工業網絡安全周報（2024年第43期）

本期摘要

政策法規方面，本周觀察到國內外網絡安全相關政策法規6項，值得關注的有美國CISA公布2025-2026年計劃，以加強全球網絡和基礎設施彈性。

漏洞態勢方面，本周監測到漏洞動態15條，值得關注的有Cisco發布針對工業無線系統中關鍵URWB漏洞的補丁。

安全事件方面，本周監測到重大網絡安全事件12起，其中典型的事件有油田行業供應商Newpark Resources 遭受勒索攻擊。

1、德國立法保護白帽黑客行為

11月6日，據媒體報道，德國聯邦司法部起草了一項法律，旨在為負責任地發現并報告安全漏洞的安全研究人員提供法律保護。根據這項法律，相關人員在規定的范圍內進行安全研究時，將不承擔刑事責任，也不會面臨起訴風險。新法律草案修改了德國《刑法》第202a條，保護IT安全研究人員、公司以及所謂的“黑客”，只要他們的行為是為了發現并修補安全漏洞，并且不被視為“未經授權”。這項刑法修正案還引入了針對嚴重數據間諜和攔截行為的更嚴厲處罰，尤其是在關鍵基礎設施遭受攻擊的情況下。

資料來源：http://iprcn.dz113.sbs/ZdzmsSB

2、美國運輸安全管理局(TSA)針對管道、鐵路、航空公司發布網絡強制要求提案

11月6日，美國運輸安全管理局(TSA)提議新規，要求高風險地面運輸業主和運營商建立網絡風險管理計劃，并向CISA報告網絡安全事件。此舉基于TSA自2021年起實施的基于性能的網絡安全要求，旨在加強地面交通系統的網絡安全彈性。

資料來源：http://ajohm.dz113.sbs/TuxfBz9

3、澳大利亞加強關鍵基礎設施安全合作協議

11月7日，據媒體報道，澳大利亞內政部(DHA)與澳大利亞儲備銀行(RBA)簽署諒解備忘錄，加強關鍵基礎設施安全合作，特別是關鍵支付系統資產。該備忘錄旨在提高透明度，避免重復工作，減輕監管負擔，并確保關鍵基礎設施風險管理計劃的有效實施。這是澳大利亞提高國家基礎設施網絡彈性的持續努力的一部分。

資料來源：http://jse6l.dz112.sbs/R3mu8VU

4、澳大利亞將46項資產增列為國家關鍵基礎設施

11月5日，澳大利亞網絡和基礎設施安全中心(CISC)新增46項關鍵基礎設施為國家重要系統，總數超200個，覆蓋多個行業。此舉旨在提升網絡彈性，保護國家安全。政府將對這些資產實施增強型網絡安全義務，包括事件響應計劃和安全演習。內政和網絡安全部長托尼·伯克強調全球關鍵基礎設施面臨的網絡威脅，及政府與行業合作保護國家安全的重要性。

資料來源：http://5r81m.dz113.sbs/ZWUBA7G

5、Cisco發布針對工業無線系統中關鍵URWB漏洞的補丁

11月6日，Cisco發布了安全更新，解決了影響其超可靠無線回程(URWB)接入點的嚴重安全漏洞CVE-2024-20418，該漏洞的CVSS評分為10.0，允許未經身份驗證的遠程攻擊者以提升的權限執行命令。受影響的產品包括Catalyst IW9165D重型接入點、Catalyst IW9165E堅固耐用的接入點和無線客戶端、Catalyst IW9167E重型接入點。該漏洞源于對基于Web的管理界面輸入驗證的不足，成功利用可能導致攻擊者在受影響設備的底層操作系統上以root權限執行任意命令。Cisco建議用戶立即更新至統一工業無線軟件版本17.15.1以修復此問題。

資料來源：erexpress.com/free-cyberattack-confirmed/

6、Palo Alto Networks高危漏洞正在被積極利用

11月7日，美國CISA發布了緊急警告稱Palo Alto Networks的Expedition工具存在一個嚴重的缺少身份驗證漏洞，被標記為CVE-2024-5910，該漏洞評分為9.3(CVSSv4.0)，允許攻擊者接管管理員賬戶，從而訪問配置密鑰和憑證。CISA已發布緊急警報，警告該漏洞正被積極利用，敦促使用低于1.2.92版本的組織立即進行補救。Palo Alto Networks已發布補丁，修復了1.2.92及以后版本的漏洞。

資料來源：http://aj1zk.dz112.sbs/AGLSh6e

7、Windows版Veritas NetBackup中新增權限提升漏洞

11月6日，據媒體報道，Veritas發布了安全公告，解決了一個影響Windows系統NetBackup軟件的重大權限提升漏洞。此漏洞會影響NetBackup的主服務器、介質服務器和客戶端組件，使基于Windows的NetBackup安裝面臨潛在的權限提升攻擊。該攻擊取決于攻擊者獲得對安裝了NetBackup的根驅動器的寫入權限，這種情況可能允許安裝惡意DLL文件。如果NetBackup用戶執行某些命令或通過社會工程策略進行操縱，則可能會加載惡意DLL，從而在用戶的安全上下文中執行攻擊者的代碼。

