7月速遞

工業(yè)信息安全“情報解碼”，金瀚信安帶您一站式掌握2021年7月份國內外工業(yè)信息安全資訊～

  政策法規(guī)  

本月，網信辦發(fā)布《網絡安全審查辦法(修訂草案征求意見稿)》;工信部發(fā)布《網絡安全產業(yè)高質量發(fā)展三年行動計劃(2021-2023年)(征求意見稿)》;工信部、國家網信辦、公安部印發(fā)《網絡產品安全漏洞管理規(guī)定》;關于加快推進互聯(lián)網協(xié)議第六版 (IPv6) 規(guī)模部署和應用工作的通知;美國國會出臺18項新網絡安全法案。

網信辦發(fā)布《網絡安全審查辦法(修訂草案征求意見稿)》

7月10日，網信辦發(fā)布關于《網絡安全審查辦法(修訂草案征求意見稿)》(簡稱《辦法》)?！掇k法》提出，掌握超過100萬用戶個人信息的運營者赴國外上市，必須向網絡安全審查辦公室申報網絡安全審查。網絡安全審查重點評估采購活動、數據處理活動以及國外上市可能帶來的國家安全風險。

資料來源：http://www.cac.gov.cn/2021-07/10/c_1627503724456684.htm

工信部發(fā)布《網絡安全產業(yè)高質量發(fā)展三年行動計劃(2021-2023年)(征求意見稿)》

7月12日，工信部發(fā)布《網絡安全產業(yè)高質量發(fā)展三年行動計劃(2021-2023年)(征求意見稿)》(簡稱《行動計劃》)?！缎袆佑媱潯访鞔_提出，到2023年，網絡安全產業(yè)規(guī)模超過2500億元，年復合增長率超過15%。一批網絡安全關鍵核心技術實現(xiàn)突破，達到先進水平。

資料來源：http://sh.people.com.cn/n2/2021/0712/c176738-34816446.html

工信部、國家網信辦、公安部印發(fā)《網絡產品安全漏洞管理規(guī)定》

7月12日，工信部、國家網信辦、公安部近日印發(fā)《網絡產品安全漏洞管理規(guī)定》，規(guī)定自2021年9月1日起施行。規(guī)定明確，任何組織或者個人不得利用網絡產品安全漏洞從事危害網絡安全的活動，不得非法收集、出售、發(fā)布網絡產品安全漏洞信息。

資料來源：http://www.chinanews.com/gn/2021/07-13/9518929.shtml

關于加快推進互聯(lián)網協(xié)議第六版 (IPv6) 規(guī)模部署和應用工作的通知

中央網信辦、國家發(fā)展改革委、工業(yè)和信息化部印發(fā)《關于加快推進互聯(lián)網協(xié)議第六版(IPv6)規(guī)模部署和應用工作的通知》。通知落實《中華人民共和國國民經濟和社會發(fā)展第十四個五年規(guī)劃和2035年遠景目標綱要》有關要求，明確了“十四五”時期深入推進IPv6規(guī)模部署和應用的主要目標、重點任務和時間表，是各地區(qū)、各部門推進IPv6部署應用工作的指導性文件。

資料來源：http://www.gov.cn/zhengce/zhengceku/2021-07/23/content_5626963.htm

美國國會出臺18項新網絡安全法案

美國國會出臺18項新網絡安全法案，用以支持和擴大國家的網絡安全能力。包括《網絡安全漏洞補救法案》、《CISA 網絡演習法案》、《2021年 DHS工業(yè)控制系統(tǒng)能力增強法案》、《州和地方網絡安全改進法案》以及《國土安全關鍵領域法案》等等。

資料來源：https://www.securityweek.com/house-passes-several-critical-infrastructure-cybersecurity-bills?&web_view=tru

