工業網絡安全周報（2024年第47期）

本期摘要

政策法規方面，本周觀察到國外網絡安全相關政策法規10項，值得關注的有《政務計算機終端核心配置規范》等2項網絡安全國家標準獲批發布。

漏洞態勢方面，本周監測到漏洞動態13條，值得關注的有CISA發布了多個ICS漏洞公告。

安全事件方面，本周監測到重大網絡安全事件18起，其中典型的事件有能源供應商ENGlobal Corporation確認遭網絡攻擊，英國電信巨頭BT集團確認遭勒索攻擊。

風險預警方面，歐盟網絡安全局發布的《聯盟網絡安全狀況報告》顯示DDoS和勒索軟件是主要威脅。

安全技術方面，Tenable發布了自主補丁解決方案。

1、《政務計算機終端核心配置規范》等2項網絡安全國家標準獲批發布

12月6日，據媒體報道，根據2024年11月28日國家市場監督管理總局、國家標準化管理委員會發布的中華人民共和國國家標準公告(2024年第29號)，全國網絡安全標準化技術委員會歸口的2項網絡安全國家標準正式發布。包括GB/T 44886.1-2024 《網絡安全技術 網絡安全產品互聯互通 第1部分：框架》及GB/T 30278-2024 《網絡安全技術 政務計算機終端核心配置規范》。

資料來源：https://www.secrss.com/articles/73163

2、多國網絡安全機構聯合發布通信基礎設施防護指南

12月3日，美國網絡安全和基礎設施安全局(CISA)、國家安全局(NSA)、聯邦調查局(FBI)以及澳大利亞、加拿大和新西蘭的網絡安全中心聯合發布了《Enhanced Visibility and Hardening Guidance for Communications Infrastructure》指南。該指南旨在為網絡工程師和通信基礎設施維護者提供最佳實踐，以增強網絡設備的可視性和強化防護，防止惡意網絡行為者利用。指南的目的是幫助組織快速識別異常行為、漏洞和威脅，并響應網絡事件，同時減少現有漏洞，改善安全配置習慣，并限制潛在的入侵點。

資料來源：http://2yyxn.dz115.sbs/1b7P8qE

3、歐洲理事會通過兩項新法案加強網絡安全

12月2日，歐洲理事會通過兩項關于網絡安全的法案，這兩項法律分別為《網絡團結法案》和《網絡安全法案》修正案，屬于歐盟網絡安全立法“一攬子計劃”的一部分，旨在進一步加強歐盟抵御網絡威脅的能力和網絡團結合作。

資料來源：https://www.secrss.com/articles/73025

4、CISA發布了多個ICS漏洞公告

12月6日，CISA發布了兩項公告，揭示了AutomationDirect的C-More EA9編程軟件和Planet Technology的工業交換機WGS-804HPT中的重大安全漏洞。AutomationDirect的C-More EA9編程軟件存在三個安全漏洞：CVE-2024-11609、CVE-2024-11610和CVE-2024-11611，均為基于堆棧的緩沖區溢出問題，可能允許遠程代碼執行。Planet Technology的WGS-804HPT工業交換機也受到三個關鍵漏洞影響：CVE-2024-48871(基于堆棧的緩沖區溢出)，CVE-2024-52320(操作系統命令注入)，以及CVE-2024-52558(整數下溢)，這些漏洞可能使攻擊者遠程控制設備或執行代碼。這些漏洞對關鍵基礎設施的安全構成嚴重風險。

資料來源：https://gbhackers.com/multiple-ics-advisories-released/

5、I-O數據路由器存在多個漏洞

12月5日，I-O DATA DEVICE, INC.的UD-LT1和UD-LT1/EX路由器存在三個關鍵漏洞：CVE-2024-45841(權限錯誤，CVSS 6.5)、CVE-2024-47133(命令注入，CVSS 7.2)和CVE-2024-52564(未記錄功能，CVSS 7.5)。這些漏洞允許攻擊者訪問敏感信息、執行任意命令和禁用防火墻。CVE-2024-52564的補丁已發布，而其他漏洞的修復計劃于12月18日前更新。用戶應更新固件并調整設置以降低風險。

資料來源：http://2ligm.dz115.sbs/A1WorDa

6、身份和訪問管理SailPoint IdentityIQ被爆高危漏洞

11月26日，AmberWolf安全研究人員發現威脅行為者利用"NachoVPN"漏洞能夠將其被攻擊者的SonicWall NetExtender和Palo Alto Networks GlobalProtect VPN客戶端連接到攻擊者控制的VPN 服務器，進行惡意更新安裝。SonicWall和Palo Alto Networks已發布補丁，用戶需更新至NetExtender 10.2.341或更高版本，GlobalProtect 6.2.6或更高版本以修補漏洞。

資料來源：http://cqwln.dz115.sbs/67URdVS

7、能源供應商ENGlobal Corporation確認遭網絡攻擊

12月4日，據媒體報道，與美國能源部門和聯邦政府合作的工程和自動化服務提供商ENGlobal Corporation在2024年11月25日意識到了一起網絡安全事件，威脅行為者非法訪問了公司的IT系統并加密了某些數據文件。這次事件是能源行業近期一系列攻擊中的最新一起。上個月，Newpark Resources發現了一起勒索軟件攻擊，涉及未經授權訪問其內部系統。而Halliburton在8月報告稱，網絡攻擊迫使其關閉了某些系統。這些攻擊再次為關鍵基礎設施行業敲響了警鐘，顯示了能源行業在網絡安全方面面臨的重大挑戰。

