您所在的位置: 首页 >
新闻资讯 >
公司资讯 >
金瀚信安速递【工业信息安全月报2023年2月】
2月速递
工业信息安全“信息共享”,金瀚信安带您一站式掌握2023年2月份国内外工业信息安全资讯~
政策法规
本月观察到国内外网络安全相关政策法规32项,涉及国内7项、美国18项、澳大利亚4项、北约1项、欧盟1项、印度1项,值得关注的有《全球安全倡议概念文件》发布、ISASecure宣布OT网络安全现场评估计划等。
《全球安全倡议概念文件》发布
2月21日,外交部举办蓝厅论坛,发布《全球安全倡议概念文件》。文件进一步阐释了倡议的核心理念和原则,针对当前最突出最紧迫的国际安全关切提出20个重点合作方向。文件指出,围绕应对反恐、网络、生物、新兴科技等领域安全挑战,搭建更多国际交流合作平台和机制,共同提升非传统安全治理能力。
资料来源:https://news.cnr.cn/native/gd/20230221/t20230221_526160706.shtml
《2022年工业信息安全态势报告》发布
2月14日,国家工业信息安全发展研究中心发布了《2022年工业信息安全态势报告》。报告涵盖了安全分析、政策动向、技术趋势和产业发展等版块,多维度、多层次展示了2022年工业信息安全整体态势。
资料来源:https://mp.weixin.qq.com/s/_4p4zLxwUHOyamMJTpPb_A
ISASecure宣布OT网络安全现场评估计划
2月7日,国际自动化协会(ISA)和ISA安全合规研究所(ISCI)宣布打算为部署在运营地点的自动化系统创建一个全新的合格评定方案。现场评估计划以基于ISA/IEC 62443共识的自动化和控制系统网络安全标准为基础,它将适用于从传统过程工业到关键基础设施等行业的所有类型的自动化和控制系统。
资料来源:http://c22.f.dzxt.sbs/JhCbLiR
GAO呼吁采取行动保护关键能源、通信网络的网络安全
美国政府问责局(GAO)在2月7日发布的《网络安全高危系列:保护网络关键基础设施的挑战》报告中建议联邦政府在保护工业控制系统(ICS)方面发挥更强有力的作用,尤其是那些运营国家能源网络和通信网络的系统。
资料来源:http://c97.f.dzxt.sbs/QqPFDuc
澳大利亚推出关键基础设施弹性战略和计划
澳大利亚政府发布了2023年关键基础设施弹性战略,该战略提供了一个国家框架来指导澳大利亚加强关键基础设施的安全性和弹性。该文件为行业、州和领地政府以及澳大利亚政府将如何共同努力,使关键基础设施的安全性和弹性更加成熟,以及预测、预防、准备、应对和从所有危险中恢复提供了一个框架。
资料来源:http://b93.f.dzxt.sbs/raUbSvo
NIST发布自愿PNT配置文件以减轻中断或操纵的潜在影响
美国国家标准与技术研究院(NIST)发布了使用NIST网络安全框架创建的自愿PNT配置文件,该配置文件可用作风险管理计划的一部分,以帮助组织管理系统、网络和资产的风险使用PNT(定位、导航和授时)服务。
资料来源:http://a32.f.dzxt.sbs/niCUqNt
安全事件
本月监测到勒索事件18起、APT攻击12起、数据泄露事件26起、网络攻击25起。其中典型的事件有中石油印尼分部遭受勒索软件攻击、多家科技公司受到黑客入侵亚洲数据中心事件的影响等。
中石油印尼分部遭受勒索软件攻击
据媒体报道,石油和天然气监管公司PetroChina Indonesia成为勒索软件攻击的最新受害者。MEDUSA在博客中表示,响应勒索软件威胁的最后期限是7天零几个小时。MEDUSA提供了3种付款内容:10,000美元将截止日期增加一天、400,000美元删除所有数据、400,000美元下载数据。
资料来源:https://thecyberexpress.com/medusa-claims-petrochina-ransomware-attack/
GhostSec称攻陷伊朗37个Modbus系统
据名为CyberKnow的推特账户2月10日发帖称,GhostSec黑客在近日支持Iran(OpIran)国内的抗议活动中,再次对Iran的工业系统下手,据其自称已攻陷37个Modbus系统,并使这些系统下线。发帖者还公布了37个系统的IP地址,相关的视频在在Youtube上传播。
资料来源:https://www.secrss.com/articles/51809
亚洲两家数据中心遭黑客入侵苹果、微软等公受到影响
据外媒2月21日报道,黑客入侵了亚洲的两家数据中心(位于上海的GDS Holdings和位于新加坡的ST Telemedia Global),窃取了苹果、优步、微软、三星、阿里巴巴等科技公司的登录凭证,并将其泄露到黑客论坛上。研究人员最初在2021年9月确定了数据泄露事件,但是直到2023年2月20日,黑客才在论坛上公开了这些数据。
资料来源:https://www.hackread.com/data-centers-hack-data-leak/
APT29在使馆攻击中使用新的恶意软件
研究人员在最近的攻击中,观察到与俄罗斯有联系的网络间谍组织APT29为可能针对大使馆相关人员的攻击准备了新的恶意软件。一个包含文本“Ambassador's schedule November 2022”的受感染网站被用作诱饵,用名为GraphicalNeutrino的新恶意软件感染访问者。
