您所在的位置: 首頁 >
新聞資訊 >
公司資訊 >
金瀚信安速遞【工業(yè)信息安全月報2021年-3期】
7月速遞
工業(yè)信息安全“情報解碼”,金瀚信安帶您一站式掌握2021年7月份國內(nèi)外工業(yè)信息安全資訊~
政策法規(guī)
本月,網(wǎng)信辦發(fā)布《網(wǎng)絡(luò)安全審查辦法(修訂草案征求意見稿)》;工信部發(fā)布《網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動計劃(2021-2023年)(征求意見稿)》;工信部、國家網(wǎng)信辦、公安部印發(fā)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》;關(guān)于加快推進互聯(lián)網(wǎng)協(xié)議第六版 (IPv6) 規(guī)模部署和應(yīng)用工作的通知;美國國會出臺18項新網(wǎng)絡(luò)安全法案。
網(wǎng)信辦發(fā)布《網(wǎng)絡(luò)安全審查辦法(修訂草案征求意見稿)》
7月10日,網(wǎng)信辦發(fā)布關(guān)于《網(wǎng)絡(luò)安全審查辦法(修訂草案征求意見稿)》(簡稱《辦法》)?!掇k法》提出,掌握超過100萬用戶個人信息的運營者赴國外上市,必須向網(wǎng)絡(luò)安全審查辦公室申報網(wǎng)絡(luò)安全審查。網(wǎng)絡(luò)安全審查重點評估采購活動、數(shù)據(jù)處理活動以及國外上市可能帶來的國家安全風(fēng)險。
資料來源:http://www.cac.gov.cn/2021-07/10/c_1627503724456684.htm
工信部發(fā)布《網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動計劃(2021-2023年)(征求意見稿)》
7月12日,工信部發(fā)布《網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動計劃(2021-2023年)(征求意見稿)》(簡稱《行動計劃》)?!缎袆佑媱潯访鞔_提出,到2023年,網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模超過2500億元,年復(fù)合增長率超過15%。一批網(wǎng)絡(luò)安全關(guān)鍵核心技術(shù)實現(xiàn)突破,達到先進水平。
資料來源:http://sh.people.com.cn/n2/2021/0712/c176738-34816446.html
工信部、國家網(wǎng)信辦、公安部印發(fā)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》
7月12日,工信部、國家網(wǎng)信辦、公安部近日印發(fā)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》,規(guī)定自2021年9月1日起施行。規(guī)定明確,任何組織或者個人不得利用網(wǎng)絡(luò)產(chǎn)品安全漏洞從事危害網(wǎng)絡(luò)安全的活動,不得非法收集、出售、發(fā)布網(wǎng)絡(luò)產(chǎn)品安全漏洞信息。
資料來源:http://www.chinanews.com/gn/2021/07-13/9518929.shtml
關(guān)于加快推進互聯(lián)網(wǎng)協(xié)議第六版 (IPv6) 規(guī)模部署和應(yīng)用工作的通知
中央網(wǎng)信辦、國家發(fā)展改革委、工業(yè)和信息化部印發(fā)《關(guān)于加快推進互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規(guī)模部署和應(yīng)用工作的通知》。通知落實《中華人民共和國國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和2035年遠景目標綱要》有關(guān)要求,明確了“十四五”時期深入推進IPv6規(guī)模部署和應(yīng)用的主要目標、重點任務(wù)和時間表,是各地區(qū)、各部門推進IPv6部署應(yīng)用工作的指導(dǎo)性文件。
資料來源:http://www.gov.cn/zhengce/zhengceku/2021-07/23/content_5626963.htm
美國國會出臺18項新網(wǎng)絡(luò)安全法案
美國國會出臺18項新網(wǎng)絡(luò)安全法案,用以支持和擴大國家的網(wǎng)絡(luò)安全能力。包括《網(wǎng)絡(luò)安全漏洞補救法案》、《CISA 網(wǎng)絡(luò)演習(xí)法案》、《2021年 DHS工業(yè)控制系統(tǒng)能力增強法案》、《州和地方網(wǎng)絡(luò)安全改進法案》以及《國土安全關(guān)鍵領(lǐng)域法案》等等。
