融安网络 · 安全简报【2022年05期】

2022-05-05 17:18:02来源:深圳融安网络科技有限公司

一、行业发展动态






我国工业互联网产业规模迈过万亿元大关

最新统计显示,一季度,我国规模以上工业增加值同比增长6.5%,工业互联网产业规模超过万亿元大关。工业互联网的行业应用不断深化,已在研发设计、生产制造、运营管理等45个国民经济大类得到广泛应用。特别是5G+工业互联网正在向生产控制环节加速延伸。下一步,国家将实施新一轮工业互联网创新发展工程,强化关键技术产品短板攻关,促进工业互联网数据流通、有效利用和安全保障,同时引导产业投资基金等各类资本加大对工业互联网领域投资,加快工业互联网提档升级。

(来源:工信微报)



NIST SP 800-82 R3《工业控制系统安全指南》草案进行公开意见征集

2011年6月,美国国家标准与技术研究院 (NIST)首次发布了工业控制系统安全指南NIST SP 800-82标准,该标准提供了工业控制系统(ICS)安全配置的指导,以及独特的性能、可靠性和安全性要求,对工控安全具有很好的指导意义。4月26日,发布了此标准R3修订版本草案,本次修订中的更新主要包括:

● 范围从ICS扩展到OT

● 对OT威胁和漏洞的更新

● 对OT风险管理、推荐做法和架构的更新

● 对当前OT安全活动的更新

● OT安全功能和工具的更新

● 与其他OT安全标准和指南保持一致,包括网络安全框架 (CSF)

● NIST SP 800-53 R5安全控制的最新裁剪指南

● NIST SP 800-53 R5增加OT系统的安全控制,为其提供裁剪的安全控制基线。

(来源:NIST)




ICS漏洞在2022年迈阿密Pwn2Own上为黑客赚取40万美元

2022年迈阿密 Pwn2Own 是一场专注于工业控制系统 (ICS) 的黑客竞赛,于2022年4月19日至4月21日与 S4x22 ICS 安全会议同时举行,参赛者的总奖金为 400,000 美元。比赛中演示了针对ICS和SCADA产品的26次零日攻击(以及几次错误冲突),获得了40万美元的收入。比赛面向多种类别的工控系统,包括控制服务器、OPC UA服务器、数据网关和人机界面(HMI)等。

(来源:SecurityWeek)



美国众议员提出《能源网络安全大学领导力计划法案》

4月21日,美国国会众议员Mike Carey与Deborah Ross共同提出《能源网络安全大学领导力计划法案》,希望帮助美国能源基础设施解决日益增长的网络威胁挑战。近一年来爆发了许多起重大网络安全事件,比如科洛尼尔输油管道公司遭到勒索软件攻击、佛罗里达州水处理厂发生投毒未遂、休斯顿港传出网络攻击未遂的消息。这推动了两党认真考虑立法,希望为能源部门增加人手,提高美国对于未来网络攻击的抵御能力。

(来源:安全内参)




Skybox 透露OT漏洞增加了88%

本月,Skybox发布了“2022年漏洞和威胁趋势报告”,报告称,随着关键基础设施成为攻击目标,OT漏洞从2020年的690个跃升至2021年的 1,295 个,增加了 88%。这些漏洞用于攻击关键基础设施,并使重要系统面临潜在的破坏。OT 系统支持能源、水、交通、环境控制系统和其他基本设备。对 OT 系统的攻击急剧增加,扰乱了运营,甚至危及公共健康和安全。随着 OT 和 IT 网络的融合,威胁参与者越来越多地利用一种环境中的漏洞来攻击另一种环境中的资产。许多 OT 攻击都是从 IT 漏洞开始,然后是横向移动以访问 OT 设备。

(来源:Industrial Cyber)



CISA与工业控制系统合作扩大网络防御计划

2022年4月20日,网络安全和基础设施安全局(CISA)负责人宣布扩大联合网络防御合作组织(JCDC),包括安全供应商,集成商和分销商在内的行业领导者。已加入JCDC-ICS计划的公司包括Bechtel,Claroty,Dragos,GE,Honeywell,Nozomi Networks,Schneider Electric,Schweitzer Engineering Laboratories,Siemens和Xylem等巨头。

(来源:TheRecord)




美国警告 APT 组织使用专门的恶意软件攻击 ICS/SCADA 系统

4月13日,美国政府发出警告,称APT组织会部署专门的恶意软件以对ICS工业控制系统和SCADA设备的访问。一旦APT组织建立了对OT网络的初始访问权限,这些恶意软件就可以扫描、破坏和控制那些受影响的ICS/SCADA设备。目前,APT组织已经开发了针对 ICS/SCADA 设备的定制工具,主要用于施耐德电气可编程逻辑控制器 (PLC)、OMRON Sysmac NEX PLC 和OPC UA服务器。已发现的APT组织CHERNOVITE使用了恶意软件PIPEDREAM,不知名APT组织使用了恶意软件INCONTROLLER等。为了减轻潜在威胁并保护 ICS 和 SCADA 设备,美国政府鼓励组织对远程访问实施多因素身份验证,定期更改密码,并持续关注恶意指标和行为。

