工業網絡安全周報

本期摘要

政策法規方面，本周觀察到國內外網絡安全相關政策法規4項，值得關注的有伊斯蘭合作組織OIC-CERT推出適用于5G環境的新協調統一網絡安全認證系統等。

漏洞態勢方面，本周監測到漏洞動態13條，值得關注的有Veeam發布更新修復Veeam ONE監控平臺中多個漏洞。

安全事件方面，本周監測到重大網絡安全事件25起，其中典型的事件有俄羅斯“沙蟲”APT新型攻擊摧毀了烏克蘭電網。

產品技術方面，XIoT安全公司NetRise在NetRise平臺中引入Trace，使用戶能夠識別和驗證受損和易受攻擊的第三方和專有軟件資產。

01、伊斯蘭合作組織OIC-CERT推出適用于5G環境的新協調統一網絡安全認證系統

11月10日，伊斯蘭合作組織-計算機應急響應小組(OIC-CERT)最近發布了關于協調統一網絡安全認證系統(HUCCS)的指導文件。該體系旨在建立一種保證機制，使在一個地區獲得的安全認證能夠得到OIC-CERT其他成員國的認可和接受。它還可以提高在OIC-CERT成員國部署通用網絡安全認證的效率。因此，HUCCS可以幫助提高OIC-CERT成員國的網絡安全整體水平。

資料來源：https://www.oic-cert.org/en/wg/5g/index.html

02、美國國土安全部啟動新的關鍵基礎設施安全和彈性活動

11月7日，美國國土安全部(DHS)、網絡安全和基礎設施安全局(CISA)以及聯邦緊急事務管理局(FEMA)宣布開展“盾牌就緒”活動，鼓勵關鍵基礎設施社區重點加強抵御能力。該活動是對CISA去年2月推出的Shields Up活動的補充，該活動鼓勵關鍵基礎設施利益相關者采取具體的、時間敏感的行動，以降低在網絡攻擊、物理安全威脅或自然災害期間響應特定威脅情報的風險。

資料來源：http://p8oq3.xai8.sbs/owzV85L

03、QNAP警告QTS操作系統和應用程序存在嚴重命令注入漏洞

QNAP Systems發布了針對兩個關鍵命令注入漏洞的安全公告，這些漏洞影響QTS操作系統的多個版本及其網絡附加存儲(NAS)設備上的應用程序。第一個漏洞被追蹤為CVE-2023-23368，嚴重程度為9.8(滿分10)。這是一個命令注入漏洞，遠程攻擊者可利用該漏洞通過網絡執行命令。受安全問題影響的QTS版本為QTS 5.0.x和4.5.x、QuTS Hero h5.0.x和h4.5.x以及QuTScloud c5.0.1。第二個漏洞被識別為CVE-2023-23369，嚴重程度較低，為9.0，也可以被遠程攻擊者利用，達到與前一個漏洞相同的效果。受影響的QTS版本包括5.1.x、4.3.6、4.3.4、4.3.3和4.2.x、多媒體控制臺2.1.x和1.4.x，以及媒體流加載項500.1.x和500.0.x。

資料來源：http://nve12.xai6.sbs/evzzrgm

04、Veeam發布更新修復Veeam ONE監控平臺中多個漏洞

11月6日，Veeam發布了安全更新以修復Veeam ONE IT基礎設施監控和分析平臺中的4個漏洞。其中較為嚴重的是CVE-2023-38547(CVSS評分9.9)，可用來獲取有關Veeam ONE用于訪問其配置數據庫的SQL服務器連接的信息，可能導致遠程代碼執行;以及CVE-2023-38548(CVSS評分9.8)，可獲取Veeam ONE Reporting Service所使用帳戶的NTLM哈希。另外兩個是可通過XSS攻擊竊取管理員令牌的漏洞(CVE-2023-38549)和可訪問Dashboard Schedule的漏洞(CVE-2023-41723)。

資料來源：http://0wvu6.xai8.sbs/vs0gj1u

05、Microsoft Exchange被爆出四個零日漏洞允許RCE和數據盜竊攻擊

11月2日，趨勢科技披露了Microsoft Exchange四個零日漏洞，攻擊者可以利用這些漏洞遠程執行任意代碼或泄露受影響安裝上的敏感信息。所有這些漏洞都需要身份驗證才能利用，這將其嚴重性CVSS評級降低到7.1到7.5之間。此外，要求身份驗證是一個緩解因素。

資料來源：http://hpxo2.xai6.sbs/9j5HIlf

06、OT攻擊協同導彈打擊！俄羅斯“沙蟲”APT新型攻擊摧毀了烏克蘭電網

11月9日，Mandiant公司發布報告稱，2022年底，該公司響應了一起破壞性網絡物理事件，其中與俄羅斯有關的威脅參與者Sandworm針對烏克蘭關鍵基礎設施組織進行了攻擊。該事件是一次多事件網絡攻擊，攻擊中利用了一種影響工業控制系統(ICS)/操作技術(OT)的新技術。攻擊者首先使用OT級陸上(LotL)技術來觸發受害者的變電站斷路器，導致意外停電，同時烏克蘭各地的關鍵基礎設施遭到大規模導彈襲擊。Sandworm隨后在受害者的IT環境中部署了CADDYWIPER擦除器的新變種，從而實施了第二次破壞性事件。Mandiant沒有透露目標能源設施的位置、停電時間以及受影響的人數。

