明升官网 · 安全简报「2022年07期」

2022-07-01 09:42:04来源:明升体育官网

一、行业发展动态

工信部:我国已建成全球规模最大的网络基础设施

6月14日,工业和信息化部副部长辛国斌表示,过去十年,我国已建成全球规模最大、技术领先、保障有力的网络基础设施,5G实现全球引领。

辛国斌介绍道,十年来,我国网络基础设施实现跨越提升,建成全球规模最大、技术领先的光纤宽带和移动通信网络。所有地级市全面建成光网城市,百兆及以上接入速率用户占比达93.4%,千兆接入速率用户突破5000万。4G基站规模占全球总量一半以上,建成5G基站达到161.5万个,5G移动电话用户达4.13亿户。技术产业实力显著增强。移动通信技术实现从“3G突破”“4G同步”到“5G引领”,5G标准必要专利占比38.2%,5G芯片、移动操作系统等关键核心技术与国际先进水平差距持续缩小。建成全球最大最完整的光通信产业体系,光通信设备、光模块器件、光纤光缆等的部分关键技术达到国际先进水平。我国互联网领域独角兽企业301家,占全球25%。电子商务、电子政务、远程办公、在线教育、视频直播等互联网应用全面普及,大幅提升社会运转效率,移动支付年交易规模达527万亿元,新经济形态创造超过2000万个灵活就业岗位。以5G为代表的新一代信息通信技术在工业制造、港口、矿山、医疗、教育、文旅等诸多行业领域加速应用,应用案例累计超过2万个。


(来源:央视新闻)


《电力行业网络安全管理办法》和《电力行业网络安全等级保护管理办法》征求意见

6月12日,为进一步规范工作流程、加强工作协调、提升工作效能,国家能源局对《电力行业网络与信息安全管理办法》(国能安全〔2014〕317号)、《电力行业信息安全等级保护管理办法》(国能安全〔2014〕318号)进行修订,形成了《电力行业网络安全管理办法(修订征求意见稿)》《电力行业网络安全等级保护管理办法(修订征求意见稿)》,现向社会公开征求意见,意见反馈截止日期为2022年7月13日。


(来源:国家能源局)


中国信通院发布《工业互联网提升产业链供应链现代化水平研究报告(2022年)》

中国信息通信研究院(以下简称“中国信通院”)以近年来各方高度关注、产业链条较长、赋能方案可复制性较强的“新能源汽车产业”为研究对象,对行业产业链供应链现代化水平研判思路、工业互联网赋能工具和路径等开展系统研究,并于2022年6月8日发布《工业互联网提升产业链供应链现代化水平研究报告(2022年)》。


(来源:中国信通院)


加拿大新法律要求金融、能源、电信、运输部门保护关键网络系统

加拿大政府提出了一项立法法案,旨在加强加拿大在金融、电信、能源和运输部门的网络安全立场。此举还将引入一项监管制度,要求金融、电信、能源和运输部门的指定运营商保护其关键网络系统。题为“尊重网络安全(ARCS)的法案”的法案C-26解决了政府在保护加拿大人所依赖的重要服务和系统的能力方面长期存在的差距。该法案使政府能够指定对加拿大国家安全或公共安全至关重要的服务和系统,以及负责保护它们的运营商或运营商类别,并确保指定的运营商正在保护支撑加拿大关键基础设施的网络系统。

(来源:Industrial Cyber)


美国能源部DOE发布国家网络信息工程CIE战略

本月,美国能源部(DOE)发布了国家网络信息工程(CIE)战略,旨在指导能源部门努力将网络安全实践纳入工程系统的设计生命周期,以降低网络风险。CIE战略是对主流结构的转变,在主流结构中,大多数关键基础设施控制系统的网络安全与系统设计和工程分开处理。这一差距导致在事后引入的附加安全技术列表不断扩大,以减轻网络漏洞。按照国会的指示,网络安全、能源安全和应急响应办公室(CESER) 领导的安全能源基础设施执行工作组(SEI ETF) 在爱达荷国家实验室开发的基础工作之上制定了国家CIE战略。该战略的重点是使能源部门能够引领国家将CIE纳入依赖数字监控或控制的基础设施系统的设计和运营中。

