工业网络安全周报-2024年第43期

本文预计阅读时间 12分钟

2024

week 43

本期摘要 BREAKING NEWS

政策法规方面，本周观察到国内外网络安全相关政策法规6项，值得关注的有美国CISA公布2025-2026年计划，以加强全球网络和基础设施弹性。

漏洞态势方面，本周监测到漏洞动态15条，值得关注的有Cisco发布针对工业无线系统中关键URWB漏洞的补丁。

安全事件方面，本周监测到重大网络安全事件12起，其中典型的事件有油田行业供应商Newpark Resources 遭受勒索攻击。

融资并购方面，专注于提供基于云平台服务公司ServiceNow宣布收购Mission Secure，以增强其运营技术（OT）设备的资产发现能力，提升对OT环境的可见性，减少停机时间。

政策法规

德国立法保护白帽黑客行为

11月6日，据媒体报道，德国联邦司法部起草了一项法律，旨在为负责任地发现并报告安全漏洞的安全研究人员提供法律保护。根据这项法律，相关人员在规定的范围内进行安全研究时，将不承担刑事责任，也不会面临起诉风险。新法律草案修改了德国《刑法》第202a条，保护IT安全研究人员、公司以及所谓的“黑客”，只要他们的行为是为了发现并修补安全漏洞，并且不被视为“未经授权”。这项刑法修正案还引入了针对严重数据间谍和拦截行为的更严厉处罚，尤其是在关键基础设施遭受攻击的情况下。

资料来源：

http://iprcn.dz113.sbs/ZdzmsSB

美国运输安全管理局（TSA）针对管道、铁路、航空公司发布网络强制要求提案

11月6日，美国运输安全管理局（TSA）提议新规，要求高风险地面运输业主和运营商建立网络风险管理计划，并向CISA报告网络安全事件。此举基于TSA自2021年起实施的基于性能的网络安全要求，旨在加强地面交通系统的网络安全弹性。

资料来源：

http://ajohm.dz113.sbs/TuxfBz9

澳大利亚加强关键基础设施安全合作协议

11月7日，据媒体报道，澳大利亚内政部（DHA）与澳大利亚储备银行（RBA）签署谅解备忘录，加强关键基础设施安全合作，特别是关键支付系统资产。该备忘录旨在提高透明度，避免重复工作，减轻监管负担，并确保关键基础设施风险管理计划的有效实施。这是澳大利亚提高国家基础设施网络弹性的持续努力的一部分。

资料来源：

http://jse6l.dz112.sbs/R3mu8VU

澳大利亚将46项资产增列为国家关键基础设施

11月5日，澳大利亚网络和基础设施安全中心（CISC）新增46项关键基础设施为国家重要系统，总数超200个，覆盖多个行业。此举旨在提升网络弹性，保护国家安全。政府将对这些资产实施增强型网络安全义务，包括事件响应计划和安全演习。内政和网络安全部长托尼·伯克强调全球关键基础设施面临的网络威胁，及政府与行业合作保护国家安全的重要性。

资料来源：

http://5r81m.dz113.sbs/ZWUBA7G

安全漏洞

Cisco发布针对工业无线系统中关键URWB漏洞的补丁

11月6日，Cisco发布了安全更新，解决了影响其超可靠无线回程（URWB）接入点的严重安全漏洞CVE-2024-20418，该漏洞的CVSS评分为10.0，允许未经身份验证的远程攻击者以提升的权限执行命令。受影响的产品包括Catalyst IW9165D重型接入点、Catalyst IW9165E坚固耐用的接入点和无线客户端、Catalyst IW9167E重型接入点。该漏洞源于对基于Web的管理界面输入验证的不足，成功利用可能导致攻击者在受影响设备的底层操作系统上以root权限执行任意命令。Cisco建议用户立即更新至统一工业无线软件版本17.15.1以修复此问题。

资料来源：

erexpress.com/free-cyberattack-confirmed/

Palo Alto Networks高危漏洞正在被积极利用

11月7日，美国CISA发布了紧急警告称Palo Alto Networks的Expedition工具存在一个严重的缺少身份验证漏洞，被标记为CVE-2024-5910，该漏洞评分为9.3（CVSSv4.0），允许攻击者接管管理员账户，从而访问配置密钥和凭证。CISA已发布紧急警报，警告该漏洞正被积极利用，敦促使用低于1.2.92版本的组织立即进行补救。Palo Alto Networks已发布补丁，修复了1.2.92及以后版本的漏洞。

资料来源：

http://aj1zk.dz112.sbs/AGLSh6e

Windows版Veritas NetBackup中新增权限提升漏洞

11月6日，据媒体报道，Veritas发布了安全公告，解决了一个影响Windows系统NetBackup软件的重大权限提升漏洞。此漏洞会影响NetBackup的主服务器、介质服务器和客户端组件，使基于Windows的NetBackup安装面临潜在的权限提升攻击。该攻击取决于攻击者获得对安装了NetBackup的根驱动器的写入权限，这种情况可能允许安装恶意DLL文件。如果NetBackup用户执行某些命令或通过社会工程策略进行操纵，则可能会加载恶意DLL，从而在用户的安全上下文中执行攻击者的代码。

资料来源：

http://hd7ck.dz112.sbs/0zdJz8n

安全事件

油田行业供应商Newpark Resources 遭受勒索攻击

11月8日，据媒体报道，油田行业供应商Newpark Resources遭受勒索软件攻击，影响了对关键系统的访问并限制了某些业务应用程序的功能。公司已启动网络安全响应计划，并与外部顾问合作调查和遏制事件。尽管攻击导致内部系统中断，但制造和现场运营仍在进行。目前，攻击的潜在财务影响仍在评估中，Newpark表示预计不会对公司整体财务状况产生重大影响。