資料來源:https://www.securityweek.com/house-passes-several-critical-infrastructure-cybersecurity-bills?&web_view=tru
安全事件
本月,REvil的新供應(yīng)鏈攻擊摧毀1500余家企業(yè),提供商Kaseya針對此次攻擊發(fā)布了補丁;針對中東工業(yè)組織的Mac惡意軟件現(xiàn)身;石油巨頭沙特阿美1TB數(shù)據(jù)遭泄露;英國鐵路系統(tǒng)遭勒索軟件攻擊;伊朗鐵路系統(tǒng)、南非運輸公司Transnet遭到網(wǎng)絡(luò)攻擊;東京奧運會購票信息在網(wǎng)上泄露:疑似惡意軟件竊取;CISA在被攻擊的Pulse Secure設(shè)備中發(fā)現(xiàn)13個惡意樣本;法國ANSSI披露APT31利用家庭路由器發(fā)起的間諜活動。
REvil的新供應(yīng)鏈攻擊摧毀1500余家企業(yè)
REvil團伙針對八個使用Kaseya VSA解決方案的大型MSP發(fā)起攻擊,至少影響了1500多家企業(yè),其數(shù)據(jù)均已被加密。REvil索要價值7000萬美元的比特幣,以恢復(fù)所有數(shù)據(jù),這是迄今為止最高的贖金要求。
資料來源:https://cyware.com/news/revils-new-supply-chain-attack-takes-down-1000s-of-businesses-839c9f7e
Kaseya發(fā)布針對勒索軟件攻擊中所利用漏洞的補丁
提供商Kaseya已針對最近勒索軟件攻擊中利用的漏洞發(fā)布了補丁,該公司11日發(fā)布了本地產(chǎn)品的補丁并開始恢復(fù)SaaS服務(wù),12日早上提供的最新更新稱,已經(jīng)為95%的客戶恢復(fù)了SaaS服務(wù)。
資料來源:https://www.securityweek.com/kaseya-releases-patches-vulnerabilities-exploited-ransomware-attack?&web_view=true
用于攻擊中東工業(yè)組織的Mac惡意軟件現(xiàn)身
卡巴斯基的安全研究人員發(fā)現(xiàn)一場針對中東工業(yè)部門的惡意攻擊已擴展至Mac計算機。該活動被稱為WildPressure,攻擊者使用由虛擬專用服務(wù)器和受感染服務(wù)器組成的基礎(chǔ)設(shè)施發(fā)起攻擊。
資料來源:https://www.securityweek.com/mac-malware-used-attacks-targeting-industrial-organizations-middle-east
石油巨頭沙特阿美1TB數(shù)據(jù)遭泄露
網(wǎng)名ZeroX的威脅行為者竊取了沙特阿拉伯國家石油公司1TB的敏感數(shù)據(jù),并在多個黑客論壇上以500萬美元的初始價格出售,提供了對被盜信息樣本的訪問權(quán)限,包括藍圖和個人信息。
資料來源:https://securityaffairs.co/wordpress/120301/data-breach/saudi-aramco-data-breach.html
英國鐵路系統(tǒng)遭勒索軟件攻擊
英國北部鐵路售票系統(tǒng)服務(wù)器遭到疑似勒索軟件攻擊。文件加密惡意軟件的目標是600多個觸摸屏設(shè)備,這些耗資1700萬英鎊的設(shè)備分布在英格蘭北部的420個車站內(nèi)。
資料來源:https://www.cybersecurity-insiders.com/ransomware-attack-on-northern-rail-uk/?utm_source=rss
伊朗鐵路系統(tǒng)遭網(wǎng)絡(luò)攻擊
伊朗鐵路遭到網(wǎng)絡(luò)攻擊。攻擊者在全國各地車站的顯示板上發(fā)表了“因網(wǎng)絡(luò)攻擊導(dǎo)致延遲很久”和“取消車次”的言論,呼吁乘客了解詳細信息,并提供了該國最高領(lǐng)導(dǎo)人的電話號碼,此次攻擊導(dǎo)致火車站出現(xiàn)前所未有的混亂。
資料來源:https://www.ehackingnews.com/2021/07/cyber-attack-by-hackers-disrupt-iranian.html
南非運輸公司Transnet遭到網(wǎng)絡(luò)攻擊
南非的運輸公司Transnet遭到網(wǎng)絡(luò)攻擊,造成其運營嚴重中斷,可能持續(xù)一周。在該公司已發(fā)布的電子郵件中,明確提到港口運營已被扣押,貨物運輸已被禁止,直到被破壞的系統(tǒng)恢復(fù)。
資料來源:https://www.cybersecurity-insiders.com/cyber-attack-on-transnet-south-africa-shipping/
東京奧運會購票信息在網(wǎng)上泄露:疑似惡意軟件竊取