(来源:Industrial Cyber)


日本政府召开网络安全战略总部会议敲定重要基础设施企业安全对策的新行动计划

日本政府6月17日在首相官邸召开网络安全战略总部会议,敲定了有关通信、电力和铁路等重要基础设施企业安全对策的新行动计划。行动计划指出,政府和民营企业需要合力防御网络攻击。这是时隔5年修改。其中明确了企业高层的责任,写入如因不恰当的对策造成损失,“高层可被追究赔偿责任”。


(来源:共同社)


Lockbit 3.0发布推出首个勒索软件漏洞赏金计划

勒索组织发布LockBit 3.0并推出了首个针对勒索软件漏洞的赏金计划,安全研究人员提交漏洞报告以换取1000至100万美元的奖励。LockBit自2019年9月首次出现,2021年6月发布LockBit 2.0,勒索软件即服务操作,它一直是最活跃的勒索软件之一,占2022年所有勒索软件攻击的近一半。


(来源:SecurityWeek)


物联网勒索软件(R4IoT)的新攻击方式出现

近日,一种称为物联网勒索软件或R4IoT方法的新攻击方式出现,网络安全公司Forescout展示了下一代勒索软件如何利用物联网设备进行初始访问,利用部署加密矿工和数据泄露来攻击IT设备,并利用不良的OT安全实践对业务运营造成物理中断(例如破坏PLC)。R4IoT方法超越了通常的加密和数据泄露,通过破坏IoT、IT和OT 资产,从而导致业务运营的物理中断。


(来源:Industrial Cyber)


二、安全事件

德克萨斯州一家液化天然气爆炸可能与网络攻击有关

6月8日,美国德克萨斯州一家液化天然气工厂发生爆炸,可能是俄罗斯黑客组织所为。爆炸发生在德克萨斯州昆塔纳岛的自由港液化天然气(自由港LNG)液化厂和出口终端。此次事故将对自由港液化天然气的运营产生持久的影响。初步调查表明,该事件是由于LNG输送管道的一段超压和破裂,导致LNG快速闪烁,天然气蒸汽云释放和点燃。目前尚不清楚为什么该企业的安全机制不能阻止爆炸发生。专家推测,网络攻击可能关闭了天然气设施的工业安全控制。像TRITON这样的ICS恶意软件,与俄罗斯相关的APT组织XENOTIME是具有关闭工业安全控制和对工业设施造成广泛破坏的攻击能力。


(来源:SecurityAffairs )


伊朗钢铁公司在遭受网络攻击后被迫停止生产

伊朗胡齐斯坦钢铁公司6月27日表示,该公司在遭受网络攻击后被迫停止生产,另外两家钢铁企业也称受到攻击。这显然是近期对该国战略工业部门的最大此类攻击之一。胡齐斯坦公司表示,专家已确定该工厂在“网络攻击”后“由于技术问题”不得不停工,直至另行通知。该公司的网站当天也关闭。


(来源:SecurityWeek)


汽车面料供应商TB Kawashima的子公司遭LockBit勒索攻击

据6月25日报道,丰田集团旗下日本汽车零部件制造商丰田纺织旗下的TB Kawashima宣布,其子公司之一遭到网络攻击。TB Kawashima是汽车、飞机、剧院和火车内饰面料的制造商,在美国、中国、泰国、印度尼西亚和印度设有办事处和工厂。目前,该公司的网站已关闭,LockBit勒索软件组织在6月17日宣布对此次攻击负责。6月25日,攻击者已经开始泄露被盗的数据。


(来源:BleepingComputer)