  安全事件  

本月，REvil的新供應鏈攻擊摧毀1500余家企業(yè)，提供商Kaseya針對此次攻擊發(fā)布了補丁;針對中東工業(yè)組織的Mac惡意軟件現(xiàn)身;石油巨頭沙特阿美1TB數據遭泄露;英國鐵路系統(tǒng)遭勒索軟件攻擊;伊朗鐵路系統(tǒng)、南非運輸公司Transnet遭到網絡攻擊;東京奧運會購票信息在網上泄露：疑似惡意軟件竊取;CISA在被攻擊的Pulse Secure設備中發(fā)現(xiàn)13個惡意樣本;法國ANSSI披露APT31利用家庭路由器發(fā)起的間諜活動。

REvil的新供應鏈攻擊摧毀1500余家企業(yè)

REvil團伙針對八個使用Kaseya VSA解決方案的大型MSP發(fā)起攻擊，至少影響了1500多家企業(yè)，其數據均已被加密。REvil索要價值7000萬美元的比特幣，以恢復所有數據，這是迄今為止最高的贖金要求。

資料來源：https://cyware.com/news/revils-new-supply-chain-attack-takes-down-1000s-of-businesses-839c9f7e

Kaseya發(fā)布針對勒索軟件攻擊中所利用漏洞的補丁

提供商Kaseya已針對最近勒索軟件攻擊中利用的漏洞發(fā)布了補丁，該公司11日發(fā)布了本地產品的補丁并開始恢復SaaS服務，12日早上提供的最新更新稱，已經為95%的客戶恢復了SaaS服務。

資料來源：https://www.securityweek.com/kaseya-releases-patches-vulnerabilities-exploited-ransomware-attack?&web_view=true

用于攻擊中東工業(yè)組織的Mac惡意軟件現(xiàn)身

卡巴斯基的安全研究人員發(fā)現(xiàn)一場針對中東工業(yè)部門的惡意攻擊已擴展至Mac計算機。該活動被稱為WildPressure，攻擊者使用由虛擬專用服務器和受感染服務器組成的基礎設施發(fā)起攻擊。

資料來源：https://www.securityweek.com/mac-malware-used-attacks-targeting-industrial-organizations-middle-east

石油巨頭沙特阿美1TB數據遭泄露

網名ZeroX的威脅行為者竊取了沙特阿拉伯國家石油公司1TB的敏感數據，并在多個黑客論壇上以500萬美元的初始價格出售，提供了對被盜信息樣本的訪問權限，包括藍圖和個人信息。

資料來源：https://securityaffairs.co/wordpress/120301/data-breach/saudi-aramco-data-breach.html

英國鐵路系統(tǒng)遭勒索軟件攻擊

英國北部鐵路售票系統(tǒng)服務器遭到疑似勒索軟件攻擊。文件加密惡意軟件的目標是600多個觸摸屏設備，這些耗資1700萬英鎊的設備分布在英格蘭北部的420個車站內。

資料來源：https://www.cybersecurity-insiders.com/ransomware-attack-on-northern-rail-uk/?utm_source=rss

伊朗鐵路系統(tǒng)遭網絡攻擊

伊朗鐵路遭到網絡攻擊。攻擊者在全國各地車站的顯示板上發(fā)表了“因網絡攻擊導致延遲很久”和“取消車次”的言論，呼吁乘客了解詳細信息，并提供了該國最高領導人的電話號碼，此次攻擊導致火車站出現(xiàn)前所未有的混亂。

資料來源：https://www.ehackingnews.com/2021/07/cyber-attack-by-hackers-disrupt-iranian.html

南非運輸公司Transnet遭到網絡攻擊

南非的運輸公司Transnet遭到網絡攻擊，造成其運營嚴重中斷，可能持續(xù)一周。在該公司已發(fā)布的電子郵件中，明確提到港口運營已被扣押，貨物運輸已被禁止，直到被破壞的系統(tǒng)恢復。

資料來源：https://www.cybersecurity-insiders.com/cyber-attack-on-transnet-south-africa-shipping/

