融安网络安全简报【2022年第01期】

2022-01-06 11:12:59来源:深圳融安网络科技有限公司
一、行业发展动态


1、Gartner预测,到2025年30%的关基设施将遭遇安全漏洞      

Gartner称,到 2025 年30% 的关键信息基础设施组织将遇到安全漏洞,这将会导致关键信息基础设施运营停止或关键型网络物理系统停止。


来源:Gartner


2、我国工业信息安全市场持续保持高景气度 预计2021年增长率将达31.83%    

《中国工业信息安全产业发展白皮书(2020-2021)》预计,2021年我国工业信息安全市场增长率将达31.83%,市场整体规模将增长至167.01亿元。


(来源:人民网)



3、工信部、国家标准委联合印发《工业互联网综合标准化体系建设指南(2021版)》

近日,为贯彻落实《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》和《国家标准化发展纲要》,切实发挥好标准对推动工业互联网高质量发展的支撑和引领作用,工业和信息化部、国家标准化管理委员会组织编制的《工业互联网综合标准化体系建设指南(2021版)》正式发布。


《工业互联网综合标准化体系建设指南(2021版)》指出,安全体系是工业互联网健康发展的保障。目前,我国工业互联网安全已取得阶段性成效,初步形成政府指导、部门协同、企业主责的安全管理格局,基本构建可感可知的安全技术监测服务体系。下阶段,将要继续加快分类分级安全防护、安全管理、安全应用与服务等标准研制,持续提升工业互联网的安全水平。



(来源:工信部)



4、PseudoManuscrypt正在全球发起大规模网络攻击         

全世界数以万计的设备,包括许多工业控制系统 (ICS),都受到了 PseudoManuscrypt 间谍软件的攻击。


专家透露,PseudoManuscrypt 恶意软件针对的所有系统中,至少有 7.2% 是多个行业组织使用的工业控制系统 (ICS) 的一部分,包括工程、楼宇自动化、能源、制造、建筑、公用事业和水管理。


2021 年 1 月至 11 月期间,该恶意软件攻击了 195 个国家/地区的至少 35,000 个系统。


来源:SecurityAffairs


5、研究详述了17个用于攻击气隙网络的恶意软件框架        

ESET近日发布研究报告,一项针对17个攻击气隙隔离网络的恶意软件框架的分析表明,所有这些框架都利用了USB驱动器,并且只针对Windows。其中超过75%的框架使用恶意LNK或USB驱动器上的自动运行文件执行初始气隙系统突破或在气隙网络内横向移动。



来源:Dark Reading


6、美国和加拿大关键基础设施被新型勒索软件Sabbath盯上    

新型勒索软件Sabbath(又名 UNC2190)自 2021 年 6 月以来一直针对美国和加拿大的关键基础设施进行攻击,研究人员称其前身是Arcane和Eruption 


来源:FreeBuf)



二、安全事件



1、德国医疗服务提供商CompuGroup Medical遭勒索软件攻击   

12月20日,德国医疗保健软件提供商CompuGroup Medical称其遭受了网络攻击,医生、药房、实验室、诊所可能都会受到影响。此次勒索软件攻击还影响了部分内部IT系统的可用性,包括电子邮件和电话服务,因此采取应对措施隔离了部分服务。为了应对该事件,该公司重新建立了紧急电话号码和电子邮件渠道,以提供客户支持服务。12月27日,CompuGroup Medical 称大部分系统在勒索软件攻击后重新上线。


来源CompuGroup Medical



2、巴西卫生部遭遇网络攻击 近50TB COVID-19疫苗接种信息被盗窃并删除                                

巴西卫生部(MoH)下属的网站遭到网络攻击,导致数百万公民的COVID-19疫苗接种数据丢失。卫生部的所有网站,包括医疗系统中跟踪公民轨迹的ConecteSUS,均无法访问。之后,黑客团伙Lapsus$ Group声称已经从卫生部的系统中窃取并删除了约50TB的数据,并以此为要挟来索取一笔不菲的赎金。据巴西卫生部部长Marcelo Queiroga称,他们将从国家卫生服务数据库的备份数据中恢复被盗数据。


