工業(yè)網(wǎng)絡(luò)安全周報（2024年第40期）

本期摘要

政策法規(guī)方面，本周觀察到國外網(wǎng)絡(luò)安全相關(guān)政策法規(guī)15項，值得關(guān)注的有中國計算機行業(yè)協(xié)會正式公告發(fā)布信息技術(shù)產(chǎn)品供應(yīng)鏈成熟度系列標準。

漏洞態(tài)勢方面，本周監(jiān)測到漏洞動態(tài)17條，值得關(guān)注的有Nozomi Networks Labs研究人員在EmbedThis開發(fā)的GoAhead Web服務(wù)器中發(fā)現(xiàn)了三個安全漏洞(CVE-2024-3184、CVE-2024-3187和CVE-2024-3186)，可能影響嵌入式和IoT設(shè)備。

安全事件方面，本周監(jiān)測到重大網(wǎng)絡(luò)安全事件18起，其中典型的事件有伊朗網(wǎng)絡(luò)黑客通過暴力破解和憑證訪問技術(shù)對關(guān)鍵基礎(chǔ)設(shè)施進行攻擊。

安全技術(shù)方面，佐治亞理工學(xué)院的網(wǎng)絡(luò)物理安全實驗室開發(fā)PLCHound算法以提高關(guān)鍵基礎(chǔ)設(shè)施的安全

1、信息技術(shù)產(chǎn)品供應(yīng)鏈成熟度系列團體標準正式發(fā)布

10月12日，據(jù)媒體報道，中國計算機行業(yè)協(xié)會正式公告發(fā)布信息技術(shù)產(chǎn)品供應(yīng)鏈成熟度系列標準，這標志著行業(yè)內(nèi)廣泛關(guān)注的信息技術(shù)產(chǎn)品供應(yīng)鏈成熟度評估模型正式推出。該標準旨在構(gòu)建信息技術(shù)產(chǎn)品及其上游軟硬件、關(guān)鍵芯片、核心元器件等重點物料的可持續(xù)供給能力、可持續(xù)發(fā)展能力和技術(shù)水平評估體系。相關(guān)指標體系為各類企業(yè)和用戶選擇、評價供應(yīng)商產(chǎn)品，建立更具韌性、更安全、更穩(wěn)定的供應(yīng)鏈提供決策參考。該系列標準的發(fā)布，得到了行業(yè)主管部門的高度肯定和業(yè)界的廣泛認同，并由中國計算機行業(yè)協(xié)會信息技術(shù)產(chǎn)品供應(yīng)鏈成熟度專業(yè)委員會負責組織開展相關(guān)工作。

資料來源：https://www.secrss.com/articles/71208

2、英國政府推出AI安全計劃以應(yīng)對深度偽造

10月16日，據(jù)媒體報道，英國政府推出了一項新的AI安全研究計劃，旨在提升對深度偽造、錯誤信息、網(wǎng)絡(luò)攻擊等AI威脅的防御能力，以加速AI技術(shù)的采用。該計劃的第一階段將提供高達200,000英鎊(約260,000美元)的資助給研究人員，與EPSRC和Innovate UK合作，支持研究減輕AI威脅及其可能導(dǎo)致的重大系統(tǒng)故障。這項研究將識別醫(yī)療保健、能源和金融服務(wù)等領(lǐng)域中AI采用的關(guān)鍵風險，并開發(fā)實用工具以減輕這些風險。

資料來源：http://3ghom.dz111.sbs/B2rBDhN

3、美國防部發(fā)布網(wǎng)絡(luò)安全成熟度模型認證計劃最終規(guī)則

10月15日，美國國防部發(fā)布了網(wǎng)絡(luò)安全成熟度模型認證(CMMC)計劃的最終規(guī)則，旨在確保國防承包商和分包商符合處理聯(lián)邦合同信息(FCI)和受控非機密信息(CUI)的現(xiàn)有信息保護要求，并以與網(wǎng)絡(luò)安全威脅風險相稱的水平保護這些敏感的非機密信息。規(guī)則將評估級別從五個減少到三個，以簡化中小企業(yè)的流程。根據(jù)最終規(guī)則，國防部將允許企業(yè)適時對其合規(guī)性進行自我評估。FCI的基本保護需要CMMC1級的自我評估，而CUI的一般保護則需要第三方評估或CMMC2級的自我評估。對于需要更高級別保護的某些CUI，以防范高級持續(xù)性威脅的風險，將由國防工業(yè)基礎(chǔ)網(wǎng)絡(luò)安全評估中心牽頭進行CMMC3級評估。

