工業(yè)網(wǎng)絡(luò)安全周報(bào)（2024年第48期）

本期摘要

政策法規(guī)方面，本周觀察到國外網(wǎng)絡(luò)安全相關(guān)政策法規(guī)12項(xiàng)，值得關(guān)注的有香港《保護(hù)關(guān)鍵基礎(chǔ)設(shè)施 (計(jì)算機(jī)系統(tǒng)) 條例草案》提交立法會(huì)審議。

漏洞態(tài)勢方面，本周監(jiān)測到漏洞動(dòng)態(tài)15條，值得關(guān)注的有銳捷修復(fù)Reyee云管理平臺多個(gè)漏洞。

安全事件方面，本周監(jiān)測到重大網(wǎng)絡(luò)安全事件20起，其中典型的事件有伊朗利用IOCONTROL惡意軟件攻擊美以關(guān)鍵基礎(chǔ)設(shè)施、羅馬尼亞電力供應(yīng)商Electrica Group確認(rèn)遭受勒索軟件攻擊。

風(fēng)險(xiǎn)預(yù)警方面，Group-IB揭露全球網(wǎng)絡(luò)釣魚活動(dòng)可利用Adobe和Google服務(wù)繞過安全檢安全郵件網(wǎng)關(guān)檢測。

1、香港《保護(hù)關(guān)鍵基礎(chǔ)設(shè)施 (計(jì)算機(jī)系統(tǒng)) 條例草案》提交立法會(huì)審議

12月12日，據(jù)媒體報(bào)道，香港《保護(hù)關(guān)鍵基礎(chǔ)設(shè)施(計(jì)算機(jī)系統(tǒng))條例草案》旨在對關(guān)鍵基礎(chǔ)設(shè)施的指定營運(yùn)者施加法定要求，確保他們采取適當(dāng)措施保護(hù)計(jì)算機(jī)系統(tǒng)，減少網(wǎng)絡(luò)攻擊導(dǎo)致服務(wù)中斷或受損的風(fēng)險(xiǎn)，維持社會(huì)運(yùn)作和市民生活，提升整體計(jì)算機(jī)系統(tǒng)安全。

資料來源：https://www.secrss.com/articles/73416

2、美國發(fā)布州際天然氣管道商業(yè)慣例標(biāo)準(zhǔn)

12月10日，據(jù)媒體報(bào)道，美國聯(lián)邦能源監(jiān)管委員會(huì)(FERC)發(fā)布了最終規(guī)則，更新了包括北美能源標(biāo)準(zhǔn)委員會(huì)(NAESB)天然氣批發(fā)象限(WGQ)4.0版在內(nèi)的州際天然氣管道商業(yè)實(shí)踐標(biāo)準(zhǔn)。這些修訂旨在提升天然氣行業(yè)運(yùn)營效率、可靠性及網(wǎng)絡(luò)安全。新規(guī)則將于2025年2月7日生效，合規(guī)申報(bào)需在2025年2月3日前提交，且必須在2025年8月1日前遵守這些標(biāo)準(zhǔn)。

資料來源：http://nx5qn.dz114.sbs/fSzCXOX

3、歐盟新《產(chǎn)品責(zé)任指令》生效

12月8日，歐盟新的產(chǎn)品責(zé)任指令(PLD)正式生效，該指令擴(kuò)展了“產(chǎn)品”的定義，包括數(shù)字制造文件和軟件，并可能使在線平臺對其銷售的有缺陷產(chǎn)品承擔(dān)責(zé)任。指令規(guī)定，軟件開發(fā)商和生產(chǎn)商被視為制造商，且通過軟件更新或人工智能學(xué)習(xí)修改的產(chǎn)品在修改時(shí)視為“可用”。此外，指令允許國家法院逐案評估產(chǎn)品缺陷及其與損害的因果關(guān)系，人工智能相關(guān)案件的原告無需證明確定產(chǎn)品缺陷的技術(shù)難度。新指令將適用于自2026年12月9日起投放市場的產(chǎn)品。

