工業(yè)網(wǎng)絡(luò)安全周報(2024年第44期)
本期摘要
政策法規(guī)方面,本周觀察到國內(nèi)外網(wǎng)絡(luò)安全相關(guān)政策法規(guī)4項(xiàng),值得關(guān)注的有國家密碼管理局《關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用管理規(guī)定》公開征求意見���。
漏洞態(tài)勢方面,本周監(jiān)測到漏洞動態(tài)12條,值得關(guān)注的有西門子TeleControl Server Basic
V3.1存在嚴(yán)重安全漏洞CVE-2024-44102���,CVSSv4評分10分,可能允許未認(rèn)證攻擊者執(zhí)行任意代碼。
安全事件方面�,本周監(jiān)測到重大網(wǎng)絡(luò)安全事件15起���,其中典型的事件有伊朗黑客組織通過LinkedIn等社交平臺冒充招聘人員攻擊多國航空航天業(yè)�����。
風(fēng)險預(yù)警方面,Security Scorecard的STRIKE小組發(fā)現(xiàn)�,APT組織Volt
Typhoon伏特臺風(fēng)再次浮出水面,對關(guān)鍵基礎(chǔ)設(shè)施持續(xù)攻擊�。
安全技術(shù)方面���,零信任安全公司Xage Security推出了一種擴(kuò)展特權(quán)訪問管理解決方案��,并將其命名為Xage XPAM。
1�、國家密碼管理局《關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用管理規(guī)定》公開征求意見
11月15日�,國家密碼管理局根據(jù)《中華人民共和國密碼法》和新修訂的《商用密碼管理?xiàng)l例》等有關(guān)法律法規(guī)�,起草了《關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用管理規(guī)定(征求意見稿)》,目的是規(guī)范關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用��,保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施安全���。
資料來源:https://www.secrss.com/articles/72413
2���、美國國土安全部發(fā)布在關(guān)鍵基礎(chǔ)設(shè)施中使用AI的指導(dǎo)方針
11月14日�,美國國土安全部發(fā)布了在電網(wǎng)、供水系統(tǒng)�、航空旅行網(wǎng)絡(luò)和其他關(guān)鍵基礎(chǔ)設(shè)施中使用人工智能的指導(dǎo)方針����。該方針建議AI開發(fā)人員評估其產(chǎn)品中的潛在危險功能�����,確保他們的產(chǎn)品符合“以人為本的價值觀”并保護(hù)用戶的隱私����。
資料來源:http://vrynl.dz112.sbs/vQfevXR
3���、西門子TeleControl Server Basic中發(fā)現(xiàn)嚴(yán)重安全漏洞CVE-2024-44102
11月12日��,據(jù)媒體報道���,西門子TeleControl Server Basic
V3.1存在嚴(yán)重安全漏洞CVE-2024-44102,CVSSv4評分10分,可能允許未認(rèn)證攻擊者執(zhí)行任意代碼�����。漏洞源于不安全的反序列化�����,攻擊者可利用此缺陷以SYSTEM權(quán)限執(zhí)行惡意代碼�����。西門子已發(fā)布更新版本V3.1.2.1修復(fù)此問題,并建議禁用冗余功能、限制受信任IP訪問以降低風(fēng)險�。敦促用戶盡快更新系統(tǒng)�,以保護(hù)關(guān)鍵基礎(chǔ)設(shè)施。
資料來源:http://6vuwl.dz112.sbs/bUSMo0P
4��、CISA發(fā)布博世�、臺達(dá)、倍福漏洞通報
11月12日����,CISA發(fā)布了安全建議���,指出影響工業(yè)控制系統(tǒng)(ICS)的幾個關(guān)鍵漏洞���,主要涉及Bosch
Rexroth���、Delta Electronics和Beckhoff
Automation的設(shè)備����。這些漏洞對制造����、能源和公用事業(yè)等行業(yè)構(gòu)成在線風(fēng)險�,強(qiáng)調(diào)了及時修補(bǔ)和緩解工作的重要性。主要漏洞包括:Bosch
Rexroth的IndraDrive控制器存在不受控制的資源消耗漏洞(CVE-2024-48989)��,可能導(dǎo)致系統(tǒng)不穩(wěn)定或DoS攻擊;Delta
Electronics的DIAScreen存在基于堆棧的緩沖區(qū)溢出漏洞(CVE-2024-47131����、CVE-2024-39605和CVE-2024-39354),可能允許遠(yuǎn)程執(zhí)行代碼;Beckhoff
Automation的TwinCAT Control Package存在命令注入漏洞(CVE-2024-8934)��,可能危及基礎(chǔ)設(shè)施安全��。