據(jù)日媒報道,一位日本政府官員在7月21日表示,東京奧運會門票購買者的登錄賬號和密碼在互聯(lián)網(wǎng)上被泄露,這是組委會遭遇的一系列網(wǎng)絡(luò)威脅的最新一次。這位匿名官員說,殘奧會門票購買者和使用過夏季奧運會志愿者門戶網(wǎng)站的人,賬號信息也在網(wǎng)上被泄露了。攻擊者可根據(jù)賬號密碼,獲取購票者和志愿者的姓名、地址、銀行賬戶等個人信息。
資料來源:https://mp.weixin.qq.com/s/ULnriFRau-SjBuGv6mcf3Q
CISA在被攻擊的Pulse Secure設(shè)備中發(fā)現(xiàn)13個惡意樣本
美國CISA發(fā)布警報,稱在被攻擊的Pulse Secure設(shè)備上發(fā)現(xiàn)了13個惡意軟件樣本。自2020年6月以來,美國政府機構(gòu)、關(guān)鍵基礎(chǔ)設(shè)施和各行業(yè)公司的Pulse Secure設(shè)備一直是攻擊者的目標,攻擊者利用多個漏洞(CVE-2019-11510、CVE-2020-8260、CVE-2020-8243和CVE-2021-2289)入侵并安裝webshell。CISA鼓勵用戶和管理員查看這13個惡意軟件的分析報告(MAR),了解攻擊者的技術(shù)、策略和程序(TTP)以及入侵指標(IOC)。
資料來源:https://us-cert.cisa.gov/ncas/current-activity/2021/07/21/malware-targeting-pulse-secure-devices
法國ANSSI披露APT31利用家庭路由器發(fā)起的間諜活動
法國國家網(wǎng)絡(luò)安全機構(gòu)ANSSI披露APT31(或Zirconium)利用家庭路由器發(fā)起的間諜活動。該機構(gòu)表示,此次攻擊開始于2021年初,并且現(xiàn)在仍在進行中。在此次活動中,攻擊者劫持了家庭路由器以設(shè)置受感染設(shè)備的代理網(wǎng)絡(luò),旨在隱藏其偵察和攻擊活動。此外,ANSSI還發(fā)布了這些攻擊的入侵指標(IOC)列表,并公布了此次攻擊中被APT31劫持的161個IP地址的列表。
資料來源:https://therecord.media/chinese-hacking-group-apt31-uses-mesh-of-home-routers-to-disguise-attacks/
漏洞態(tài)勢
本月,Claroty、菲尼克斯電氣、以及羅克韋爾等眾多知名工業(yè)廠商的產(chǎn)品均被曝出存在漏洞,其中不乏高危漏洞;MDT Software、CODESYS以及施耐德電氣針對各自產(chǎn)品存在的漏洞進行了修復(fù),發(fā)布了更新;Win10中提權(quán)漏洞SeriousSAM影響近兩年發(fā)布的版本;已存在16年的漏洞影響數(shù)億臺惠普、Xerox和三星打印機。
Claroty工業(yè)遠程訪問產(chǎn)品存在漏洞
Claroty SRA 是一種遠程安全訪問解決方案。Alpha Strike 研究人員發(fā)現(xiàn),攻擊者可以繞過 SRA 軟件中央配置文件的訪問控制,利用此漏洞可訪問由 SRA 安裝管理的資產(chǎn),并進行破壞。
資料來源:https://www.securityweek.com/vulnerability-found-industrial-remote-access-product-claroty?&web_view=true
菲尼克斯電氣多款工業(yè)產(chǎn)品存在高危漏洞
菲尼克斯電氣透露,F(xiàn)L COMSERVER UNI、ILC1x1產(chǎn)品均受到高嚴重性DoS漏洞的影響,該漏洞可以使用特制的 IP 數(shù)據(jù)包觸發(fā),AXL F BK和IL BK總線耦合器中存在與用于FTP訪問的硬編碼密碼有關(guān)的漏洞。
資料來源:https://www.securityweek.com/high-severity-vulnerabilities-found-several-phoenix-contact-industrial-products?&web_view=true
WAGO設(shè)備中的漏洞使工業(yè)公司面臨遠程攻擊
WAGO的PFC100和PFC200 PLC、600 HMI存在四個與內(nèi)存相關(guān)的漏洞,影響I/O-Check服務(wù)。通過鏈接共享內(nèi)存溢出漏洞和越界讀取漏洞,能夠創(chuàng)建一個完整的預(yù)授權(quán)遠程代碼執(zhí)行來接管任何WAGO PFC100/200設(shè)備。
資料來源:https://www.securityweek.com/vulnerabilities-wago-devices-expose-industrial-firms-remote-attacks
施耐德電氣工控系統(tǒng)存在嚴重漏洞
Armis的研究人員發(fā)現(xiàn)施耐德電氣的Modicon可編程邏輯控制器(PLC)存在一個高危漏洞,該漏洞被追蹤為CVE-2021-22779。攻擊者利用該漏洞可以繞過認證機制,完全控制目標設(shè)備。
