您所在的位置: 首頁 >
新聞資訊 >
公司資訊 >
金瀚信安速遞【工業(yè)信息安全月報2022年-03月】
3月速遞
工業(yè)信息安全“信息共享”,金瀚信安帶您一站式掌握2022年3月份國內外工業(yè)信息安全資訊~
政策法規(guī)
工信部召開工業(yè)領域數(shù)據安全管理試點推進電視電話會議,提高工業(yè)領域數(shù)據安全保障水平。美國參議院通過《加強美國網絡安全法》,總統(tǒng)拜登簽署數(shù)字資產行政命令,多個網絡安全部門發(fā)布指南,提升網絡安全建設。歐盟、新加坡、澳大利亞也相繼推出新的網絡安全法或設立新的網絡安全部門。
工信部召開工業(yè)領域數(shù)據安全管理試點推進電視電話會議
3月10日,工業(yè)和信息化部網絡安全管理局組織召開工業(yè)領域數(shù)據安全管理試點推進電視電話會議。會議強調,試點工作要在工業(yè)和信息化領域數(shù)據安全工作總體框架下,驗證工業(yè)領域數(shù)據安全工作體系運轉的有效性和制度規(guī)范的科學性,著力探索出工業(yè)領域數(shù)據安全工作的方法、路徑和模式。
資料來源:https://mp.weixin.qq.com/s/-2be2dtpHA3KO1C9_pv4SQ
美國參議院通過《加強美國網絡安全法》
在俄烏沖突升級背景下,3月1日,美國參議院選擇一致通過《加強美國網絡安全法》,意圖加強美國關鍵基礎設施所有者的網絡安全。該法案由《網絡事件報告法案》《2021年聯(lián)邦信息安全現(xiàn)代化法案》和《聯(lián)邦安全云改進和就業(yè)法案》三項網絡安全法案措施組成。
資料來源:https://industrialcyber.co/threats-attacks/us-senate-passes-legislative-package-that-steps-up-cybersecurity-at-critical-infrastructure-entities-federal-networks/
美國總統(tǒng)拜登簽署數(shù)字資產行政命令
3月9日,美國白宮宣布,總統(tǒng)拜登已簽署一項關于數(shù)字資產“負責任創(chuàng)新”的行政命令。該文件列出了七個關注領域,包括減輕“非法金融”和相關的國家安全風險。拜登計劃要求“在所有相關美國政府機構之間采取前所未有的協(xié)調行動,以減輕這些風險?!?/span>
資料來源:https://www.cyberscoop.com/digital-assets-biden-executive-order-security/
美國NIST發(fā)布ICS網絡安全指南
3月16日,美國國家標準與技術研究院(NIST)發(fā)布了名為“NISTSP1800-10,保護工業(yè)控制系統(tǒng)環(huán)境中的信息和系統(tǒng)完整性:制造業(yè)的網絡安全”的網絡安全指南。NIST表示該指南構建了示例解決方案,制造業(yè)組織可以使用這些解決方案來減輕ICS完整性風險,加強OT系統(tǒng)的網絡安全,并保護這些系統(tǒng)處理的數(shù)據。
資料來源:https://industrialcyber.co/critical-infrastructure/nccoe-rolls-out-cybersecurity-plan-for-manufacturing-sector-to-protect-information-system-integrity-in-ics-environments/
美國NSA發(fā)布網絡設計配置最佳實踐指南
美國國家安全局(NSA)3月2日發(fā)布了一篇報告。該報告指出,遵循該指南將幫助網絡防御者實施最佳網絡安全實踐,降低入侵風險并確保網絡更安全。NSA的指導意見分為九大類:網絡架構和設計;安全維護;認證、授權和會計;本地管理員賬戶和密碼;遠程記錄和監(jiān)控;遠程管理和網絡服務;路由;接口端口,以及;通知和同意標語。
資料來源:https://www.fedscoop.com/nsa-publishes-guidance-for-best-practices-in-network-design-configuration/
美國CISA發(fā)布基于零信任架構的企業(yè)移動安全計劃
美國CISA發(fā)布了將零信任原則應用于企業(yè)移動性的文件。文件強調了對移動設備和相關企業(yè)安全管理功能的特殊考慮的必要性,因為它們的技術發(fā)展和無處不在。進一步介紹了架構框架、原則和能力,以達到采用組織設定的零信任級別。