東京奧運會購票信息在網上泄露：疑似惡意軟件竊取

據日媒報道，一位日本政府官員在7月21日表示，東京奧運會門票購買者的登錄賬號和密碼在互聯(lián)網上被泄露，這是組委會遭遇的一系列網絡威脅的最新一次。這位匿名官員說，殘奧會門票購買者和使用過夏季奧運會志愿者門戶網站的人，賬號信息也在網上被泄露了。攻擊者可根據賬號密碼，獲取購票者和志愿者的姓名、地址、銀行賬戶等個人信息。

資料來源：https://mp.weixin.qq.com/s/ULnriFRau-SjBuGv6mcf3Q

CISA在被攻擊的Pulse Secure設備中發(fā)現(xiàn)13個惡意樣本

美國CISA發(fā)布警報，稱在被攻擊的Pulse Secure設備上發(fā)現(xiàn)了13個惡意軟件樣本。自2020年6月以來，美國政府機構、關鍵基礎設施和各行業(yè)公司的Pulse Secure設備一直是攻擊者的目標，攻擊者利用多個漏洞(CVE-2019-11510、CVE-2020-8260、CVE-2020-8243和CVE-2021-2289)入侵并安裝webshell。CISA鼓勵用戶和管理員查看這13個惡意軟件的分析報告(MAR)，了解攻擊者的技術、策略和程序(TTP)以及入侵指標(IOC)。

資料來源：https://us-cert.cisa.gov/ncas/current-activity/2021/07/21/malware-targeting-pulse-secure-devices

法國ANSSI披露APT31利用家庭路由器發(fā)起的間諜活動

法國國家網絡安全機構ANSSI披露APT31(或Zirconium)利用家庭路由器發(fā)起的間諜活動。該機構表示，此次攻擊開始于2021年初，并且現(xiàn)在仍在進行中。在此次活動中，攻擊者劫持了家庭路由器以設置受感染設備的代理網絡，旨在隱藏其偵察和攻擊活動。此外，ANSSI還發(fā)布了這些攻擊的入侵指標(IOC)列表，并公布了此次攻擊中被APT31劫持的161個IP地址的列表。

資料來源：https://therecord.media/chinese-hacking-group-apt31-uses-mesh-of-home-routers-to-disguise-attacks/

  漏洞態(tài)勢  

本月，Claroty、菲尼克斯電氣、以及羅克韋爾等眾多知名工業(yè)廠商的產品均被曝出存在漏洞，其中不乏高危漏洞;MDT Software、CODESYS以及施耐德電氣針對各自產品存在的漏洞進行了修復，發(fā)布了更新;Win10中提權漏洞SeriousSAM影響近兩年發(fā)布的版本;已存在16年的漏洞影響數億臺惠普、Xerox和三星打印機。

Claroty工業(yè)遠程訪問產品存在漏洞

Claroty SRA 是一種遠程安全訪問解決方案。Alpha Strike 研究人員發(fā)現(xiàn)，攻擊者可以繞過 SRA 軟件中央配置文件的訪問控制，利用此漏洞可訪問由 SRA 安裝管理的資產，并進行破壞。

資料來源：https://www.securityweek.com/vulnerability-found-industrial-remote-access-product-claroty?&web_view=true

菲尼克斯電氣多款工業(yè)產品存在高危漏洞

菲尼克斯電氣透露，F(xiàn)L COMSERVER UNI、ILC1x1產品均受到高嚴重性DoS漏洞的影響，該漏洞可以使用特制的 IP 數據包觸發(fā)，AXL F BK和IL BK總線耦合器中存在與用于FTP訪問的硬編碼密碼有關的漏洞。

資料來源：https://www.securityweek.com/high-severity-vulnerabilities-found-several-phoenix-contact-industrial-products?&web_view=true

WAGO設備中的漏洞使工業(yè)公司面臨遠程攻擊

WAGO的PFC100和PFC200 PLC、600 HMI存在四個與內存相關的漏洞，影響I/O-Check服務。通過鏈接共享內存溢出漏洞和越界讀取漏洞，能夠創(chuàng)建一個完整的預授權遠程代碼執(zhí)行來接管任何WAGO PFC100/200設備。

資料來源：https://www.securityweek.com/vulnerabilities-wago-devices-expose-industrial-firms-remote-attacks

