工業(yè)網(wǎng)絡(luò)安全周報(bào)（2024年第31期）

本期摘要

政策法規(guī)方面，本周觀察到國外網(wǎng)絡(luò)安全相關(guān)政策法規(guī)8項(xiàng)，值得關(guān)注的有CISA和FBI發(fā)布《安全需求指南》推動(dòng)軟件制造商增強(qiáng)安全性。

漏洞態(tài)勢方面，本周監(jiān)測到漏洞動(dòng)態(tài)10條，值得關(guān)注的有Cisco發(fā)出警告，其Smart Software Manager On-Prem(SSM On-Prem)存在嚴(yán)重漏洞(CVE-2024-20419)，允許遠(yuǎn)程攻擊者無需原始憑據(jù)即可更改任意用戶密碼，包括管理員賬戶。

安全事件方面，本周監(jiān)測到重大網(wǎng)絡(luò)安全事件22起，其中典型的事件有電子制造服務(wù)提供商Keytronic在2024年5月遭受勒索軟件攻擊，損失超1700萬美元。

1、CISA和FBI發(fā)布《安全需求指南》推動(dòng)軟件制造商增強(qiáng)安全性

8月8日，美國CISA和FBI發(fā)布《安全需求指南》，指導(dǎo)組織采購安全技術(shù)產(chǎn)品，推動(dòng)安全技術(shù)生態(tài)系統(tǒng)發(fā)展。該指南提供評估軟件制造商網(wǎng)絡(luò)安全方法的問題和資源，強(qiáng)調(diào)"安全設(shè)計(jì)"的重要性，并建議在采購全周期融入安全性考慮。客戶應(yīng)通過采購決策推動(dòng)制造商落實(shí)"安全設(shè)計(jì)"，保持在日志管理、第三方依賴性管理和漏洞報(bào)告等領(lǐng)域的透明性和及時(shí)性。

資料來源：http://tuhwb.dwa5.sbs/t7LGzZ4

2、美國立法推動(dòng)醫(yī)療電子設(shè)備在敏感設(shè)施中的安全使用

8月5日，據(jù)媒體報(bào)道，美國參議員提出立法，為機(jī)密信息設(shè)施中的醫(yī)療電子設(shè)備使用制定標(biāo)準(zhǔn)化政策和透明度要求。法案旨在確保需使用醫(yī)療設(shè)備的員工能在安全標(biāo)準(zhǔn)下工作于SCIFs，同時(shí)要求官員重視設(shè)備準(zhǔn)入。政府問責(zé)辦公室報(bào)告指出權(quán)限應(yīng)用不一致，國家情報(bào)總監(jiān)辦公室已發(fā)布統(tǒng)一管理指令。法案將部分指令法制化，要求機(jī)構(gòu)向國會(huì)提交審批信息，并在180天內(nèi)制定政策。

資料來源：http://u01ja.dwa5.sbs/4EYppfR

3、Cisco SSM允許遠(yuǎn)程更改管理員密碼漏洞曝出

8月8日，Cisco發(fā)出警告，其Smart Software Manager On-Prem(SSM On-Prem)存在嚴(yán)重漏洞(CVE-2024-20419)，允許遠(yuǎn)程攻擊者無需原始憑據(jù)即可更改任意用戶密碼，包括管理員賬戶。漏洞由身份驗(yàn)證系統(tǒng)錯(cuò)誤實(shí)現(xiàn)引起，可通過HTTP請求利用。目前無已知攻擊利用，但Cisco已發(fā)布更新修復(fù)，并建議立即升級系統(tǒng)。同時(shí)，Cisco修補(bǔ)了其他關(guān)鍵漏洞，建議禁用Smart Install功能以防進(jìn)一步攻擊。

資料來源：http://uxoka.dwa5.sbs/1H4FAFD

4、數(shù)字錄像機(jī)嚴(yán)重漏洞暴露40萬設(shè)備給黑客

2024年8月5日，Dhivya報(bào)道發(fā)現(xiàn)多款DVR存在嚴(yán)重安全漏洞，超40.8萬臺設(shè)備面臨網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)。漏洞因訪問控制不足，允許未授權(quán)訪問設(shè)備敏感信息。CWE-200信息暴露，特定端點(diǎn)可被利用，無需認(rèn)證獲取硬件、軟件版本等信息。受影響軟件版本包括1.3.4.22966B181219.D00.U1等。Provision-ISR承認(rèn)問題，與TVT合作制定緩解策略。攻擊者可通過特制POST請求利用漏洞。

資料來源：https://cybersecuritynews.com/vulnerability-digital-video-recorders/

5、Windows壁紙功能漏洞“FakePotato”可被用于提升攻擊者權(quán)限

2024年8月5日，安全研究人員Andrea Pierini發(fā)現(xiàn)了Windows的嚴(yán)重安全漏洞"FakePotato"，允許攻擊者通過壁紙文件提升權(quán)限至SYSTEM賬戶。漏洞影響多版本W(wǎng)indows，包括Windows 10和Server 2019，CVSS得分7.8，表明高嚴(yán)重性。概念驗(yàn)證利用已開發(fā)，展示攻擊者如何獲取用戶憑據(jù)。成功利用可導(dǎo)致敏感信息泄露和網(wǎng)絡(luò)橫向移動(dòng)。

