工業網絡安全周報（2024年第49期）

本期摘要

政策法規方面，本周觀察到國外網絡安全相關政策法規10項，值得關注的有國常會審議通過《公共安全視頻圖像信息系統管理條例 (草案)》。

漏洞態勢方面，本周監測到漏洞動態12條，值得關注的有Fortinet緊急修復FortiManager和FortiWLM產品中的高危漏洞。

安全事件方面，本周監測到重大網絡安全事件18起，其中典型的事件有CNCERT發現處置兩起美對我大型科技企業機構網絡攻擊事件。

風險預警方面，伊朗CyberAv3ngers威脅全球關鍵基礎設施。

1、國常會審議通過《公共安全視頻圖像信息系統管理條例 (草案)》

12月16日，據媒體報道，國務院總理李強主持召開常務會議，學習中央經濟工作會議精神并部署落實。會議強調統一思想行動，制定具體落實方案。優化地方政府專項債券管理，實行“負面清單”管理，提高債券使用效率。研究政府投資基金高質量發展政策，構建高效管理體系。聽取安全生產進展匯報，強調構建長效機制。審議通過《公共安全視頻圖像信息系統管理條例(草案)》，規范視頻系統建設和使用。

資料來源：https://www.secrss.com/articles/73595

2、美國CISA與EPA發布水和廢水系統網絡安全風險指導文件

12月16日，據媒體報道，美國CISA和EPA聯合發布指導文件，旨在幫助水和廢水系統減少人機界面(HMI)的網絡風險。文件強調，未經保護的HMI可能被黑客利用，導致運營中斷和手動操作需求。建議包括實施強密碼、多因素認證、網絡分段，以及保持系統更新。報告還建議監控遠程登錄、記錄失敗嘗試，并僅允許授權IP訪問。

資料來源：http://scysm.dz114.sbs/nEVGKDJ

3、美國密歇根州參議院通過個人數據隱私法案

12月12日，密歇根州參議院通過了《個人數據隱私法案》，旨在規范個人數據隱私，確立數據收集、處理、銷售和共享的標準，并建立消費者權利，如同意、撤銷和刪除。法案適用于控制或處理大量消費者個人數據的實體，并禁止某些數據處理做法。同時，建立數據經紀人登記處，違規行為將被罰款7500美元。

資料來源：https://www.secrss.com/articles/73695

4、Fortinet緊急修復FortiManager和FortiWLM產品中的高危漏洞

12月19日，據媒體報道，網絡安全公司Fortinet發布安全公告，修復了影響FortiManager(CVE-2024-48889，CVSS 9.6)和FortiWLM(CVE-2023-34990)產品的兩個關鍵漏洞。Horizon3.ai的Zach Hanley發現了FortiWLM中的未授權有限文件讀取漏洞。FortiManager中的漏洞允許經過身份驗證的遠程攻擊者執行未經授權的代碼。Fortinet建議用戶升級到最新版本以降低風險。

資料來源：https://gbhackers.com/fortinet-warns-of-critical-vulnerabilitiy/

5、SonicWall設備存在嚴重安全漏洞，影響數千臺設備

12月18日，據Bishop Fox的研究發現，超過25,000臺SonicWall SSLVPN設備暴露在互聯網上，存在嚴重安全漏洞。這些漏洞可能允許攻擊者未經授權訪問網絡，導致數據泄露。研究發現，約39%的暴露設備運行在系列7防火墻上，而超過20,000臺設備使用不再受供應商支持的過時固件。SonicWall已發布補丁，敦促用戶升級固件以降低風險。

資料來源：http://tdeam.dz114.sbs/50RS3sJ

6、SHARP路由器中發現多個高危漏洞，影響全球用戶

12月18日，據媒體報道，JPCERT/CC與LAC Co.，Ltd.的安全專家Shuto Imai在SHARP路由器中發現多個高危漏洞，這些漏洞可能允許攻擊者以root權限執行任意代碼或破壞敏感數據，其中CVE-2024-46873最為嚴重，無需認證即可被遠程利用。主要供應商已確認漏洞并提供固件更新，用戶需盡快升級以確保安全。

資料來源：https://gbhackers.com/multiple-sharp-routers-vulnerabilities/

7、BeyondTrust披露高危漏洞CVE-2024-12356，影響PRA和RS產品

12月18日，據媒體報道，BeyondTrust在其特權遠程訪問(PRA)和遠程支持(RS)產品中發現了一個高危安全漏洞(CVE-2024-12356，CVSS評分9.8)，可能導致未授權執行任意命令。該漏洞允許攻擊者通過惡意客戶端請求注入命令。受影響版本包括PRA和RS的24.3.1及更早版本，已通過補丁BT24-10-ONPREM1或BT24-10-ONPREM2修復。云實例的補丁已在2024年12月16日應用，本地版本用戶需手動更新。BeyondTrust正與網絡安全和取證公司合作調查此安全事件的原因和影響。

