金瀚信安速递【工业信息安全月报2024年12月】

12月速递

工业信息安全“信息共享”，金瀚信安带您一站式掌握2024年12月份国内外工业信息安全资讯～

政策法规

本月观察到国内外网络安全相关政策法规32项，中国8项、涉及美国15项、英国2项、俄罗斯1项、澳大利亚1项、加拿大1项、新西兰1项，欧盟3项。值得关注的有国内方面《珠江委数据安全管理办法 (试行)》印发实施、联大通过《联合国打击网络犯罪公约》。

《珠江委数据安全管理办法 (试行)》印发实施

12月21日，据媒体报道，珠江委发布《珠江委数据安全管理办法(试行)》，旨在加强数据安全管理，落实党中央和水利部的数据安全要求，推进数字孪生珠江建设。《办法》明确了数据安全保护职责，细化了全生命周期的安全防护要求，并强化了对外部单位的安全管理。珠江委将严格执行《办法》，提升数据安全能力，保障水利高质量发展。

资料来源：https://www.secrss.com/articles/73813

联大通过《联合国打击网络犯罪公约》

12月24日，据媒体报道，联合国大会通过了《联合国打击网络犯罪公约》，这是20多年来首个此类国际条约，旨在加强国际合作打击网络犯罪。公约将于2025年在河内开放签署，并在40国批准后生效。

资料来源：https://www.secrss.com/articles/73939

美国CISA与EPA发布水和废水系统网络安全风险指导文件

12月16日，据媒体报道，美国CISA和EPA联合发布指导文件，旨在帮助水和废水系统减少人机界面(HMI)的网络风险。文件强调，未经保护的HMI可能被黑客利用，导致运营中断和手动操作需求。建议包括实施强密码、多因素认证、网络分段，以及保持系统更新。报告还建议监控远程登录、记录失败尝试，并仅允许授权IP访问。

资料来源：http://oh2vm.dz114.sbs/nEVGKDJ

香港《保护关键基础设施 (计算机系统) 条例草案》提交立法会审议

12月12日，据媒体报道，香港《保护关键基础设施(计算机系统)条例草案》旨在对关键基础设施的指定营运者施加法定要求，确保他们采取适当措施保护计算机系统，减少网络攻击导致服务中断或受损的风险，维持社会运作和市民生活，提升整体计算机系统安全。

资料来源：https://www.secrss.com/articles/73416

多国网络安全机构联合发布通信基础设施防护指南

12月3日，美国网络安全和基础设施安全局(CISA)、国家安全局(NSA)、联邦调查局(FBI)以及澳大利亚、加拿大和新西兰的网络安全中心联合发布了《Enhanced Visibility and Hardening Guidance for Communications Infrastructure》指南。该指南旨在为网络工程师和通信基础设施维护者提供最佳实践，以增强网络设备的可视性和强化防护，防止恶意网络行为者利用。指南的目的是帮助组织快速识别异常行为、漏洞和威胁，并响应网络事件，同时减少现有漏洞，改善安全配置习惯，并限制潜在的入侵点。

资料来源：http://q13hn.dz114.sbs/1b7P8qE

欧洲理事会通过两项新法案加强网络安全

12月2日，欧洲理事会通过两项关于网络安全的法案，这两项法律分别为《网络团结法案》和《网络安全法案》修正案，属于欧盟网络安全立法“一揽子计划”的一部分，旨在进一步加强欧盟抵御网络威胁的能力和网络团结合作。

资料来源：https://www.secrss.com/articles/73025

安全事件

本月监测到勒索事件16起、数据泄露事件14起、网络攻击38起，钓鱼攻击4起。其中典型的勒索事件为日本水处理公司美国子公司Kurita America及绿茶生产商Ito En美国子公司遭受勒索软件攻击;典型的数据泄露事件为印尼政府遭遇大规模数据泄露，82GB敏感信息被盗;典型的网络攻击事件为日本航空(JAL)遭受网络攻击，导致系统故障，国内和国际航班机票销售暂停，部分航班延误，公司股价跳水;典型的钓鱼攻击事件为美国航空航天和国防巨头通用动力公司遭受网络钓鱼攻击，数十名员工福利账户被入侵。