資料來源：https://gbhackers.com/leaked-wallpaper-vulnerability-exposes-windows/

6、Ubiquiti漏洞暴露兩萬用戶信息，補(bǔ)丁更新未能徹底修復(fù)問題

2024年8月5日，Check Point Research發(fā)現(xiàn)超2萬臺Ubiquiti設(shè)備，包括G4 Wi-Fi攝像頭和Cloud Key+，存在漏洞，允許攻擊者訪問個(gè)人數(shù)據(jù)。問題源于不安全的UDP端口，部分設(shè)備已被黑，顯示“HACKED”信息。泄露信息包括平臺名稱、軟件版本、IP地址等，為社會(huì)工程攻擊提供資源。盡管2019年已發(fā)布補(bǔ)丁，但更新緩慢和用戶忽視更新導(dǎo)致漏洞依舊存在。

資料來源：https://www.securitylab.ru/news/550791.php

7、SEC決定不對MOVEit制造商Progress Software采取執(zhí)法行動(dòng)

8月9日，美國SEC決定不對Progress Software采取執(zhí)法行動(dòng)，盡管其MOVEit工具去年被黑客利用，導(dǎo)致數(shù)百萬個(gè)人信息泄露。Progress Software因事件處理面臨多項(xiàng)調(diào)查，但SEC已結(jié)束對MOVEit漏洞的調(diào)查，暫不采取行動(dòng)。公司披露已花費(fèi)約420萬美元處理事件，大部分由網(wǎng)絡(luò)保險(xiǎn)賠償。此外，Progress還面臨144起集體訴訟，涉及敏感數(shù)據(jù)泄露，黑客組織Clop從攻擊中可能獲得7500萬至1億美元贖金。

資料來源：http://8dr9a.dwa5.sbs/WtB62zA

8、Keytronic遭勒索軟件攻擊，損失超1700萬美元

8月5日，據(jù)媒體報(bào)道，電子制造服務(wù)提供商Keytronic在2024年5月遭受勒索軟件攻擊，損失超1700萬美元。黑客組織Black Basta宣稱負(fù)責(zé)，公開了從Keytronic竊取的數(shù)據(jù)。攻擊影響了墨西哥和美國的業(yè)務(wù)，導(dǎo)致額外支出和收入損失。盡管大部分訂單預(yù)計(jì)在2025年完成，公司仍面臨保險(xiǎn)賠償問題。Black Basta自2022年運(yùn)營以來已攻擊超過500家機(jī)構(gòu)，Keytronic尚未透露數(shù)據(jù)泄露影響人數(shù)。

資料來源：http://g3yoa.dwa5.sbs/nqtIbas

9、俄羅斯間諜組織侵入英國政府系統(tǒng)竊取敏感數(shù)據(jù)和郵件

8月8日，據(jù)Recorded Future News報(bào)道，俄羅斯黑客組織Midnight Blizzard入侵英國內(nèi)政部系統(tǒng)，竊取郵件和個(gè)人數(shù)據(jù)。攻擊始于微軟系統(tǒng)被黑，影響包括內(nèi)政部在內(nèi)的多個(gè)客戶。微軟1月披露攻擊，內(nèi)政部5月才報(bào)告。事件突顯政府對供應(yīng)商依賴風(fēng)險(xiǎn)，引發(fā)網(wǎng)絡(luò)安全和供應(yīng)商多樣性擔(dān)憂。專家呼吁嚴(yán)肅應(yīng)對，維護(hù)公眾信任。

資料來源：https://therecord.media/russia-hack-uk-government-home-office-microsoft

10、俄羅斯庫爾斯克地區(qū)在烏克蘭跨境行動(dòng)期間遭遇大規(guī)模DDoS攻擊

8月8日，據(jù)媒體報(bào)道，庫爾斯克地區(qū)在烏克蘭跨境行動(dòng)期間遭大規(guī)模DDoS攻擊，匿名黑客致政府和商業(yè)網(wǎng)站服務(wù)中斷。NetBlocks數(shù)據(jù)顯示，該地區(qū)出現(xiàn)間歇性互聯(lián)網(wǎng)中斷。俄羅斯數(shù)字部指出，攻擊高峰時(shí)每秒超過10萬垃圾請求，IP地址多在德國和英國注冊，但來源可能多樣。目前未知攻擊發(fā)起者，烏克蘭相關(guān)組織未聲稱負(fù)責(zé)。

資料來源：https://therecord.media/kursk-military-offensive-ddos-russia-ukraine

11、ADT公司遭遇黑客攻擊，客戶信息部分外泄

8月9日，據(jù)媒體報(bào)道，ADT Inc.宣布黑客未經(jīng)授權(quán)入侵了其客戶訂單數(shù)據(jù)庫，盜取了有限的客戶信息如郵件地址、電話和住址。公司迅速采取措施并開始調(diào)查，目前未發(fā)現(xiàn)家居安全系統(tǒng)或敏感數(shù)據(jù)如銀行信息被訪問。受影響客戶為少數(shù)，公司認(rèn)為事件未對運(yùn)營產(chǎn)生實(shí)質(zhì)影響，已通知受影響客戶。