施耐德電氣工控系統(tǒng)存在嚴重漏洞

Armis的研究人員發(fā)現(xiàn)施耐德電氣的Modicon可編程邏輯控制器(PLC)存在一個高危漏洞，該漏洞被追蹤為CVE-2021-22779。攻擊者利用該漏洞可以繞過認證機制，完全控制目標設備。

資料來源：https://www.itsecurityguru.org/2021/07/13/armis-discloses-critical-vulnerability-that-allows-remote-takeover-of-schneider-electric-industrial-controllers/?utm_source=rss

MDT Software已修復工業(yè)自動化產品中的高危漏洞

MDT Software已修復其旗艦產品MDT AutoSave中的CVE-2021-32953漏洞，該漏洞可通過SQL命令來在系統(tǒng)中創(chuàng)建新用戶，并提升用戶權限;修復CVE-2021-32933命令注入漏洞，該漏洞可被用來運行惡意進程。

資料來源：https://www.securityweek.com/several-vulnerabilities-patched-mdt-autosave-industrial-automation-product

漏洞使MicroLogix PLC面臨遠程DoS攻擊

Rockwell自動化MicroLogix 1100 PLC的嚴重漏洞CVE-2021-33012可被用來導致設備進入持續(xù)故障狀態(tài),遠程攻擊者可以利用該漏洞通過專門向目標控制器發(fā)送精心制作的命令進行拒絕服務攻擊。

資料來源：https://www.securityweek.com/vulnerability-exposes-micrologix-plcs-remote-dos-attacks

施耐德電氣修復了EVlink電動汽車充電站的關鍵漏洞

施耐德電氣已修復其EVlink系列電動汽車充電站中包括可能導致DoS攻擊在內的13個安全漏洞，其中三個嚴重漏洞CVSS評分均為9.4，且均可以讓攻擊者通過充電站Web服務器獲得管理權限。

資料來源：https://portswigger.net/daily-swig/schneider-electric-fixes-critical-vulnerabilities-in-evlink-electric-vehicle-charging-stations?&web_view=true

CODESYS修復工業(yè)自動化產品中的十幾個漏洞

CODESYS本月修復了影響各種產品的十幾個漏洞。其中CODESYS V3Web服務器中存在的CVE-2021-33485緩沖區(qū)溢出漏洞被指評為嚴重等級，攻擊者可利用該漏洞進行DoS攻擊或使用特制請求進行遠程代碼執(zhí)行。

資料來源：https://www.securityweek.com/codesys-patches-dozen-vulnerabilities-industrial-automation-products

Win10中提權漏洞SeriousSAM影響近兩年發(fā)布的版本

研究人員Jonas Lykkegaard披露了Win10中的提權漏洞SeriousSAM，影響了近兩年多發(fā)布的所有版本。Lykkegaard在測試最新發(fā)布的Win11時發(fā)現(xiàn)，雖然Windows限制了低權限用戶訪問SAM、SECURITY和SYSTEM等文件夾中的敏感配置文件，但這些文件的副本也被保存在Shadow Volume Copy創(chuàng)建的備份文件中，而自2018年11月發(fā)布的Windows 10 v1809以來，微軟一直沒有阻止對這些備份的訪問。

資料來源：https://therecord.media/serioussam-bug-impacts-all-windows-10-versions-released-in-the-past-2-5-years/

已存在16年的漏洞影響數億臺惠普、Xerox和三星打印機

SentinelLabs披露在HP、Samsung和Xerox打印機驅動程序中發(fā)現(xiàn)的一個嚴重的緩沖區(qū)溢出漏洞。該漏洞自2005年就開始存在，追蹤為CVE-2021-3438，CVSS評分為8.8，影響超過380款的惠普和三星打印機，以及12種Xerox打印機。該漏洞位于打印驅動程序安裝程序包SSPORT.SYS中，本地攻擊者可以利用該漏洞將權限提升到SYSTEM并在內核模式下運行代碼，來安裝、查看、更改、加密或刪除數據等。目前，該漏洞已經修復。