資料來源:https://www.itsecurityguru.org/2021/07/13/armis-discloses-critical-vulnerability-that-allows-remote-takeover-of-schneider-electric-industrial-controllers/?utm_source=rss
MDT Software已修復(fù)工業(yè)自動化產(chǎn)品中的高危漏洞
MDT Software已修復(fù)其旗艦產(chǎn)品MDT AutoSave中的CVE-2021-32953漏洞,該漏洞可通過SQL命令來在系統(tǒng)中創(chuàng)建新用戶,并提升用戶權(quán)限;修復(fù)CVE-2021-32933命令注入漏洞,該漏洞可被用來運行惡意進程。
資料來源:https://www.securityweek.com/several-vulnerabilities-patched-mdt-autosave-industrial-automation-product
漏洞使MicroLogix PLC面臨遠程DoS攻擊
Rockwell自動化MicroLogix 1100 PLC的嚴重漏洞CVE-2021-33012可被用來導(dǎo)致設(shè)備進入持續(xù)故障狀態(tài),遠程攻擊者可以利用該漏洞通過專門向目標控制器發(fā)送精心制作的命令進行拒絕服務(wù)攻擊。
資料來源:https://www.securityweek.com/vulnerability-exposes-micrologix-plcs-remote-dos-attacks
施耐德電氣修復(fù)了EVlink電動汽車充電站的關(guān)鍵漏洞
施耐德電氣已修復(fù)其EVlink系列電動汽車充電站中包括可能導(dǎo)致DoS攻擊在內(nèi)的13個安全漏洞,其中三個嚴重漏洞CVSS評分均為9.4,且均可以讓攻擊者通過充電站W(wǎng)eb服務(wù)器獲得管理權(quán)限。
資料來源:https://portswigger.net/daily-swig/schneider-electric-fixes-critical-vulnerabilities-in-evlink-electric-vehicle-charging-stations?&web_view=true
CODESYS修復(fù)工業(yè)自動化產(chǎn)品中的十幾個漏洞
CODESYS本月修復(fù)了影響各種產(chǎn)品的十幾個漏洞。其中CODESYS V3Web服務(wù)器中存在的CVE-2021-33485緩沖區(qū)溢出漏洞被指評為嚴重等級,攻擊者可利用該漏洞進行DoS攻擊或使用特制請求進行遠程代碼執(zhí)行。
資料來源:https://www.securityweek.com/codesys-patches-dozen-vulnerabilities-industrial-automation-products
Win10中提權(quán)漏洞SeriousSAM影響近兩年發(fā)布的版本
研究人員Jonas Lykkegaard披露了Win10中的提權(quán)漏洞SeriousSAM,影響了近兩年多發(fā)布的所有版本。Lykkegaard在測試最新發(fā)布的Win11時發(fā)現(xiàn),雖然Windows限制了低權(quán)限用戶訪問SAM、SECURITY和SYSTEM等文件夾中的敏感配置文件,但這些文件的副本也被保存在Shadow Volume Copy創(chuàng)建的備份文件中,而自2018年11月發(fā)布的Windows 10 v1809以來,微軟一直沒有阻止對這些備份的訪問。
資料來源:https://therecord.media/serioussam-bug-impacts-all-windows-10-versions-released-in-the-past-2-5-years/
已存在16年的漏洞影響數(shù)億臺惠普、Xerox和三星打印機
SentinelLabs披露在HP、Samsung和Xerox打印機驅(qū)動程序中發(fā)現(xiàn)的一個嚴重的緩沖區(qū)溢出漏洞。該漏洞自2005年就開始存在,追蹤為CVE-2021-3438,CVSS評分為8.8,影響超過380款的惠普和三星打印機,以及12種Xerox打印機。該漏洞位于打印驅(qū)動程序安裝程序包SSPORT.SYS中,本地攻擊者可以利用該漏洞將權(quán)限提升到SYSTEM并在內(nèi)核模式下運行代碼,來安裝、查看、更改、加密或刪除數(shù)據(jù)等。目前,該漏洞已經(jīng)修復(fù)。
資料來源:https://www.zdnet.com/article/hp-patches-vulnerable-printer-driver-impacting-millions-of-devices/
技術(shù)動向
本月,DoE發(fā)布C2M2 2.0版本以保護關(guān)鍵基礎(chǔ)設(shè)施;Mitre發(fā)布D3FEND新模式;研究人員發(fā)現(xiàn)一種在神經(jīng)網(wǎng)絡(luò)模型中隱藏惡意軟件的新技術(shù)。
