您所在的位置: 首页 >
新闻资讯 >
公司资讯 >
金瀚信安速递【工业信息安全月报2021年-3期】
7月速递
工业信息安全“情报解码”,金瀚信安带您一站式掌握2021年7月份国内外工业信息安全资讯~
政策法规
本月,网信办发布《网络安全审查办法(修订草案征求意见稿)》;工信部发布《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》;工信部、国家网信办、公安部印发《网络产品安全漏洞管理规定》;关于加快推进互联网协议第六版 (IPv6) 规模部署和应用工作的通知;美国国会出台18项新网络安全法案。
网信办发布《网络安全审查办法(修订草案征求意见稿)》
7月10日,网信办发布关于《网络安全审查办法(修订草案征求意见稿)》(简称《办法》)。《办法》提出,掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。网络安全审查重点评估采购活动、数据处理活动以及国外上市可能带来的国家安全风险。
资料来源:http://www.cac.gov.cn/2021-07/10/c_1627503724456684.htm
工信部发布《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》
7月12日,工信部发布《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》(简称《行动计划》)。《行动计划》明确提出,到2023年,网络安全产业规模超过2500亿元,年复合增长率超过15%。一批网络安全关键核心技术实现突破,达到先进水平。
资料来源:http://sh.people.com.cn/n2/2021/0712/c176738-34816446.html
工信部、国家网信办、公安部印发《网络产品安全漏洞管理规定》
7月12日,工信部、国家网信办、公安部近日印发《网络产品安全漏洞管理规定》,规定自2021年9月1日起施行。规定明确,任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动,不得非法收集、出售、发布网络产品安全漏洞信息。
资料来源:http://www.chinanews.com/gn/2021/07-13/9518929.shtml
关于加快推进互联网协议第六版 (IPv6) 规模部署和应用工作的通知
中央网信办、国家发展改革委、工业和信息化部印发《关于加快推进互联网协议第六版(IPv6)规模部署和应用工作的通知》。通知落实《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》有关要求,明确了“十四五”时期深入推进IPv6规模部署和应用的主要目标、重点任务和时间表,是各地区、各部门推进IPv6部署应用工作的指导性文件。
资料来源:http://www.gov.cn/zhengce/zhengceku/2021-07/23/content_5626963.htm
美国国会出台18项新网络安全法案
美国国会出台18项新网络安全法案,用以支持和扩大国家的网络安全能力。包括《网络安全漏洞补救法案》、《CISA 网络演习法案》、《2021年 DHS工业控制系统能力增强法案》、《州和地方网络安全改进法案》以及《国土安全关键领域法案》等等。
资料来源:https://www.securityweek.com/house-passes-several-critical-infrastructure-cybersecurity-bills?&web_view=tru
安全事件
本月,REvil的新供应链攻击摧毁1500余家企业,提供商Kaseya针对此次攻击发布了补丁;针对中东工业组织的Mac恶意软件现身;石油巨头沙特阿美1TB数据遭泄露;英国铁路系统遭勒索软件攻击;伊朗铁路系统、南非运输公司Transnet遭到网络攻击;东京奥运会购票信息在网上泄露:疑似恶意软件窃取;CISA在被攻击的Pulse Secure设备中发现13个恶意样本;法国ANSSI披露APT31利用家庭路由器发起的间谍活动。
REvil的新供应链攻击摧毁1500余家企业
REvil团伙针对八个使用Kaseya VSA解决方案的大型MSP发起攻击,至少影响了1500多家企业,其数据均已被加密。REvil索要价值7000万美元的比特币,以恢复所有数据,这是迄今为止最高的赎金要求。
资料来源:https://cyware.com/news/revils-new-supply-chain-attack-takes-down-1000s-of-businesses-839c9f7e
Kaseya发布针对勒索软件攻击中所利用漏洞的补丁
提供商Kaseya已针对最近勒索软件攻击中利用的漏洞发布了补丁,该公司11日发布了本地产品的补丁并开始恢复SaaS服务,12日早上提供的最新更新称,已经为95%的客户恢复了SaaS服务。
资料来源:https://www.securityweek.com/kaseya-releases-patches-vulnerabilities-exploited-ransomware-attack?&web_view=true