汽车软管制造商Nichirin遭到勒索攻击

日本汽车和摩托车软管制造商Nichirin的子公司Nichirin-Flex USA 受到勒索软件攻击,导致该公司网络中断。攻击发生在2022年6月14日,该公司在检测到其网络上的未经授权访问并将操作切换到手动模式后立即做出反应。此次攻击导致部分客户的订单出现异常,目前采用员工人工处理的方式解决剩余订单。该公司22日发布新公告表示,服务已正式恢复,攻击详情和数据泄露情况仍在调查当中。另一份公告提醒员工和用户警惕钓鱼邮件,这表明攻击可能是通过网络钓鱼进行的。


(来源:BleepingComputer)


网络基础设施服务提供商Cloudflare中断导致数百个网站离线

在网络基础设施服务提供商Cloudflare出现问题后,数百个网站大范围中断,包括Discord、Medium、Coinbase、NordVPN和Feedly等科技巨头。中断持续了大约一个小时,之后Cloudflare发表了一篇博客文章,提供了导致服务中断的事件的更多信息。该公司声称:“2022年6月21日,Cloudflare遭遇了一次中断,影响了我们19个数据中心的流量。这是一个长期项目的一部分,该项目旨在增加我们最繁忙地区的弹性。”


(来源:Infosecurity Magazine)


美国的环境服务提供商遭勒索软件攻击导致实验室检测业务中断

总部位于美国的环境服务提供商Montrose Environmental Group透露,称其遭到勒索软件攻击,导致其实验室检测业务中断。该公司表示:“这起事件主要影响了我们焓分析实验室网络中的计算机和服务器,某些实验室结果将被推迟。”焓分析公司是 Montrose 的子公司,在美国各地运营着11个环境测试实验室,主要测试空气、土壤、水和其他物质的毒性和污染物。在发现网络入侵后,该服务商立即暂停了受影响的系统,通知了执法部门,并开始在网络安全专家的帮助下修复系统。


(来源:PortSwigger)


伊朗Lycaeum APT黑客组织利用DNS后门攻击能源和电信行业

伊朗Lycaeum APT黑客组织利用一个新的基于.NET的DNS后门对能源和电信行业的公司进行攻击。Lyceum也称Hexane或Spilrin,之前使用DNS隧道后门攻击中东的通信服务提供商。Zscaler最近的一份分析报告提出了一种新的基于DIG.NET开源工具的DNS后门,它可以执行“DNS劫持”攻击,执行命令,释放更多有效载荷,并窃取数据。DNS劫持是一种重定向攻击,它依赖于DNS查询操纵,将试图访问合法站点的用户带到攻击者控制的服务器上的恶意克隆。


(来源:BleepingComputer)


三、重要安全漏洞


西门子、霍尼韦尔等多个OT设备供应商受56个“ICEFALL”漏洞的影响

本月,安全研究人员披露了56个新的漏洞,统称为“ICEFALL”,这些漏洞影响到为关键基础设施组织提供服务的10家最大的OT设备供应商。包括:西门子、摩托罗拉、霍尼韦尔、横河、ProConOS、爱默生、本特利内华达、欧姆龙和JTEKT。其中影响西门子设备的漏洞包括CVE-2022-33139,影响霍尼韦尔设备的漏洞包括:CVE-2022-30312到CVE-2022-30320等9个漏洞,影响本特利内华达设备的漏洞包括:CVE-2022-29952和CVE-2022-29953,影响JTEKT设备的漏洞包括CVE-2022-29951和CVE-2022-29958,,影响艾默森设备的漏洞包括CVE-2022-29957和CVE-2022-29962等15个漏洞。漏洞被分为四大类:不安全的工程协议、弱加密或损坏的认证方案、不安全的固件更新和通过本地功能远程执行。成功利用这些漏洞可能导致:凭据泄露、身份验证绕过、固件和配置篡改、拒绝服务或远程代码执行。

影响范围如下:

修复建议

目前部分供应商已经发布了受影响设备的固件更新,受影响用户可以升级到最新版本。


(来源:BleepingComputer)