資料來源：http://xyg63.xai8.sbs/U9b4eGA

07、俄羅斯的國有儲蓄銀行Sberbank遭到DDoS攻擊

11月8日，俄羅斯聯邦儲蓄銀行(Sberbank)發布公告稱其遭到了大規模DDoS攻擊。Sberbank是一家國有銀行和金融服務公司，也是俄羅斯最大的金融機構，持有該國約三分之一的資產。俄羅斯媒體Interfax稱，攻擊大約在兩周前，達到了每秒100萬個請求(RPS)，這大約是該銀行迄今為止遭到的最大規模DDoS攻擊的四倍。

資料來源：http://mkvv6.xai8.sbs/83IIDu2

08、制造巨頭日本航空電子公司遭到AlphV的攻擊運營受到影響

11月8日，據媒體報道，日本航空電子公司透露，其系統遭到網絡攻擊，網站被迫關閉。11月6日晚上，該公司的網站顯示了一條消息，表明其部分服務器在11月2日被黑。這家公司表示，他們目前正在調查入侵情況并恢復運營，但一些系統已經中斷，收發電子郵件也出現了一些延誤，尚未發現信息泄露。AlphV在11月6日將日本航空電子公司加入其網站，但該公司尚未透露是否正在應對勒索攻擊。

資料來源：http://tywf2.xai6.sbs/GOPWxDj

09、美國航空的飛行員工會APA遭到勒索攻擊系統仍在恢復中

11月3日，據報道，美國航空飛行員工會Allied Pilots Association(APA)遭到勒索攻擊。APA工會成立于1963年，是目前世界上最大的獨立飛行員工會。攻擊發生于10月30日，部分系統被加密。APA表示，其IT團隊正在努力通過備份來恢復受勒索攻擊影響的系統，最初的重點是在未來幾小時和幾天內首先恢復面向飛行員的產品和工具。APA尚未透露是否有飛行員的個人信息泄露，也沒有透露受影響的具體人數。

資料來源：https://therecord.media/american-airlines-pilot-union-cyberattack

10、醫療公司因數據泄露被New York AG罰款45萬美元

11月8日，紐約州總檢察長宣布，一家醫療公司因勒索軟件攻擊導致數據泄露而被罰款45萬美元。據紐約總檢察長辦公室稱，2021年12月，大型私人放射學組織US Radiology Specialists成為勒索軟件攻擊的目標。該事件導致近20萬名患者(包括92,000名紐約人)的個人和健康信息遭到泄露。

資料來源：http://aovq5.xai6.sbs/tv7EDQ8

11、SideCopy APT的多平臺攻擊瞄準印度政府和國防實體

11月6日，據報道，SEQRITE Labs APT-Team發現了過去幾個月針對印度政府和國防實體的多個APT SideCopy活動。該威脅組織目前正在利用最近的WinRAR漏洞CVE-2023-38831來部署AllaKore RAT、DRat和其他有效負載。受感染的域用于托管SideCopy的有效負載，可多次重復使用，解析為相同的IP地址。它還部署了名為Ares RAT的開源代理的Linux變體，在stager有效負載中發現了與其父威脅組織透明部落(APT36)的代碼相似性。SideCopy和APT36都使用相同的誘餌和命名約定同時進行多平臺攻擊，共享基礎設施和代碼，以積極針對印度。

資料來源：http://mw0q5.xai6.sbs/oPDV5Hm

12、安全廠商發生數據泄漏，客戶連夜更換API密鑰

11月7日，云監控和SIEM公司Sumo Logic發布公告稱11月3日發現的一起“潛在安全事件”涉及通過使用受損憑證未經授權訪問Sumo Logic AWS賬戶。雖然經過調查沒有跡象表明該公司的系統、網絡或客戶數據受到了影響。但是，Sumo Logic建議用戶更換用于訪問Sumo Logic或您提供給Sumo Logic以訪問其他系統的憑據。

資料來源：http://ztpy2.xai6.sbs/J5hsdFp

13、NetRise 推出Trace，這是其人工智能驅動的軟件供應鏈安全語義搜索

11月9日，XIoT安全公司NetRise宣布在NetRise平臺中引入Trace。該解決方案利用人工智能驅動的語義搜索，使用戶能夠識別和驗證受損和易受攻擊的第三方和專有軟件資產，標志著該領域的重大進步。

資料來源：https://www.netrise.io/xiot-security-blog/trace-solution-benefits

14、MITRE和Microsoft將人工智能添加到MITRE ATLAS社區知識庫

11月6日，非營利組織MITRE和軟件巨頭微軟在MITRE ATLAS中添加了數據驅動的生成式AI系統，MITRE ATLAS是一個社區知識庫，安全專業人員、AI開發人員和AI操作員可以在保護人工智能(AI)系統時使用它。框架更新和相關的新案例研究直接解決了結合生成式人工智能和大型語言模型(LLM)(如ChatGPT和Bard)的系統的獨特漏洞。

資料來源：http://hqlo5.xai6.sbs/iBFtzR4