用于攻击中东工业组织的Mac恶意软件现身
卡巴斯基的安全研究人员发现一场针对中东工业部门的恶意攻击已扩展至Mac计算机。该活动被称为WildPressure,攻击者使用由虚拟专用服务器和受感染服务器组成的基础设施发起攻击。
资料来源:https://www.securityweek.com/mac-malware-used-attacks-targeting-industrial-organizations-middle-east
石油巨头沙特阿美1TB数据遭泄露
网名ZeroX的威胁行为者窃取了沙特阿拉伯国家石油公司1TB的敏感数据,并在多个黑客论坛上以500万美元的初始价格出售,提供了对被盗信息样本的访问权限,包括蓝图和个人信息。
资料来源:https://securityaffairs.co/wordpress/120301/data-breach/saudi-aramco-data-breach.html
英国铁路系统遭勒索软件攻击
英国北部铁路售票系统服务器遭到疑似勒索软件攻击。文件加密恶意软件的目标是600多个触摸屏设备,这些耗资1700万英镑的设备分布在英格兰北部的420个车站内。
资料来源:https://www.cybersecurity-insiders.com/ransomware-attack-on-northern-rail-uk/?utm_source=rss
伊朗铁路系统遭网络攻击
伊朗铁路遭到网络攻击。攻击者在全国各地车站的显示板上发表了“因网络攻击导致延迟很久”和“取消车次”的言论,呼吁乘客了解详细信息,并提供了该国最高领导人的电话号码,此次攻击导致火车站出现前所未有的混乱。
资料来源:https://www.ehackingnews.com/2021/07/cyber-attack-by-hackers-disrupt-iranian.html
南非运输公司Transnet遭到网络攻击
南非的运输公司Transnet遭到网络攻击,造成其运营严重中断,可能持续一周。在该公司已发布的电子邮件中,明确提到港口运营已被扣押,货物运输已被禁止,直到被破坏的系统恢复。
资料来源:https://www.cybersecurity-insiders.com/cyber-attack-on-transnet-south-africa-shipping/
东京奥运会购票信息在网上泄露:疑似恶意软件窃取
据日媒报道,一位日本政府官员在7月21日表示,东京奥运会门票购买者的登录账号和密码在互联网上被泄露,这是组委会遭遇的一系列网络威胁的最新一次。这位匿名官员说,残奥会门票购买者和使用过夏季奥运会志愿者门户网站的人,账号信息也在网上被泄露了。攻击者可根据账号密码,获取购票者和志愿者的姓名、地址、银行账户等个人信息。
资料来源:https://mp.weixin.qq.com/s/ULnriFRau-SjBuGv6mcf3Q
CISA在被攻击的Pulse Secure设备中发现13个恶意样本
美国CISA发布警报,称在被攻击的Pulse Secure设备上发现了13个恶意软件样本。自2020年6月以来,美国政府机构、关键基础设施和各行业公司的Pulse Secure设备一直是攻击者的目标,攻击者利用多个漏洞(CVE-2019-11510、CVE-2020-8260、CVE-2020-8243和CVE-2021-2289)入侵并安装webshell。CISA鼓励用户和管理员查看这13个恶意软件的分析报告(MAR),了解攻击者的技术、策略和程序(TTP)以及入侵指标(IOC)。
资料来源:https://us-cert.cisa.gov/ncas/current-activity/2021/07/21/malware-targeting-pulse-secure-devices
法国ANSSI披露APT31利用家庭路由器发起的间谍活动
法国国家网络安全机构ANSSI披露APT31(或Zirconium)利用家庭路由器发起的间谍活动。该机构表示,此次攻击开始于2021年初,并且现在仍在进行中。在此次活动中,攻击者劫持了家庭路由器以设置受感染设备的代理网络,旨在隐藏其侦察和攻击活动。此外,ANSSI还发布了这些攻击的入侵指标(IOC)列表,并公布了此次攻击中被APT31劫持的161个IP地址的列表。
资料来源:https://therecord.media/chinese-hacking-group-apt31-uses-mesh-of-home-routers-to-disguise-attacks/
漏洞态势
本月,Claroty、菲尼克斯电气、以及罗克韦尔等众多知名工业厂商的产品均被曝出存在漏洞,其中不乏高危漏洞;MDT Software、CODESYS以及施耐德电气针对各自产品存在的漏洞进行了修复,发布了更新;Win10中提权漏洞SeriousSAM影响近两年发布的版本;已存在16年的漏洞影响数亿台惠普、Xerox和三星打印机。
Claroty工业远程访问产品存在漏洞
Claroty SRA 是一种远程安全访问解决方案。Alpha Strike 研究人员发现,攻击者可以绕过 SRA 软件中央配置文件的访问控制,利用此漏洞可访问由 SRA 安装管理的资产,并进行破坏。