資料來源：https://therecord.media/adt-says-hackers-obtained-limited-customer-data

12、密歇根州醫(yī)療系統(tǒng)遭受網(wǎng)絡(luò)攻擊

8月7日，密歇根州著名的醫(yī)療系統(tǒng)McLaren Health Care確認(rèn)，密歇根州McLaren Health Care醫(yī)療系統(tǒng)遭網(wǎng)絡(luò)攻擊，導(dǎo)致電話和計(jì)算機(jī)系統(tǒng)中斷。盡管設(shè)施基本運(yùn)行正常，但需執(zhí)行停機(jī)程序以恢復(fù)IT系統(tǒng)。IT團(tuán)隊(duì)正與專家合作分析攻擊并減輕影響。急診部門繼續(xù)運(yùn)營，部分手術(shù)和程序取消，非緊急預(yù)約被重新安排。患者需攜帶相關(guān)醫(yī)療文件，McLaren正與合作伙伴和保險(xiǎn)公司合作確保供應(yīng)鏈和保險(xiǎn)授權(quán)不受影響。

資料來源：https://therecord.media/michigan-hospital-system-struggling-after-cyberattack

13、英國NHS軟件供應(yīng)商因數(shù)據(jù)泄露遭勒索軟件攻擊面臨600萬英鎊罰款

8月7日，據(jù)媒體報(bào)道，英國NHS軟件供應(yīng)商Advanced因2022年勒索軟件攻擊導(dǎo)致數(shù)萬個(gè)人信息泄露，面臨ICO的609萬英鎊初步罰款。攻擊導(dǎo)致電話號碼、醫(yī)療記錄和家庭護(hù)理方法被盜。ICO發(fā)現(xiàn)攻擊者通過未啟用多因素認(rèn)證的客戶賬戶訪問系統(tǒng)，認(rèn)為Advanced在信息安全方面存在嚴(yán)重失誤。公司有機(jī)會(huì)在最終確定前提出異議。

資料來源：https://therecord.media/nhs-software-supplier-hit-with-6-million-fine

14、澳美簽署諒解備忘錄加強(qiáng)打擊虛假信息合作

8月6日，據(jù)媒體報(bào)道，澳大利亞與美國簽署諒解備忘錄，加強(qiáng)打擊信息操縱合作。黃英賢與布林肯在華盛頓宣布，澳大利亞成為第20個(gè)簽署國，顯示全球共識。備忘錄將促進(jìn)信息共享，應(yīng)對印太地區(qū)威脅，增強(qiáng)信息完整性。黃英賢強(qiáng)調(diào)，這有助于保護(hù)民主價(jià)值觀，應(yīng)對外國干涉。澳大利亞還將加入美國的"Landsat Next 2030"倡議，支持氣候變化應(yīng)對。

資料來源：http://kjhwa.dwa5.sbs/qNPb4fu

15、日本計(jì)劃強(qiáng)制關(guān)鍵領(lǐng)域企業(yè)報(bào)告網(wǎng)絡(luò)事件用于提升網(wǎng)絡(luò)安全

8月6，據(jù)媒體報(bào)道，日本政府考慮強(qiáng)制關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域企業(yè)報(bào)告網(wǎng)絡(luò)攻擊，以解決因擔(dān)心股價(jià)受損而隱瞞問題的情況。此舉旨在快速共享信息，防止攻擊擴(kuò)散。2022年的自愿報(bào)告計(jì)劃現(xiàn)擬轉(zhuǎn)為法律義務(wù)，以建立透明合作文化。關(guān)鍵領(lǐng)域包括電信、金融等15個(gè)行業(yè)。企業(yè)高管協(xié)會(huì)支持此舉，認(rèn)為有助于主動(dòng)采取網(wǎng)絡(luò)安全措施，提高保護(hù)能力。

資料來源：https://thecyberexpress.com/japan-mandatory-cybersecurity-reporting/

16、Claroty團(tuán)隊(duì)推出工具以對抗關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)威脅

8月9日，Claroty的Team82發(fā)布了兩款工具，用于從Unitronics PLC/HMI設(shè)備提取取證信息，應(yīng)對去年CyberAv3ngers組織的網(wǎng)絡(luò)攻擊。這些工具基于對PCOM通信協(xié)議的研究，可將串行消息轉(zhuǎn)換為TCP消息，并查詢設(shè)備提取信息，幫助用戶識別攻擊者行為并保護(hù)關(guān)鍵數(shù)據(jù)。同時(shí)，研究還發(fā)現(xiàn)了Unitronics產(chǎn)品的兩項(xiàng)安全漏洞。

資料來源：http://hyx7b.dwa5.sbs/2HiXtXx