資料來源：https://www.zdnet.com/article/hp-patches-vulnerable-printer-driver-impacting-millions-of-devices/

  技術動向  

本月，DoE發(fā)布C2M2 2.0版本以保護關鍵基礎設施;Mitre發(fā)布D3FEND新模式;研究人員發(fā)現(xiàn)一種在神經網絡模型中隱藏惡意軟件的新技術。

DoE發(fā)布C2M2 2.0版本以保護關鍵基礎設施

美國能源部 (DoE) 的網絡安全、能源安全和應急響應(CESER) 部門于7 月 21 日宣布，能源部 (DoE) 已發(fā)布其網絡安全能力成熟度模型 (C2M2) 的更新版本，其中包含解決關鍵基礎設施網絡安全問題的更新，重點是增強電子工業(yè)控制系統(tǒng) (ICS) 的網絡安全和能力。

資料來源：https://www.meritalk.com/articles/doe-releases-c2m2-version-2-0-with-updates-to-protect-critical-infrastructure/

Miter D3FEND：網絡安全捍衛(wèi)者的新知識圖譜

D3FEND是Mitre最近發(fā)布的一個新模式，旨在建立一種共同的語言，幫助網絡防御者分享策略和方法。D3FEND 是一個知識圖譜，可以解析供應商關于其他對策的聲明。它結合了生物信息學的語言和技術，并建立了計算機網絡防御技術的術語，以闡明防御和攻擊方法之間以前未指定的關系。

資料來源：https://www.csoonline.com/article/3625470/mitre-d3fend-explained-a-new-knowledge-graph-for-cybersecurity-defenders.html

新技術：在神經網絡模型中隱藏惡意軟件

研究人員發(fā)現(xiàn)了一種新的攻擊方法，可以將惡意軟件隱藏在神經網絡內的圖像分類器中并繞過安全屏障。研究人員用安全掃描程序無法檢測到的惡意軟件替換AlextNet 模型中多達50% 的神經元，該模型在VirusTotal上進行了測試，經過58個殺毒引擎的驗證，模型內部沒有檢測到可疑活動，表明規(guī)避技術成功。

資料來源：https://cyware.com/news/malware-hidden-inside-neural-network-models-has-over-90-efficacy-ab38b6a9

  融資并購  

物聯(lián)網/OT設備安全公司NanoLock融資1100萬美元

NanoLock Securit是一家專門從事物聯(lián)網和操作技術(OT)設備保護和管理的公司。NanoLock已獲得來自新投資者OurCrowd、HIVE2040和Atlantica Group以及當前投資者AWZ Ventures 1100萬美元的B輪融資。

資料來源：https://www.calcalistech.com/ctech/articles/0,7340,L-3911874,00.html?&web_view=true

OPSWAT收購工業(yè)網絡安全公司Bayshore Networks

OPSWAT 19日宣布收購工業(yè)網絡安全公司Bayshore Networks，該公司為ICS和OT開發(fā)安全解決方案，其產品包括工業(yè)安全設備、IT和OT安全網關、工業(yè)安全遠程訪問產品以及資產發(fā)現(xiàn)和流可視化工具。

資料來源：https://www.secrss.com/articles/31586

2021年1-5月網絡安全產業(yè)投融資監(jiān)測

2021年1-5月，我國網絡安全領域非上市投融資事件共46起，披露金額超81億元，相較2020年1-5月，投融資事件數量上漲84%，投融資金額約增長8倍。

資料來源：https://www.securityweek.com/opswat-acquires-industrial-cybersecurity-firm-bayshore-networks

工業(yè)網絡安全公司SynSaber以250萬美元的種子資金啟動

SynSaber是一家新的工業(yè)網絡安全公司，正在開發(fā)一種工業(yè)資產和網絡監(jiān)控解決方案在獲得來自SYN Ventures、Rally Ventures和Cyber Mentor Fund的250萬美元種子資金后宣布啟動。

資料來源：https://www.securityweek.com/industrial-cybersecurity-firm-synsaber-launches-25m-seed-funding