資料來源：http://qwupk.dz111.sbs/CyqAhAK

4、Nozomi研究人員在跨IoT、嵌入式、ICS設(shè)備部署的GoAhead Web服務(wù)器中發(fā)現(xiàn)嚴重安全漏洞

10月16日，據(jù)媒體報道，Nozomi Networks Labs研究人員在EmbedThis開發(fā)的GoAhead Web服務(wù)器中發(fā)現(xiàn)了三個安全漏洞(CVE-2024-3184、CVE-2024-3187和CVE-2024-3186)，可能影響嵌入式和IoT設(shè)備。這些漏洞主要涉及HTTP請求處理、輸入解析和會話管理，可能導(dǎo)致拒絕服務(wù)。EmbedThis已發(fā)布補丁6.0.1版以修復(fù)這些問題。研究人員建議用戶更新至最新版本或評估漏洞潛在存在。

資料來源：http://j92sm.dz111.sbs/JtDoX4A

5、HashiCorp Vault平臺存在高危漏洞

10月13日據(jù)媒體報道，云基礎(chǔ)設(shè)施自動化軟件提供商HashiCorp Vault機密管理平臺存在一個嚴重安全漏洞CVE-2024-9180，影響多個版本的Vault Community和Enterprise版本。該漏洞源于Vault內(nèi)存實體緩存條目的錯誤處理，可能允許攻擊者通過身份API操縱緩存的實體記錄，提升權(quán)限至Vault的根策略。漏洞的CVSSv3評分為7.2，雖然影響有限，但成功利用可能導(dǎo)致攻擊者完全控制Vault實例，危及敏感數(shù)據(jù)。

資料來源：https://cybersecuritynews.com/hashicorp-cloud-vault-vulnerability/

6、漏洞Cisco修補模擬電話適配器中的高嚴重性漏洞

10月16日，據(jù)媒體報道，思科最近修補了ATA 190系列模擬電話適配器中的八個安全漏洞，其中包括兩個高嚴重性的漏洞：一個允許未經(jīng)身份驗證的遠程攻擊者查看或刪除配置或修改固件(CVE-2024-20458)，另一個允許進行CSRF攻擊執(zhí)行任意操作(CVE-2024-20421)。此外，還修補了一個中等嚴重性漏洞(CVE-2024-20459)，可能允許以root權(quán)限執(zhí)行任意命令。剩余的五個中等嚴重性漏洞涉及XSS攻擊、以root身份執(zhí)行任意命令、查看密碼、修改設(shè)備配置或重啟設(shè)備，以及以管理員權(quán)限運行命令。受影響的設(shè)備包括ATA 191和ATA 192。

資料來源：http://7vhtl.dz112.sbs/ROfIeOZ

7、伊朗黑客攻擊關(guān)鍵基礎(chǔ)設(shè)施組織

10月17日，據(jù)媒體報道，美國、加拿大和澳大利亞的網(wǎng)絡(luò)安全機構(gòu)聯(lián)合發(fā)布了一項警告，指出伊朗網(wǎng)絡(luò)黑客通過暴力破解和憑證訪問技術(shù)對關(guān)鍵基礎(chǔ)設(shè)施進行攻擊。自去年10月以來，這些黑客主要針對醫(yī)療保健、公共衛(wèi)生、政府、信息技術(shù)、工程和能源等領(lǐng)域的用戶賬戶。報告中提到了伊朗黑客采用的已知入侵指標(IOC)以及影響關(guān)鍵基礎(chǔ)設(shè)施部門的策略、技術(shù)和程序(TTP)，并建議關(guān)鍵基礎(chǔ)設(shè)施運營商遵循指導(dǎo)并使用具有雙重身份驗證的強密碼來增強安全防護。

