谛听工控安全月报 | 4月 - 新鲜讯息

全国信息安全标准化技术委员会征求国家标准《信息安全技术公钥基础设施在线证书状态协议》意见
五部门联合发布关于调整网络安全专用产品安全管理有关事项的公告
工信部发布关于工业互联网安全深度行活动典型案例和成效突出地区名单的公示
全国信息安全标准化技术委员会征求《网络安全标准实践指南——网络数据安全风险评估实施指引（征求意见稿）》意见
《关键信息基础设施安全保护要求》国家标准宣贯会在京举办

工控安全相关事件

黑客对以色列关键基础设施进行新一轮网络攻击
APC发布安全通知警告其UPS软件中存在严重RCE漏洞
Cybernews研究发现西门子Metaverse正在泄露企业的敏感数据
思科修复相关解决方案中的关键安全漏洞
CISA警告Illumina医疗设备存在严重缺陷

蜜罐数据分析

俄罗斯、乌克兰联网工控设备分析

工控安全相关政策

全国信息安全标准化技术委员会征求国家标准《信息安全技术公钥基础设施在线证书状态协议》意见

4月7日，全国信息安全标准化技术委员会发布关于国家标准《信息安全技术公钥基础设施在线证书状态协议》征求意见稿征求意见的通知。征求意见稿表示，该标准文件用于代替GB/T 19713—2005《信息技术安全技术公钥基础设施在线证书状态协议》，与GB/T 19713—2005相比，主要技术变化有14处，同时该标准文件规定了面向公钥基础设施的在线证书状态协议（OCSP），此协议是一种无需请求证书撤销列表（CRL）即可查询数字证书状态的协议，包括总则、功能要求、具体协议等，适用于公钥基础设施的建设以及应用在线证书状态协议的依赖方等。意见征求需于2023年6月6日前反馈给全国信息安全标准化技术委员会秘书处。

参考链接：

https://www.tc260.org.cn/front/bzzqyjDetail.html?id=2023040718472708582&norm_id=20221102150748&recode_id=50653

五部门联合发布关于调整网络安全专用产品安全管理有关事项的公告

4月17日，为加强网络安全专用产品安全管理，推动安全认证和安全检测结果互认，避免重复认证、检测，国家互联网信息办公室、工业和信息化部、公安部、财政部、国家认证认可监督管理委员会近日联合发布关于调整网络安全专用产品安全管理有关事项的公告。公告指出，自2023年7月1日起，列入《网络关键设备和网络安全专用产品目录》的网络安全专用产品应当按照《信息安全技术网络安全专用产品安全技术要求》等相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。自2023年7月1日起，停止颁发《计算机信息系统安全专用产品销售许可证》，产品生产者无需申领。此前已经获得销售许可证的产品在有效期内可继续销售或者提供。国家互联网信息办公室会同工业和信息化部、公安部、国家认证认可监督管理委员会统一公布和更新符合要求的网络关键设备和网络安全专用产品清单，供社会查询和使用。

参考链接：

https://www.miit.gov.cn/jgsj/waj/wjfb/art/2023/art_87ca1dad4faa4f8e9d37f86448aa6dec.html

工信部发布关于工业互联网安全深度行活动典型案例和成效突出地区名单的公示

4月18日，据《工业和信息化部办公厅关于开展工业互联网安全深度行活动的通知》（工信厅网安函〔2022〕97号）和《工业和信息化部办公厅关于组织开展工业互联网安全深度行活动典型案例和成效突出地区遴选工作的通知》（工信厅网安函〔2022〕324号）要求，工业和信息化部组织开展了相关申报和评审工作，形成工业互联网安全深度行活动典型案例和成效突出地区名单并由网络安全管理局公示名单文件接受社会监督。

参考链接：

https://www.miit.gov.cn/zwgk/wjgs/art/2023/art_bd52a382fb0a41bfa42779f9eb296ebf.html

