工業網絡安全周報（2024年第38期）

本期摘要

政策法規方面，本周觀察到國外網絡安全相關政策法規6項，值得關注的有1.美國國土安全委員會推出Cyber PIVOTT法案以解決網絡勞動力短缺問題。

漏洞態勢方面，本周監測到漏洞動態15條，值得關注的有于監控和管理燃料儲罐的自動油箱計量(ATG)系統存在11個未修補嚴重漏洞，影響加油站、機場和軍事基地等關鍵基礎設施。這些漏洞可能允許攻擊者完全控制ATG，引發無法加油、環境污染等問題。

安全事件方面，本周監測到重大網絡安全事件18起，其中典型的事件有印度黑客組織SloppyLemming利用Cloudflare Workers對巴基斯坦關鍵基礎設施進行間諜活動。

安全技術方面，FBitdefender推出了Bitdefender GravityZone主動強化和攻擊面減少(PHASR)，這項技術改變了跨企業應用和管理深度防御安全的方式。

風險預警方面，LevelBlue研究發現，制造和運輸行業的網絡安全被忽視。

政策法規

1、美國國土安全委員會推出Cyber PIVOTT法案以解決網絡勞動力短缺問題

9月25日，據媒體報道，美國眾議院提出的“Cyber PIVOTT Act”旨在解決網絡安全勞動力短缺問題，通過為社區學院和技術學校提供全額獎學金，培養1萬名網絡專業人員。該法案模仿ROTC模式，為學生提供獎學金以換取政府服務，以增強國家網絡安全。

資料來源：http://qldwl.dwa5.sbs/N9TFRMl

2、歐盟發布《數據治理法案》指導文件

9月24日，歐盟委員會發布了一份關于實施《數據治理法案》(Data Governance Act,DGA)(歐盟第2022/868號條例)的指導文件(《指導文件》)。作為歐盟數據戰略的重要組成部分，DGA于2022年4月6日通過，旨在促進數據共享和再利用，增強歐盟在數字經濟中的競爭力。

資料來源：http://izrym.dwa5.sbs/3gwHXaP

安全漏洞

3、自動油箱計量系統存在嚴重漏洞

9月24日，Bitsight公司報告中提到其發現用于監控和管理燃料儲罐的自動油箱計量(ATG)系統存在11個未修補嚴重漏洞，影響加油站、機場和軍事基地等關鍵基礎設施。這些漏洞可能允許攻擊者完全控制ATG，引發無法加油、環境污染等問題。數千臺ATG可通過互聯網訪問，成為攻擊目標。盡管部分供應商已發布補丁，但其他供應商尚未與CISA合作披露。專家建議，即使設備已打補丁，也應與公共互聯網斷開連接。

資料來源：https://www.bitsight.com/blog/critical-vulnerabilities-discovered-automated-tank-gauge-systems

4、penPLC遠程代碼執行和Dos漏洞被披露

9月26日，據媒體報道，Cisco Talos團隊最近披露了OpenPLC中的五個新修補的漏洞，其中包括一個嚴重的棧緩沖區溢出漏洞CVE-2024-34026，它允許遠程代碼執行，CVSS分數為9.0。這些漏洞的存在表明即使是開源的低成本解決方案也可能面臨嚴重的安全風險，需要及時更新到最新版本以修復這些漏洞。

資料來源：https://securityaffairs.com/168953/ics-scada/openplc-critical-flaw.html

5、起亞汽車被爆嚴重漏洞，僅通過車牌號就完全控制汽車

9月26日，據媒體報道，安全研究人員在起亞汽車中發現的漏洞允許遠程控制關鍵功能，包括解鎖和啟動，影響2013年后生產的汽車。這些漏洞還可能泄露車主個人信息，并允許攻擊者將自己添加為車輛的第二用戶。研究人員已向起亞報告這些漏洞，并且在2024年8月得到了修復。

資料來源：http://qnnrl.dwa5.sbs/FBkvP5l

6、RAISECOM網關中的嚴重缺陷使數千人面臨遠程攻擊

9月25日，據媒體報道，RAISECOM網關設備存在CVE-2024-7120漏洞，允許遠程執行命令。受影響型號包括MSG1200、MSG2100E、MSG2200、MSG2300。攻擊者已在利用此漏洞，下載并執行惡意軟件。RAISECOM尚未發布補丁，建議限制訪問、實施輸入驗證、加強網絡監控。

資料來源：https://securityonline.info/critical-flaw-in-raisecom-gateways-actively-exploited-exposing-thousands-to-remote-attacks/?&web_view=true

7、關鍵的Nvidia容器缺陷暴露了云AI系統可能被主機接管

9月26日，Nvidia Container Toolkit中存在一個關鍵安全漏洞CVE-2024-0132，它允許攻擊者逃逸容器并完全控制底層主機系統。這個TOCTOU(檢查時間使用時間)漏洞影響使用默認配置的Nvidia Container Toolkit 1.16.1版本，可能允許惡意容器映像訪問主機文件系統。Nvidia已經發布了安全公告，并提供了修復補丁，漏洞的CVSS嚴重性評分為9/10，表明這是一個嚴重的安全問題。超過35%使用Nvidia GPU的云環境可能受到威脅。為了防范此類攻擊，建議更改默認密碼、啟用多因素認證、將人機界面置于防火墻后面等。Nvidia和Wiz都強烈建議用戶更新到最新版本以保護系統安全。