DoE發(fā)布C2M2 2.0版本以保護關(guān)鍵基礎(chǔ)設(shè)施
美國能源部 (DoE) 的網(wǎng)絡(luò)安全、能源安全和應(yīng)急響應(yīng)(CESER) 部門于7 月 21 日宣布,能源部 (DoE) 已發(fā)布其網(wǎng)絡(luò)安全能力成熟度模型 (C2M2) 的更新版本,其中包含解決關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全問題的更新,重點是增強電子工業(yè)控制系統(tǒng) (ICS) 的網(wǎng)絡(luò)安全和能力。
資料來源:https://www.meritalk.com/articles/doe-releases-c2m2-version-2-0-with-updates-to-protect-critical-infrastructure/
Miter D3FEND:網(wǎng)絡(luò)安全捍衛(wèi)者的新知識圖譜
D3FEND是Mitre最近發(fā)布的一個新模式,旨在建立一種共同的語言,幫助網(wǎng)絡(luò)防御者分享策略和方法。D3FEND 是一個知識圖譜,可以解析供應(yīng)商關(guān)于其他對策的聲明。它結(jié)合了生物信息學(xué)的語言和技術(shù),并建立了計算機網(wǎng)絡(luò)防御技術(shù)的術(shù)語,以闡明防御和攻擊方法之間以前未指定的關(guān)系。
資料來源:https://www.csoonline.com/article/3625470/mitre-d3fend-explained-a-new-knowledge-graph-for-cybersecurity-defenders.html
新技術(shù):在神經(jīng)網(wǎng)絡(luò)模型中隱藏惡意軟件
研究人員發(fā)現(xiàn)了一種新的攻擊方法,可以將惡意軟件隱藏在神經(jīng)網(wǎng)絡(luò)內(nèi)的圖像分類器中并繞過安全屏障。研究人員用安全掃描程序無法檢測到的惡意軟件替換AlextNet 模型中多達50% 的神經(jīng)元,該模型在VirusTotal上進行了測試,經(jīng)過58個殺毒引擎的驗證,模型內(nèi)部沒有檢測到可疑活動,表明規(guī)避技術(shù)成功。
資料來源:https://cyware.com/news/malware-hidden-inside-neural-network-models-has-over-90-efficacy-ab38b6a9
融資并購
物聯(lián)網(wǎng)/OT設(shè)備安全公司NanoLock融資1100萬美元
NanoLock Securit是一家專門從事物聯(lián)網(wǎng)和操作技術(shù)(OT)設(shè)備保護和管理的公司。NanoLock已獲得來自新投資者OurCrowd、HIVE2040和Atlantica Group以及當(dāng)前投資者AWZ Ventures 1100萬美元的B輪融資。
資料來源:https://www.calcalistech.com/ctech/articles/0,7340,L-3911874,00.html?&web_view=true
OPSWAT收購工業(yè)網(wǎng)絡(luò)安全公司Bayshore Networks
OPSWAT 19日宣布收購工業(yè)網(wǎng)絡(luò)安全公司Bayshore Networks,該公司為ICS和OT開發(fā)安全解決方案,其產(chǎn)品包括工業(yè)安全設(shè)備、IT和OT安全網(wǎng)關(guān)、工業(yè)安全遠程訪問產(chǎn)品以及資產(chǎn)發(fā)現(xiàn)和流可視化工具。
資料來源:https://www.secrss.com/articles/31586
2021年1-5月網(wǎng)絡(luò)安全產(chǎn)業(yè)投融資監(jiān)測
2021年1-5月,我國網(wǎng)絡(luò)安全領(lǐng)域非上市投融資事件共46起,披露金額超81億元,相較2020年1-5月,投融資事件數(shù)量上漲84%,投融資金額約增長8倍。
資料來源:https://www.securityweek.com/opswat-acquires-industrial-cybersecurity-firm-bayshore-networks
工業(yè)網(wǎng)絡(luò)安全公司SynSaber以250萬美元的種子資金啟動
SynSaber是一家新的工業(yè)網(wǎng)絡(luò)安全公司,正在開發(fā)一種工業(yè)資產(chǎn)和網(wǎng)絡(luò)監(jiān)控解決方案在獲得來自SYN Ventures、Rally Ventures和Cyber Mentor Fund的250萬美元種子資金后宣布啟動。
資料來源:https://www.securityweek.com/industrial-cybersecurity-firm-synsaber-launches-25m-seed-funding