2024.1.29-2024.2.25 | 工信部印发《工业控制系统网络安全防护指南》 - 新鲜讯息

安全资讯导视
• 工信部印发《工业控制系统网络安全防护指南》
• 美国总统拜登签署加强海事网络安全的行政命令
• 国际清洁用品巨头高乐氏因网络攻击损失超3.5亿元

PART 01

政策法规

1.美国总统拜登签署加强海事网络安全的行政命令

2月21日，美国白宫发布《关于修订与保护美国船舶、港湾、港口和海滨设施有关法规的行政命令》，旨在通过制定加强该领域网络防御的新要求来改善海事安全，同时扩大美国海岸警卫队应对网络安全事件的权限。美国海岸警卫队将拥有明确的权力，通过要求船只和海滨设施缓解可能危及船只、设施或港口安全的网络状况，对国家海上运输系统中的恶意网络活动做出反应。该行政命令还要求，海上设施强制报告危及任何船只、港湾、港口或海滨设施的网络事件或主动网络威胁。此外，海岸警卫队现在将有权控制对美国海事基础设施构成已知或可疑网络威胁的船只的移动，并能够检查对美国网络安全构成威胁的船只和设施。

原文链接：https://www.whitehouse.gov/briefing-room/presidential-actions/2024/02/21/executive-order-on-amending-regulations-relating-to-the-safeguarding-of-vessels-harbors-ports-and-waterfront-facilities-of-the-united-states/

2.四部门印发《关于开展全国数据资源调查的通知》，摸底数据安全情况

2月19日，国家数据局、中央网信办、工信部、公安部联合印发《关于开展全国数据资源调查的通知》，调研各单位数据资源生产存储、流通交易、开发利用、安全等情况，为相关政策制定、试点示范等工作提供数据支持。其中，省级公安厅/局需按照公安部的要求组织填报《数据安全情况调查表》，表内包括处理重要数据的重要系统数量、处理重要数据的关键信息基础设施数量、处理重要数据的其他系统数量、数据安全相关案件数量四个数据情况。

原文链接：https://mp.weixin.qq.com/s/7UzEZozBafi0kNeDVu8uAQ

3.财政部印发《关于加强行政事业单位数据资产管理的通知》

2月8日，财政部印发《关于加强行政事业单位数据资产管理的通知》，以充分发挥数据资产价值作用，保障数据资产安全，更好地服务与保障单位履职和事业发展。该文件共3章11条，其中有多条涉及安全要求。该文件要求，运营主体应当建立安全可信的运营环境，在授权范围内运营，并对数据的安全和合规负责。各部门及其所属单位要建立数据资产安全管理制度和监测预警、应急处置机制，推进数据资产分类分级管理，按规定做好国家数据安全风险评估。

原文链接：https://mp.weixin.qq.com/s/DGlTgWEG83XsJ8bmSwNgdg

4.《自然资源数字化治理能力提升总体方案》印发

2月5日，自然资源部印发《自然资源数字化治理能力提升总体方案》，作为指导2024-2030年全国自然资源数字化发展的纲领性文件。该文件共分为九章，其中第七章“筑牢全方位安全体系”专门就网络安全作出要求。该章节提出，全面落实总体国家安全观，坚持以新安全格局保障新发展格局，严格落实网络安全各项法律法规制度，构建全方位安全体系，全面推广使用信创软硬件产品，保障网络安全、数据安全、应用安全、模型算法安全，守牢安全底线。该章节还提出建设三大工程，包括安全态势感知与协调指挥、数据安全风险监测预警、商用密码基础设施建设。

原文链接：http://gi.mnr.gov.cn/202402/P020240218593782068862.pdf

5.《中国（天津）自由贸易试验区企业数据分类分级标准规范》印发

2月5日，天津市商务局、自贸试验区管委会研究制定了《中国（天津）自由贸易试验区企业数据分类分级标准规范》。该文件适用于天津自贸试验区内企业在生产经营过程中产生、收集、存储、传输和处理的数据的分类分级，将企业数据分成13大类40子类，从高到低分为核心、重要、一般3个级别，明确了重要数据的识别标准。这是全国首个自贸试验区数据分类分级标准规范，填补了该领域制度空白。

原文链接：https://shangwuju.tj.gov.cn/tjsswjzz/zwgk/zcfg_48995/swjwj/202402/t20240207_6534807.html

6.欧盟27国代表一致支持《人工智能法案》文本

2月3日，欧盟27国代表投票一致支持《人工智能法案》文本，标志欧盟向立法监管人工智能迈出重要一步。欧盟内部市场委员蒂埃里·布雷东在社交媒体上发文说，27国一致支持这一法案，说明它们认可“谈判者在创新与安全之间找到了完美平衡”。欧盟委员会于2021年4月提出《人工智能法案》提案的谈判授权草案。2023年12月，欧洲议会、欧盟成员国和欧盟委员会三方就《人工智能法案》达成协议。《人工智能法案》仍需要提交欧洲议会批准。如果获得批准，相关规则将分阶段实施，其中一些禁止性规则将在该法律通过六个月后生效，与通用人工智能模型相关的某些规则将从2025年起适用。

原文链接：http://www.news.cn/20240203/077b01b745c744678ea8553451e836ca/c.html

7.国家邮政局《寄递服务用户个人信息安全管理办法》公开征求意见

2月1日，国家邮政局起草了《寄递服务用户个人信息安全管理办法（征求意见稿）》，现公开征求意见。该文件共32条。该文件提出，寄递企业应当对本企业处理用户个人信息遵守法律、行政法规的情况进行合规审计，合规审计应当每年至少进行一次。除征得用户个人同意外，寄递企业保存用户个人信息的期限不得超过收集之日起三年，法律、行政法规另有规定的，从其规定。寄递企业发生或可能发生用户个人信息泄露、丢失的，应当立即启动应急预案，有针对性地采取补救措施，及时报告所在地履行个人信息保护职责的相关部门和邮政管理部门，并通知涉及的个人。

原文链接：https://www.spb.gov.cn/gjyzj/c100025/c100029/202402/e11cea47cdc0414fa3049ff82997a229/files/%E5%AF%84%E9%80%92%E6%9C%8D%E5%8A%A1%E7%94%A8%E6%88%B7%E4%B8%AA%E4%BA%BA%E4%BF%A1%E6%81%AF%E5%AE%89%E5%85%A8%E7%AE%A1%E7%90%86%E5%8A%9E%E6%B3%95%EF%BC%88%E5%BE%81%E

8.欧盟推出首个数字产品网络安全认证计划

1月31日，欧洲委员会通过了欧洲通用标准（EUCC）网络安全认证计划实施条例，这是欧盟首个用于信息与通信技术（ICT）产品的网络安全认证计划，是对欧盟网络安全法条款的落实。该计划提供了一整套规则，以确保ICT产品在其生命周期内的可信度。ICT产品指以数字形式电子访问、处理、存储、传输或获取信息的商品。这些产品涵盖无线和智能设备，同时也包括技术组件，如芯片、智能卡、硬件和软件。欧洲委员会发言人表示，“该计划的目标是提高欧盟市场上ICT产品、服务和流程的网络安全水平。”

原文链接：https://www.enisa.europa.eu/news/an-eu-prime-eu-adopts-first-cybersecurity-certification-scheme

9.工信部印发《工业控制系统网络安全防护指南》

1月30日，工业和信息化部印发《工业控制系统网络安全防护指南》。该文件定位于面向工业企业做好网络安全防护的指导性文件，防护对象包括工业控制系统以及被网络攻击后可直接或间接影响生产运行的其他设备和系统，围绕安全管理、技术防护、安全运营、责任落实四方面，提出33项指导性安全防护基线要求，推动解决走好新型工业化道路过程中工业控制系统网络安全面临的突出问题。

原文链接：https://mp.weixin.qq.com/s/R_QxlJ3zMQ3R_qC74UMPjA

PART 02

安全事件

1.美国医疗支付关键供应商被黑瘫痪，全国众多药店无法处理处方

2月22日SecurityWeek消息，美国医疗IT巨头Change Healthcare在21日凌晨遭遇网络攻击，造成广泛的网络中断，超过100个应用程序受到影响，包括牙科、药房、医疗记录、临床服务、注册、患者参与、收入和付款等服务。Change Healthcare是美国最大的医疗IT公司之一，此次中断对美国医疗系统产生了重大影响，导致许多药店无法处理处方。密歇根州医疗健康服务商Scheurer Health宣布，“由于北美最大的处方处理服务出现全国性停机，目前Scheurer旗下的四家家庭药房均无法处理处方。我们仍然可以接受新处方，但客户无法使用保险购买。”

原文链接：https://www.securityweek.com/change-healthcare-cyberattack-causes-significant-disruption/

2.美国对疑似伊朗军事间谍船开展网络攻击

2月16日NBC News消息，作为对伊朗支持的胡塞武装1月攻击美军驻约旦后勤基地的报复行动，美国对伊朗军事间谍船贝赫沙德号开展了网络攻击。美国官员表示，此次行动的目的是遏制贝赫沙德号与胡塞武装分享情报的能力，后者一直在红海攻击货船。伊朗利用贝赫沙德号向胡塞武装提供目标信息，以便提升对船只的攻击效率。美国官员通常不会披露包括网络攻击在内的秘密行动，美国国家安全委员会和美国防部均拒绝就此事件发表评论。

原文链接：https://www.nbcnews.com/news/investigations/us-conducted-cyberattack-suspected-iranian-spy-ship-rcna138638

3.国际清洁用品巨头高乐氏因网络攻击损失超3.5亿元

2月3日BleepingComputer消息，全球清洁用品巨头高乐氏（Clorox）在日前提交给美国证券交易委员会（SEC）的财报中披露，为应对2023年8月发生的网络攻击，截至当前已经支出4900万美元（约合人民币3.52亿元）。高乐氏当时遭受网络攻击后，导致公司运营受到严重干扰，生产减少，消费级产品供应不足。高乐氏指出，“这些费用主要涉及第三方咨询服务，包括IT恢复和取证专家等专业服务，用于调查和补救此次攻击，以及由于公司业务受到影响而带来的额外运营成本。”公司承认仍在努力从攻击中恢复，但预计未来与网络攻击相关的成本将减少。

原文链接：https://www.bleepingcomputer.com/news/security/clorox-says-cyberattack-caused-49-million-in-expenses/

4.德国流行远控软件AnyDesk遭攻击致源代码和私钥被盗

2月2日BleepingComputer消息，德国远程桌面软件AnyDesk发布安全公告，确认其公司服务器遭到网络攻击，据悉攻击者窃取了部分源代码和代码签名密钥。AnyDesk公司在声明中表示，他们在发现服务器系统异常后第一时间启动了安全响应计划，并与网络安全公司CrowdStrike合作进行调查。声明中未透露攻击者是否窃取了用户数据，但外媒BleepingComputer证实了源代码和代码签名证书的泄露。值得庆幸的是，此次攻击并非勒索软件感染，也没有证据表明用户终端设备受到影响。AnyDesk已采取补救措施，包括吊销安全相关证书、更新受影响系统，并呼吁用户更新至最新版本软件。

原文链接：https://www.bleepingcomputer.com/news/security/anydesk-says-hackers-breached-its-production-servers-reset-passwords/

5.施耐德电气遭勒索攻击：云平台中断服务 TB级数据泄露

1月29日BleepingComputer消息，国际能源管理和自动化巨头施耐德电气遭受仙人掌（Cactus）勒索软件攻击，大量企业数据被盗。据悉，此次勒索软件攻击发生在1月17日，针对施耐德电气的可持续业务部门，导致该部门能效及可持续顾问云平台部分功能受到影响，十余天仍未恢复。勒索软件团伙声称，在攻击期间窃取了数TB公司数据，并要求公司支付赎金，否则将泄露这些数据。尚不清楚失窃的数据包括哪些，可持续业务部门负责向外部组织提供咨询服务，比如可再生能源解决方案建议，并帮助它们遵守全球各地复杂的气候法规要求，客户包括忠诚旅游公司、高乐氏、DHL、杜邦、希尔顿、利盟、百事可乐和沃尔玛等巨头。

原文链接：https://www.bleepingcomputer.com/news/security/energy-giant-schneider-electric-hit-by-cactus-ransomware-attack/

6. 7.5亿印度公民身份信息在线泄漏，疑似来自电信运营商

1月25日Scroll消息，据印度网络安全公司CloudSEK披露，本月早些时候，一个包含约7.5亿印度个人信息的庞大数据库在暗网上出售。该数据库大小为1.8TB，包含姓名、手机号码、地址和Aadhaar个人身份识别码（相当于印度公民身份证号码）等个人信息。CloudSEK公司称，一个名为CyboDevil的黑客组织在地下论坛，以3000美元的价格兜售印度移动运营商的手机用户数据库。对黑客发布的样本数据集进行分析后发现，这些信息来自印度所有主要电信运营商用户，估计将影响85%的印度人口。CloudSEK表示，它已通知有关当局以及可能受到此次泄露影响的组织，因为泄露的信息可用于身份盗窃、金融欺诈、诈骗、勒索软件和其他类型的恶意攻击。