(来源:cnBeta)


3、天然气供应商Superior Plus 遭到勒索软件袭击        

天然气供应商 Superior Plus 于12月14日发表新闻通告,称该公司于12月12日遭到勒索软件攻击,公司计算机系统受到影响。Superior Plus 得知攻击事件后,立即采取了保护措施以减轻攻击事件对公司数据和运营的影响,并聘请网络安全专家进行事件追踪与调查。在调查攻击事件的过程中, Superior Plus 暂时禁用了某些计算机系统和应用程序,并正在使这些系统重新联机。


来源Superior Plus


4、澳大利亚电力供应商CS Energy 遭到勒索软件攻击        

澳大利亚电力供应商 CS Energy 遭到勒索软件攻击,但该公司表示发电并未受到影响,并否认此次攻击是由国家资助的威胁组织实施的说法。CS Energy位于澳大利亚昆士兰,为当地政府所有,向数百万居民家庭以及大型商业与工业客户供应电力。CS Energy 表示,勒索软件破坏了该公司网络上的设备,该网络迅速与其他内部网络隔离,以防止恶意软件传播。 



来源SecurityWeek



5、美国能源公司DMEA遭网络攻击后导致25年历史数据丢失     

美国科罗拉多州的三角蒙特罗斯电力协会(Delta-Montrose Electric Association,DMEA)表示仍在努力从上个月一场毁灭性的网络攻击中恢复过来,这次攻击导致其内部90%系统瘫痪,并导致25年的历史数据丢失。  


来源ZDNet



三、重要安全漏洞


1、myPRO HMI/SCADA 产品中多存在多个安全漏洞             

捷克工业自动化公司mySCADA的myPRO是一个人机界面(HMI)和监控控制和数据采集(SCADA)系统,主要用于工业过程的可视化和控制。该产品可以在Windows、macOS和Linux上运行,包括服务器、个人电脑甚至嵌入式设备。

2021年12月21日,CISA发布了安全公告,披露了8个安全漏洞,如下:

• CVE-2021-43985CVSS评分:9.1)身份验证绕过

• CVE-2021-43989CVSS评分:7.5)使用 MD5 存储密码

• CVE-2021-43987CVSS评分:9.8)后门账号

• CVE-2021-44453CVSS评分:10.0)操作系统命令注入

• CVE-2021-22657CVSS评分:10.0)操作系统命令注入

• CVE-2021-23198CVSS评分:10.0)操作系统命令注入

• CVE-2021-43981CVSS评分:10.0)操作系统命令注入

• CVE-2021-43984CVSS评分:10.0)操作系统命令注入

未经身份验证的攻击者可以利用这些漏洞完全控制产品以及底层系统。

  受影响版本

myPRO:8.20.0 及更早版本

修复建议

mySCADA 建议用户升级到版本 8.22.0 或更高版本


(来源:CISA


2、Moxa MGate 多款产品存在安全漏洞                 

MMoxa MGate MB3180/MB3280/MB3480 系列协议网关都是中国台湾摩莎(MOXA)公司的产品,该产品可用于多个工业部门,并在全球范围内使用。

该漏洞编号为:CVE-2021-4161(CVSS评分:9.8)攻击者可利用该漏洞嗅探流量并解密登录凭据详细信息,获取管理员权限。

受影响产品:

以下固件版本的 MGate MB3000 系列(串口转以太网 Modbus 网关)受到影响:

• MGate MB3180 系列:固件版本 2.2 或更低

• MGate MB3280 系列:固件版本 4.1 或更低

• MGate MB3480 系列:固件版本 3.2 或更低

修复建议

Moxa 开发了以下缓解措施来解决此漏洞。

在“控制台设置”下启用“HTTPS”并禁用 HTTP 控制台功能

Moxa 还建议用户参考技术说明:适用于 MGate MB3000 系列的 Moxa 安全加固指南 

https://cdn-cms.azureedge.net/getmedia/6461a6a5-8b9d-4c83-8fcf-4d163c51f933/moxa-the-security-hardening-guide-for-the-mgate-mb3000-series-tech-note-v1.0.pdf