全国信息安全标准化技术委员会征求《网络安全标准实践指南——网络数据安全风险评估实施指引（征求意见稿）》意见

4月18日，全国信息安全标准化技术委员会发布关于对《网络安全标准实践指南——网络数据安全风险评估实施指引（征求意见稿）》公开征求意见的通知。通知表示，为指导数据处理者开展网络数据安全风险评估工作，秘书处组织编制了《网络安全标准实践指南——网络数据安全风险评估实施指引（征求意见稿）》，旨在围绕网络安全法律法规政策、标准、网络安全热点和事件等主题，宣传网络安全相关标准及知识，提供标准化实践指引。意见稿给出了网络数据安全风险评估思路、流程和方法，明确了网络数据安全风险评估步骤和工作内容，基于数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面识别、评估安全风险，适用于数据处理者自行开展安全评估或者有关主管部门组织开展检查评估。意见征求需于2023年5月2日前反馈给信安标委秘书处。

参考链接：

https://www.tc260.org.cn/front/postDetail.html?id=20230418101059

《关键信息基础设施安全保护要求》国家标准宣贯会在京举办

4月19日，为做好国家标准的落地实施和应用指导工作，不断提升关键信息基础设施安全保护能力，《关键信息基础设施安全保护要求》国家标准宣贯会在北京举办。来自网络安全领域权威专家，电信、能源、交通、金融、水利等重点行业领域关键信息基础设施保护工作部门有关负责人员均参加了本次会议，会上对关键信息基础设施安全监管工作中发现的突出问题，提出了关键信息基础设施安全保护工作具体要求，并重点解读了《关键信息基础设施安全保护要求》的具体内容和应用实践。《关键信息基础设施安全保护要求》（GB/T39204-2022）将于今年5月1日起正式实施。

参考链接：

https://www.mps.gov.cn/n2254098/n4904352/c9003738/content.html

工控安全相关事件

黑客对以色列关键基础设施进行新一轮网络攻击

4月9日，据英国信息安全、网络犯罪新闻平台HACKREAD报道，以色列的灌溉系统遭到了一系列网络攻击，导致数个水位监测器发生故障，同时针对该国的主要基础设施机构网站（包括航空公司、交通、邮政和灌溉系统的网站）的网络攻击数量激增。同日，据JPost报道，在灌溉系统遭到攻击的前一周，以色列国家网络组织曾发出警告，在4月14日的“伊朗耶路撒冷日”庆祝活动之前的穆斯林斋月期间，针对以色列基础设施的网络攻击可能会增加，当局认为，这些网络攻击可能是由亲巴勒斯坦的黑客组织OpIsrael策划。

参考链接：

https://www.hackread.com/israel-cyberattacks-hit-critical-infrastructure/

https://www.jpost.com/israel-news/article-738790

APC发布安全通知警告其UPS软件中存在严重RCE漏洞

4月11日，施耐德电气旗下最受欢迎的UPS品牌之一APC发布了一份安全通知，警告以下三个影响其产品的漏洞：CVE-2023-29411（CVSS v3：9.8分）、CVE-2023-29412（CVSS v3：9.8分）、CVE-2023-29413（CVSS v3：7.5分），这些漏洞会导致APC的Easy UPS在线监控软件容易受到未经身份验证的任意远程代码执行攻击，允许黑客接管设备，在最坏的情况下，甚至会完全禁用其功能。目前，对于直接访问其Easy UPS软件的客户来说，唯一的缓解措施是在所有受Easy UPS OnLine（SRV、SRVL型号）保护的服务器上升级到PowerChute Serial Shutdown(PCSS)软件套件，它可以提供串行关闭和监控。

参考链接：

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-101-04&p_enDocType=Security%20and%20Safety%20Notice&p_File_Name=SEVD-2023-101-04.pdf

