivanti CSA發現三處零日漏洞被積極利用

10月8日，Ivanti警告其云服務設備(CSA)存在三個新的安全漏洞(CVE-2024-9379、CVE-2024-9380和CVE-2024-9381)，這些漏洞正在被積極利用。這些零日漏洞與上個月修復的CVE-2024-8963漏洞一起被利用，可能允許具有管理員權限的攻擊者繞過限制、執行任意SQL語句或獲得遠程代碼執行權限。受影響的版本包括CSA 4.6補丁518及以前版本，目前只有少量客戶受到這些漏洞的影響。Ivanti建議用戶更新至最新版本(5.0.2)，并檢查設備上是否有新增或修改的管理用戶，以尋找潛在的安全隱患。

資料來源：http://ok5fk.dz112.sbs/Fjuse4I

9、全球近100萬臺DrayTek路由器存在嚴重漏洞

10月2日，據媒體報道，DrayTek Vigor系列路由器最近被曝出存在多個嚴重安全漏洞，這些漏洞可能導致遠程代碼執行、命令注入、XSS攻擊以及Telnet服務的安全問題。這些漏洞不僅影響全球數百萬臺設備的安全，還可能被用于間諜活動、數據泄露和作為命令控制服務器使用等威脅行為。

資料來源：http://lynfm.dz111.sbs/jZbk4ds

10、美國水務巨頭遭受網絡攻擊致計費系統癱瘓

10月10日，據媒體報道，美國最大的水和廢水公用事業公司American Water因網絡安全事件暫時關閉了其客戶門戶和計費服務，但現已重新連接和激活受影響的系統。公司確認供水和廢水處理設施未受影響，水質也安全，且沒有跡象表明客戶數據受到影響。在內部和外部安全團隊確認系統安全后，公司已恢復標準計費流程，并承諾在服務中斷期間不收取滯納金。此次事件凸顯了水務行業在網絡安全方面面臨的挑戰，美國政府已采取措施加強該行業的網絡安全防護能力。

資料來源：http://m8dvk.dz112.sbs/5MKqtdx

11、卡西歐再次遭受重大網絡攻擊

10月5日，卡西歐發布公告稱其經歷了一次重大網絡攻擊，涉及未經授權訪問其網絡，導致系統范圍中斷。卡西歐尚未透露哪些特定服務受到影響。網絡漏洞正在調查中，該公司正在與網絡安全專家密切合作，以確定損害的全部程度。

資料來源：https://www.casio.co.jp/release/2024/1008-incident/

12、澳航客戶數據遭泄露

10月9日，據媒體報道，澳大利亞航空公司Qantas發生數據泄露，約800名乘客的積分賬戶和護照數據被非法訪問。事件由印度SATS公司員工引起，他們非法更改乘客預訂并盜取積分。澳航已修復受影響預訂并返還積分，同時加強了安全措施。一些乘客反映未被通知賬戶被入侵。專家稱問題可能影響Oneworld聯盟其他航空公司。

資料來源：https://www.securitylab.ru/news/552824.php

13、俄羅斯頂尖網絡安全公司Dr.Web數據泄露

10月9日，據媒體報道，著名黑客論壇DumpForums聲稱對俄羅斯頂尖網絡安全公司Dr.Web的數據泄露事件負責，該事件涉及高達10TB的敏感數據被盜。泄露的數據包括域控服務器、GitLab服務器、郵件服務器、開發和任務管理系統、通訊平臺及軟件管理資源等關鍵信息。Dr.Web承認遭受攻擊，但表示迅速挫敗了破壞基礎設施的企圖，用戶產品未受影響，并采取了斷開網絡資源、暫停病毒數據庫更新等預防措施。此事件若屬實，將對Dr.Web及整個網絡安全行業造成重大打擊，暴露了專業安全公司也難逃復雜網絡攻擊的現實，并質疑了現有防護措施的有效性。

資料來源：https://hackread.com/dumpforums-russian-cybersecurity-firm-dr-web-data-breach/

14、歐洲多個政府隔離機密系統遭黑客攻擊

10月8日，據媒體報道，GoldenJackalAPT黑客組織，成功入侵了歐洲的政府隔離機密系統，竊取了大量敏感數據。該組織至少兩次使用自定義工具集進行攻擊，一次針對南亞國家駐白俄羅斯大使館，另一次針對歐洲政府機構。他們利用名為“GoldenDealer”的惡意軟件感染連接互聯網的系統，監控USB驅動器的插入，并將惡意軟件復制到驅動器上。

資料來源：http://3sgfm.dz111.sbs/gGbJXYJ

15、Simbian推出AI代理來解決SOC分析師的主要痛點

10月10日，據媒體報道，AI網絡安全初創公司Simbian發布了一套AI代理，旨在提高安全團隊的智能、速度和覆蓋范圍。這些代理能在最少人工監督下完成安全任務，適應不同的IT環境，并隨著時間的推移與組織一起發展。它們解決了安全運營中心分析師、威脅獵人和GRC團隊的主要痛點，促進了之前無法自動化的安全操作流程，如調查警報、采取威脅情報行動、尋找威脅和處理調查問卷。這些AI代理已幫助組織實現數倍投資回報，并且與傳統安全工具集成，將非結構化文檔和用戶意見納入決策中。

資料來源：https://www.helpnetsecurity.com/2024/10/10/simbian-ai-agents/