資料來源:https://thecyberexpress.com/ics-vulnerabilities-this-week/
5��、Claroty的研究團(tuán)隊(duì)在遠(yuǎn)程物聯(lián)網(wǎng)設(shè)備管理的OvrC云平臺中發(fā)現(xiàn)重大安全漏洞
11月14日,據(jù)媒體報道,Claroty的Team82研究人員發(fā)現(xiàn)了OvrC云平臺中的10個安全漏洞�,這些漏洞可能允許攻擊者遠(yuǎn)程執(zhí)行代碼�。OvrC
Pro和OvrC
Connect受影響����,CISA已發(fā)布針對八個漏洞的更新,其余兩個問題也已解決。這些漏洞涉及弱訪問控制����、身份驗(yàn)證繞過等問題���,影響全球約1000萬臺設(shè)備�。
資料來源:https://thehackernews.com/2024/11/cisco-releases-patch-for-critical-urwb.html
6�、Cisco ECE中的高嚴(yán)重性漏洞發(fā)布
11月15日,印度計(jì)算機(jī)應(yīng)急響應(yīng)小組(CERT-In)針對Cisco企業(yè)聊天和電子郵件(ECE)平臺發(fā)布了高嚴(yán)重性安全警報,標(biāo)記為CIVN-2024-0339�����,該漏洞可能允許未認(rèn)證的遠(yuǎn)程攻擊者對受影響的Cisco系統(tǒng)發(fā)起拒絕服務(wù)(DoS)攻擊�����。受影響的主要為負(fù)責(zé)維護(hù)Cisco
ECE系統(tǒng)的IT管理員。Cisco已發(fā)布修復(fù)補(bǔ)丁�,建議立即升級至修復(fù)版本以確保安全���。
資料來源:https://thecyberexpress.com/high-severity-vulnerability-in-cisco-ece/
7�、D-Link不修復(fù)60,000個暴露的EoL調(diào)制解調(diào)器中的關(guān)鍵錯誤
11月12日�,據(jù)媒體報道,D-Link公司宣布���,將不修復(fù)其60000臺已達(dá)到生命周期終點(diǎn)(EoL)的調(diào)制解調(diào)器中的一個關(guān)鍵安全漏洞。該漏洞(CVE-2024-11068)允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者更改用戶密碼�����,從而完全控制設(shè)備�����。受影響的D-Link
DSL6740C調(diào)制解調(diào)器存在多個高危漏洞��,包括路徑遍歷和命令執(zhí)行問題,進(jìn)一步加劇了安全隱患�。目前�����,約有60000臺D-Link
DSL6740C調(diào)制解調(diào)器在互聯(lián)網(wǎng)上暴露,主要集中在臺灣��。盡管D-Link明確表示,EoL設(shè)備不再提供更新�,但用戶仍被建議限制遠(yuǎn)程訪問并設(shè)置安全密碼�����,以降低潛在風(fēng)險�����。
資料來源:http://gv7ml.dz112.sbs/fo3EQVr
8、伊朗黑客組織攻擊多國航空航天業(yè)
11月14日��,據(jù)媒體報道�,伊朗關(guān)聯(lián)的黑客組織通過虛假招聘人員將惡意軟件瞄準(zhǔn)航空航天業(yè),主要通過LinkedIn等社交平臺冒充招聘人員���,利用Cloudflare、GitHub和Microsoft
Azure
Cloud等合法在線服務(wù)的流量隱藏其基礎(chǔ)設(shè)施�,以繞過安全措施��。分發(fā)包含惡意文件的文件,激活后門����。這些活動被追蹤為TA455����。黑客可能冒充朝鮮支持的黑客來掩蓋活動�,或共享攻擊方法和工具。這些行動主要針對中東地區(qū),但也觀察到東歐目標(biāo)����。
資料來源:http://nrzfk.dz112.sbs/ucIjmFc
9、匈牙利國防采購機(jī)構(gòu)遭受網(wǎng)絡(luò)攻擊
11月15日,據(jù)媒體報道,匈牙利國防采購機(jī)構(gòu)(VBü)遭受了名為INC
Ransomware的黑客組織的攻擊,該事件引起了廣泛關(guān)注,尤其是在國家安全和軍事采購領(lǐng)域。INC
Ransomware聲稱獲取了VBü的數(shù)據(jù)�,并在暗網(wǎng)發(fā)布了相關(guān)截圖����,包括匈牙利軍隊(duì)空中和陸地能力的文件�����,以及一些標(biāo)記為“非公開”的文檔。匈牙利總理辦公室的首席幕僚Gergely
Gulyás表示����,這次攻擊是由一個“敵對的外國非國家黑客組織”實(shí)施的����,但未指明具體組織�。黑客要求支付500萬美元的贖金以解鎖被加密的數(shù)據(jù)�,而匈牙利官員未對是否與黑客進(jìn)行談判作出回應(yīng)。
資料來源:https://therecord.media/hungary-defense-procurement-agency-hacked
10、油汽公司Paz Oil Company Ltd的訪問權(quán)限遭泄露
11月13日����,Paz Oil