資料來源：https://thehackernews.com/2024/12/beyondtrust-issues-urgent-patch-for.html

8、CNCERT發現處置兩起美對我大型科技企業機構網絡攻擊事件

12月18日，據媒體報道，國家互聯網應急中心發現并處置了兩起針對我國大型科技企業的網絡攻擊事件。2024年8月，一家先進材料設計研究單位被疑似美國情報機構攻擊，攻擊者利用系統漏洞入侵并投遞控制木馬，竊取了大量商業秘密和知識產權。2023年5月，一家智慧能源和數字信息大型企業也遭受了類似的網絡攻擊，攻擊者利用微軟Exchange漏洞，入侵郵件服務器并植入后門程序，持續竊取郵件數據，同時攻擊了30余臺設備，盜取商業秘密信息。

資料來源：https://www.secrss.com/articles/73689

9、AlphaSense數據泄露危機：黑客勒索比特幣，市場情報安全岌岌可危

12月18日，據媒體報道，市場情報平臺AlphaSense遭受數據泄露，威脅者“KryptonZambie”聲稱獲取數據庫和源代碼，要求1比特幣出售數據，10比特幣刪除數據。樣本數據顯示最新時間為12月16日。該用戶與APT29有關但未證實。AlphaSense強調其網絡安全措施，包括AES 256位加密和AWS云安全。此事件凸顯了對第三方供應商網絡安全實踐的警惕性。

資料來源：https://cyberpress.org/data-breach-alert-alphasense-faces-potential-cybersecurity-threat/

10、烏克蘭國家海關總署數據庫疑遭泄露

12月19日，據Darkwebinformer.com報道，烏克蘭國家海關總署數據庫疑遭泄露，此次事件涉及的敏感數據包括貿易信息和關稅數據等。黑客聲稱已獲得數據庫和源代碼，并索要比特幣作為贖金。若不支付，威脅將在犯罪論壇公開數據。此事件凸顯了關鍵基礎設施網絡安全的重要性及數據泄露的嚴重后果。

資料來源：http://vn7yn.dz115.sbs/CawRhC0

11、黑客聲稱出售1,731個美國和歐盟RDWeb憑據

12月19日，威脅行為者在暗網論壇DarkWebInformer.com聲稱出售1,731個RDWeb憑證，主要針對美國和歐盟用戶。據稱涉及的數據泄露可能對相關用戶的信息安全構成威脅。

資料來源：http://j4cin.dz114.sbs/WYjjReq

12、美國羅德島州遭遇勒索軟件攻擊

12月16日，據媒體報道，美國羅德島州的RIBridges系統遭受了勒索軟件組織Brain Cipher的攻擊，導致居民的個人信息泄露。RIBridges是羅德島州用于管理和提供公共援助計劃的系統，包括醫療補助、SNAP、TANF等多個項目。攻擊于2024年12月5日被發現，德勤評估后認為黑客可能竊取了包含個人身份信息和其他數據的文件。羅德島州已建議居民重置密碼、設置欺詐警報和信用凍結，并激活銀行提供的安全措施以保護個人信息。

資料來源：http://1qdwm.dz115.sbs/xDPPePq

13、ConnectOnCall遭攻擊致近100萬患者數據泄露

12月11日，總部位于特拉華州威爾明頓的公司ConnectOnCall 向聯邦監管機構報告其發生數據泄露事件，事件影響了近100萬人的個人信息和醫療信息安全。泄露調查顯示，在2024年2月16日至5月12日期間，未經授權的攻擊者訪問了該平臺及應用程序內的部分數據，包括患者姓名、出生日期、電話號碼、醫療記錄號、健康狀況以及醫患通信信息等。

資料來源：http://9bt8n.dz115.sbs/uK1woBa

14、伊朗CyberAv3ngers威脅全球關鍵基礎設施

12月20日，據媒體報道，FBI、CISA、NSA及加拿大、英國、以色列的合作伙伴機構對隸屬于伊朗伊斯蘭革命衛隊(IRGC)的APT組織CyberAv3ngers發出緊急警告。該組織針對全球關鍵基礎設施，特別是水系統和能源設施的工業控制系統(ICS)和可編程邏輯控制器(PLC)進行攻擊。CyberAv3ngers利用默認或缺失密碼的漏洞，對以色列制造的Unitronics Vision系列PLC和人機界面(HMI)進行攻擊，可能導致嚴重的網絡物理中斷。受害者遍布美國、英國、以色列等國家的關鍵基礎設施實體。新發現的攻擊手法包括替換梯形圖邏輯文件、更改設備設置阻止訪問等。公告強調了加強網絡安全措施的重要性，并提供了更新固件、消除互聯網暴露、增強檢測和防御等緩解策略。

資料來源：http://mdzsn.dz115.sbs/RBq2hDo

15、Forescout揭示工程工作站成OT/ICS惡意軟件新目標

12月18日，Forescout Technologies分析了公共惡意軟件存儲庫的數據，發現針對運營技術和工業控制系統(OT/ICS)的惡意軟件持續存在。超過20%的攻擊針對工程工作站，促使Forescout集中精力在此領域。研究人員發現了Mitsubishi工程工作站被Ramnit蠕蟲入侵的兩起事件，并檢查了三個旨在破壞西門子工程流程的新惡意軟件樣本，命名為Chaya_003。

資料來源：http://ewaom.dz115.sbs/f2rfgrF