資料來源：http://3fcbn.dz115.sbs/cDK6AzZ

4、歐盟《網(wǎng)絡(luò)彈性法案》正式生效

12月12日，據(jù)媒體報(bào)道，歐盟《網(wǎng)絡(luò)彈性法案》正式生效，標(biāo)志著歐盟在網(wǎng)絡(luò)安全領(lǐng)域邁出重要一步，要求制造商對包含數(shù)字組件的產(chǎn)品實(shí)施強(qiáng)制性網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。法案增強(qiáng)了制造商責(zé)任，確保產(chǎn)品安全，并要求提供軟件更新及持續(xù)安全支持，提高網(wǎng)絡(luò)風(fēng)險(xiǎn)透明度，使消費(fèi)者能做出更明智的購買決策。產(chǎn)品將帶有CE標(biāo)志以示符合法規(guī)要求，主要義務(wù)將于2027年12月11日生效。該法案與NIS2網(wǎng)絡(luò)安全框架相輔相成，旨在加強(qiáng)歐盟數(shù)字產(chǎn)品的網(wǎng)絡(luò)安全，保護(hù)消費(fèi)者免受網(wǎng)絡(luò)威脅。

資料來源：http://ibu6n.dz114.sbs/diH0GOf

5、銳捷修復(fù)Reyee云管理平臺多個(gè)漏洞

12月13日，據(jù)媒體報(bào)道，物聯(lián)網(wǎng)供應(yīng)商銳捷網(wǎng)絡(luò)修復(fù)了其Reyee云管理平臺的10個(gè)安全漏洞，這些漏洞可被攻擊者利用來控制數(shù)千臺設(shè)備。Claroty Team82發(fā)現(xiàn)并命名為“芝麻開門”的攻擊展示了通過云門戶控制Ruijie設(shè)備的能力。這些設(shè)備廣泛用于全球公共場所提供免費(fèi)Wi-Fi。在Black Hat Europe 2024上，研究人員展示了其中3個(gè)CVSS評分9分以上的嚴(yán)重漏洞，銳捷已修補(bǔ)。這些漏洞允許遠(yuǎn)程代碼執(zhí)行，攻擊者可利用弱身份驗(yàn)證機(jī)制生成設(shè)備憑據(jù)，冒充云平臺發(fā)送惡意負(fù)載。Claroty團(tuán)隊(duì)的攻擊場景表明，攻擊者僅需序列號即可在易受攻擊的Ruijie設(shè)備上執(zhí)行代碼。

資料來源：http://fpmfm.dz115.sbs/viFzfNE

6、施耐德電警示Modicon控制器中存在高危漏洞

12月10日，據(jù)媒體報(bào)道，施耐德電氣警告稱，其Modicon M241、M251、M258和LMC058 PLC存在嚴(yán)重漏洞CVE-2024-11737，CVSS評分9.8，可能使攻擊者造成拒絕服務(wù)并損害控制器完整性。建議客戶僅在受保護(hù)環(huán)境中使用控制器、通過嵌入式防火墻過濾端口和IP、設(shè)置網(wǎng)絡(luò)分段并阻止對端口502/TCP的未授權(quán)訪問、禁用未使用的協(xié)議。

資料來源：http://zrg9m.dz114.sbs/b71O4kz

7、菲尼克斯電氣設(shè)備存在多個(gè)高危漏洞

12月9日，Nozomi Networks Labs的研究人員在菲尼克斯電氣的mGuard工業(yè)路由器中發(fā)現(xiàn)了12個(gè)漏洞，其中4個(gè)高風(fēng)險(xiǎn)漏洞允許經(jīng)過身份驗(yàn)證的遠(yuǎn)程代碼執(zhí)行(RCE)。這些漏洞可能被遠(yuǎn)程用戶利用，從而獲得對設(shè)備的完全控制權(quán)。mGuard是一款提供工業(yè)安全保護(hù)的設(shè)備，Phoenix Contact在得知問題后迅速響應(yīng)，在兩個(gè)月內(nèi)解決了這些漏洞。受影響的設(shè)備可以通過更新固件來修復(fù)這些問題。