資料來源：https://www.securityweek.com/critical-nvidia-container-flaw-exposes-cloud-ai-systems-to-host-takeover/

安全事件

8、印度黑客組織攻擊巴基斯坦關鍵基礎設施

9月25日，Cloudflare報告稱，印度黑客組織SloppyLemming利用Cloudflare Workers對巴基斯坦關鍵基礎設施進行間諜活動。該組織通過釣魚郵件和CloudPhish工具獲取憑證，還嘗試竊取Google OAuth令牌。Cloudflare已緩解了13個相關Workers，并發現數十個C&C域，暗示該組織可能將活動擴展至澳大利亞等國。

資料來源：https://blog.cloudflare.com/unraveling-sloppylemming-operations/

安全技術

9、網絡攻擊迫使美國阿肯色城水處理廠手動運行

9月25日，據媒體報道，美國堪薩斯州考利縣的阿肯色城9月22日檢測到網絡攻擊，隨后將其水處理設施改為手動操作。目前，阿肯色城已通知有關當局，國土安全部和聯邦調查局特工正在調查該事件。

資料來源：https://securityaffairs.com/168871/hacking/arkansas-city-water-treatment-facility-cyberattack.html

10、戴爾在一周內遭受第三次數據泄露

9月25日，據媒體報道，戴爾面臨一周內的第三次數據泄露，別名“grep”的威脅行為者聲稱對最新的違規行為負責。泄露的數據包括內部票證和基礎設施文檔。此外，黑客還共享了一系列包含關鍵基礎設施信息的文件和文件夾，例如“中國基礎設施Compute.pdf”、“全球項目FY23.pdf”、“全球項目FY25.pdf”、MFA身份驗證等各種項目摘要和安全相關文檔。

資料來源：https://hackread.com/dell-data-leak-in-week-amid-grep-cyberattacks/#google_vignette

11、黑客聲稱入侵德勤服務器獲取敏感數據

9月24日，據媒體報道，IntelBroker黑客聲稱從德勤的服務器中竊取了數據，包括電子郵件地址、內部通信和設置，并通過BreachForums論壇提供給活躍用戶下載。德勤確認了數據泄露事件，但表示客戶數據和其他敏感數據未受影響。

資料來源：https://www.securityweek.com/deloitte-says-no-threat-to-sensitive-data-after-hacker-claims-server-breach/

12、美運輸公司遭網絡攻擊

9月26日，Proofpoint 報告稱，威脅行為者正在入侵北美運輸和航運組織的電子郵件賬戶，通過注入惡意內容到現有對話中來傳播Arechclient2、DanaBot、Lumma Stealer、NetSupport和StealC等惡意軟件。他們使用Google Drive鏈接或URL文件作為附件，運行惡意負載以獲取可執行文件并安裝惡意軟件。Proofpoint建議運輸和物流組織對包含可疑鏈接和文件的電子郵件保持警惕。

資料來源：https://www.securityweek.com/us-transportation-and-logistics-firms-targeted-with-infostealers-backdoors/

安全技術

13、Bitdefender首次推出GravityZone PHASR，通過用戶行為分析增強安全性

9月23日，Bitdefender推出了Bitdefender GravityZone主動強化和攻擊面減少(PHASR)，這項技術改變了跨企業應用和管理深度防御安全的方式。該技術通過分析用戶行為和資源權限，將用戶分組，確保安全策略與用戶預期的權限和行為精確對應，并隨著攻擊面的演變動態調整。它利用先進的機器學習模型和專有的AI算法，全面評估業務中的漏洞和潛在攻擊媒介，幫助安全團隊預測和緩解新出現的風險，并隨著威脅和用戶角色的發展進行調整，確保安全措施始終與業務目標保持一致。

資料來源：https://www.helpnetsecurity.com/2024/09/23/bitdefender-gravityzone-phasr/

風險預警

14、LevelBlue研究發現，制造和運輸行業的網絡安全被忽視

9月26日，LevelBlue發布2024年報告，指出制造業和運輸業在技術創新與網絡安全之間尋求平衡。69%的制造業和73%的運輸業領導者認為創新機會大于風險增加。然而，網絡安全常被忽視，僅48%的制造業和53%的運輸業高管將其納入企業戰略。報告強調，加強防御、管理風險是關鍵。

資料來源：https://cybersecurity.att.com/resource-center/futures-reports/2024-levelblue-futures-report-for-manufacturing

15、CISA警告：黑客使用“不復雜的方法”瞄準工業系統

9月25日，美國網絡安全與基礎設施安全局(CISA)警告，威脅行為者正在使用如暴力破解和默認憑據等簡單方法，攻擊暴露在互聯網上的工業設備，特別是針對關鍵基礎設施的OT和ICS設備，包括供水和廢水系統。CISA建議采取相應措施，如更改默認密碼、啟用多因素認證等，以增強網絡安全。

資料來源：https://www.bleepingcomputer.com/news/security/cisa-hackers-target-industrial-systems-using-unsophisticated-methods/