(来源:TheHackerNews)




美国政府拨款 1200 万美元用于开发网络攻击防御工具

美国能源部 (DOE) 宣布将向六个大学团队提供 1200 万美元的资金,用于开发防御和缓解工具,以保护美国能源输送系统免受网络攻击。


(来源:BleepingComputer)





二、安全事件







德国风力涡轮机巨头Deutsche Windtechnik遭到网络攻击


德国风力涡轮机巨头Deutsche Windtechnik已发布通知,警告其部分IT系统在本月早些时候受到有针对性的专业网络攻击的影响。该公司称,这起事故发生在4月11日,事故应急人员出于安全原因不得不关闭与风力涡轮机的远程数据监控连接。并表示,他们在两天后重新激活了这些连接。据媒体报道,该公司在攻击中失去了对大约2000台涡轮机的控制。


(来源:SecurityAffairs )



Conti团伙声称对哥斯达黎加政府基础设施的攻击负责


本月,勒索软件攻击破坏了哥斯达黎加的政府基础设施,造成混乱。勒索团伙Conti声称对哥斯达黎加政府基础设施的攻击负责。攻击影响了包括财政部和劳工部在内的多个部门。据悉,最初的攻击迫使财政部关闭其系统长达数小时,该系统负责支付该国大部分公务员的薪酬,同时也处理政府养老金支付。目前,Conti已公开了50%的被盗数据。哥斯达黎加总统表示,他们不会向网络攻击团伙支付赎金。


(来源:SecurityAffairs )




威胁工业控制系统的“瑞士军刀”


Pipedream是一套新的模块化恶意软件工具包,旨在争对电网、工厂、自来水公司和和炼油厂等广泛的工业控制系统设备。安全专家用“瑞士军刀”来形容该恶意软件的模块化能力,并称其为有史以来针对工业控制系统的最强大的恶意软件。该恶意软件包含了一系列旨在破坏或控制设备功能的组件,包括施耐德电气和欧姆龙销售的可编程逻辑控制器,旨在充当工业环境中传统计算机与执行器和传感器之间的接口。该恶意软件的另一个组件旨在攻击OPC UA服务器。网络安全和基础设施安全局(CISA)、国家安全局(NSA),联邦调查局(FBI)本月联合发布了相关安全咨询,警告全球关键基础设施所有者都应该注意防范。


(来源:Ars Technica)




Industroyer2 ICS恶意软件攻击乌克兰能源供应商


Industroyer恶意软件新变种Industroyer2攻击了乌克兰的一家能源供应商。早在 2016 年,Sandworm APT 组织就曾使用Industroyer恶意软件来切断乌克兰基辅的电力供应。在最近的事件中,ESET声称,Sandworm组织试图部署新版本的Industroyer来对付乌克兰的高压变电站,以触发停电。该恶意软件的预定执行时间是2022年4月8日。攻击者试图用Industroyer2控制特定的ICS系统以切断电源。


(来源:Infosecurity Magazine)




APT组织Lazarus瞄准化工行业展开攻击


4月14日,Symantec发布了与朝鲜有关的APT组织 Lazarus正在开展针对在化学行业组织的间谍活动,该活动似乎是“Operation Dream Job”活动集的延续。该活动首次出现于2020年8月,在2020年8月和2021年7月期间主要瞄准国防、政府和工程部门的个人展开攻击。自2022年1月开始,主要针对化学行业的组织。攻击始于恶意HTM文件,可能是通过邮件中的恶意链接或Web分发的。



(来源:Symantec)




美国阻止了针对夏威夷海底电缆的网络攻击


美国国土安全部的一个调查部门表示,联邦特工阻止了针对夏威夷一条海底电缆发起的网络攻击,该海底电缆为多个国家提供电话和互联网服务。国土安全调查局表示,一家管理电缆的私人公司遭到了一个国际黑客组织的攻击,但没有提供更多有关黑客国籍或其他细节的信息。水下电缆系统是支持电信关键基础设施的OT的一部分,一些专家表示,漏洞发生在服务器上,可能没有损坏电缆。


(来源:Govinfosecurity)




西班牙电力巨头Iberdrola遭受网络攻击,超130万客户的数据信息遭到泄露


西班牙电力巨头Iberdrola于近日证实遭受网络攻击,攻击者获得了130万客户的个人信息。这些信息包括身份证号码、地址、电话号码和电子邮件地址等信息,公司表示客户银行账户详细信息、信用卡号码等敏感信息并没有遭到泄露。