资料来源：

http://6cz7k.dz112.sbs/znbg6qK

朝鲜行为者针对加密公司部署新型恶意软件活动

11月8日，据媒体报道，朝鲜附属的BlueNoroff APT组织发起了名为“隐藏风险”的攻击活动，针对加密货币公司，使用多阶段恶意软件和新颖持久性机制，特别是针对macOS设备。攻击通过伪装成加密货币相关PDF的网络钓鱼邮件开始，利用Zshenv配置文件的持久化技术，以及劫持有效的Apple开发者账户来绕过macOS安全措施。

资料来源：

http://anvjl.dz112.sbs/3oyEee2

电信设备制造商诺基亚源代码疑似泄露

11月7日，芬兰电信设备制造商诺基亚正在调查一起涉嫌源代码泄露事件，该事件涉及黑客在犯罪黑客论坛上发布据称与诺基亚相关的源代码数据。黑客IntelBroker声称通过入侵第三方供应商SonarQube的服务器获取了诺基亚的数据，并试图以20,000美元的价格出售这些信息，包括SSH密钥、源代码、RSA密钥等敏感数据。诺基亚官方声明称，泄露的源代码来自第三方，并未影响公司和客户数据。

资料来源：

https://www.bankinfosecurity.com/hacker-claims-to-leak-nokia-source-code-a-26761

英国远程信息处理提供商Microlise遭网络攻击致监狱货车追踪系统中断

11月7日，据媒体报道，英国远程信息处理提供商Microlise遭受网络攻击，影响了监狱货车的跟踪系统和紧急警报器。尽管没有迹象表明犯罪分子试图利用这一情况，但攻击引发了对囚犯运输安全和保障的担忧。Microlise确认攻击可能导致员工数据泄露，但客户系统数据未受影响。服务正在逐步恢复，预计不久将恢复正常。此次事件凸显了供应链安全的重要性，英国政府正在采取措施提高供应链安全，包括实施Cyber Essentials认证计划。

资料来源：

https://thecyberexpress.com/microlise-data-breach/

Schneider Electric确认遭受攻击

11月5日，据媒体报道，施耐德电气确认其开发人员平台遭到破坏，威胁行为者声称从该公司的JIRA服务器窃取了40GB的数据。黑客“Grep”声称使用暴露的凭据入侵了施耐德电气的Jira服务器，并获取了400k行用户数据，包括75,000个唯一电子邮件地址以及施耐德电气员工和客户的全名。威胁行为者要求125,000美元的赎金以防止数据泄露。

资料来源：

https://t.cn/A6nlpYAm

美国华盛顿法院系统遭网络攻击后离线

11月3日，华盛顿州法院系统因检测到“未经授权的活动”而遭受大规模IT故障，导致所有州法院的司法信息系统、网站和相关服务中断。法院行政办公室（AOC）迅速采取措施保护关键系统，并努力恢复服务。尽管一些市级和地区法院正在提供有限服务，但部分电子法庭记录搜索和判决/罚款余额信息暂时不可用。基本的法院职能和诉讼程序预计将如期进行，客户服务柜台开放，但建议访客提前确认服务可用性。

资料来源：

https://t.cn/A6nlpENK

美国佐治亚州小型农村医院、疗养院遭受网络攻击

11月2日，据媒体报道，美国佐治亚州农村的一家小型社区医院及其疗养院遭受勒索攻击，导致医院和庄园的IT系统（包括EHR和电子邮件）一直处于离线状态，迫使医护人员不得不使用纸质图表和其他手动流程进行患者护理。

资料来源：

http://login.t.cn/A6nlpd75

风险预警

国家安全部：境外间谍情报机关持续加大对我国数据领域渗透力度

11月5日，国家安全部微信公众号发文指出，由于数据自身具有无形性、难以追溯等特点，各类数据的拥有主体多样，处理活动复杂，在采集、传输、存储、使用、删除、销毁等环节，存在数据泄露、数据篡改、数据滥用、违规传输、非法访问、流量异常等一系列风险。

资料来源：

https://finance.eastmoney.com/a/202411053228624769.html

融资并购

ServiceNow收购Mission Secure以增强OT资产可见性

11月6日，专注于提供基于云平台服务公司ServiceNow宣布收购Mission Secure，以增强其运营技术（OT）设备的资产发现能力，提升对OT环境的可见性，减少停机时间。此次收购将直接惠及制造、能源等行业客户，扩展ServiceNow的OT解决方案，提供更大的价值和效率。Mission Secure的技术将使ServiceNow能够提供OT资产可见性，帮助组织更容易跟踪和管理其OT设备，如PLC、HMI等。

资料来源：

http://login.t.cn/A6nl0LO6

往期内容回顾

安帝科技丨ANDISEC

北京安帝科技有限公司是新兴的工业网络安全能力供应商，专注于网络化、数字化、智能化背景下的工业网络安全技术、产品、服务的创新研究和实践探索，基于网络空间行为学理论及工业网络系统安全工程方法，围绕工业网络控制系统构建预防、识别、检测、保护、响应、恢复等核心能力优势，为电力、水利、石油石化、轨道交通、烟草、钢铁冶金、智能制造、矿业等关键信息基础设施行业提供安全产品、服务和综合解决方案。坚持IT安全与OT安全融合发展，坚持产品体系的自主可控，全面赋能客户构建“业务应用紧耦合、用户行为强相关、安全风险自适应、网络弹性稳增强”的主动防御和纵深防御相结合的安全保障体系。公司主要产品已应用于数千家“关基”企业。

点击“在看”鼓励一下吧