資料來源：http://l9kak.dz111.sbs/yYEgRy6

8、Omni Family Health數(shù)據(jù)泄露影響了四十七萬人

10月18日，據(jù)媒體報道，加州健康中心網(wǎng)絡(luò)Omni Family Health通知近470,000人，他們的個人信息在今年早些時候的網(wǎng)絡(luò)攻擊中被盜。Omni表示，數(shù)據(jù)泄露是在8月7日被發(fā)現(xiàn)的，此前得知威脅行為者在暗網(wǎng)上發(fā)布了據(jù)稱從其網(wǎng)絡(luò)竊取的數(shù)據(jù)。

資料來源：http://llr8k.dz112.sbs/5hz7boQ

9、黑客勒索保險巨頭Globe Life

10月17日，據(jù)媒體報道，保險巨頭Globe Life今年遭受了一起數(shù)據(jù)泄露事件，影響了其子公司American Income Life Insurance Company至少5,000名客戶。攻擊者試圖通過勒索手段，要求公司支付贖金以換取不公開被盜數(shù)據(jù)。泄露的數(shù)據(jù)包括全名、電子郵件地址、電話號碼、郵政地址、社會安全號碼、健康相關(guān)數(shù)據(jù)和政策信息。Globe Life表示，這次勒索企圖并未涉及勒索軟件，公司系統(tǒng)上沒有數(shù)據(jù)被加密。

資料來源：http://tmgdk.dz112.sbs/hFh66jQ

10、Cicada3301勒索軟件針對美國和英國的關(guān)鍵部門

10月17日，據(jù)媒體報道，Cicada3301是一種新型勒索軟件，自2024年6月出現(xiàn)以來，已成為美國和英國關(guān)鍵行業(yè)企業(yè)的重大威脅。該勒索軟件用Rust編寫，能在多個平臺上運行，包括Windows、Linux、ESXi等，采用ChaCha20和RSA加密技術(shù)。Cicada3301通過復(fù)雜的聯(lián)盟計劃招募成員，提供20%的贖金傭金，并允許通過Web面板管理攻擊。其策略包括關(guān)閉虛擬機、終止關(guān)鍵服務(wù)和刪除卷影副本，以避免被發(fā)現(xiàn)。針對Cicada3301的威脅，組織應(yīng)采取多因素身份驗證、早期檢測、備份策略和定期修補等措施以減輕風險。

資料來源：https://www.infosecurity-magazine.com/news/cicada-ransomware-critical-sectors/

11、Zscaler發(fā)布2024年威脅報告，強調(diào)需要增強移動、IoT和OT系統(tǒng)的安全性

10月15日，Zscaler ThreatLabz的2024年移動、物聯(lián)網(wǎng)和OT威脅報告揭示了移動和IoT/OT網(wǎng)絡(luò)威脅的增長趨勢。報告指出，Google Play商店中發(fā)現(xiàn)了200多個惡意應(yīng)用程序，這些應(yīng)用被安裝超過800萬次。物聯(lián)網(wǎng)惡意軟件交易比去年增加了45%，顯示出物聯(lián)網(wǎng)設(shè)備上的僵尸網(wǎng)絡(luò)活動繼續(xù)激增。移動惡意軟件和AI驅(qū)動的電話釣魚攻擊的增加，使得CISO和CIO必須優(yōu)先考慮AI驅(qū)動的ZeroTrust解決方案來抵御這些攻擊。經(jīng)濟動機驅(qū)動的移動攻擊仍然是主要威脅媒介，銀行惡意軟件攻擊同比增長了29%，間諜軟件數(shù)量同比增長了111%。制造業(yè)連續(xù)第二年遭受了最多的IoT惡意軟件攻擊，占所有IoT惡意軟件塊的36%。美國是物聯(lián)網(wǎng)網(wǎng)絡(luò)攻擊的首要目標，占IoT網(wǎng)絡(luò)攻擊的81%。報告還顯示，印度是移動惡意軟件最受攻擊的國家，其次是美國、加拿大、南非和荷蘭。遺留和生命周期終止的操作系統(tǒng)使OT系統(tǒng)容易受到攻擊，OT和網(wǎng)絡(luò)物理系統(tǒng)曾經(jīng)與互聯(lián)網(wǎng)隔絕，現(xiàn)已迅速集成到企業(yè)網(wǎng)絡(luò)中，使威脅激增。