美国国防巨头通用动力公司遭钓鱼攻击

12月26日，据媒体报道，美国航空航天和国防巨头通用动力公司遭受网络钓鱼攻击，数十名员工福利账户被入侵。攻击者通过第三方托管的登录门户访问并更改了员工福利账户，获取了员工的个人信息，包括姓名、出生日期、政府颁发的身份证号码、社会安全号码、银行账户信息和残疾状况。通用动力公司已通知受影响账户的所有者，并提供两年免费信用监控服务。

资料来源：http://3jrxm.dz114.sbs/LmMhoBD

日本航空遭网络攻击致航班延误

12月26日，日本航空(JAL)遭受网络攻击，导致系统故障，国内和国际航班机票销售暂停，部分航班延误，公司股价跳水。JAL确认飞行安全未受影响，并已查明路由器故障为问题根源，正在恢复系统。航班已逐步恢复，无组织声称负责，也无客户信息泄露。

资料来源：http://vbamn.dz114.sbs/wCVByDe

印尼政府遭遇大规模数据泄露：82GB敏感信息被盗

12月25日，据GBHackers News报道，黑客从印度尼西亚政府的区域财务管理信息系统(SIPKD)中窃取并提取了大量82GB的敏感数据。敏感数据包括财务、管理和个人数据，引发了严重的安全和隐私问题。

资料来源：https://gbhackers.com/indonesia-government-data-breach/

美国匹兹堡地区交通因勒索软件攻击遭遇重大服务中断

12月25日，据媒体报道，美国匹兹堡地区交通局(PRT)近期遭受勒索软件攻击，导致公共交通服务出现重大中断。该机构在12月19日首次检测到攻击，并正在积极应对。虽然铁路服务短暂中断后已恢复，但客户服务中心仍受影响，无法处理Senior和Kid's ConnectCards。PRT的IT官员正在检查是否有数据被盗，并承诺提供公开更新。此次攻击导致火车延误超过20分钟，影响了匹兹堡和阿勒格尼县700多辆公共汽车、80辆轻轨车辆等的正常运营。

资料来源：http://mdk7m.dz114.sbs/qMFKvsy

伊朗利用IOCONTROL恶意软件攻击美以关键基础设施

12月12日，据媒体报道，伊朗威胁行为者利用新恶意软件IOCONTROL攻击以色列和美国的关键基础设施，目标包括路由器、PLC、HMI等。该软件模块化，影响多个制造商设备。Claroty的Team82分析了IOCONTROL，发现它能控制泵、支付终端等，可能造成中断或数据泄露。攻击者声称入侵了200个加油站。IOCONTROL通过MQTT协议通信，使用AES-256-CBC加密配置，支持多种命令，包括系统信息报告、任意命令执行和自删除。

资料来源：http://0zebm.dz115.sbs/dlFxmXq

日本水处理公司美国子公司Kurita America及绿茶生产商Ito En美国子公司遭受勒索软件攻击

12月10日，据媒体报道，日本水处理公司Kurita Water Industries的美国子公司Kurita America在11月29日遭受勒索软件攻击，部分服务器被加密，客户和员工数据可能泄露。公司表示主服务器已恢复，业务未受影响。此外，日本最大绿茶生产商Ito En的美国子公司也在12月2日遭受攻击，服务器被加密，但已隔离并使用备份数据恢复。2024年，多家日本公司频繁遭受勒索软件攻击。

资料来源：https://therecord.media/us-subsidiaries-japanese-water-treatment

漏洞态势

本月监测到操作技术(OT)漏洞共99个。其中越界写18个，基于栈的缓冲区溢出12个，越界读10个，内存缓冲区边界内操作限制不当7个，基于堆的缓冲区溢出4个，缓冲区大小计算错误3个，输入验证不当3个，未检查输入大小的缓冲区复制2个，整数下溢2个，路径名限制不当导致目录遍历2个，释放后使用2个，不受控的搜索路径元素2个，空指针解引用2个，反序列化不受信任的数据2个，XML外部实体引用限制不当2个，操作系统命令中特殊元素的不当中和2个等。

