工業網絡安全周報（2024年第46期）

本期摘要

政策法規方面，本周觀察到國外網絡安全相關政策法規8項，值得關注的有公安部會同國家發展和改革委員會、工業和信息化部、中國人民銀行聯合印發《電信網絡詐騙及其關聯違法犯罪聯合懲戒辦法》。

漏洞態勢方面，本周監測到漏洞動態12條，值得關注的有研華工業無線接入點存在多個高危漏洞。

安全事件方面，本周監測到重大網絡安全事件18起，其中典型的事件有12.微軟多項核心服務全球宕機11小時。

風險預警方面，與俄羅斯有關的黑客組織RomCom(也稱為Storm-0978、Tropical Scorpius或UNC2596)利用Firefox和Windows的兩個零日漏洞攻擊歐洲和北美的政府、國防、能源、制藥和保險等行業。

安全技術方面，合勤科技推出了SecuPilot簡化了威脅分析和報告。

1、四部門聯合印發《電信網絡詐騙及其關聯違法犯罪聯合懲戒辦法》

11月26日，據媒體報道，公安部會同國家發展和改革委員會、工業和信息化部、中國人民銀行聯合印發《電信網絡詐騙及其關聯違法犯罪聯合懲戒辦法》。該辦法將于2024年12月1日起施行，該辦法明確了依法認定、過懲相當、動態管理的懲戒原則，規定了懲戒對象、措施、分級懲戒、懲戒程序和申訴核查等內容，旨在打擊電信網絡詐騙及其關聯犯罪。

資料來源：https://www.secrss.com/articles/72726

2、澳大利亞發布網絡安全治理原則重大更新

11月26日，據媒體報道，澳大利亞公司董事協會(AICD)和網絡安全合作研究中心(CSCRC)更新了網絡安全治理原則，強調數字供應鏈風險、數據治理和監管變化。新版原則旨在幫助董事會增強網絡彈性、改善風險控制，并監督供應商關系，以應對日益復雜的網絡威脅和監管關注。

資料來源：http://prucn.dz114.sbs/QccoZPU

3、澳大利亞議會頒布網絡安全立法加強國家網絡防御

11月26日，據媒體報道，澳大利亞議會近期頒布了一項網絡安全立法方案，旨在加強國家網絡防御和彈性。該方案包括《2024年網絡安全法案》、《2024年情報服務和其他立法修正案(網絡安全)法案》以及《2024年關鍵基礎設施安全和其他立法修正案(加強響應和預防)法案》。這些措施旨在彌補現行立法的漏洞，強制智能設備遵守最低網絡安全標準，引入強制性勒索軟件報告制度，為國家網絡安全協調員和澳大利亞信號局(ASD)引入“有限使用”義務，并建立網絡事件審查委員會。

資料來源：http://mrv5n.dz115.sbs/jcxhxl6

4、研華工業無線接入點存在多個高危漏洞

11月28日，據媒體報道，Nozomi Networks Labs在研華工業無線接入點EKI-6333AC-2G的1.6.2版本中發現了20個嚴重安全漏洞，這些漏洞允許未經身份驗證的遠程代碼執行，嚴重威脅設備安全性。這些漏洞可能破壞機密性、完整性和可用性，研華已發布新固件以修復這些問題，Nozomi Networks建議用戶盡快更新固件，以保護關鍵基礎設施免受網絡攻擊。

資料來源：http://bdmqn.dz115.sbs/mMS1zJm

5、CISA將Array Networks AG和vxAG安全漏洞CVE-2023-28461加入KEV目錄

11月26日，美國網絡安全和基礎設施安全局(CISA)將影響Array Networks AG和vxAG安全訪問網關的嚴重安全漏洞CVE-2023-28461加入已知被利用漏洞(KEV)目錄，并敦促相關組織盡快修補。該漏洞CVSS評分為9.8，涉及缺少身份驗證，可能被用于遠程任意代碼執行。Array Networks已于2023年3月發布了修復程序(版本9.4.0.484)。由于該漏洞正被積極利用，聯邦民事行政部門(FCEB)機構被建議在2024年12月16日前應用這些補丁以保護網絡。

資料來源：https://thehackernews.com/2024/11/cisa-urges-agencies-to-patch-critical.html

6、警惕NachoVPN漏洞：未更新的VPN客戶端易受攻擊

11月26日，AmberWolf安全研究人員發現威脅行為者利用"NachoVPN"漏洞能夠將其被攻擊者的SonicWall NetExtender和Palo Alto Networks GlobalProtect VPN客戶端連接到攻擊者控制的VPN 服務器，進行惡意更新安裝。SonicWall和Palo Alto Networks已發布補丁，用戶需更新至NetExtender 10.2.341或更高版本，GlobalProtect 6.2.6或更高版本以修補漏洞。

資料來源：http://wiy9m.dz114.sbs/qoABlKn

7、NVIDIA修補了UFM產品中的高嚴重性漏洞

11月26日，據媒體報道，NVIDIA發布了固件更新，修復了影響UFM Enterprise、UFM Appliance和UFM CyberAI產品的高嚴重性漏洞CVE-2024-0130，該漏洞可能允許攻擊者升級權限、篡改數據、拒絕服務和泄露敏感信息。CVSS評分8.8，屬“高”嚴重性。用戶應立即從NVIDIA Enterprise Support Portal下載更新。

資料來源：http://nzvwn.dz114.sbs/hZsOb3I

8、VMware發布漏洞補丁

11月26日，VMware針對其Aria Operations產品發布了補丁，修復了多個從中等到重要的安全漏洞，最嚴重的漏洞可能允許本地權限提升。受影響版本包括VMware Aria Operations 8.x和VMware Cloud Foundation(4.x和5.x)。用戶需更新至8.18.2版本以修復這些漏洞。