資料來源:https://www.cisa.gov/blog/2022/03/04/maturing-enterprise-mobility-towards-zero-trust-architectures
新加坡將設立數(shù)字情報部門
新加坡正在其武裝部隊中建立一個新的數(shù)字情報部門,旨在加強該國對網絡威脅的防御。新的數(shù)字和情報服務(DIS)單位將駐扎在新加坡武裝部隊(SAF)下,負責打擊在線攻擊。新加坡國防部長表示,DIS將于2022年底投入使用,它將使新加坡武裝部隊能夠應對當今已知的網絡威脅以及未來的攻擊。
資料來源:https://www.zdnet.com/article/singapore-to-set-up-digital-intelligence-unit-as-cyber-threats-intensify/
歐盟提出新的網絡安全法規(guī)
歐盟委員會提出了新的網絡安全和信息安全法規(guī)。根據《網絡安全條例》,所有歐盟機構、團體、辦公室和機構將被要求建立用于治理、風險管理和控制的網絡安全框架,進行定期評估,實施改進計劃,并通知計算機應急響應小組任何事件“不得無故拖延”。
資料來源:https://www.techcentral.ie/eu-proposes-new-bloc-wide-cyber-security-regulations/
澳大利亞推出新的網絡和外國情報設施
澳大利亞信號局(ASD)政府機構啟動了一個新的網絡和外國情報設施。新設施將加強ASD的能力,并為情報分析師、網絡運營商、技術研究人員和企業(yè)推動者創(chuàng)造新的機會。ASD專注于信號情報、網絡安全和進攻性網絡行動。
資料來源:https://www.army-technology.com/news/australia-asd-cyber-intelligence-facility/
安全事件
美國FBI報告顯示,2021年649個關鍵基礎設施領域組織遭勒索軟件攻擊。美國政府針對關鍵基礎設施攻擊進行演習,多家企業(yè)聯(lián)合啟動關鍵基礎設施防御項目。俄烏戰(zhàn)爭網絡攻擊激烈交鋒,俄羅斯能源巨頭遭殃。
美國CISA“網絡風暴”演習模擬對關鍵基礎設施攻擊的響應
美國特勤局與網絡安全和基礎設施安全局(CISA)合作舉辦了名為“網絡風暴VIII”的演習。CISA在一份聲明中說,該活動有來自各行各業(yè)的200個組織的參與者?!熬W絡風暴VIII”的場景涉及OT(例如工業(yè)控制系統(tǒng))和傳統(tǒng)企業(yè)系統(tǒng),組織遭受各種影響,例如勒索軟件和數(shù)據泄露。
資料來源:https://therecord.media/cisa-cyber-storm-exercise-simulated-response-to-critical-infrastructure-attack/
美國企業(yè)啟動關鍵基礎設施防御項目,為醫(yī)院、水、電力公司提供網絡保護
3月7日,美國云安全和身份認證領域的三大巨頭Cloudflare、CrowdStrike和PingIdentity聯(lián)合啟動了一項新的“關鍵基礎設施防御項目”,提供為期四個月的免費網絡安全服務,并提高美國關鍵基礎設施部門的網絡準備水平。該項目的安全功能最初將提供給醫(yī)療保健、水和電力公用事業(yè)部門的組織。
資料來源:https://industrialcyber.co/critical-infrastructure/critical-infrastructure-defense-project-provides-cyber-protections-for-hospitals-water-power-utilities/
FBI報告顯示,2021年649個關鍵基礎設施領域組織遭勒索軟件攻擊
FBI的一份報告顯示,2021年649個關鍵基礎設施領域組織遭勒索軟件攻擊,并預計今年關鍵基礎設施受害的人數(shù)會增加。報告顯示,在向FBI報告的已知勒索軟件變種中,針對關鍵基礎設施部門的三個主要變種是CONTI、LockBit和REvil/Sodinokibi。
資料來源:https://industrialcyber.co/threats-attacks/649-organizations-targeted-by-ransomware-across-critical-infrastructure-sector-in-2021-fbi-ic3-report-discloses/
美國陸軍組建網絡軍事情報組織
