工業網絡安全周報（2024年第48期）

本期摘要

政策法規方面，本周觀察到國外網絡安全相關政策法規12項，值得關注的有香港《保護關鍵基礎設施 (計算機系統) 條例草案》提交立法會審議。

漏洞態勢方面，本周監測到漏洞動態15條，值得關注的有銳捷修復Reyee云管理平臺多個漏洞。

安全事件方面，本周監測到重大網絡安全事件20起，其中典型的事件有伊朗利用IOCONTROL惡意軟件攻擊美以關鍵基礎設施、羅馬尼亞電力供應商Electrica Group確認遭受勒索軟件攻擊。

風險預警方面，Group-IB揭露全球網絡釣魚活動可利用Adobe和Google服務繞過安全檢安全郵件網關檢測。

1、香港《保護關鍵基礎設施 (計算機系統) 條例草案》提交立法會審議

12月12日，據媒體報道，香港《保護關鍵基礎設施(計算機系統)條例草案》旨在對關鍵基礎設施的指定營運者施加法定要求，確保他們采取適當措施保護計算機系統，減少網絡攻擊導致服務中斷或受損的風險，維持社會運作和市民生活，提升整體計算機系統安全。

資料來源：https://www.secrss.com/articles/73416

2、美國發布州際天然氣管道商業慣例標準

12月10日，據媒體報道，美國聯邦能源監管委員會(FERC)發布了最終規則，更新了包括北美能源標準委員會(NAESB)天然氣批發象限(WGQ)4.0版在內的州際天然氣管道商業實踐標準。這些修訂旨在提升天然氣行業運營效率、可靠性及網絡安全。新規則將于2025年2月7日生效，合規申報需在2025年2月3日前提交，且必須在2025年8月1日前遵守這些標準。

資料來源：http://nx5qn.dz114.sbs/fSzCXOX

3、歐盟新《產品責任指令》生效

12月8日，歐盟新的產品責任指令(PLD)正式生效，該指令擴展了“產品”的定義，包括數字制造文件和軟件，并可能使在線平臺對其銷售的有缺陷產品承擔責任。指令規定，軟件開發商和生產商被視為制造商，且通過軟件更新或人工智能學習修改的產品在修改時視為“可用”。此外，指令允許國家法院逐案評估產品缺陷及其與損害的因果關系，人工智能相關案件的原告無需證明確定產品缺陷的技術難度。新指令將適用于自2026年12月9日起投放市場的產品。

資料來源：http://3fcbn.dz115.sbs/cDK6AzZ

4、歐盟《網絡彈性法案》正式生效

12月12日，據媒體報道，歐盟《網絡彈性法案》正式生效，標志著歐盟在網絡安全領域邁出重要一步，要求制造商對包含數字組件的產品實施強制性網絡安全標準。法案增強了制造商責任，確保產品安全，并要求提供軟件更新及持續安全支持，提高網絡風險透明度，使消費者能做出更明智的購買決策。產品將帶有CE標志以示符合法規要求，主要義務將于2027年12月11日生效。該法案與NIS2網絡安全框架相輔相成，旨在加強歐盟數字產品的網絡安全，保護消費者免受網絡威脅。

資料來源：http://ibu6n.dz114.sbs/diH0GOf

5、銳捷修復Reyee云管理平臺多個漏洞

12月13日，據媒體報道，物聯網供應商銳捷網絡修復了其Reyee云管理平臺的10個安全漏洞，這些漏洞可被攻擊者利用來控制數千臺設備。Claroty Team82發現并命名為“芝麻開門”的攻擊展示了通過云門戶控制Ruijie設備的能力。這些設備廣泛用于全球公共場所提供免費Wi-Fi。在Black Hat Europe 2024上，研究人員展示了其中3個CVSS評分9分以上的嚴重漏洞，銳捷已修補。這些漏洞允許遠程代碼執行，攻擊者可利用弱身份驗證機制生成設備憑據，冒充云平臺發送惡意負載。Claroty團隊的攻擊場景表明，攻擊者僅需序列號即可在易受攻擊的Ruijie設備上執行代碼。

資料來源：http://fpmfm.dz115.sbs/viFzfNE

6、施耐德電警示Modicon控制器中存在高危漏洞

12月10日，據媒體報道，施耐德電氣警告稱，其Modicon M241、M251、M258和LMC058 PLC存在嚴重漏洞CVE-2024-11737，CVSS評分9.8，可能使攻擊者造成拒絕服務并損害控制器完整性。建議客戶僅在受保護環境中使用控制器、通過嵌入式防火墻過濾端口和IP、設置網絡分段并阻止對端口502/TCP的未授權訪問、禁用未使用的協議。

資料來源：http://zrg9m.dz114.sbs/b71O4kz

7、菲尼克斯電氣設備存在多個高危漏洞

12月9日，Nozomi Networks Labs的研究人員在菲尼克斯電氣的mGuard工業路由器中發現了12個漏洞，其中4個高風險漏洞允許經過身份驗證的遠程代碼執行(RCE)。這些漏洞可能被遠程用戶利用，從而獲得對設備的完全控制權。mGuard是一款提供工業安全保護的設備，Phoenix Contact在得知問題后迅速響應，在兩個月內解決了這些漏洞。受影響的設備可以通過更新固件來修復這些問題。