資料來源：http://fgjnm.dz115.sbs/xGnZz0I

9、紐約州兩家汽車保險公司因數據安全不足被罰款$11.3M

11月27日，據媒體報道，紐約州金融服務部(DFS)對兩家汽車保險公司GEICO和Travelers處以1130萬美元罰款，原因是這兩家公司的數據安全不足，導致黑客泄露了超過12萬紐約居民的個人數據，包括駕駛執照號碼和出生日期。這些信息被黑客用于在COVID-19疫情期間提交欺詐性失業申請。GEICO被罰款975萬美元，Travelers被罰款155萬美元。此外，這兩家公司還同意采取一系列措施來加強網絡安全實踐，包括維護全面的信息安全計劃、開發和維護私人信息數據清單、加強身份驗證程序、實施日志記錄和監控系統，以及加強威脅響應程序。

資料來源：http://kk4dm.dz115.sbs/1k48gej

10、RansomHub組織聲稱對兩市政府發動勒索攻擊

11月27日，網絡犯罪組織RansomHub聲稱對德克薩斯州科佩爾市及明尼阿波利斯公園和娛樂委員會發動勒索軟件攻擊，導致科佩爾市多個系統癱瘓，包括互聯網、圖書館服務、許可和檢查平臺及市法院等，嚴重影響當地居民生活。RansomHub今年已對包括電信巨頭Frontier、、Rite Aid在內的關鍵基礎設施、機場、制造業等數百個組織發動攻擊。

資料來源：https://therecord.media/ransomhub-cybercrime-coppell-texas-minneapolis-parks-agency

11、英國NHS醫院報告“重大”網絡事件

11月26日，據媒體報道，英格蘭西北部的一家英國國家衛生服務(NHS)教學醫院遭遇重大網絡事件，導致取消了當天所有門診預約。這次網絡攻擊迫使醫院系統下線，影響了醫院正常運作，包括無法訪問記錄和結果，導致必須手動完成所有操作。這次事件再次凸顯了醫療保健系統在網絡安全方面的脆弱性，以及網絡攻擊對醫療服務連續性的巨大影響。

資料來源：http://s6awn.dz114.sbs/m9ZsBYR

12、微軟多項核心服務全球宕機11小時

11月25日，據媒體報道，微軟365服務遭遇了大規模宕機，影響了包括Outlook、Exchange、Teams和SharePoint等多個服務。全球范圍內有超過5300份相關故障報告，主要集中在美國的紐約、芝加哥、洛杉磯和坦帕等城市。微軟官方表示，此次故障是由最近對Exchange Online和Teams日歷進行的更改引起的，導致了功能問題。盡管修復工作已覆蓋約98%的用戶，但恢復速度比預期慢。

資料來源：http://bvifm.dz115.sbs/NW71Tno

13、RomCom黑客組織利用Firefox和Windows零日漏洞攻擊歐洲和北美關鍵行業

11月27日，據媒體報道，ESET的網絡安全研究人員揭露了與俄羅斯有關的黑客組織RomCom(也稱為Storm-0978、Tropical Scorpius或UNC2596)利用Firefox和Windows的兩個零日漏洞攻擊歐洲和北美的政府、國防、能源、制藥和保險等行業。兩個零日漏洞，分別是Firefox瀏覽器中的CVE-2024-9680(CVSS評分9.8)和Windows任務計劃程序服務中的CVE-2024-49039(CVSS評分8.8)。這兩個漏洞被鏈接在一起，使得攻擊者無需用戶交互即可遠程執行代碼，并在受害者的計算機上安裝RomCom后門。

資料來源：https://hackread.com/russian-hackers-firefox-windows-0-days-backdoor/

14、Matrix組織利用IoT設備發動大規模DDoS攻擊

11月26日，據媒體報道，Aqua Nautilus研究人員發現的由Matrix組織發起的DDoS攻擊活動主要利用了物聯網(IoT)設備組成的僵尸網絡。這個僵尸網絡通過利用弱密碼和配置不當的設備，將其植入其控制的龐大網絡中，以發起大規模的DDoS攻擊。這些攻擊者主要通過暴力攻擊和弱默認憑證利用來獲取初步的網絡訪問權限，迅速將已侵入的設備納入更大的僵尸網絡。Matrix組織使用的是現成的工具和最少的技術專業知識，這表明即使是技術水平較低的攻擊者也能利用公開工具發起破壞性攻擊。這場活動不僅針對IoT設備，還涉及到路由器、電信設備和企業系統中的漏洞，形成了一個能夠造成全球性干擾的僵尸網絡。這些設備一旦被感染，就可以在不被用戶察覺的情況下，被用來執行各種網絡攻擊、惡意活動或者進行其他犯罪行為。

資料來源：https://hackread.com/matrix-hackers-new-iot-botnet-ddos-attacks/

15、合勤科技推出了SecuPilot簡化了威脅分析和報告

11月28日，據媒體報道，合勤科技推出AI助手SecuPilot，集成于SecuReporter云分析服務中，幫助IT專業人員通過自然對話分析網絡安全數據，識別和應對安全威脅。SecuPilot支持40多種語言，能將復雜數據轉化為易于理解的見解，支持多種圖表格式，并可一鍵導出日志數據以滿足合規性需求。該功能旨在減輕資源受限的IT團隊負擔，提升網絡安全管理效率。

資料來源：http://973dn.dz115.sbs/EErMuMG