Cybernews研究发现西门子Metaverse正在泄露企业的敏感数据

4月17日，Cybernews发布安全新闻称其研究团队于近日发现西门子Metaverse正在泄露敏感信息，如果攻击者获得了泄露的数据，可能会对西门子公司和其他使用其Metaverse服务的大公司造成勒索软件攻击等影响。西门子Metaverse是一个虚拟空间，用于镜像真实的机器、工厂和其他高度复杂的系统，它暴露的敏感数据包括公司的办公计划和物联网(IoT)设备信息。研究团队发现了一个托管在metaverse.siemens.com域名上的环境文件，它包含ComfyApp凭证和端点，同时研究团队还发现西门子在受影响系统的不同端点上泄露了四套WordPress用户，以及三套后台和认证端点的URL。研究人员认为通过ComfyApp凭证可以访问敏感数据包括平面图、物联网(IoT)设备的信息、员工日历和室内图片，但暂时无法确定单独使用ComfyApp凭据可以访问上述数据中的多少；另一方面，西门子认为该问题并不严重，并表明该问题正在修复中。

参考链接：

https://cybernews.com/security/siemens-metaverse-data-leak/

思科修复相关解决方案中的关键安全漏洞

4月19日，思科发布了安全更新，以解决其Industrial Network Director和Modeling Labs解决方案中的关键安全漏洞。该漏洞跟踪为CVE-2023-20036（CVSS v3：9.9分），攻击者可以利用该漏洞在底层操作系统上以管理权限执行任意命令，并利用这些漏洞注入任意操作系统命令或访问敏感数据。研究发现此漏洞是由于对相关外部身份验证服务器返回的某些消息的处理不当造成的。攻击者可以通过登录到受影响服务器的Web界面来利用此漏洞。在某些情况下，身份验证机制将被绕过，攻击者将以管理员身份登录，这可能允许攻击者在受影响服务器的Web界面上获得管理权限，包括访问和修改每个模拟和所有用户创建的数据的能力。

参考链接：

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cml-auth-bypass-4fUCCeG5

CISA警告Illumina医疗设备存在严重缺陷

4月27日，美国网络安全和基础设施安全局(CISA)发布了工业控制系统(ICS)医疗咨询警告，警告可能允许攻击者在操作系统级别采取任何行动的漏洞。CISA表示，该漏洞影响了生物学功能分析服务提供商Illumina的包含软硬件在内的13类通用服务产品，这些产品要么用于临床诊断，针对各种遗传病症对个人DNA进行测序，要么仅供研究使用。成功利用这些漏洞可能允许攻击者在操作系统级别采取任何行动。威胁行为者可能会影响产品的设置、配置、软件或数据，还可以通过网络连接影响产品交互。其中最严重的漏洞被追踪为CVE-2023-1968（CVSS v3：10.0分），其允许未经身份验证的远程攻击者绑定到不受限制的IP地址。攻击者可以使用UCS监听所有IP地址，包括那些能够接受远程通信的地址。目前，Illumina尚未收到任何表明此漏洞已被利用的报告，Illumina敦促客户安装2023年4月5日发布的安全更新。

参考链接：

https://www.cisa.gov/news-events/ics-medical-advisories/icsma-23-117-01

蜜罐数据分析

“谛听”工控蜜罐在4月份收集到大量攻击数据。图1、图2和图3中展示了经过统计和分析后的数据。下面将对各个图表进行简要说明。

图1展示了2023年4月份和3月份不同协议下各蜜罐受到的攻击量对比情况。从图中可以看到，4月份Modbus、EGD、S7协议蜜罐受到的攻击数量低于3月份受到的攻击数量，Modbus/UDP协议蜜罐受到的攻击数量与3月份持平，除此以外4月份各协议蜜罐受到的攻击数量都高于3月份受到的攻击数量。

图1. 4月份和3月份蜜罐各协议攻击量对比

（数据来源“谛听”）

图2展示了4月份和3月份攻击量最多的10个国家对比情况。从图中可以看到，4月份来自美国的攻击量上升稳居第一位，此外除了美国和西班牙，其他国家对蜜罐的攻击量均有所下降。

图2. 4月份和3月份其他各国

对蜜罐的攻击量对比TOP10

（数据来源“谛听”）

由图3可以看出，与3月份相比，4月份来自北京的流量最多，接近50%，来自浙江的流量位居第二，而来自山西的流量位居第三。排名比较靠前的也大都是沿海或者工业较发达的地区，其他省份的流量有所波动。