資料來源：http://7x3mm.dz115.sbs/ix0fM3v

8、ABB發(fā)布ASPECT系統(tǒng)關(guān)鍵安全漏洞公告及修復(fù)措施

12月10日，據(jù)媒體報(bào)道，ABB發(fā)布關(guān)于其建筑能源管理平臺ASPECT系統(tǒng)的關(guān)鍵網(wǎng)絡(luò)安全公告，披露多個(gè)漏洞，包括遠(yuǎn)程代碼執(zhí)行、明文密碼處理、默認(rèn)憑證和絕對路徑遍歷，CVSS評分高達(dá)10.0。ABB建議客戶斷開暴露于互聯(lián)網(wǎng)的設(shè)備、升級固件至3.08.03或更高版本、實(shí)施安全訪問控制，并更改默認(rèn)憑證以降低風(fēng)險(xiǎn)。

資料來源：http://irlhn.dz115.sbs/em8VjAS

9、伊朗利用IOCONTROL惡意軟件攻擊美以關(guān)鍵基礎(chǔ)設(shè)施

12月12日，據(jù)媒體報(bào)道，伊朗威脅行為者利用新惡意軟件IOCONTROL攻擊以色列和美國的關(guān)鍵基礎(chǔ)設(shè)施，目標(biāo)包括路由器、PLC、HMI等。該軟件模塊化，影響多個(gè)制造商設(shè)備。Claroty的Team82分析了IOCONTROL，發(fā)現(xiàn)它能控制泵、支付終端等，可能造成中斷或數(shù)據(jù)泄露。攻擊者聲稱入侵了200個(gè)加油站。IOCONTROL通過MQTT協(xié)議通信，使用AES-256-CBC加密配置，支持多種命令，包括系統(tǒng)信息報(bào)告、任意命令執(zhí)行和自刪除。

資料來源：http://vhk8m.dz114.sbs/dlFxmXq

10、日本水處理公司美國子公司Kurita America及綠茶生產(chǎn)商Ito En美國子公司遭受勒索軟件攻擊

12月10日，據(jù)媒體報(bào)道，日本水處理公司Kurita Water Industries的美國子公司Kurita America在11月29日遭受勒索軟件攻擊，部分服務(wù)器被加密，客戶和員工數(shù)據(jù)可能泄露。公司表示主服務(wù)器已恢復(fù)，業(yè)務(wù)未受影響。此外，日本最大綠茶生產(chǎn)商Ito En的美國子公司也在12月2日遭受攻擊，服務(wù)器被加密，但已隔離并使用備份數(shù)據(jù)恢復(fù)。2024年，多家日本公司頻繁遭受勒索軟件攻擊。

資料來源：https://therecord.media/us-subsidiaries-japanese-water-treatment

11、羅馬尼亞電力供應(yīng)商確認(rèn)遭勒索攻擊

12月9日，據(jù)媒體報(bào)道，羅馬尼亞電力供應(yīng)商Electrica Group確認(rèn)遭受勒索軟件攻擊，關(guān)鍵系統(tǒng)和SCADA系統(tǒng)未受影響，公司正與國家網(wǎng)絡(luò)安全部門合作調(diào)查。Electrica為超過380萬用戶提供服務(wù)，首席執(zhí)行官強(qiáng)調(diào)內(nèi)部保護(hù)措施旨在確保系統(tǒng)安全和電力供應(yīng)連續(xù)性。羅馬尼亞能源部確認(rèn)攻擊，表示將追究攻擊者責(zé)任，并推動(dòng)建立能源網(wǎng)絡(luò)安全事件響應(yīng)中心以強(qiáng)化防御。