资料来源:https://www.securityweek.com/vulnerability-found-industrial-remote-access-product-claroty?&web_view=true
菲尼克斯电气多款工业产品存在高危漏洞
菲尼克斯电气透露,FL COMSERVER UNI、ILC1x1产品均受到高严重性DoS漏洞的影响,该漏洞可以使用特制的 IP 数据包触发,AXL F BK和IL BK总线耦合器中存在与用于FTP访问的硬编码密码有关的漏洞。
资料来源:https://www.securityweek.com/high-severity-vulnerabilities-found-several-phoenix-contact-industrial-products?&web_view=true
WAGO设备中的漏洞使工业公司面临远程攻击
WAGO的PFC100和PFC200 PLC、600 HMI存在四个与内存相关的漏洞,影响I/O-Check服务。通过链接共享内存溢出漏洞和越界读取漏洞,能够创建一个完整的预授权远程代码执行来接管任何WAGO PFC100/200设备。
资料来源:https://www.securityweek.com/vulnerabilities-wago-devices-expose-industrial-firms-remote-attacks
施耐德电气工控系统存在严重漏洞
Armis的研究人员发现施耐德电气的Modicon可编程逻辑控制器(PLC)存在一个高危漏洞,该漏洞被追踪为CVE-2021-22779。攻击者利用该漏洞可以绕过认证机制,完全控制目标设备。
资料来源:https://www.itsecurityguru.org/2021/07/13/armis-discloses-critical-vulnerability-that-allows-remote-takeover-of-schneider-electric-industrial-controllers/?utm_source=rss
MDT Software已修复工业自动化产品中的高危漏洞
MDT Software已修复其旗舰产品MDT AutoSave中的CVE-2021-32953漏洞,该漏洞可通过SQL命令来在系统中创建新用户,并提升用户权限;修复CVE-2021-32933命令注入漏洞,该漏洞可被用来运行恶意进程。
资料来源:https://www.securityweek.com/several-vulnerabilities-patched-mdt-autosave-industrial-automation-product
漏洞使MicroLogix PLC面临远程DoS攻击
Rockwell自动化MicroLogix 1100 PLC的严重漏洞CVE-2021-33012可被用来导致设备进入持续故障状态,远程攻击者可以利用该漏洞通过专门向目标控制器发送精心制作的命令进行拒绝服务攻击。
资料来源:https://www.securityweek.com/vulnerability-exposes-micrologix-plcs-remote-dos-attacks
施耐德电气修复了EVlink电动汽车充电站的关键漏洞
施耐德电气已修复其EVlink系列电动汽车充电站中包括可能导致DoS攻击在内的13个安全漏洞,其中三个严重漏洞CVSS评分均为9.4,且均可以让攻击者通过充电站Web服务器获得管理权限。
资料来源:https://portswigger.net/daily-swig/schneider-electric-fixes-critical-vulnerabilities-in-evlink-electric-vehicle-charging-stations?&web_view=true
CODESYS修复工业自动化产品中的十几个漏洞
CODESYS本月修复了影响各种产品的十几个漏洞。其中CODESYS V3Web服务器中存在的CVE-2021-33485缓冲区溢出漏洞被指评为严重等级,攻击者可利用该漏洞进行DoS攻击或使用特制请求进行远程代码执行。
资料来源:https://www.securityweek.com/codesys-patches-dozen-vulnerabilities-industrial-automation-products
Win10中提权漏洞SeriousSAM影响近两年发布的版本
研究人员Jonas Lykkegaard披露了Win10中的提权漏洞SeriousSAM,影响了近两年多发布的所有版本。Lykkegaard在测试最新发布的Win11时发现,虽然Windows限制了低权限用户访问SAM、SECURITY和SYSTEM等文件夹中的敏感配置文件,但这些文件的副本也被保存在Shadow Volume Copy创建的备份文件中,而自2018年11月发布的Windows 10 v1809以来,微软一直没有阻止对这些备份的访问。