美國陸軍已組建網絡軍事情報組織(CMIG),隸屬于情報與安全司令部,將直接支持陸軍網絡司令部的需求并在其作戰(zhàn)控制下發(fā)揮作用。它將指導、同步和協(xié)調對網絡、信息和電子戰(zhàn)行動的情報支持,同時也為美國網絡司令部和其他作戰(zhàn)司令部提供支持。
資料來源:https://www.fedscoop.com/new-army-unit-will-combine-military-intelligence-with-open-source-data-on-foreign-adversaries/
微軟確認其37GB源代碼遭泄露
微軟已經確認他們的一名員工受到了Lapsus黑客組織的入侵,并且數(shù)據已被泄露。Lapsus團伙3月21日發(fā)布了從微軟AzureDevOps服務器竊取的37GB源代碼,適用于各種微軟內部項目,包括Bing、Cortana和Bing地圖。
資料來源:https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-they-were-hacked-by-lapsus-extortion-group/?&web_view=true
俄羅斯能源巨頭Rosneft的德國子公司遭網絡攻擊
俄羅斯能源巨頭Rosneft的德國子公司遭到網絡攻擊,在3月12日凌晨報告了這一事件。黑客組織Anonymous3月11日發(fā)表了一份聲明,稱對這次襲擊負責,并表示它已經獲取了20TB的數(shù)據。
資料來源:https://www.securityweek.com/hackers-target-german-branch-russian-oil-giant-rosneft?&web_view=true
Check Point發(fā)布俄烏戰(zhàn)爭中的網絡攻擊數(shù)據
Check Point Research (CPR) 發(fā)布了圍繞當前俄羅斯/烏克蘭沖突觀察到的網絡攻擊數(shù)據。在戰(zhàn)爭的前三天,針對烏克蘭政府和軍事部門的網絡攻擊激增了驚人的196%。針對俄羅斯組織的網絡攻擊增加了4%。東斯拉夫語(包括俄語和烏克蘭語)的網絡釣魚電子郵件增加了 7 倍。
資料來源:https://blog.checkpoint.com/2022/02/27/196-increase-in-cyber-attacks-on-ukraines-government-and-military-sector/
漏洞態(tài)勢
美國FBI報告顯示,2021年649個關鍵基礎設施領域組織遭勒索軟件攻擊。
claroty報告顯示,2021下半年共發(fā)布797個ICS漏洞,82家ICS供應商受影響。本月,施耐德、西門子、思科、通用電氣、臺達、歐姆龍等多家供應商的產品存在漏洞,其中不乏超危漏洞,施耐德TLSstorm漏洞可導致全球數(shù)百萬UPS設備被遠程操縱,超100,000個醫(yī)用輸液泵存在超危漏洞,近120種醫(yī)療、物聯(lián)網設備受Access:7漏洞影響,面臨遠程代碼執(zhí)行的風險。
claroty報告顯示:2021下半年發(fā)布797個ICS漏洞
工業(yè)網絡安全公司Claroty透露,2021年下半年發(fā)布了797個工業(yè)控制系統(tǒng)(ICS)漏洞,影響了82家ICS供應商。ICS漏洞披露記錄比2021年上半年發(fā)現(xiàn)的637個漏洞增加了25%。在披露的漏洞中,34%的漏洞影響物聯(lián)網、醫(yī)療物聯(lián)網(IoMT)和IT資產,這表明組織將在融合安全管理下合并運營技術(OT)、IT和物聯(lián)網。
資料來源:https://industrialcyber.co/threats-attacks/claroty-reports-close-to-800-ics-vulnerabilities-with-34-percent-targeting-iot-iomt-it-assets/
施耐德繼電器漏洞可能允許黑客禁用電網保護
研究人員在施耐德Easergy繼電器中發(fā)現(xiàn)了三個高危漏洞。EasergyP3繼電器受到緩沖區(qū)溢出漏洞(CVE-2022-22725)的影響,如果將特制數(shù)據包發(fā)送到網絡上的目標設備。攻擊者可以利用安全漏洞導致中繼重新啟動,或者完全控制設備。EasergyP5繼電器受到緩沖區(qū)溢出漏洞(CVE-2022-22723)的影響,這可能允許攻擊者導致程序崩潰并使用通過網絡發(fā)送的特制數(shù)據包實現(xiàn)代碼執(zhí)行。這些設備還存在可能帶來安全風險的硬編碼憑據漏洞(CVE-2022-22722)。