Company旗下Pazomat公司遭“CornDB”黑客威脅��,聲稱持有內(nèi)部服務(wù)器訪問權(quán)限��,并以15萬美元出售���。該權(quán)限包括對5TB敏感數(shù)據(jù)的實(shí)時訪問��,涉及財(cái)務(wù)、運(yùn)營和戰(zhàn)略計(jì)劃,可能用于市場分析和投資����。交易接受比特幣或以太幣支付����,以保證匿名性�。
資料來源:http://ckark.dz112.sbs/nwvXbDh
11�、達(dá)美航空和亞馬遜確認(rèn)員工數(shù)據(jù)確認(rèn)被盜
11月13日����,據(jù)媒體報道���,達(dá)美航空和亞馬遜確認(rèn)員工數(shù)據(jù)通過MOVEit文件傳輸工具的漏洞被盜�����。達(dá)美航空表示�,被盜數(shù)據(jù)為第三方合作伙伴的內(nèi)部信息�,不涉及敏感個人信息�����。亞馬遜也證實(shí)�,受影響供應(yīng)商僅收集員工聯(lián)系方式�����,不包括社會安全號碼等敏感數(shù)據(jù),且漏洞已修復(fù)����。MOVEit漏洞影響近2773個組織,約9600萬人記錄被盜����,涉及政府機(jī)構(gòu)和財(cái)富500強(qiáng)公司。黑客“Nam3L3ss”在暗網(wǎng)發(fā)布數(shù)據(jù)�,聲稱是下載而非黑客行為�����,暗示未來可能有更多數(shù)據(jù)泄露。
資料來源:https://therecord.media/delta-amazon-vendor-breach-confirmed
12、美國謝博伊根市遭網(wǎng)絡(luò)攻擊
11月12日��,據(jù)媒體報道���,美國威斯康星州謝博伊根市遭遇網(wǎng)絡(luò)攻擊���,黑客組織獲得了對市網(wǎng)絡(luò)的“未授權(quán)訪問”權(quán)限。這導(dǎo)致市政府技術(shù)服務(wù)受到影響�,并且市政府在報告事件給執(zhí)法部門的同時,收到了黑客的贖金支付要求���。由于網(wǎng)絡(luò)攻擊��,市政府采取了隔離網(wǎng)絡(luò)部分的措施以保護(hù)其他系統(tǒng)��,盡管網(wǎng)絡(luò)服務(wù)受到干擾�,但公共安全服務(wù)仍能在有限干擾下響應(yīng)緊急情況�。此次事件不僅對謝博伊根市構(gòu)成挑戰(zhàn)�,也反映了網(wǎng)絡(luò)安全防護(hù)的緊迫性,尤其是在地方政府層面���。
資料來源:https://therecord.media/sheboygan-wisconsin-hackers-demand-ransom
13��、美國油氣巨頭Halliburton報告勒索軟件攻擊后損失3500萬美元
11月11日�,據(jù)媒體報道��,美國油氣巨頭Halliburton在8月份遭受的勒索軟件攻擊中初步估計(jì)損失達(dá)3500萬美元。這次攻擊由RansomHub勒索軟件團(tuán)伙負(fù)責(zé),該團(tuán)伙以勒索軟件即服務(wù)(RaaS)模式運(yùn)行��,以復(fù)雜加密技術(shù)著稱�,已攻擊超過210個受害者�。攻擊導(dǎo)致Halliburton的運(yùn)營受到重大干擾�����,影響了其休斯頓園區(qū)及部分全球網(wǎng)絡(luò)�����。盡管Halliburton表示此次事件不太可能對其財(cái)務(wù)狀況產(chǎn)生重大影響,但數(shù)據(jù)泄露的具體類型和范圍仍在調(diào)查中�。
資料來源:http://d9rjm.dz113.sbs/cvz6msW
14、2023年針對高優(yōu)先級網(wǎng)絡(luò)的零日漏洞激增
11月13日�,美國和國際合作伙伴發(fā)布了一份聯(lián)合網(wǎng)絡(luò)安全咨詢報告聲明2023年惡意網(wǎng)絡(luò)攻擊者更頻繁地利用零日漏洞破壞企業(yè)網(wǎng)絡(luò)��,尤其是針對高優(yōu)先級目標(biāo)的網(wǎng)絡(luò)操作。與2022年相比��,被利用最多的漏洞中作為零日漏洞的比例有所增加����。全球網(wǎng)絡(luò)安全機(jī)構(gòu)聯(lián)合發(fā)布的報告強(qiáng)調(diào)了零日漏洞的威脅����,并呼吁組織及時應(yīng)用補(bǔ)丁,強(qiáng)化網(wǎng)絡(luò)安全措施以降低風(fēng)險���。
資料來源:http://7tj1m.dz113.sbs/zXQMchV
15、零信任安全公司Xage Security推出了Xage XPAM
11月13日���,零信任安全公司Xage Security推出了Xage
XPAM,一種擴(kuò)展特權(quán)訪問管理解決方案����,它通過創(chuàng)新方法取代傳統(tǒng)PAM���,為網(wǎng)絡(luò)安全樹立新標(biāo)桿����。XPAM提供全面覆蓋�����,包括IT、OT和云環(huán)境,降低總擁有成本�,并采用去中心化保險庫等創(chuàng)新技術(shù)���,適合多站點(diǎn)和混合云部署���,支持離線訪問�����,增強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施的安全性��。
資料來源:http://kmzqk.dz112.sbs/GQ8ukJP