資料來源：http://hd7ck.dz112.sbs/0zdJz8n

8、油田行業供應商Newpark Resources 遭受勒索攻擊

11月8日，據媒體報道，油田行業供應商Newpark Resources遭受勒索軟件攻擊，影響了對關鍵系統的訪問并限制了某些業務應用程序的功能。公司已啟動網絡安全響應計劃，并與外部顧問合作調查和遏制事件。盡管攻擊導致內部系統中斷，但制造和現場運營仍在進行。目前，攻擊的潛在財務影響仍在評估中，Newpark表示預計不會對公司整體財務狀況產生重大影響。

資料來源：http://6cz7k.dz112.sbs/znbg6qK

9、朝鮮行為者針對加密公司部署新型惡意軟件活動

11月8日，據媒體報道，朝鮮附屬的BlueNoroff APT組織發起了名為“隱藏風險”的攻擊活動，針對加密貨幣公司，使用多階段惡意軟件和新穎持久性機制，特別是針對macOS設備。攻擊通過偽裝成加密貨幣相關PDF的網絡釣魚郵件開始，利用Zshenv配置文件的持久化技術，以及劫持有效的Apple開發者賬戶來繞過macOS安全措施。

資料來源：http://anvjl.dz112.sbs/3oyEee2

10、電信設備制造商諾基亞源代碼疑似泄露

11月7日，芬蘭電信設備制造商諾基亞正在調查一起涉嫌源代碼泄露事件，該事件涉及黑客在犯罪黑客論壇上發布據稱與諾基亞相關的源代碼數據。黑客IntelBroker聲稱通過入侵第三方供應商SonarQube的服務器獲取了諾基亞的數據，并試圖以20,000美元的價格出售這些信息，包括SSH密鑰、源代碼、RSA密鑰等敏感數據。諾基亞官方聲明稱，泄露的源代碼來自第三方，并未影響公司和客戶數據。

資料來源：https://www.bankinfosecurity.com/hacker-claims-to-leak-nokia-source-code-a-26761

11、英國遠程信息處理提供商Microlise遭網絡攻擊致監獄貨車追蹤系統中斷

11月7日，據媒體報道，英國遠程信息處理提供商Microlise遭受網絡攻擊，影響了監獄貨車的跟蹤系統和緊急警報器。盡管沒有跡象表明犯罪分子試圖利用這一情況，但攻擊引發了對囚犯運輸安全和保障的擔憂。Microlise確認攻擊可能導致員工數據泄露，但客戶系統數據未受影響。服務正在逐步恢復，預計不久將恢復正常。此次事件凸顯了供應鏈安全的重要性，英國政府正在采取措施提高供應鏈安全，包括實施Cyber Essentials認證計劃。

資料來源：https://thecyberexpress.com/microlise-data-breach/

12、Schneider Electric確認遭受攻擊

11月5日，據媒體報道，施耐德電氣確認其開發人員平臺遭到破壞，威脅行為者聲稱從該公司的JIRA服務器竊取了40GB的數據。黑客“Grep”聲稱使用暴露的憑據入侵了施耐德電氣的Jira服務器，并獲取了400k行用戶數據，包括75,000個唯一電子郵件地址以及施耐德電氣員工和客戶的全名。威脅行為者要求125,000美元的贖金以防止數據泄露。

資料來源：https://t.cn/A6nlpYAm

13、美國華盛頓法院系統遭網絡攻擊后離線

11月3日，華盛頓州法院系統因檢測到“未經授權的活動”而遭受大規模IT故障，導致所有州法院的司法信息系統、網站和相關服務中斷。法院行政辦公室(AOC)迅速采取措施保護關鍵系統，并努力恢復服務。盡管一些市級和地區法院正在提供有限服務，但部分電子法庭記錄搜索和判決/罰款余額信息暫時不可用。基本的法院職能和訴訟程序預計將如期進行，客戶服務柜臺開放，但建議訪客提前確認服務可用性。

資料來源：https://t.cn/A6nlpENK

14、美國佐治亞州小型農村醫院、療養院遭受網絡攻擊

11月2日，據媒體報道，美國佐治亞州農村的一家小型社區醫院及其療養院遭受勒索攻擊，導致醫院和莊園的IT系統(包括EHR和電子郵件)一直處于離線狀態，迫使醫護人員不得不使用紙質圖表和其他手動流程進行患者護理。

資料來源：http://login.t.cn/A6nlpd75

15、國家安全部：境外間諜情報機關持續加大對我國數據領域滲透力度

11月5日，國家安全部微信公眾號發文指出，由于數據自身具有無形性、難以追溯等特點，各類數據的擁有主體多樣，處理活動復雜，在采集、傳輸、存儲、使用、刪除、銷毀等環節，存在數據泄露、數據篡改、數據濫用、違規傳輸、非法訪問、流量異常等一系列風險。

資料來源：https://finance.eastmoney.com/a/202411053228624769.html