資料來源:https://www.securityweek.com/schneider-relay-flaws-can-allow-hackers-disable-electrical-network-protections
施耐德TLSstorm漏洞導致全球數(shù)百萬UPS設備被遠程操縱
施耐德電氣子公司APC制造的不間斷電源(UPS)產品存在三個漏洞,被統(tǒng)稱為TLStorm。目前已在全球售出超過2000萬臺UPS設備,近80%的公司面臨TLSstorm攻擊。第一個漏洞CVE-2022-22806被描述為TLS身份驗證繞過問題,可導致遠程代碼執(zhí)行。第二個與TLS相關的漏洞CVE-2022-22805被描述為與數(shù)據包重組相關的緩沖區(qū)溢出,它也可能導致遠程代碼執(zhí)行。第三個漏洞CVE-2022-0715與未簽名的固件更新有關。
資料來源:https://www.securityweek.com/millions-apc-smart-ups-devices-can-be-remotely-hacked-damaged
西門子修復了90多個影響第三方組件的漏洞
3月8日,西門子更新了31條公告,包括15條新公告,向客戶通報了100多個影響其產品的漏洞,其中包括90多個由使用第三方組件引入的安全漏洞。五個公告涵蓋了影響第三方組件的漏洞。其中之一描述了影響Node.js、cURL、SQLite、CivetWeb和BIND等組件的71個安全漏洞對SINECINS的影響。
資料來源:https://www.securityweek.com/siemens-addresses-over-90-vulnerabilities-affecting-third-party-components
GE SCADA 產品存在高危漏洞
GE Digital 已針對影響其Proficy CIMPLICITY HMI/SCADA 軟件的兩個高危漏洞發(fā)布了補丁和緩解措施,該軟件被世界各地的工廠用于監(jiān)控和控制操作。第一個漏洞被跟蹤為CVE-2022-23921,可能允許對CIMPLICITY 服務器具有部分訪問權限的攻擊者通過在CIMPLICITY 運行時項目中刪除惡意文件來提升權限。第二個漏洞,標識為CVE-2022-21798,與以明文形式傳輸憑據有關。
資料來源:https://www.securityweek.com/ge-scada-product-vulnerabilities-show-importance-secure-configurations
思科修復Expressway、TelePresenceVCS產品中的超危漏洞
思科修復了其Expressway 系列和TelePresenceVideo Communication Server (VCS)統(tǒng)一通信產品中的2個超危漏洞,被跟蹤為CVE-2022-20754 和CVE-2022-20755,CVSS評分均為 9.0,遠程、經過身份驗證的攻擊者可以利用這兩個漏洞在具有root 權限的底層操作系統(tǒng)上寫入文件或執(zhí)行代碼。
資料來源:https://thehackernews.com/2022/03/critical-patches-issued-for-cisco.html
超100,000個醫(yī)用輸液泵存在超危漏洞
Palo Alto Networks的威脅情報團隊對來自醫(yī)院和醫(yī)療機構使用的200,000 多個聯(lián)網輸液泵的眾包數(shù)據進行了分析,其報告顯示,75%的醫(yī)療設備中存在安全漏洞,可能使它們面臨潛在的風險。其中最普遍的漏洞是CVE-2019-12255,這是用于嵌入式設備(包括輸液泵系統(tǒng))的VxWorks實時操作系統(tǒng)中的內存損壞漏洞,CVSS評分9.8。該漏洞存在于52%的輸液泵中,相當于超過104,000 臺設備。
資料來源:https://www.bleepingcomputer.com/news/security/over-100-000-medical-infusion-pumps-vulnerable-to-years-old-critical-bug/
近120種醫(yī)療、物聯(lián)網設備受Access:7漏洞影響
