工業(yè)網絡安全周報（2024年第3期）

本期摘要

政策法規(guī)方面，本周觀察到國內外網絡安全相關政策法規(guī)4項，值得關注的有美國聯(lián)邦機構發(fā)布了水務部門的網絡安全最佳實踐指南。

漏洞態(tài)勢方面，本周監(jiān)測到漏洞動態(tài)22條，值得關注的有UEFI固件中發(fā)現(xiàn)的重大安全缺陷影響頂級科技公司包括American Megatrends Inc.、Intel Corp. 和Phoenix Technologies Ltd.等。

安全事件方面，本周監(jiān)測到重大網絡安全事件27起，其中典型的事件有烏克蘭最大電信提供商遭受網絡攻擊將損失約1億美元、匿名蘇丹的DDoS攻擊破壞了以色列頂級煉油廠BAZAN集團的網絡。

安全技術方面，網絡安全供應商Radiflow宣布將在ServiceNow OTM平臺上開發(fā)豐富的資產數(shù)據(jù)發(fā)現(xiàn)方案。

1、美國聯(lián)邦機構發(fā)布了水務部門的網絡安全最佳實踐指南

1月17日，環(huán)境保護局(EPA)與聯(lián)邦調查局(FBI)以及網絡安全和基礎設施安全局(CISA)合作發(fā)布了水務部門的網絡安全最佳實踐指南。該指南包括四個主要支柱，涵蓋組織如何為網絡攻擊做好準備，包括如何檢測和分析事件;如何遏制、消除攻擊并從中恢復;以及事件發(fā)生后該怎么辦。

資料來源：https://therecord.media/federal-agencies-release-cyber-guidance-water

2、美國CISA和FBI為關鍵基礎設施所有者和運營商發(fā)布有關中國制造無人機的指南

1月17日，美國網絡安全和基礎設施安全局(CISA)和聯(lián)邦調查局(FBI)周三發(fā)出警告，要求提高對中國制造的無人機系統(tǒng)(UAS)相關潛在威脅的認識。他們還提供了網絡安全措施建議，以幫助保護關鍵基礎設施實體以及州、地方、部落和領地(SLTT)合作伙伴的網絡和敏感數(shù)據(jù)。

資料來源：http://i4fub.dwa1.sbs/eiiwLzB

3、美國FBI和CISA發(fā)布有關Androxgh0st惡意軟件和僵尸網絡對網絡威脅的咨詢

1月16日，美國聯(lián)邦調查局(FBI)和網絡安全與基礎設施安全局(CISA)發(fā)布了一份聯(lián)合網絡安全咨詢(CSA)，以傳播與黑客相關的已知妥協(xié)指標(IOC)以及策略、技術和程序(TTP)部署Androxgh0st惡意軟件。多項持續(xù)的調查和可信的第三方報告產生了IOC和TTP，并提供了有關Androxgh0st惡意軟件建立僵尸網絡的能力的信息，該僵尸網絡可以進一步識別和危害易受攻擊的網絡。資料來源：

http://zdayc.dwa1.sbs/OuOjHrS

4、美國國防部發(fā)布首份國防工業(yè)生戰(zhàn)略

1月15日，美國國防部(DoD)發(fā)布了首份國防工業(yè)戰(zhàn)略(NDIS)，提出了戰(zhàn)略愿景，以協(xié)調和優(yōu)先考慮在未來三到五年內建設現(xiàn)代化國防工業(yè)生態(tài)系統(tǒng)的行動。擬議的國防工業(yè)生態(tài)系統(tǒng)現(xiàn)代化途徑認識到，這不是也不可能是國防部獨有的解決方案。NDIS文件需要美國政府、私營企業(yè)以及國際盟友和合作伙伴之間的努力、合作和協(xié)調。

資料來源：https://industrialcyber.co/critical-infrastruc...rial-ecosystem/

5、未修補的Rapid SCADA漏洞使工業(yè)組織面臨攻擊

1月11日，美國網絡安全機構CISA發(fā)布了一份有關工業(yè)組織通報Claroty研究人員在Rapid SCADA中發(fā)現(xiàn)七個漏洞的公告。根據(jù)CISA的通報，這些漏洞可用于讀取敏感文件、遠程執(zhí)行任意代碼、通過網絡釣魚攻擊訪問敏感系統(tǒng)、提升權限、獲取管理員密碼以及訪問有關的敏感數(shù)據(jù)及應用程序的內部代碼。其中一個缺陷被歸類為“嚴重”，另外兩個缺陷被歸類為“高嚴重性”，但盡管開發(fā)人員已于2023年7月上旬收到通知，但尚未發(fā)布補丁。

資料來源：http://rsidc.dwa1.sbs/zQLT5TT

6、CISA發(fā)布AVEVA PI服務器存在漏洞的公告

1月18日，CISA披露AVEVA PI服務器存在異常情況檢查或處理不當(CVE-2023-34348)及有效生命周期后缺少資源釋放(CVE-2023-31274)漏洞，成功利用這些漏洞可能會導致攻擊者使正在訪問的產品崩潰或限制內存，從而導致部分拒絕服務情況。