(来源:BleepingComputer)





三、重要安全漏洞









SmartPTT、SmartICS工业产品存在多个严重漏洞


安全研究人员Michael Heinzl在elcompus的SmartPTT SCADA产品中发现了多个漏洞,该产品将SCADA/IIoT系统的功能与专业无线电系统的调度软件相结合。安全漏洞列表包括CVE-2021-43930路径遍历、CVE-2021-43932跨站脚本(XSS)、CVE-2021-43934任意文件上传、CVE-2021-43939授权绕过、CVE-2021-43937跨站请求伪造(CSRF)和CVE-2021-43938信息泄露漏洞。利用这些漏洞,攻击者可以上传文件、读取或写入系统上的任意文件、获取以明文形式存储的凭证、代表用户执行各种操作、执行任意代码,并提高访问管理功能的权限。


受影响版本

SmartPTT SCADA 服务器 v1.4

SmartPTT SCADA v1.1

修复建议

Elcomplus 已发布更新以修复这些漏洞,并建议用户升级到版本 2.3.4 或更高版本。

(来源:SecurityWeek)



罗克韦尔自动化产品中存在严重漏洞可导致攻击者在系统中植入代码


罗克韦尔可编程逻辑控制器和工程工作站软件中存在两个漏洞。这些漏洞使攻击者能够修改自动化流程,并可能扰乱工业运营,对工厂造成物理破坏,以及执行其他恶意操作。这两个漏洞编号分别为:


CVE-2022-1161(CVSS评分:10.0)远程代码执行漏洞

CVE-2022-1159(CVSS评分:7.7)代码注入漏洞


受影响版本

Compact GuardLogix 5370、5380 控制器

CompactLogix 1768、1769、5370、5380、5480 控制器

ControlLogix 5550、5560、5570、5580 控制器

GuardLogix 5560、5570、5580 控制器

FlexLogix 1794-L34 控制器

DriveLogix 5730 控制器

SoftLogix 5800 控制器

Studio 5000 Logix Designer应用程序v28及更高版本


修复建议

CISA发布了以下缓解措施:

实施CIP安全以帮助防止未经授权的连接。

使用控制器日志功能跟踪控制器中发生的交互。

在Logix Designer应用程序中使用更改检测来监视事件的更改。


(来源:Version 2)




ABB网络接口模块的漏洞使工业系统面临DoS攻击


ABB公司正在为其产品的一些网络接口模块中发现的三个严重漏洞开发补丁。这些漏洞影响的是Symphony Plus SPIET800和PNI800这两个网络接口模块,可在控制网络和运行工程工具或人机界面 (HMI) 的主机之间进行通信。这些漏洞编号为 CVE-2021-22285、CVE-2021-22286、CVE-2021-22288(CVSS评分:7.5分)。由于产品处理某些数据包的方式存在漏洞,对控制网络具有本地访问权限或对系统服务器具有远程访问权限的攻击者可利用这些漏洞进行拒绝服务攻击,用户只能通过手动重启来解决。


受影响版本:

Symphony Plus 网络接口模块的以下版本受到影响:

SPIET800:固件版本 A_B 或更早版本

PNI800:固件版本 A_B 或更早版本


修复建议

ABB 推荐以下缓解措施和解决方法。

SPIET800:更新到版本 A_C 或更高版本(计划2022年第二季度)

PIN80:更新到版本 B_0 或更高版本(计划2022年第二季度)


(来源:SecurityWeek)





西门子和施耐德4月修复了多个严重漏洞



西门子


西门子发布了11条新公告,需重点关注两条描述:1)SIMATIC Energy Manager产品存在三个漏洞,其中一个漏洞编号为CVE-2022-23450(CVSS评分:10.0),不可信数据反序列化漏洞,未经身份验证的攻击者可以利用该漏洞提升权限执行代码;2)SCALANCE X交换机存在八个高危漏洞,许多可以在无需身份验证的情况下远程利用,可用于使设备崩溃、获取敏感信息和执行任意代码。


西门子还解决了Simcenter Femap、SIMATIC PCS neo、SIMATIC S7-400和SCALANCE W1700中的严重漏洞,许多此类安全漏洞可被用于DoS攻击。


施耐德电气


施耐德发布了2条新公告:1)在交互式图形SCADA系统IGSS中存在一个严重远程代码执行漏洞CVE-2022-24324(CVSS评分:9.8),可以通过向目标系统发送特制消息来利用该漏洞。该漏洞在新版本中已修复;2)施耐德Modicon M340控制器以及这些设备的通信模块的高危拒绝服务(DoS)漏洞CVE-2022-0222(CVSS评分:7.5),攻击者可利用该漏洞向目标控制器发送特制的请求。


(来源:SecurityWeek)

分享:

微博
微信公众号