資料來源：https://www.zscaler.com/campaign/threatlabz-ransomware-report

12、黑客集成EDR Silencer紅隊工具用于繞過攻擊檢測

10月15日，據(jù)媒體報道，網(wǎng)絡(luò)安全公司Trend Micro 的研究人員發(fā)現(xiàn)，威脅行為者試圖將EDR Silencer集成到他們的攻擊中，將其重新用作逃避檢測的手段。EDR Silencer是一個開源滲透測試工具，它利用Windows過濾平臺(WFP)來監(jiān)控、阻止或修改網(wǎng)絡(luò)流量，從而破壞EDR工具與其管理服務(wù)器之間的數(shù)據(jù)交換，阻止警報和遙測報告的發(fā)送。Trend Micro的研究人員建議，為了防御EDR Silencer，應(yīng)實施多層安全控制，隔離關(guān)鍵系統(tǒng)并創(chuàng)建冗余，使用提供行為分析和異常檢測的安全解決方案，在網(wǎng)絡(luò)上尋找入侵跡象，并應(yīng)用最小特權(quán)原則。

資料來源：http://zgrnl.dz112.sbs/tpxAMzp

13、俄羅斯頂尖網(wǎng)絡(luò)安全公司Dr.Web數(shù)據(jù)泄露

10月14日，據(jù)媒體報道，Trend Micro Research 發(fā)現(xiàn)，針對巴西用戶的魚叉式網(wǎng)絡(luò)釣魚攻擊激增。這些攻擊主要通過偽裝成個人所得稅文件的惡意電子郵件附件進行，其中包含有害的 ZIP 文件。攻擊者利用 mshta.exe 執(zhí)行混淆的 JavaScript 命令，建立與 C&C 服務(wù)器的連接。這些攻擊主要針對巴西的公司，特別是制造業(yè)、零售業(yè)和政府機構(gòu)。

資料來源：http://sslfk.dz111.sbs/8ixl28y

14、伊朗黑客組織利用Windows漏洞來提升權(quán)限

10月13日，據(jù)媒體報道，伊朗國家支持的黑客組織APT34(又名OilRig)近期加大了對阿拉伯聯(lián)合酋長國和海灣地區(qū)政府及關(guān)鍵基礎(chǔ)設(shè)施的攻擊力度。該組織利用Windows的CVE-2024-30088漏洞提升權(quán)限，并通過新型后門竊取憑證，顯示出其攻擊手法的演變和復(fù)雜性。攻擊鏈始于上傳Web shell，使攻擊者能夠執(zhí)行遠程代碼和PowerShell命令，隨后注冊密碼過濾DLL以攔截明文憑證，并利用Microsoft Exchange服務(wù)器通過合法電子郵件流竊取敏感數(shù)據(jù)。此外，研究人員發(fā)現(xiàn)OilRig與另一個伊朗APT組織FOX Kitten之間的聯(lián)系，可能會將勒索軟件納入其攻擊策略中。

資料來源：http://gbeal.dz112.sbs/GBpN85s

15、佐治亞理工學(xué)院的網(wǎng)絡(luò)物理安全實驗室開發(fā)PLCHound算法以提高關(guān)鍵基礎(chǔ)設(shè)施的安全性

10月16日，據(jù)媒體報道，佐治亞理工學(xué)院的信息物理安全實驗室開發(fā)了一種名為PLCHound的算法，該算法利用先進的自然語言處理(NLP)和機器學(xué)習(ML)技術(shù)，篩選大型互聯(lián)網(wǎng)記錄數(shù)據(jù)庫，記錄互聯(lián)網(wǎng)連接設(shè)備的IP地址和安全性。這一成果顯著提高了關(guān)鍵基礎(chǔ)設(shè)施的安全性，尤其是針對遠程網(wǎng)絡(luò)攻擊的防御能力。PLCHound算法能夠識別出比以往估計多37倍的互聯(lián)網(wǎng)連接設(shè)備，這些設(shè)備可能在不知情的情況下暴露于互聯(lián)網(wǎng)，從而增加了遠程利用的風險。

資料來源：http://tlwuk.dz111.sbs/wnG4Njl