工業(yè)網(wǎng)絡(luò)安全周報(bào)（2024年第45期）

本期摘要

政策法規(guī)方面，本周觀察到國(guó)外網(wǎng)絡(luò)安全相關(guān)政策法規(guī)9項(xiàng)，值得關(guān)注的有《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——粵港澳大灣區(qū) (內(nèi)地、香港) 個(gè)人信息跨境處理保護(hù)要求》發(fā)布、《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全合規(guī)指引》正式發(fā)布。

漏洞態(tài)勢(shì)方面，本周監(jiān)測(cè)到漏洞動(dòng)態(tài)14條，值得關(guān)注的有5.Forti Client終端防御軟件VPN存在未被發(fā)現(xiàn)的暴力攻擊漏洞。

安全事件方面，本周監(jiān)測(cè)到重大網(wǎng)絡(luò)安全事件22起，其中典型的事件有一名威脅行為者正在出售對(duì)拉丁美洲一家年收入達(dá)30億美元的能源公司的訪問(wèn)權(quán)限。

風(fēng)險(xiǎn)預(yù)警方面，全球有超過(guò)14.5萬(wàn)個(gè)工業(yè)控制系統(tǒng)(ICS)暴露在互聯(lián)網(wǎng)上，涉及175個(gè)國(guó)家和地區(qū)。

安全技術(shù)方面，MorganFranklin與Stellar Cyber合作推出AI驅(qū)動(dòng)的Orion托管檢測(cè)和響應(yīng)服務(wù)。

1、《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——粵港澳大灣區(qū) (內(nèi)地、香港) 個(gè)人信息跨境處理保護(hù)要求》發(fā)布

11月21日，據(jù)媒體報(bào)道，網(wǎng)安標(biāo)委秘書(shū)處聯(lián)合香港私隱公署發(fā)布了《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——粵港澳大灣區(qū)(內(nèi)地、香港)個(gè)人信息跨境處理保護(hù)要求》，規(guī)定了大灣區(qū)內(nèi)個(gè)人信息跨境流動(dòng)的基本原則和要求，旨在促進(jìn)個(gè)人信息跨境安全有序流動(dòng)。

資料來(lái)源：https://www.tc260.org.cn/upload/2024-11-21/1732148395263067719.pdf

2、《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全合規(guī)指引》正式發(fā)布

11月19日，據(jù)媒體報(bào)道，為貫徹落實(shí)《數(shù)據(jù)安全法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》等法律政策要求，引導(dǎo)工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者規(guī)范開(kāi)展數(shù)據(jù)處理活動(dòng)，中國(guó)多個(gè)行業(yè)協(xié)會(huì)聯(lián)合發(fā)布了《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全合規(guī)指引》，供履行數(shù)據(jù)安全保護(hù)義務(wù)時(shí)使用。

資料來(lái)源：http://v1ujm.dz113.sbs/J1gyB7q

3、美國(guó)CISA和ODNI發(fā)布指南以保護(hù)關(guān)鍵基礎(chǔ)設(shè)施設(shè)施免受外國(guó)威脅

11月21日，據(jù)媒體報(bào)道，為紀(jì)念全國(guó)關(guān)鍵基礎(chǔ)設(shè)施安全和彈性月，美國(guó)CISA和國(guó)家情報(bào)總監(jiān)辦公室發(fā)布指南，旨在幫助關(guān)鍵基礎(chǔ)設(shè)施所有者和運(yùn)營(yíng)商識(shí)別和減輕外國(guó)情報(bào)實(shí)體的威脅。這些指南強(qiáng)調(diào)了保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的重要性，以維護(hù)國(guó)家安全和經(jīng)濟(jì)穩(wěn)定。關(guān)鍵措施包括識(shí)別關(guān)鍵資產(chǎn)、實(shí)施全面的安全措施、建立應(yīng)急響應(yīng)計(jì)劃、增強(qiáng)內(nèi)部和物理安全、確保供應(yīng)鏈安全、實(shí)施補(bǔ)丁管理流程，并在第三方合同中納入安全要求。

資料來(lái)源：http://cjtpk.dz112.sbs/XavcCKE

4、歐盟網(wǎng)絡(luò)彈性法案正式公布

11月20日，據(jù)媒體報(bào)道，歐盟《網(wǎng)絡(luò)彈性法案》(CRA)已正式公布，為帶有數(shù)字組件的產(chǎn)品設(shè)定了網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，特別關(guān)注互聯(lián)設(shè)備。法案要求制造商確保產(chǎn)品在交付時(shí)無(wú)已知漏洞，并對(duì)其安全性負(fù)責(zé)，同時(shí)要求提供安全更新。違反規(guī)定可能面臨高額罰款。