资料来源:https://therecord.media/serioussam-bug-impacts-all-windows-10-versions-released-in-the-past-2-5-years/
已存在16年的漏洞影响数亿台惠普、Xerox和三星打印机
SentinelLabs披露在HP、Samsung和Xerox打印机驱动程序中发现的一个严重的缓冲区溢出漏洞。该漏洞自2005年就开始存在,追踪为CVE-2021-3438,CVSS评分为8.8,影响超过380款的惠普和三星打印机,以及12种Xerox打印机。该漏洞位于打印驱动程序安装程序包SSPORT.SYS中,本地攻击者可以利用该漏洞将权限提升到SYSTEM并在内核模式下运行代码,来安装、查看、更改、加密或删除数据等。目前,该漏洞已经修复。
资料来源:https://www.zdnet.com/article/hp-patches-vulnerable-printer-driver-impacting-millions-of-devices/
技术动向
本月,DoE发布C2M2 2.0版本以保护关键基础设施;Mitre发布D3FEND新模式;研究人员发现一种在神经网络模型中隐藏恶意软件的新技术。
DoE发布C2M2 2.0版本以保护关键基础设施
美国能源部 (DoE) 的网络安全、能源安全和应急响应(CESER) 部门于7 月 21 日宣布,能源部 (DoE) 已发布其网络安全能力成熟度模型 (C2M2) 的更新版本,其中包含解决关键基础设施网络安全问题的更新,重点是增强电子工业控制系统 (ICS) 的网络安全和能力。
资料来源:https://www.meritalk.com/articles/doe-releases-c2m2-version-2-0-with-updates-to-protect-critical-infrastructure/
Miter D3FEND:网络安全捍卫者的新知识图谱
D3FEND是Mitre最近发布的一个新模式,旨在建立一种共同的语言,帮助网络防御者分享策略和方法。D3FEND 是一个知识图谱,可以解析供应商关于其他对策的声明。它结合了生物信息学的语言和技术,并建立了计算机网络防御技术的术语,以阐明防御和攻击方法之间以前未指定的关系。
资料来源:https://www.csoonline.com/article/3625470/mitre-d3fend-explained-a-new-knowledge-graph-for-cybersecurity-defenders.html
新技术:在神经网络模型中隐藏恶意软件
研究人员发现了一种新的攻击方法,可以将恶意软件隐藏在神经网络内的图像分类器中并绕过安全屏障。研究人员用安全扫描程序无法检测到的恶意软件替换AlextNet 模型中多达50% 的神经元,该模型在VirusTotal上进行了测试,经过58个杀毒引擎的验证,模型内部没有检测到可疑活动,表明规避技术成功。
资料来源:https://cyware.com/news/malware-hidden-inside-neural-network-models-has-over-90-efficacy-ab38b6a9
融资并购
物联网/OT设备安全公司NanoLock融资1100万美元
NanoLock Securit是一家专门从事物联网和操作技术(OT)设备保护和管理的公司。NanoLock已获得来自新投资者OurCrowd、HIVE2040和Atlantica Group以及当前投资者AWZ Ventures 1100万美元的B轮融资。
资料来源:https://www.calcalistech.com/ctech/articles/0,7340,L-3911874,00.html?&web_view=true
OPSWAT收购工业网络安全公司Bayshore Networks
OPSWAT 19日宣布收购工业网络安全公司Bayshore Networks,该公司为ICS和OT开发安全解决方案,其产品包括工业安全设备、IT和OT安全网关、工业安全远程访问产品以及资产发现和流可视化工具。
资料来源:https://www.secrss.com/articles/31586
2021年1-5月网络安全产业投融资监测
2021年1-5月,我国网络安全领域非上市投融资事件共46起,披露金额超81亿元,相较2020年1-5月,投融资事件数量上涨84%,投融资金额约增长8倍。
资料来源:https://www.securityweek.com/opswat-acquires-industrial-cybersecurity-firm-bayshore-networks
工业网络安全公司SynSaber以250万美元的种子资金启动
SynSaber是一家新的工业网络安全公司,正在开发一种工业资产和网络监控解决方案在获得来自SYN Ventures、Rally Ventures和Cyber Mentor Fund的250万美元种子资金后宣布启动。
资料来源:https://www.securityweek.com/industrial-cybersecurity-firm-synsaber-launches-25m-seed-funding