锐捷网络云平台漏洞危及50,000台设备安全

12月25日，据媒体报道，Claroty研究人员在锐捷网络的云管理平台中发现了多个安全漏洞，这些漏洞可能使攻击者控制网络设备。Claroty研究人员发现10个漏洞，并设计了名为“芝麻开门”的攻击方式，可入侵物理上靠近云的接入点，获得未授权网络访问。其中3个漏洞被评为“严重”，包括CVE-2024-47547(CVSS评分9.4)、CVE-2024-48874(CVSS评分9.8)和CVE-2024-52324(CVSS评分9.8)。锐捷网络已修复所有发现的漏洞，约50,000台云连接设备可能受影响。

资料来源：https://thehackernews.com/2024/12/ruijie-networks-cloud-platform-flaws.html

SHARP路由器中发现多个高危漏洞，影响全球用户

12月18日，据媒体报道，JPCERT/CC与LAC Co.，Ltd.的安全专家Shuto Imai在SHARP路由器中发现多个高危漏洞，这些漏洞可能允许攻击者以root权限执行任意代码或破坏敏感数据，其中CVE-2024-46873最为严重，无需认证即可被远程利用。主要供应商已确认漏洞并提供固件更新，用户需尽快升级以确保安全。

资料来源：https://gbhackers.com/multiple-sharp-routers-vulnerabilities/

锐捷修复Reyee云管理平台多个漏洞

12月13日，据媒体报道，物联网供应商锐捷网络修复了其Reyee云管理平台的10个安全漏洞，这些漏洞可被攻击者利用来控制数千台设备。Claroty Team82发现并命名为“芝麻开门”的攻击展示了通过云门户控制Ruijie设备的能力。这些设备广泛用于全球公共场所提供免费Wi-Fi。在Black Hat Europe 2024上，研究人员展示了其中3个CVSS评分9分以上的严重漏洞，锐捷已修补。这些漏洞允许远程代码执行，攻击者可利用弱身份验证机制生成设备凭据，冒充云平台发送恶意负载。Claroty团队的攻击场景表明，攻击者仅需序列号即可在易受攻击的Ruijie设备上执行代码。

资料来源：http://utolm.dz115.sbs/viFzfNE

施耐德电警示Modicon控制器中存在高危漏洞

12月10日，据媒体报道，施耐德电气警告称，其Modicon M241、M251、M258和LMC058 PLC存在严重漏洞CVE-2024-11737，CVSS评分9.8，可能使攻击者造成拒绝服务并损害控制器完整性。建议客户仅在受保护环境中使用控制器、通过嵌入式防火墙过滤端口和IP、设置网络分段并阻止对端口502/TCP的未授权访问、禁用未使用的协议。

资料来源：http://xbiqn.dz114.sbs/b71O4kz

菲尼克斯电气设备存在多个高危漏洞

12月9日，Nozomi Networks Labs的研究人员在菲尼克斯电气的mGuard工业路由器中发现了12个漏洞，其中4个高风险漏洞允许经过身份验证的远程代码执行(RCE)。这些漏洞可能被远程用户利用，从而获得对设备的完全控制权。mGuard是一款提供工业安全保护的设备，Phoenix Contact在得知问题后迅速响应，在两个月内解决了这些漏洞。受影响的设备可以通过更新固件来修复这些问题。

资料来源：http://m5ojm.dz114.sbs/ix0fM3v

ABB发布ASPECT系统关键安全漏洞公告及修复措施

12月10日，据媒体报道，ABB发布关于其建筑能源管理平台ASPECT系统的关键网络安全公告，披露多个漏洞，包括远程代码执行、明文密码处理、默认凭证和绝对路径遍历，CVSS评分高达10.0。ABB建议客户断开暴露于互联网的设备、升级固件至3.08.03或更高版本、实施安全访问控制，并更改默认凭证以降低风险。

资料来源：http://zprsm.dz114.sbs/em8VjAS