資料來源：https://www.cisa.gov/news-events/ics-advisories/icsa-24-018-01

7、UEFI固件中發(fā)現(xiàn)的重大安全缺陷影響頂級科技公司

1月17日，法國網絡安全研究公司Quarkslab的研究人員披露TianoCore EDK II中發(fā)現(xiàn)了九個漏洞，TianoCore EDK II是各種硬件和軟件制造商使用的開源統(tǒng)一可擴展固件接口。九個漏洞，涵蓋了NetworkPkg IP堆棧中的緩沖區(qū)溢出、可預測隨機化和不正確解析等問題。這些缺陷使未經身份驗證的本地攻擊者以及在某些情況下遠程攻擊者能夠執(zhí)行一系列惡意活動。使用Tianocore EDK II并確認受到影響的公司包括American Megatrends Inc.、Intel Corp. 和Phoenix Technologies Ltd.。不過，其他可能受到影響的公司還包括Arm Holdings plc、Cisco Systems Inc.、Dell Technologies Inc.、亞馬遜網絡服務公司、微軟公司、谷歌有限責任公司、惠普企業(yè)有限公司、惠普公司和聯(lián)想集團有限公司。

資料來源：http://1t9pc.dwa1.sbs/UL5m8tx

8、博世智能恒溫器固件存在漏洞

1月18日，據(jù)報道，廣泛使用的聯(lián)網博世BCC100恒溫器中發(fā)現(xiàn)了一個嚴重漏洞，該恒溫器是酒店環(huán)境中的流行設備。利用此缺陷(CVE-2023-49722)可能會導致本地未經授權的訪問，例如，黑客可以在恒溫器的原始操作系統(tǒng)中植入后門，以便能夠從外部連接到網絡并控制設備和HVAC命令。

資料來源：http://ytmyc.dwa1.sbs/ub49mha

9、“零點擊”藍牙攻擊對主流的操作系統(tǒng)構成嚴重威脅

1月14日，藍牙技術為全球數(shù)十億設備使用的無線鍵盤、鼠標、游戲控制器和其它外圍設備提供支持。然而，安全研究員Marc Newlin(@marcnewlin)新的研究揭示了影響Android、iOS、Linux、macOS和Windows的關鍵藍牙漏洞，這些漏洞(編號為CVE-2023-45866、 CVE-2024-0230和CVE-2024-21306)可能允許遠程攻擊者將設備作為藍牙鍵盤進行配對，并注入擊鍵來執(zhí)行惡意操作。

資料來源：http://hxkrc.dwa1.sbs/z2OX964

10、烏克蘭最大電信提供商遭受網絡攻擊將損失約1億美元

1月18日，據(jù)Veon聲明表示，最近針對烏克蘭最大電信提供商Kyivstar的網絡攻擊將使其母公司荷蘭Veon損失近1億美元。該公司預計，其子公司Kyivstar為彌補12月襲擊造成的不便而采取的“客戶忠誠度措施造成的收入損失，將對其2024年合并收入結果產生影響”。

資料來源：http://galoc.dwa1.sbs/hK1Y3Vm

11、匿名蘇丹的DDoS攻擊破壞了以色列頂級煉油廠BAZAN集團的網絡

1月17日，親巴勒斯坦的黑客組織“匿名蘇丹”對以色列頂級煉油廠運營商BAZAN集團發(fā)起了一系列分布式拒絕服務攻擊(DDoS攻擊)開始強度顯著，導致BAZAN Group關鍵基礎設施的網絡出現(xiàn)廣泛中斷。隨后NetBlocks通過其Twitter官方X賬戶正式報告了影響B(tài)azan Group的重大網絡中斷事件。

資料來源：http://xqbcc.dwa1.sbs/l2tfepP

12、豐田保險公司客戶信息因配置錯誤而暴露

1月18日，據(jù)報道，一系列錯誤配置和安全漏洞使研究人員能夠訪問存儲在豐田通商保險經紀人印度公司(TTIBI)電子郵件帳戶中的客戶信息。TTIBI表示該事件可能與生產摩托車和商用車的印度汽車公司Eicher Motors有著關系。

資料來源：http://ei8rc.dwa1.sbs/XC6watB

13、瑞士政府網站遭到親俄黑客攻擊

1月17日，瑞士表示，烏克蘭總統(tǒng)澤連斯基訪問達斯后，親俄組織聲稱遭受網絡攻擊，導致一些政府網站的訪問暫時中斷。政府的國家網絡安全中心(NCSC)在一份聲明中強調，“網絡攻擊被及時發(fā)現(xiàn)”，專家“采取了必要的行動，盡快恢復對網站的訪問”。“此類攻擊是預料之中的，并且已經采取了適當?shù)陌踩胧?/span>

資料來源：http://m9mec.dwa1.sbs/MWq6iUk

14、臺灣Foxsemicon成為LockBit勒索軟件攻擊的受害者

1月17日，據(jù)《臺北時報》報道稱臺灣半導體制造商富士邁半導體(Foxsemicon Integrated Technology Inc.)網站顯示一條英文消息，聲稱5TB數(shù)據(jù)被盜。當?shù)貢r間1月17日下午，富士邁半導體在給臺灣證券交易所的一份聲明中表示，該公司已恢復其網站，并正在與安全專家合作。

資料來源：http://siaub.dwa1.sbs/q2Y8GsQ

15、Radiflow將在ServiceNow OTM平臺上開發(fā)豐富的資產數(shù)據(jù)發(fā)現(xiàn)方案

1月17日，網絡安全供應商Radiflow宣布，其用于ServiceNow運營技術管理(OTM)的Service Graph Connector應用程序將允許公司將Radiflow的網絡方向和監(jiān)控功能集成到其現(xiàn)有環(huán)境和工作流程中。通過雙方的共同努力，Radiflow能夠利用其基于Now平臺構建的獨特解決方案，創(chuàng)造更好的體驗并為客戶創(chuàng)造價值。

資料來源：http://dx7db.dwa1.sbs/UYJ5TtW