资料来源:http://b94.f.dzxt.sbs/cZCBGIs
俄罗斯国家媒体遭攻击导致直播中断
2月21日,普京在向俄罗斯议会两院发表现场直播讲话时,多个地方的记者表示有一段时间无法访问全俄国家电视广播公司(VGTRK)网站或Smotrim直播平台。随后,乌克兰黑客组织IT Army声称对该事件负责,该组织还将俄罗斯国家控制的电视频道1TV列为其受害者之一。
资料来源:https://therecord.media/putin-speech-television-ddos-ukraine-it-army/
欧洲警方破解秘密通信程序Exclu后逮捕42名嫌疑人
荷兰执法部门表示,在破解了犯罪分子使用的一项加密在线消息服务后,欧洲警方逮捕了42名嫌疑人并缴获了枪支、毒品和数百万现金。警方于2020年9月开始对比利时、德国和荷兰的79处房产进行了调查,并关闭了秘密的Exclu Messenger服务。
资料来源:https://www.securityweek.com/european-police-arrest-42-after-cracking-covert-app/
漏洞态势
本月监测到OT漏洞4个,涉及远程代码执行漏洞3个、内存损坏漏洞1个;IT漏洞52个,涉及远程代码执行漏洞26个、信息泄露漏洞13个、内存损坏漏洞8个、权限提升漏洞5个。值得关注的有西门子许可证管理器漏洞允许黑客入侵工业控制系统、OCPP漏洞允许攻击者远程关闭充电桩等。
西门子许可证管理器漏洞允许黑客入侵工业控制系统
研究人员发现Siemens Automation License Manager受到两个严重漏洞的影响,这两个漏洞可能会导致黑客入侵工业控制系统(ICS)。其中一个漏洞被跟踪为CVE-2022-43513,它允许未经身份验证的远程攻击者以系统用户身份重命名和移动许可证文件。第二个漏洞为CVE-2022-43514,允许未经身份验证的远程攻击者对指定根文件夹之外的文件执行操作。
资料来源:http://c64.f.dzxt.sbs/8iYAmpS
Korenix JetWave工业设备存在3个安全漏洞
研究人员表示,在Korenix JetWave工业接入点和LTE蜂窝网关中发现的漏洞可能允许攻击者破坏它们的操作或将它们用作进一步攻击的立足点。发现的漏洞包含设备web服务器中的两个命令注入漏洞和一个可能被触发以实现拒绝web服务的漏洞。目前,Korenix已发布了更新版本。
资料来源:https://cyberdanube.com/en/en-multiple-vulnerabilities-in-korenix-jetwave-series/
OCPP漏洞允许攻击者远程关闭充电桩
研究人员发现,网络攻击者可以通过利用使用WebSocket通信的开放式充电点协议(OCPP)的某些版本来禁用电动汽车(EV)充电点(CP)并导致服务中断。OCPP标准没有具体说明每个CP如何同时处理多个连接。网络攻击者可以代表CP打开与计费系统管理服务(CSMS)的额外“新”连接,从而破坏CP与CSMS之间的原始连接,并使其面临各种损害。
资料来源:https://www.saiflow.com/hijacking-chargers-identifier-to-cause-dos/
西门子、施耐德电气解决近百个漏洞
西门子和施耐德电气在其2023年2月补丁星期二公告中解决了总共近100个漏洞。西门子发布了13条新公告,共涉及86个漏洞。其中最严重的漏洞是一个内存损坏问题,可导致Comos工厂工程软件出现拒绝服务(DoS)情况或任意代码执行。施耐德电气发布了三个公告,涵盖10个漏洞,其中包含Center Expert监控软件中的九个中高严重性问题。
资料来源:http://c23.f.dzxt.sbs/nk2loLC
Econolite交通控制器存在安全漏洞
研究人员发现Econolite交通控制器存在两个高危漏洞,这些漏洞可能允许未经身份验证的远程攻击者获得对流量控制功能的完全控制。其中一个漏洞跟踪为CVE-2023-0451,CVSS评分7.5,攻击者可以查看日志、数据库和配置文件。另一个漏洞跟踪为CVE-2023-0452,CVSS评分9.8,无需身份验证即可访问的配置文件包含了使用MD5加密的用户凭据。
资料来源:http://b71.f.dzxt.sbs/YS4KNRE
研究人员发现无线IIoT漏洞可提供与物理设备的直接连接
OTORIO发布了《工业无线物联网-通往0级的直接途径》报告,报告中指出IIoT设备中的漏洞提供了通往内部OT(运营技术)网络的直接路径,使黑客能够绕过环境中的通用保护层。研究人员在报告展示了本地攻击者如何通过定位现场Wi-Fi/蜂窝信道来破坏工业Wi-Fi接入点和蜂窝网关。
资料来源:http://c49.f.dzxt.sbs/ecFGYp2
Joomla存在未授权访问漏洞
2月22日,国家信息安全漏洞共享平台(CNVD)收录了Joomla未授权访问漏洞。由于Joomla对Web服务端点缺乏必要的访问限制,未经身份认证的攻击者,可以远程利用此漏洞访问服务器REST API接口,造成服务器敏感信息泄露。CNVD建议受影响的单位和用户立即升级到最新版本。
资料来源:https://www.cnvd.org.cn/webinfo/show/8601