資料來源：http://ch81m.dz114.sbs/oAiT3Kn

12、勒索軟件攻擊知名心臟手術(shù)設(shè)備制造商Artivion

12月9日，據(jù)媒體報(bào)道，心臟外科設(shè)備制造商Artivion遭受勒索軟件攻擊，導(dǎo)致運(yùn)營中斷和部分系統(tǒng)下線。攻擊者加密了系統(tǒng)并竊取數(shù)據(jù)，公司正努力恢復(fù)并評估通知義務(wù)。此次事件將產(chǎn)生保險(xiǎn)不覆蓋的額外費(fèi)用。近期，美國醫(yī)療保健領(lǐng)域頻遭勒索軟件攻擊，如BCHP和UMC Health System。

資料來源：http://4yeym.dz115.sbs/hgCMtLO

13、安全郵件網(wǎng)關(guān)無法阻止所有釣魚攻擊

12月10日，Group-IB的報(bào)告揭露了一個(gè)復(fù)雜的全球網(wǎng)絡(luò)釣魚活動(dòng)，該活動(dòng)針對15個(gè)司法管轄區(qū)的30家公司員工。攻擊者利用可信域和動(dòng)態(tài)個(gè)性化技術(shù)，成功繞過安全電子郵件網(wǎng)關(guān)(SEG)，欺騙金融、政府、航空航天和能源等行業(yè)的受害者。攻擊者通過Adobe InDesign云服務(wù)和Google AMP等合法平臺分發(fā)200多個(gè)網(wǎng)絡(luò)釣魚鏈接，模仿知名品牌，使用公司徽標(biāo)和專業(yè)格式建立信任。他們還動(dòng)態(tài)定制網(wǎng)絡(luò)釣魚頁面，以匹配目標(biāo)組織的徽標(biāo)和頁面標(biāo)題，提高可信度。攻擊者使用URL重定向和多層策略繞過SEG，并將被盜憑據(jù)實(shí)時(shí)傳輸?shù)紺2服務(wù)器或Telegram機(jī)器人。Group-IB警告，威脅行為者不斷改進(jìn)技術(shù)以繞過安全措施。

資料來源：https://www.infosecurity-magazine.com/news/enisa-launches-first-state-eu/

14、UAC-0185 APT利用社會(huì)工程瞄準(zhǔn)烏克蘭國防工業(yè)基地

12月10日，據(jù)媒體報(bào)道，烏克蘭CERT-UA揭露APT組織UAC-0185(UNC4221)針對烏克蘭國防工業(yè)的復(fù)雜網(wǎng)絡(luò)釣魚活動(dòng)。攻擊者冒充UUIE發(fā)送含惡意LNK文件的釣魚郵件，觸發(fā)多階段感染，最終部署MESHAGENT RAT以控制受感染系統(tǒng)。UAC-0185自2022年以來活躍，專注于烏克蘭國防和軍事部門，使用定制惡意軟件進(jìn)行攻擊。

資料來源：http://41v1n.dz115.sbs/Amn50iY

15、針對印度政府的網(wǎng)絡(luò)攻擊激增

12月10日，據(jù)媒體報(bào)道，印度政府機(jī)構(gòu)遭受的網(wǎng)絡(luò)攻擊從2019年到2023年增加了138%，從85,797次上升至2,04,844次。為應(yīng)對這一趨勢，印度政府實(shí)施了多項(xiàng)措施，包括任命首席信息安全官、成立國家關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)中心(NCIIPC)和國家網(wǎng)絡(luò)協(xié)調(diào)中心(NCCC)，并制定了網(wǎng)絡(luò)危機(jī)管理計(jì)劃。這些措施旨在提高網(wǎng)絡(luò)安全態(tài)勢，保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施。盡管如此，攻擊的復(fù)雜性和頻率不斷上升，印度需要繼續(xù)加強(qiáng)網(wǎng)絡(luò)安全措施。

資料來源：https://thecyberexpress.com/surge-in-cyberattacks-on-indian-government/