(来源:CISA

3、施耐德电气修复了EVlink电动汽车充电站多个漏洞          

施耐德电气已修补了7个使其 EVlink 电动汽车充电站容面临远程黑客攻击的新漏洞。其中包含1个严重漏洞和5个高危漏洞,这些漏洞详情如下:

 CVE-2021-22724(CVSS评分:8.8)跨站请求伪造 (CSRF)漏洞

 CVE-2021-22725(CVSS评分:8.8)跨站请求伪造 (CSRF)漏洞

 CVE-2021-22818(CVSS评分:7.5)对过度身份验证尝试的不当限制漏洞

 CVE-2021-22819(CVSS评分:6.5)渲染 UI 层或帧的不当限制漏洞

 CVE-2021-22820(CVSS评分:7.1)会话过期不足漏洞

 CVE-2021-22821(CVSS评分:9.3)服务器端请求伪造 (SSRF)漏洞

 CVE-2021-22822(CVSS评分:8.8)跨站脚本漏洞

受影响产品

• EVlink CityEVC1S22P4/EVC1S7P4 V3.4.0.2之前的所有版本

• EVlink ParkingEVW2/EVF2/EVP2PE R8 V3.4.0.2之前的所有版本

• EVlink Smart WallboxEVB1A R8 V3.4.0.2之前的所有版本

修复建议

目前,施耐德电气已在EVlink City、Parking 和 Smart Wallbox 产品的 R8 V3.4.0.2 版本中修复了这些漏洞,建议相关用户及时修复并加以防范。

相关链接:

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-348-02



(来源:schneider-electric)




4、多个APT组织正在利用Log4j漏洞,工业企业面临影响        

Apache Log4j 是一种基于 Java 的日志工具,包含在各种开源库中,并直接嵌入到许多流行的软件应用程序中。Dragos表示“这种跨领域漏洞既与供应商无关,又会影响专有软件和开源软件,将使多个行业面临远程攻击,包括电力、水、食品和饮料、制造业,和运输”。

目前,多个APT组织已经利用该漏洞来传播各种类型的恶意软件。


西门子已确认其17 款产品受到 Apache Log4j漏洞影响,还有更多产品仍在分析中。这家德国工业巨头已开始发布补丁并提供缓解建议。确认受影响的产品包括 E-Car OC、EnergyIP、Geolus、Industrial Edge Management、Logo!Soft Comfort、Mendix、MindSphere、Operation Scheduler、Siguard DSA、Simatic WinCC、SiPass、Siveillance、Solid Edge 和 Spectrum Power。


施耐德电气也发布了一份公告,但仍在努力确定其哪些产品受到影响。同时,它共享了一般缓解措施以降低攻击风险。

链接如下:

https://download.schneider-electric.com/files?p_Doc_Ref=SESB-2021-347-01


截至目前,Log4j系列漏洞影响的全球态势仍在持续恶化之中,已曝出的漏洞包括

CVE-2021-44228 (CVSS评分:10.0)、CVE-2021-45046 (CVSS评分:9.0)、CVE-2021-45105 (CVSS评分:7.5)、CVE-2021-4104 (CVSS评分:8.1)、CVE-2021-44832(CVSS评分:6.6)。

受影响产品

CVE-2021-44228:2.0-beta9 到 2.14.1 的所有版本

CVE-2021-45046:2.0-beta9 到 2.15.0 的所有版本,不包括 2.12.2

CVE-2021-45105:2.0-beta9 到 2.16.0 的所有版本,不包括 2.12.3

CVE-2021-4104:Apache Log4j 1.2

CVE-2021-44832:2.0-alpha7 到 2.17.0 的所有版本,不包括 2.3.2 和 2.12.4

修复建议

Apache 发布了新的 Log4j 版本 建议用户将 Apache Log4j2 升级到 2.17.1、2.12.4 和 2.3.2 或更高版本。


(来源:SecurityWeek)



分享:

微博
微信公众号
融安网络——工控安全技术领军企业

产品中心

Products

解决方案

Solutions

应用案例

Application Case

新闻资讯

News Information

合作伙伴

Our Customers

融合网络 安全同行

服务热线:

马上咨询