工業(yè)網(wǎng)絡(luò)安全周報(bào)（2024年第2期）

本期摘要

政策法規(guī)方面，本周觀察到國(guó)內(nèi)外網(wǎng)絡(luò)安全相關(guān)政策法規(guī)2項(xiàng)，值得關(guān)注的有英國(guó)NCSC發(fā)布針對(duì)中小型企業(yè)的實(shí)用安全指南。

漏洞態(tài)勢(shì)方面，本周監(jiān)測(cè)到漏洞動(dòng)態(tài)14條，值得關(guān)注的有博世螺母扳手漏洞可助黑客攻擊汽車(chē)生產(chǎn)線、思科Unity Connection嚴(yán)重漏洞可讓攻擊者獲得root權(quán)限。

安全事件方面，本周監(jiān)測(cè)到重大網(wǎng)絡(luò)安全事件35起，其中典型的事件有沙特工業(yè)和礦產(chǎn)資源部(MIM)敏感數(shù)據(jù)暴露長(zhǎng)達(dá)15個(gè)月、巴拉圭最大運(yùn)營(yíng)商Tigo遭到Black Hunt的勒索攻擊。

1、英國(guó)NCSC發(fā)布針對(duì)中小型企業(yè)的實(shí)用安全指南

1月11日，英國(guó)安全機(jī)構(gòu)發(fā)布了針對(duì)中小型企業(yè)(SMB)的新指南，旨在幫助減少使用在線服務(wù)時(shí)網(wǎng)絡(luò)攻擊的潛在影響。國(guó)家網(wǎng)絡(luò)安全中心(NCSC)表示，其安全使用在線服務(wù)指南專門(mén)針對(duì)可能無(wú)法獲得專門(mén)IT和支持人員的組織。

資料來(lái)源：https://www.infosecurity-magazine.com/news/ncsc-practical-security-guidance/

2、思科Unity Connection嚴(yán)重漏洞可讓攻擊者獲得root權(quán)限

1月10日，思科稱已經(jīng)修補(bǔ)了一個(gè)關(guān)鍵的Unity Connection安全漏洞，該漏洞(CVE-2024-20272)是在該軟件基于Web的管理界面中發(fā)現(xiàn)的，它允許攻擊者通過(guò)將任意文件上傳到目標(biāo)系統(tǒng)來(lái)在底層操作系統(tǒng)上執(zhí)行命令，最終可讓未經(jīng)身份驗(yàn)證的攻擊者遠(yuǎn)程獲取未修補(bǔ)設(shè)備上的root權(quán)限。

資料來(lái)源：http://njsfc.dwa1.sbs/lgQBIuu

3、兩個(gè)Ivanti零日漏洞在野外被積極利用

1月1日，據(jù)報(bào)道，Ivanti在確認(rèn)其Connect Secure和Policy Secure網(wǎng)關(guān)中的兩個(gè)零日漏洞(CVE-2023-46805和CVE-2024-21887)正在被積極利用后，Ivanti敦促其客戶盡快修復(fù)漏洞。資料來(lái)源：http://btd5a.dwa1.sbs/M8onzDN

4、Windows Kerberos漏洞導(dǎo)致Microsoft安全機(jī)制被繞過(guò)

1月9日，Microsoft發(fā)布的更新中包含兩個(gè)嚴(yán)重錯(cuò)誤，其中之一是CVE-2024-20674，這是一個(gè)Windows Kerberos安全功能繞過(guò)漏洞，允許攻擊者繞過(guò)身份驗(yàn)證機(jī)制并發(fā)起模擬攻擊。另一個(gè)嚴(yán)重漏洞是CVE-2024-20700，這是Windows超虛擬化技術(shù)中的遠(yuǎn)程代碼執(zhí)行漏洞。