資料來(lái)源：http://se2dn.dz113.sbs/APkuoA3

5、Forti Client終端防御軟件VPN存在未被發(fā)現(xiàn)的暴力攻擊漏洞

11月22日，據(jù)媒體報(bào)道，F(xiàn)ortinet VPN服務(wù)器存在一個(gè)設(shè)計(jì)缺陷，該缺陷允許攻擊者在不被發(fā)現(xiàn)的情況下進(jìn)行暴力破解攻擊。這一問(wèn)題在于Fortinet VPN服務(wù)器在身份驗(yàn)證階段不會(huì)記錄成功的嘗試，只有當(dāng)建立VPN會(huì)話的授權(quán)階段之后，成功的身份驗(yàn)證嘗試才會(huì)被記錄。這意味著攻擊者可以在不觸發(fā)警報(bào)或提醒安全團(tuán)隊(duì)的情況下驗(yàn)證泄露的憑據(jù)，從而增加了安全風(fēng)險(xiǎn)。專家建議Fortinet更新其日志記錄機(jī)制，以在最早階段記錄所有身份驗(yàn)證嘗試(成功或失敗)，并建議使用Fortinet VPN的組織強(qiáng)制實(shí)施多重身份驗(yàn)證(MFA)以增加額外的安全層。此外，企業(yè)應(yīng)定期審計(jì)VPN配置并應(yīng)用更新，以及在VPN服務(wù)器前部署Web應(yīng)用程序防火墻(WAF)以檢測(cè)和阻止暴力破解嘗試。

資料來(lái)源：https://gbhackers.com/forticlient-vpn-brute-force-attacks/

6、Palo Alto Networks修補(bǔ)了兩個(gè)用于攻擊的防火墻零日漏洞

11月17日，據(jù)媒體報(bào)道，Palo Alto Networks發(fā)布了針對(duì)其下一代防火墻(NGFW)中兩個(gè)被積極利用的零日漏洞的安全更新。第一個(gè)漏洞CVE-2024-0012是PAN-OS管理Web界面中的身份驗(yàn)證繞過(guò)，允許遠(yuǎn)程攻擊者無(wú)需身份驗(yàn)證或用戶交互即可獲得管理員權(quán)限。第二個(gè)漏洞CVE-2024-9474是一個(gè)PAN-OS權(quán)限提升安全漏洞，允許惡意PAN-OS管理員以root權(quán)限在防火墻上執(zhí)行操作。受影響的產(chǎn)品包括多個(gè)PAN-OS版本，建議盡快應(yīng)用更新并限制管理Web界面的訪問(wèn)。

資料來(lái)源：http://emx1m.dz113.sbs/dtFLzX9

7、一名威脅行為者正在出售對(duì)拉丁美洲一家年收入達(dá)30億美元的能源公司的訪問(wèn)權(quán)限

11月20日，據(jù)darkwebinformer報(bào)道，一名威脅行為者正在出售對(duì)拉丁美洲一家年收入達(dá)30億美元的能源公司的訪問(wèn)權(quán)限，具體細(xì)節(jié)尚未披露。這類事件強(qiáng)調(diào)了能源行業(yè)在網(wǎng)絡(luò)安全方面的脆弱性，尤其是面對(duì)國(guó)家行為者、網(wǎng)絡(luò)犯罪分子和激進(jìn)分子等多樣化的威脅行為者。這些威脅行為者可能會(huì)針對(duì)能源基礎(chǔ)設(shè)施提供商，以實(shí)現(xiàn)其更廣泛的戰(zhàn)略目標(biāo)或出于經(jīng)濟(jì)利益。因此，能源公司需要加強(qiáng)其網(wǎng)絡(luò)安全措施，以保護(hù)關(guān)鍵基礎(chǔ)設(shè)施免受潛在的網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露。

資料來(lái)源：http://zx55k.dz112.sbs/m9ZsBYR

8、福特否認(rèn)泄露指控，稱客戶數(shù)據(jù)未受到影響

11月20日，據(jù)媒體報(bào)道，福特正在調(diào)查一起數(shù)據(jù)泄露指控，一名名為“EnergyWeaponUser”的威脅行為者在黑客論壇BreachForums上聲稱泄露了44,000條福特客戶記錄。這些記錄包括客戶的全名、實(shí)際位置、購(gòu)買詳細(xì)信息等。這些信息可能被用于網(wǎng)絡(luò)釣魚(yú)和社會(huì)工程攻擊。威脅行為者沒(méi)有出售數(shù)據(jù)，而是以極低的價(jià)格提供給論壇成員。福特表示正在積極調(diào)查此事。為了安全，建議客戶對(duì)未經(jīng)請(qǐng)求的通信保持警惕。

資料來(lái)源：http://vnekm.dz113.sbs/lI2RS8z

9、美國(guó)俄克拉荷馬州醫(yī)院表示勒索軟件黑客攻擊已造成133,000人死亡

11月19日，據(jù)媒體報(bào)道，俄克拉荷馬州的大平原地區(qū)醫(yī)療中心(Great Plains Regional Medical Center)在9月遭受勒索軟件攻擊，導(dǎo)致133,149人的個(gè)人信息可能被黑客訪問(wèn)。受影響信息包括姓名、人口統(tǒng)計(jì)信息、健康保險(xiǎn)信息、臨床治療信息、駕照號(hào)碼，以及在某些情況下的社會(huì)安全號(hào)碼。盡管醫(yī)院迅速恢復(fù)了IT系統(tǒng)，但部分患者數(shù)據(jù)無(wú)法恢復(fù)。