資料來源：http://7x3mm.dz115.sbs/ix0fM3v

8、ABB發布ASPECT系統關鍵安全漏洞公告及修復措施

12月10日，據媒體報道，ABB發布關于其建筑能源管理平臺ASPECT系統的關鍵網絡安全公告，披露多個漏洞，包括遠程代碼執行、明文密碼處理、默認憑證和絕對路徑遍歷，CVSS評分高達10.0。ABB建議客戶斷開暴露于互聯網的設備、升級固件至3.08.03或更高版本、實施安全訪問控制，并更改默認憑證以降低風險。

資料來源：http://irlhn.dz115.sbs/em8VjAS

9、伊朗利用IOCONTROL惡意軟件攻擊美以關鍵基礎設施

12月12日，據媒體報道，伊朗威脅行為者利用新惡意軟件IOCONTROL攻擊以色列和美國的關鍵基礎設施，目標包括路由器、PLC、HMI等。該軟件模塊化，影響多個制造商設備。Claroty的Team82分析了IOCONTROL，發現它能控制泵、支付終端等，可能造成中斷或數據泄露。攻擊者聲稱入侵了200個加油站。IOCONTROL通過MQTT協議通信，使用AES-256-CBC加密配置，支持多種命令，包括系統信息報告、任意命令執行和自刪除。

資料來源：http://vhk8m.dz114.sbs/dlFxmXq

10、日本水處理公司美國子公司Kurita America及綠茶生產商Ito En美國子公司遭受勒索軟件攻擊

12月10日，據媒體報道，日本水處理公司Kurita Water Industries的美國子公司Kurita America在11月29日遭受勒索軟件攻擊，部分服務器被加密，客戶和員工數據可能泄露。公司表示主服務器已恢復，業務未受影響。此外，日本最大綠茶生產商Ito En的美國子公司也在12月2日遭受攻擊，服務器被加密，但已隔離并使用備份數據恢復。2024年，多家日本公司頻繁遭受勒索軟件攻擊。

資料來源：https://therecord.media/us-subsidiaries-japanese-water-treatment

11、羅馬尼亞電力供應商確認遭勒索攻擊

12月9日，據媒體報道，羅馬尼亞電力供應商Electrica Group確認遭受勒索軟件攻擊，關鍵系統和SCADA系統未受影響，公司正與國家網絡安全部門合作調查。Electrica為超過380萬用戶提供服務，首席執行官強調內部保護措施旨在確保系統安全和電力供應連續性。羅馬尼亞能源部確認攻擊，表示將追究攻擊者責任，并推動建立能源網絡安全事件響應中心以強化防御。

資料來源：http://ch81m.dz114.sbs/oAiT3Kn

12、勒索軟件攻擊知名心臟手術設備制造商Artivion

12月9日，據媒體報道，心臟外科設備制造商Artivion遭受勒索軟件攻擊，導致運營中斷和部分系統下線。攻擊者加密了系統并竊取數據，公司正努力恢復并評估通知義務。此次事件將產生保險不覆蓋的額外費用。近期，美國醫療保健領域頻遭勒索軟件攻擊，如BCHP和UMC Health System。

資料來源：http://4yeym.dz115.sbs/hgCMtLO

13、安全郵件網關無法阻止所有釣魚攻擊

12月10日，Group-IB的報告揭露了一個復雜的全球網絡釣魚活動，該活動針對15個司法管轄區的30家公司員工。攻擊者利用可信域和動態個性化技術，成功繞過安全電子郵件網關(SEG)，欺騙金融、政府、航空航天和能源等行業的受害者。攻擊者通過Adobe InDesign云服務和Google AMP等合法平臺分發200多個網絡釣魚鏈接，模仿知名品牌，使用公司徽標和專業格式建立信任。他們還動態定制網絡釣魚頁面，以匹配目標組織的徽標和頁面標題，提高可信度。攻擊者使用URL重定向和多層策略繞過SEG，并將被盜憑據實時傳輸到C2服務器或Telegram機器人。Group-IB警告，威脅行為者不斷改進技術以繞過安全措施。

資料來源：https://www.infosecurity-magazine.com/news/enisa-launches-first-state-eu/

14、UAC-0185 APT利用社會工程瞄準烏克蘭國防工業基地

12月10日，據媒體報道，烏克蘭CERT-UA揭露APT組織UAC-0185(UNC4221)針對烏克蘭國防工業的復雜網絡釣魚活動。攻擊者冒充UUIE發送含惡意LNK文件的釣魚郵件，觸發多階段感染，最終部署MESHAGENT RAT以控制受感染系統。UAC-0185自2022年以來活躍，專注于烏克蘭國防和軍事部門，使用定制惡意軟件進行攻擊。

資料來源：http://41v1n.dz115.sbs/Amn50iY

15、針對印度政府的網絡攻擊激增

12月10日，據媒體報道，印度政府機構遭受的網絡攻擊從2019年到2023年增加了138%，從85,797次上升至2,04,844次。為應對這一趨勢，印度政府實施了多項措施，包括任命首席信息安全官、成立國家關鍵信息基礎設施保護中心(NCIIPC)和國家網絡協調中心(NCCC)，并制定了網絡危機管理計劃。這些措施旨在提高網絡安全態勢，保護關鍵信息基礎設施。盡管如此，攻擊的復雜性和頻率不斷上升，印度需要繼續加強網絡安全措施。

資料來源：https://thecyberexpress.com/surge-in-cyberattacks-on-indian-government/