資料來(lái)源：http://zdbcb.dwa1.sbs/wh8keEr

5、博世螺母扳手漏洞可助黑客攻擊汽車(chē)生產(chǎn)線

1月9日，據(jù)報(bào)道，網(wǎng)絡(luò)安全公司Nozomi Networks的研究人員表示，德國(guó)工程技術(shù)公司博世子公司生產(chǎn)的一系列流行的氣動(dòng)扭矩扳手中發(fā)現(xiàn)了多個(gè)漏洞。部分漏洞的CVE評(píng)分高達(dá)8.8分。所有CVE均影響14個(gè)版本的Rexroth Nexo充電式擰緊器和5個(gè)版本的Rexroth Nexo專用充電式擰緊器。

資料來(lái)源：http://busib.dwa1.sbs/WYmyB0S

6、QNAP修補(bǔ)QTS、Video Station、QuMagie、Netatalk產(chǎn)品中的高嚴(yán)重性缺陷

1月5日，臺(tái)灣QNAP Systems宣布修復(fù)其產(chǎn)品組合中的十幾個(gè)漏洞，其中包括操作系統(tǒng)中的高嚴(yán)重性缺陷其中包括操作系統(tǒng)中的高嚴(yán)重性缺陷。第一個(gè)高嚴(yán)重性問(wèn)題是CVE-2023-39296，它被描述為原型污染缺陷，可能允許遠(yuǎn)程攻擊者用類型不兼容的屬性覆蓋現(xiàn)有屬性，這可能會(huì)導(dǎo)致系統(tǒng)崩潰。

資料來(lái)源：http://7c8yb.dwa1.sbs/yxp0TIF

7、網(wǎng)絡(luò)威脅情報(bào)巨頭Mandiant賬戶遭劫持

1月10日，網(wǎng)絡(luò)威脅情報(bào)巨頭Mandiant的X(以前的Twitter)賬戶被接管，并開(kāi)始向其123,5000名關(guān)注者發(fā)送指向加密貨幣Drainer釣魚(yú)頁(yè)面的鏈接。1月11日該公司公布了此次調(diào)查的結(jié)果，確定此次劫持很可能是由于暴力密碼攻擊造成的。

資料來(lái)源：http://c3bzb.dwa1.sbs/SUNiCb2

8、沙特工業(yè)和礦產(chǎn)資源部(MIM)敏感數(shù)據(jù)暴露長(zhǎng)達(dá)15個(gè)月

1月8日，據(jù)報(bào)道，沙特工業(yè)和礦產(chǎn)資源部(MIM)的環(huán)境文件被曝光，敏感細(xì)節(jié)向任何愿意獲取這些信息的人開(kāi)放。Cybernews研究團(tuán)隊(duì)認(rèn)為敏感數(shù)據(jù)暴露已長(zhǎng)達(dá)15個(gè)月。文件泄露了多種類型的數(shù)據(jù)庫(kù)憑據(jù)、郵件憑據(jù)和數(shù)據(jù)加密密鑰。

資料來(lái)源：http://p8qba.dwa1.sbs/DdDAUfX

9、美國(guó)交通部數(shù)據(jù)泄露致航空記錄受損

1月8日，名為IntelBroker的威脅參與者在Breachforums上發(fā)帖稱對(duì)對(duì)1月7日美國(guó)交通部(DOT)的重大數(shù)據(jù)泄露事件負(fù)責(zé)，Dot數(shù)據(jù)泄露泄露的數(shù)據(jù)庫(kù)據(jù)稱包含敏感信息，包含2015年的580萬(wàn)條飛行日志。截至目前，DOT尚未發(fā)布聲明。

資料來(lái)源：http://nrmpa.dwa1.sbs/KPqLJ9S

10、黎巴嫩貝魯特國(guó)際機(jī)場(chǎng)遭遇網(wǎng)絡(luò)攻擊

1月7日，下午5點(diǎn)剛過(guò)，黎巴嫩貝魯特的拉菲克哈里里國(guó)際機(jī)場(chǎng)遭到網(wǎng)絡(luò)黑客攻擊。威脅行為者破壞了機(jī)場(chǎng)的航班信息顯示系統(tǒng)(FIDS)，與此同時(shí)，行李系統(tǒng)出現(xiàn)技術(shù)故障，攻擊者意在敦促伊朗支持的強(qiáng)大組織真主黨不要“將國(guó)家拖入戰(zhàn)爭(zhēng)”。資料來(lái)源：