資料來源：http://ncgnn.dz115.sbs/67URdVS

8、英國電信巨頭BT集團確認遭勒索攻擊

12月4日，據媒體報道，英國電信巨頭BT Group確認遭遇Black Basta勒索軟件攻擊，部分會議平臺服務器被迅速下線隔離，未影響實時服務。Black Basta聲稱竊取了包括員工信息和保密協議在內的敏感數據。BT Group正與監管和執法機構合作調查此事件。

資料來源：http://5hgin.dz114.sbs/RhQkuJx

9、Brain Cipher黑客組織宣稱竊取德勤英國分公司超1TB敏感數據

12月4日，黑客組織Brain Cipher聲稱成功入侵德勤英國分公司，竊取超過1TB的敏感數據，包括客戶信息和內部監控系統。該組織計劃公開泄露數據示例，展示德勤安全防護不足，并已向德勤提出私下討論，暗示可能的贖金談判。事件可能嚴重影響德勤的客戶信任和公司聲譽，目前德勤尚未對此事作出回應，網絡安全專家正密切關注。

資料來源：https://gbhackers.com/deloitte-uk-hacked/

10、伏特加制造商Stoli在勒索軟件攻擊后在美國申請破產

12月3日，據媒體報道，伏特加制造商Stoli集團美國子公司因勒索軟件攻擊和俄羅斯沒收其酒廠而申請破產。攻擊嚴重破壞了IT系統，導致關鍵流程手動操作，預計全面恢復要到2025年初。子公司無法向債權人提供財務報告，被指拖欠7800萬美元。此前，Stoli在俄酒廠因支持烏克蘭難民被標記為“極端分子”而被沒收。此外，Stoli集團與俄羅斯國有企業就商標權進行了長達23年的法律斗爭，耗費數千萬美元。

資料來源：http://blgpn.dz114.sbs/92YbkNX

11、富士電機印尼子公司確認遭勒索攻擊

12月2日，據媒體報道，富士電機印尼子公司確認遭受勒索軟件攻擊，導致電腦和服務器無法使用，可能泄露了商業伙伴和員工信息。攻擊于11月27日被檢測到，富士電機迅速斷開受影響系統，包括斷開局域網電纜、停止互聯網通信以隔離受影響系統，并啟動調查確認問題由勒索軟件引起。公司強調將加強全球業務的網絡安全措施，防止類似事件再次發生，并計劃單獨聯系可能受影響的商業伙伴，與當地警方及通信和數字部緊密合作處理此次違規行為。

資料來源：http://yb0nm.dz114.sbs/90B2FPo

12、英國國防部在暗網發現600個被盜員工登錄憑證

12月2日，據媒體報道，英國國防部(MOD)在暗網搜索中發現近600個被盜員工登錄憑證，這些憑證用于訪問MOD的非機密國防網關網站，該網站涉及人力資源、電子郵件、協作及教育和培訓。這些被盜憑證涉及124個2024年的泄露情況，影響包括從伊拉克、卡塔爾、塞浦路斯及歐洲和英國訪問網關的員工。

資料來源：http://qkejn.dz115.sbs/iRYBlTv

13、歐盟網絡安全局《2024年歐盟網絡安全狀況報告》

12月3日，歐盟網絡安全局發布的《聯盟網絡安全狀況報告》顯示，2023年7月至2024年6月期間，歐盟網絡威脅級別“相當高”，網絡攻擊升級，DDoS和勒索軟件是主要威脅，占一半以上事件。勒索軟件攻擊趨向數據泄露，中小企業成新目標，雙重勒索常態化。公共管理部門遭受最多攻擊。網絡間諜、虛假信息和雇傭黑客活動增加。報告強調了加強網絡安全政策實施、危機管理、供應鏈安全和網絡技能的重要性。

資料來源：https://www.infosecurity-magazine.com/news/enisa-launches-first-state-eu/

14、Tenable發布了自主補丁解決方案

12月5日，Tenable發布了Tenable Patch Management，這是一款集成了自主補丁功能的解決方案，旨在通過統一的平臺消除漏洞暴露。該產品將Tenable的市場領先漏洞覆蓋、內置優先級、威脅情報和實時洞察與Adaptiva的自主補丁功能相結合，自動化地將漏洞與可用補丁關聯，幫助企業實現漏洞暴露的閉環管理。Tenable Patch Management支持自定義控制，包括部署、測試、審批和應用程序等，以滿足不同企業的需求。它還提供了自動驗證功能，使團隊能夠在后續掃描后輕松確認修復是否成功，并監控合規性狀態以符合公司政策。通過Tenable Patch Management，企業可以快速、果斷地采取行動，消除關鍵風險，縮短從發現到修復的時間。

資料來源：https://www.helpnetsecurity.com/2024/12/05/tenable-patch-management/