資料來(lái)源：http://8ekdk.dz112.sbs/LOYptQO

10、太空科技巨頭Maxar Space Systems數(shù)據(jù)泄露

11月18日，據(jù)媒體報(bào)道，美國(guó)太空技術(shù)公司Maxar確認(rèn)了一起數(shù)據(jù)泄露事件，其中員工的個(gè)人數(shù)據(jù)被黑客訪問(wèn)。這次泄露包括員工的姓名、家庭住址、社會(huì)安全號(hào)碼(SSN)、業(yè)務(wù)聯(lián)系信息、性別、就業(yè)狀況、員工編號(hào)、職稱等敏感信息。Maxar在10月11日發(fā)現(xiàn)了這一事件，并立即采取行動(dòng)以防止進(jìn)一步未經(jīng)授權(quán)的系統(tǒng)訪問(wèn)。據(jù)Maxar披露，黑客可能在采取行動(dòng)前大約一周內(nèi)訪問(wèn)了系統(tǒng)文件。目前，Maxar并未透露具體有多少員工受到此次數(shù)據(jù)泄露的影響。

資料來(lái)源：https://straussborrelli.com/2024/11/18/maxar-space-systems-data-breach-investigation/

11、墨西哥政府正在調(diào)查法律事務(wù)辦公室遭受勒索軟件攻擊的報(bào)告

11月20日，墨西哥政府法律事務(wù)辦公室遭受勒索軟件攻擊，Ransomhub組織聲稱擁有政府合同、保險(xiǎn)和財(cái)務(wù)信息，并要求支付贖金，否則將公開(kāi)約313GB的文件。此前，墨西哥已發(fā)生個(gè)人信息泄露事件，包括記者的個(gè)人信息。

資料來(lái)源：http://hpxpl.dz112.sbs/TJD80eG

12、超14.5萬(wàn)個(gè)工業(yè)控制系統(tǒng)暴露在互聯(lián)網(wǎng)上

11月21日，據(jù)媒體報(bào)道，新的研究發(fā)現(xiàn)，全球有超過(guò)14.5萬(wàn)個(gè)工業(yè)控制系統(tǒng)(ICS)暴露在互聯(lián)網(wǎng)上，涉及175個(gè)國(guó)家和地區(qū)，其中美國(guó)占總暴露量的三分之一以上。這些ICS服務(wù)風(fēng)險(xiǎn)最多的國(guó)家包括美國(guó)、土耳其、韓國(guó)、意大利等。這些暴露的ICS設(shè)備主要涉及的協(xié)議包括Modbus、IEC 60870-5-104、CODESYS、OPC UA等。這一發(fā)現(xiàn)突顯了全球關(guān)鍵基礎(chǔ)設(shè)施面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，尤其是對(duì)于工業(yè)控制系統(tǒng)的保護(hù)，需要采取更加嚴(yán)格的網(wǎng)絡(luò)安全措施來(lái)應(yīng)對(duì)潛在的網(wǎng)絡(luò)攻擊。

資料來(lái)源：https://thehackernews.com/2024/11/over-145000-industrial-control-systems.html

13、研究人員詳細(xì)介紹了攻擊ICS設(shè)備的FrostyGoop惡意軟件

11月21日，據(jù)媒體報(bào)道，新發(fā)現(xiàn)的惡意軟件FrostyGoop專門(mén)針對(duì)工業(yè)控制系統(tǒng)(ICS)，利用Modbus TCP協(xié)議破壞關(guān)鍵基礎(chǔ)設(shè)施。這種惡意軟件能夠讀取和寫(xiě)入ICS設(shè)備中包含輸入、輸出和配置數(shù)據(jù)的寄存器，通過(guò)JSON格式的配置文件指定目標(biāo)IP地址和Modbus命令，并記錄輸出到控制臺(tái)和/或JSON文件。FrostyGoop的出現(xiàn)揭示了運(yùn)營(yíng)技術(shù)惡意軟件對(duì)現(xiàn)實(shí)世界可能產(chǎn)生重大影響的風(fēng)險(xiǎn)，強(qiáng)調(diào)了加強(qiáng)網(wǎng)絡(luò)安全措施的必要性。

資料來(lái)源：https://gbhackers.com/frostygoop-malware-ics/

14、MorganFranklin，Stellar Cyber推出AI驅(qū)動(dòng)的Orion托管檢測(cè)和響應(yīng)服務(wù)

11月20日，MorganFranklin Consulting與Stellar Cyber合作推出Orion MDR服務(wù)，整合了NextGen-SIEM和XDR平臺(tái)，提供AI驅(qū)動(dòng)的威脅檢測(cè)、全面安全儀表板、簡(jiǎn)化集成和全天候監(jiān)控響應(yīng)。Orion MDR通過(guò)Stellar Cyber平臺(tái)的自動(dòng)化SecOps解決方案，實(shí)現(xiàn)全面的威脅檢測(cè)和快速響應(yīng)，幫助組織領(lǐng)先于威脅。

資料來(lái)源：http://nypim.dz113.sbs/EErMuMGllion/