https://www.arabnews.pk/node/2437611/middle-east

11、AsyncRAT惡意軟件攻擊針對(duì)美國(guó)基礎(chǔ)設(shè)施長(zhǎng)達(dá)11個(gè)月

1月7日，AT&T的Alien Labs研究人員發(fā)布通告稱其通過(guò)調(diào)查發(fā)現(xiàn)向選定目標(biāo)傳送AsyncRAT惡意軟件的活動(dòng)至少在過(guò)去11個(gè)月內(nèi)一直活躍，使用了數(shù)百個(gè)獨(dú)特的加載程序樣本和100多個(gè)域。其中一些已確定的受害者管理著美國(guó)的關(guān)鍵基礎(chǔ)設(shè)施。

資料來(lái)源：http://qt8qb.dwa1.sbs/EbOqoEC

12、土耳其黑客Sea Turtle攻擊荷蘭ISP、電信公司

1月8日，據(jù)報(bào)道，被追蹤為“海龜”的土耳其國(guó)家支持的網(wǎng)絡(luò)間諜組織一直在荷蘭開(kāi)展多次間諜活動(dòng)，重點(diǎn)攻擊對(duì)象為電信公司、媒體、互聯(lián)網(wǎng)服務(wù)提供商(ISP)和庫(kù)爾德網(wǎng)站。此前該組織主要針對(duì)中東地區(qū)以及瑞典和美國(guó)，利用DNS劫持和流量重定向等技術(shù)對(duì)政府進(jìn)行中間人攻擊以及非政府組織、媒體、ISP和IT服務(wù)提供商。

資料來(lái)源：http://ziw9d.dwa1.sbs/1okCCe2

13、巴拉圭最大運(yùn)營(yíng)商Tigo遭到Black Hunt的勒索攻擊

1月9日，據(jù)報(bào)道稱，巴拉圭最大的移動(dòng)運(yùn)營(yíng)商Tigo Business遭受網(wǎng)絡(luò)攻擊，影響該公司業(yè)務(wù)部門(mén)的云和托管服務(wù)后，巴拉圭軍方就Black Hunt勒索軟件攻擊發(fā)出警告。社交媒體上的大量報(bào)道指出其超過(guò)330臺(tái)服務(wù)器被加密，備份在攻擊期間遭到破壞。

資料來(lái)源：http://c6n2c.dwa1.sbs/CV6lT9N

14、美國(guó)某安全公司遭到攻擊導(dǎo)致瑞士空軍敏感文件泄露

1月10日，據(jù)報(bào)道，總部位于英國(guó)的國(guó)防和安全組織Ultra的子公司Ultra Intelligence&Communications(I&C)的30GB數(shù)據(jù)被盜，包括財(cái)務(wù)數(shù)據(jù)、員工數(shù)據(jù)和審計(jì)數(shù)據(jù)。其中一份泄露的文件涉及瑞士國(guó)防部與I&C之間的一份價(jià)值近500萬(wàn)美元的合同。

資料來(lái)源：http://6h9kd.dwa1.sbs/5jPlvUp

15、Forescout與ServiceNow集成，以增強(qiáng)跨數(shù)字工作流程的OT和ICS資產(chǎn)可視性

1月11日，網(wǎng)絡(luò)安全公司Forescout宣布推出Forescout eyeInspect與ServiceNow集成。通過(guò)這種集成，F(xiàn)orescout使安全團(tuán)隊(duì)能夠獲取實(shí)時(shí)運(yùn)營(yíng)技術(shù)(OT)和工業(yè)控制系統(tǒng)(ICS)資產(chǎn)信息，從而有助于縮短平均檢測(cè)時(shí)間(MTTD)和平均響應(yīng)時(shí)間(MTTR)威脅。

資料來(lái)源：http://qxwqb.dwa1.sbs/Q7RBAuR