AutomationDirect修复PLC和HMI产品中的多个漏洞

AutomationDirect已修复了其部分可编程逻辑控制器(PLC)和人机界面(HMI)产品中的多个严重漏洞。研究人员发现,该公司的部分PLC和HMI产品受到漏洞的影响,攻击者可以通过这些漏洞造成破坏,并对目标设备进行未经授权的更改。CISA发布三份公告,其中一个描述了影响C-more EA9工业触摸屏人机界面的两个漏洞,1)CVE-2022-2006影响安装程序的DLL劫持漏洞,2)CVE-2022-2005可能允许攻击者获取登录凭据并以有效用户身份登录。CISA的另外两项公告描述了DirectLOGIC PLC中的漏洞,一项针对串行通信(CVE-2022-2004),一项针对以太网通信(CVE-2022-2003)。成功利用这些漏洞可能会导致敏感信息丢失、未经授权的更改和拒绝服务等情况。

受影响版本:

C-more EA9:6.73 之前的所有版本

D0-06系列:2.72之前的所有版本

修复建议

目前漏洞已经修复,受影响用户可以升级到最新版本:

下载链接:

https://www.automationdirect.com/support/software-downloads?itemcode=C-more%20EA9%20Series

https://support.automationdirect.com/firmware/

(来源:SecurityWeek)


Korenix JetPort工业串行设备服务器存在后门帐户


Korenix JetPort工业串行设备服务器存在一个后门帐户CVE-2020-12501(CVSSv3评分:9.8),可能被恶意黑客滥用,以攻击工业组织,但供应商表示该帐户是客户支持所必需的。该漏洞于2020年被发现,但在经过漫长的披露过程后现在才公开,最终供应商表示不会删除该账户。有问题的帐户可以被网络上的攻击者利用来访问设备的操作系统并获得完全控制。攻击者可以重新配置设备,并可能获得连接到服务器的其他系统的访问权。研究人员在Korenix JetPort 5601V3产品中发现了该问题,该产品专为工业环境中的连接而设计。

受影响版本:

Korenix JetPort 5601V3 固件版本1.0

修复建议

目前该漏洞暂未修复。


(来源:SecurityWeek)


西门子和施耐德6月修复了80多个影响其产品的漏洞

西门子


西门子发布了14条公告,修复了59个漏洞。其中30个严重或高危漏洞都会影响SINEMA远程连接服务器及第三方组件。这些安全漏洞可能导致远程代码执行、身份验证绕过、权限提升、命令注入和信息泄露。在SICAM GridEdge应用程序中存在并修复了几个严重漏洞,其中一些无需身份验证即可利用。Teamcenter中解决了与硬编码凭据相关的严重漏洞,但默认情况下未安装受影响的组件。SCALANCE LPE9000本地处理引擎使用的第三方组件中也存在严重漏洞。一些Apache HTTP服务器严重漏洞会影响RUGGEDCOM、SINEC和SINEMA产品。在Spectrum Power、Mendix、EN100、SCALANCE LPE9403、SINUMERIK Edge和Xpedition Designer产品中均发现了这些严重漏洞。对于其中许多漏洞,西门子仅发布了缓解措施,补丁程序仍在开发当中。


施耐德电气

施耐德发布了8条公告,涉及24个漏洞。其中包含在 IGSS SCADA产品的数据服务器模块中发现的7个可用于远程代码执行的严重漏洞, 在C-Bus家庭自动化产品中发现的2个与身份验证相关的关键漏洞,StruxureWare Data Center Expert 产品中的凭据和数据反序列化相关的4个严重漏洞。这些漏洞可能导致 Conext ComBox 受到点击劫持、暴力破解和 CSRF 攻击的影响。EcoStruxure Cybersecurity Admin Expert存在的2个严重漏洞,这些漏洞可能允许设备欺骗和中间人攻击。目前,施耐德电气已针对相关漏洞发布了补丁,但于2020年1月停产的Conext ComBox除外,建议采取缓解措施,以降低被利用的风险。


(来源:SecurityWeek)

分享: