工业网络安全周报-2024年第40期

本文预计阅读时间 15分钟

2024

week 40

本期摘要 BREAKING NEWS

政策法规方面，本周观察到国外网络安全相关政策法规15项，值得关注的有中国计算机行业协会正式公告发布信息技术产品供应链成熟度系列标准。

漏洞态势方面，本周监测到漏洞动态17条，值得关注的有Nozomi Networks Labs研究人员在EmbedThis开发的GoAhead Web服务器中发现了三个安全漏洞（CVE-2024-3184、CVE-2024-3187和CVE-2024-3186），可能影响嵌入式和IoT设备。

安全事件方面，本周监测到重大网络安全事件18起，其中典型的事件有伊朗网络黑客通过暴力破解和凭证访问技术对关键基础设施进行攻击。

安全技术方面，佐治亚理工学院的网络物理安全实验室开发PLCHound算法以提高关键基础设施的安全

融资并购方面，一家专注于提供连续攻击面测试解决方案的新加坡网络安全公司watchTowr筹集1900万美元以加速全球增长。

政策法规

信息技术产品供应链成熟度系列团体标准正式发布

10月12日，据媒体报道，中国计算机行业协会正式公告发布信息技术产品供应链成熟度系列标准，这标志着行业内广泛关注的信息技术产品供应链成熟度评估模型正式推出。该标准旨在构建信息技术产品及其上游软硬件、关键芯片、核心元器件等重点物料的可持续供给能力、可持续发展能力和技术水平评估体系。相关指标体系为各类企业和用户选择、评价供应商产品，建立更具韧性、更安全、更稳定的供应链提供决策参考。该系列标准的发布，得到了行业主管部门的高度肯定和业界的广泛认同，并由中国计算机行业协会信息技术产品供应链成熟度专业委员会负责组织开展相关工作。

资料来源：

https://www.secrss.com/articles/71208

英国政府推出AI安全计划以应对深度伪造

10月16日，据媒体报道，英国政府推出了一项新的AI安全研究计划，旨在提升对深度伪造、错误信息、网络攻击等AI威胁的防御能力，以加速AI技术的采用。该计划的第一阶段将提供高达200,000英镑（约260,000美元）的资助给研究人员，与EPSRC和Innovate UK合作，支持研究减轻AI威胁及其可能导致的重大系统故障。这项研究将识别医疗保健、能源和金融服务等领域中AI采用的关键风险，并开发实用工具以减轻这些风险。

资料来源：

http://3ghom.dz111.sbs/B2rBDhN

美国防部发布网络安全成熟度模型认证计划最终规则

10月15日，美国国防部发布了网络安全成熟度模型认证（CMMC）计划的最终规则，旨在确保国防承包商和分包商符合处理联邦合同信息（FCI）和受控非机密信息（CUI）的现有信息保护要求，并以与网络安全威胁风险相称的水平保护这些敏感的非机密信息。规则将评估级别从五个减少到三个，以简化中小企业的流程。根据最终规则，国防部将允许企业适时对其合规性进行自我评估。FCI的基本保护需要CMMC1级的自我评估，而CUI的一般保护则需要第三方评估或CMMC2级的自我评估。对于需要更高级别保护的某些CUI，以防范高级持续性威胁的风险，将由国防工业基础网络安全评估中心牵头进行CMMC3级评估。

资料来源：

http://qwupk.dz111.sbs/CyqAhAK

安全漏洞

Nozomi研究人员在跨IoT、嵌入式、ICS设备部署的GoAhead Web服务器中发现严重安全漏洞

10月16日，据媒体报道，Nozomi Networks Labs研究人员在EmbedThis开发的GoAhead Web服务器中发现了三个安全漏洞（CVE-2024-3184、CVE-2024-3187和CVE-2024-3186），可能影响嵌入式和IoT设备。这些漏洞主要涉及HTTP请求处理、输入解析和会话管理，可能导致拒绝服务。EmbedThis已发布补丁6.0.1版以修复这些问题。研究人员建议用户更新至最新版本或评估漏洞潜在存在。

资料来源：

http://j92sm.dz111.sbs/JtDoX4A

HashiCorp Vault平台存在高危漏洞

10月13日据媒体报道，云基础设施自动化软件提供商HashiCorp Vault机密管理平台存在一个严重安全漏洞CVE-2024-9180，影响多个版本的Vault Community和Enterprise版本。该漏洞源于Vault内存实体缓存条目的错误处理，可能允许攻击者通过身份API操纵缓存的实体记录，提升权限至Vault的根策略。漏洞的CVSSv3评分为7.2，虽然影响有限，但成功利用可能导致攻击者完全控制Vault实例，危及敏感数据。

资料来源：

https://cybersecuritynews.com/hashicorp-cloud-vault-vulnerability/

漏洞Cisco修补模拟电话适配器中的高严重性漏洞

10月16日，据媒体报道，思科最近修补了ATA 190系列模拟电话适配器中的八个安全漏洞，其中包括两个高严重性的漏洞：一个允许未经身份验证的远程攻击者查看或删除配置或修改固件（CVE-2024-20458），另一个允许进行CSRF攻击执行任意操作（CVE-2024-20421）。此外，还修补了一个中等严重性漏洞（CVE-2024-20459），可能允许以root权限执行任意命令。剩余的五个中等严重性漏洞涉及XSS攻击、以root身份执行任意命令、查看密码、修改设备配置或重启设备，以及以管理员权限运行命令。受影响的设备包括ATA 191和ATA 192。

资料来源：

http://7vhtl.dz112.sbs/ROfIeOZ

安全事件

伊朗黑客攻击关键基础设施组织

10月17日，据媒体报道，美国、加拿大和澳大利亚的网络安全机构联合发布了一项警告，指出伊朗网络黑客通过暴力破解和凭证访问技术对关键基础设施进行攻击。自去年10月以来，这些黑客主要针对医疗保健、公共卫生、政府、信息技术、工程和能源等领域的用户账户。报告中提到了伊朗黑客采用的已知入侵指标（IOC）以及影响关键基础设施部门的策略、技术和程序（TTP），并建议关键基础设施运营商遵循指导并使用具有双重身份验证的强密码来增强安全防护。

资料来源：

http://l9kak.dz111.sbs/yYEgRy6

Omni Family Health数据泄露影响了四十七万人

10月18日，据媒体报道，加州健康中心网络Omni Family Health通知近470,000人，他们的个人信息在今年早些时候的网络攻击中被盗。Omni表示，数据泄露是在8月7日被发现的，此前得知威胁行为者在暗网上发布了据称从其网络窃取的数据。

资料来源：

http://llr8k.dz112.sbs/5hz7boQ

黑客勒索保险巨头Globe Life

10月17日，据媒体报道，保险巨头Globe Life今年遭受了一起数据泄露事件，影响了其子公司American Income Life Insurance Company至少5,000名客户。攻击者试图通过勒索手段，要求公司支付赎金以换取不公开被盗数据。泄露的数据包括全名、电子邮件地址、电话号码、邮政地址、社会安全号码、健康相关数据和政策信息。Globe Life表示，这次勒索企图并未涉及勒索软件，公司系统上没有数据被加密。

资料来源：

http://tmgdk.dz112.sbs/hFh66jQ

风险预警

Cicada3301勒索软件针对美国和英国的关键部门

10月17日，据媒体报道，Cicada3301是一种新型勒索软件，自2024年6月出现以来，已成为美国和英国关键行业企业的重大威胁。该勒索软件用Rust编写，能在多个平台上运行，包括Windows、Linux、ESXi等，采用ChaCha20和RSA加密技术。Cicada3301通过复杂的联盟计划招募成员，提供20%的赎金佣金，并允许通过Web面板管理攻击。其策略包括关闭虚拟机、终止关键服务和删除卷影副本，以避免被发现。针对Cicada3301的威胁，组织应采取多因素身份验证、早期检测、备份策略和定期修补等措施以减轻风险。

资料来源：

https://www.infosecurity-magazine.com/news/cicada-ransomware-critical-sectors/

Zscaler发布2024年威胁报告，强调需要增强移动、IoT和OT系统的安全性

10月15日，Zscaler ThreatLabz的2024年移动、物联网和OT威胁报告揭示了移动和IoT/OT网络威胁的增长趋势。报告指出，Google Play商店中发现了200多个恶意应用程序，这些应用被安装超过800万次。物联网恶意软件交易比去年增加了45%，显示出物联网设备上的僵尸网络活动继续激增。移动恶意软件和AI驱动的电话钓鱼攻击的增加，使得CISO和CIO必须优先考虑AI驱动的ZeroTrust解决方案来抵御这些攻击。经济动机驱动的移动攻击仍然是主要威胁媒介，银行恶意软件攻击同比增长了29%，间谍软件数量同比增长了111%。制造业连续第二年遭受了最多的IoT恶意软件攻击，占所有IoT恶意软件块的36%。美国是物联网网络攻击的首要目标，占IoT网络攻击的81%。报告还显示，印度是移动恶意软件最受攻击的国家，其次是美国、加拿大、南非和荷兰。遗留和生命周期终止的操作系统使OT系统容易受到攻击，OT和网络物理系统曾经与互联网隔绝，现已迅速集成到企业网络中，使威胁激增。

资料来源：

https://www.zscaler.com/campaign/threatlabz-ransomware-report

黑客集成EDR Silencer红队工具用于绕过攻击检测

10月15日，据媒体报道，网络安全公司Trend Micro 的研究人员发现，威胁行为者试图将EDR Silencer集成到他们的攻击中，将其重新用作逃避检测的手段。EDR Silencer是一个开源渗透测试工具，它利用Windows过滤平台（WFP）来监控、阻止或修改网络流量，从而破坏EDR工具与其管理服务器之间的数据交换，阻止警报和遥测报告的发送。Trend Micro的研究人员建议，为了防御EDR Silencer，应实施多层安全控制，隔离关键系统并创建冗余，使用提供行为分析和异常检测的安全解决方案，在网络上寻找入侵迹象，并应用最小特权原则。

资料来源：

http://zgrnl.dz112.sbs/tpxAMzp

俄罗斯顶尖网络安全公司Dr.Web数据泄露

10月14日，据媒体报道，Trend Micro Research 发现，针对巴西用户的鱼叉式网络钓鱼攻击激增。这些攻击主要通过伪装成个人所得税文件的恶意电子邮件附件进行，其中包含有害的 ZIP 文件。攻击者利用 mshta.exe 执行混淆的 JavaScript 命令，建立与 C&C 服务器的连接。这些攻击主要针对巴西的公司，特别是制造业、零售业和政府机构。

资料来源：

http://sslfk.dz111.sbs/8ixl28y

伊朗黑客组织利用Windows漏洞来提升权限

10月13日，据媒体报道，伊朗国家支持的黑客组织APT34（又名OilRig）近期加大了对阿拉伯联合酋长国和海湾地区政府及关键基础设施的攻击力度。该组织利用Windows的CVE-2024-30088漏洞提升权限，并通过新型后门窃取凭证，显示出其攻击手法的演变和复杂性。攻击链始于上传Web shell，使攻击者能够执行远程代码和PowerShell命令，随后注册密码过滤DLL以拦截明文凭证，并利用Microsoft Exchange服务器通过合法电子邮件流窃取敏感数据。此外，研究人员发现OilRig与另一个伊朗APT组织FOX Kitten之间的联系，可能会将勒索软件纳入其攻击策略中。

资料来源：

http://gbeal.dz112.sbs/GBpN85s

安全技术

佐治亚理工学院的网络物理安全实验室开发PLCHound算法以提高关键基础设施的安全性

10月16日，据媒体报道，佐治亚理工学院的信息物理安全实验室开发了一种名为PLCHound的算法，该算法利用先进的自然语言处理（NLP）和机器学习（ML）技术，筛选大型互联网记录数据库，记录互联网连接设备的IP地址和安全性。这一成果显著提高了关键基础设施的安全性，尤其是针对远程网络攻击的防御能力。PLCHound算法能够识别出比以往估计多37倍的互联网连接设备，这些设备可能在不知情的情况下暴露于互联网，从而增加了远程利用的风险。

资料来源：

http://tlwuk.dz111.sbs/wnG4Njl

融资并购

Cyera以1.62亿美元收购了数据丢失防护公司Trail Security

10月17日，数据安全公司Cyera以1.62亿美元现金和股票收购了数据丢失预防（DLP）初创公司Trail Security。Trail Security是一家以色列公司，自成立以来一直隐身运营，并已筹集了3500万美元资金。Trail开发了AI增强型DLP技术，Cyera将其集成到其数据安全态势管理（DSPM）平台中，打造统一数据安全平台。此次收购有助于Cyera在数据安全领域提供更全面的服务，满足客户对数据保护和态势管理的一体化需求。

资料来源：

http://s31fk.dz111.sbs/y4AoAT5

往期内容回顾

安帝科技丨ANDISEC

北京安帝科技有限公司是新兴的工业网络安全能力供应商，专注于网络化、数字化、智能化背景下的工业网络安全技术、产品、服务的创新研究和实践探索，基于网络空间行为学理论及工业网络系统安全工程方法，围绕工业网络控制系统构建预防、识别、检测、保护、响应、恢复等核心能力优势，为电力、水利、石油石化、轨道交通、烟草、钢铁冶金、智能制造、矿业等关键信息基础设施行业提供安全产品、服务和综合解决方案。坚持IT安全与OT安全融合发展，坚持产品体系的自主可控，全面赋能客户构建“业务应用紧耦合、用户行为强相关、安全风险自适应、网络弹性稳增强”的主动防御和纵深防御相结合的安全保障体系。公司主要产品已应用于数千家“关基”企业。

点击“在看”鼓励一下吧