IIoT解決方案提供商PTC的Axeda平臺存在七個漏洞,統(tǒng)稱為Access:7。其中三個超危漏洞可用于遠程代碼執(zhí)行。還有三個高危漏洞,兩個可用于DoS攻擊,一個為信息泄露。已確定這些漏洞影響了來自100多家制造商的150多種設備型號。大多數(shù)受影響的供應商位于醫(yī)療保健行業(yè)(55%),其次是物聯(lián)網(24%)、IT(8%)、金融服務(5%)和制造業(yè)(4%)。
資料來源:https://securityaffairs.co/wordpress/128810/hacking/access7-flaws.html
工業(yè)遠程控制設備ipDIO存在高危漏洞
美國網絡安全和基礎設施安全局(CISA)發(fā)布了一份公告,告知各組織關于影響遠程控制通信設備ipDIO的漏洞,該設備已不再由供應商支持。據CISA稱,該設備被世界各地的組織使用。ipDIO產品受到四個漏洞的影響,包括兩個高嚴重性代碼注入問題和兩個中等嚴重性持續(xù)跨站點腳本(XSS)缺陷。利用這些漏洞可以讓遠程攻擊者完全控制設備并造成中斷。
資料來源:https://www.securityweek.com/cisa-informs-organizations-flaws-unsupported-industrial-telecontrol-devices
歐姆龍修復PLC編程軟件中的高危漏洞
日本電子巨頭歐姆龍修復了其PLC編程軟件CX-Programmer中可用于遠程代碼執(zhí)行的高危漏洞。日本JPCERT/CC本月早些時候發(fā)布的一份公告顯示,該產品受到五個釋放后使用和越界漏洞的影響,所有漏洞的CVSS評分均為7.8。根據美國網絡安全和基礎設施安全局(CISA)的說法,該產品在全球范圍內使用,包括關鍵制造業(yè)。
資料來源:https://www.securityweek.com/high-severity-vulnerabilities-patched-omron-plc-programming-software
臺達修復其工業(yè)能源管理系統(tǒng)中的16個超危漏洞
美國網絡安全和基礎設施安全局(CISA)3月22日發(fā)布了一份公告,描述了臺達電子制造的DIAEnergie工業(yè)能源管理系統(tǒng)存在的17個漏洞,其中有16個超危漏洞,CVSS評分均為9.8,絕大部分是影響應用程序各個組件的SQL注入漏洞。
資料來源:https://www.cisa.gov/uscert/ics/advisories/icsa-22-081-01
技術動向
研究人員展示對同態(tài)加密的新側信道攻擊,能夠在數(shù)據被加密時讀取數(shù)據。微軟發(fā)布用于保護MikroTik 路由器的開源工具,Emsisoft發(fā)布Diavol勒索軟件免費解密器。
研究人員展示對同態(tài)加密的新側信道攻擊
同態(tài)加密是一種加密形式,它允許直接對加密數(shù)據執(zhí)行某些類型的計算,而無需首先對其進行解密。來自北卡羅來納州立大學和Dokuz Eylul 大學的一組學者展示了對同態(tài)加密的側信道攻擊。通過監(jiān)控正在為同態(tài)加密數(shù)據進行編碼的設備中的功耗,能夠在數(shù)據被加密時讀取數(shù)據。
資料來源:https://thehackernews.com/2022/03/researchers-demonstrate-new-side.html?&web_view=true
微軟發(fā)布用于保護MikroTik 路由器的開源工具
微軟發(fā)布了一款開源工具,可用于保護MikroTik 路由器并檢查與Trickbot 惡意軟件相關的濫用跡象。該工具會檢查設備版本并將其映射到已知漏洞。它還查找計劃任務、流量重定向規(guī)則、DNS緩存中毒、默認端口更改、非默認用戶、可疑文件以及代理、SOCKS和防火墻規(guī)則。
資料來源:https://www.securityweek.com/microsoft-releases-open-source-tool-securing-mikrotik-routers
Emsisoft發(fā)布Diavol勒索軟件免費解密器
網絡安全公司Emsisoft發(fā)布了一個免費的解密器,允許Diavol勒索軟件的受害者在不支付贖金的情況下恢復他們的文件。專家指出,解密器無法保證解密后的數(shù)據與之前加密的數(shù)據相同,因為勒索軟件不會保存有關未加密文件的任何信息。
資料來源:https://securityaffairs.co/wordpress/129211/malware/emsisoft-releases-free-decryptor-for-the-victims-of-the-diavol-ransomware.html