原文链接：https://scroll.in/latest/1062708/aadhaar-details-phone-numbers-of-nearly-75-crore-indians-put-up-for-sale-says-cybersecurity-firm

PART 03

漏洞情报

1.Internet快捷方式文件安全特性绕过漏洞安全风险通告

2月23日，奇安信CERT监测到微软二月补丁日修复多个漏洞，其中包括Internet快捷方式文件安全特性绕过漏洞(CVE-2024-21412)。未经身份认证的远程攻击者通过该漏洞制作恶意文件并发送给受害者，诱导受害者打开后将触发该漏洞，绕过安全检查并执行恶意代码。该漏洞于2024年1月被攻击团伙Water Hydra作为0day进行在野攻击活动，此团伙2023年曾使用WinRAR 0day CVE-2023-38831发起过攻击，主要针对全球银行、加密货币平台、外汇和股票交易平台、赌博网站和赌场等目标进行攻击。目前此漏洞的技术细节与PoC已在互联网上公开。鉴于该漏洞影响范围较大，且存在在野利用，建议客户尽快做好自查及防护。

2.Microsoft Outlook远程代码执行漏洞安全风险通告

2月23日，奇安信CERT监测到微软二月补丁日修复多个漏洞，其中包括Microsoft Outlook远程代码执行漏洞(CVE-2024-21413)。成功利用此漏洞将允许攻击者绕过Office受保护视图，并在编辑模式下打开文件，而不是在保护模式下，预览窗格也可触发此漏洞。未经身份验证的远程攻击者利用此漏洞可以制作绕过受保护的视图协议的恶意链接，诱骗受害者打开，在受害者机器上泄露NTLM凭据信息或远程代码执行(RCE)。目前此漏洞的技术细节与PoC已在互联网上公开。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

3.Oracle WebLogic Server JNDI注入漏洞安全风险通告

2月6日，奇安信CERT监测到Oracle WebLogic Server JNDI注入漏洞(CVE-2024-20931)，该漏洞是由于CVE-2023-21839漏洞未修补完全，未经身份验证的攻击者通过 T3、IIOP进行网络访问来破坏Oracle WebLogic Server。成功利用此漏洞可能会导致Oracle WebLogic Server被接管。奇安信威胁情报中心安全研究员已复现此漏洞。鉴于该产品用量较大，建议客户尽快做好自查及防护。

4.runc容器逃逸漏洞安全风险通告

2月1日，奇安信CERT监测到runc官方发布安全通告修复了runc容器逃逸漏洞(CVE-2024-21626)，由于runc存在内部文件描述符泄露，本地攻击者可以通过多种方式进行容器逃逸：

1、由于runc将物理机的/sys/fs/cgroup的文件描述符泄漏到runc init中。未经身份验证的攻击者可以制作恶意容器镜像，诱导受害者构建该恶意容器镜像，成功利用该漏洞可在物理机执行任意命令。

2、由于runc exec中同样存在文件描述符泄漏和工作目录验证不足。如果容器内的恶意进程知道某个管理进程将使用--cwd参数和给定路径调用runc exec，便可以用符号链接将该路径替换为/proc/self/fd/7/。一旦容器进程执行了容器镜像中的可执行文件，可以绕过PR_SET_DUMPABLE保护，之后攻击者可以通过打开/proc/$exec_pid/cwd来访问主机文件系统。

3、可以通过将类似/proc/self/fd/7/../../../bin/bash的路径用作process.args二进制参数来覆盖主机二进制文件来改进攻击1、2。由于可以覆盖类似/bin/bash的二进制文件，一旦特权用户在主机上执行目标二进制文件，攻击者就可以进行转移，以完全访问主机。

鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。

5.glibc syslog堆溢出漏洞安全风险通告

1月31日，奇安信CERT监测到glibc官方修复多个漏洞，其中包括glibc syslog堆溢出漏洞(CVE-2023-6246)，GNU C库的__vsyslog_internal()函数中存在堆缓冲区溢出漏洞，该函数被syslog()和vsyslog()调用，具有低权限的本地攻击者利用该漏洞可以提升权限至ROOT。目前，此漏洞技术细节及POC已在互联网上公开，奇安信CERT已复现此漏洞，鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。

往期精彩推荐

本期周报内容由安全内参&虎符智库&奇安信CERT联合出品！