融安网络 · 安全简报「2022年06期」

2022-05-31 13:46:58来源:深圳融安网络科技有限公司

一、行业发展动态


工信部组织开展工业互联网安全深度行活动

工业和信息化部近日印发通知,组织开展工业互联网安全深度行活动。活动旨在深入宣贯工业互联网安全相关政策标准,健全自主定级、定级核查、安全防护、风险评估等工作机制,加快工业互联网安全专用技术和产品创新,培育壮大地方专业化服务机构,推动在全国范围内深入实施工业互联网企业网络安全分类分级管理,指导督促企业落实网络安全主体责任,共同提升工业互联网安全保障能力。活动包括分类分级管理、政策标准宣贯、资源池建设、应急演练、人才培训、赛事活动等6项内容。其中,分类分级管理和政策标准宣贯2项为必选内容,各地可结合实际从其他4项中至少选择2项作为特色活动内容。

(来源:工信微报)


18家石油和天然气公司做出网络弹性承诺以缓解日益增长的网络风险

在过去的两年里,石油和天然气行业的公司经历了重大的安全漏洞,促使人们迫切需要集体应对。作为回应,18家能源公司已同意就专门的解决方案进行合作,以加强整个行业生态系统的基础设施。该承诺将在2022年世界经济论坛(WEF)年会上宣布。

(来源:Infosecurity Magazine)


Group-IB发布2021-2022年勒索软件态势的分析报告

Group-IB发布了2021-2022年勒索软件态势的分析报告。根据报告的数据,2021年的平均赎金需求为247000美元,比上一年增加了45%,大多数攻击者都试图通过双重勒索手段强制付款。报告声称勒索软件的持续增长归因于暗网上初始访问代理和勒索软件即服务产品的扩散。

(来源:Infosecurity Magazine)


遭勒索攻击一年后,Colonial Pipeline或将收到100万美元的罚款

据媒体5月10日报道,美国运输部管道和危险材料安全管理局(PHMSA)已提议对Colonial Pipeline 因违反联邦安全法规处以近100万美元的罚款。原因在于,2021年5月初,美国最大燃料管道运营商Colonial Pipeline遭到DarkSide的勒索攻击,导致天然气供应中断,使17个州进入紧急状态。PHMSA表示该公司在攻击事件发生前未能对手动关闭和重新启动其管道系统做好充分的计划,对全国造成了严重影响。

(来源:TheHackerNews)


欧盟同意为关键服务组织制定新的网络安全立法

5月13日,欧盟(EU)已就新立法达成政治协议,该立法将对关键行业组织实施共同的网络安全标准。新指令(NIS 2)将涵盖在关键领域运营的中型和大型组织,包括公共电子通信服务、数字服务、废水和废物管理、关键产品制造、邮政和快递服务、医疗保健和公共管理的供应商。新立法的规定包括在 24 小时内向当局报告网络安全事件、修补软件漏洞和准备风险管理措施。它还旨在制定更严格的执法要求并协调成员国之间的制裁制度。

(来源:Infosecurity Magazine)


工业间谍数据窃取市场已开始勒索软件操作

工业间谍数据窃取市场现已推出了自己的勒索软件操作,他们现在还加密受害者的设备。安全研究人员发现了一个新的工业间谍恶意软件样本,看起来更像是赎金票据,而不是促销文本文件。该赎金记录现在指出,工业间谍攻击者不仅窃取了受害者的数据,而且还对其进行了加密。

(来源:BleepingComputer)


二、安全事件


委内瑞拉总统称该国一大型水电站系统遭黑客攻击

俄罗斯卫星社24日报道,委内瑞拉总统马杜罗表示,委内瑞拉玻利瓦尔州“古里”大型水电站的系统遭到两次黑客攻击。另外,2019年3月,委内瑞拉境内就曾发生两次大规模停电事故。第一次事故发生在3月7日,“古里”水电站,造成委内瑞拉史上最大规模停电,23个州中有20州停电。

(来源:参考消息网)


伦敦港务局官网遭到DDoS攻击

5月24日,伦敦港务局(PLA)确认,其官网遭到网络攻击被迫关闭。PLA是一个公共信托机构,负责维护和监督泰晤士河潮汐从肯特埃塞克斯海峡到泰丁顿船闸直至北海末端的起伏,并监督200000艘商业和休闲船只。此次中断源于一个伊朗组织发起的分布式拒绝服务(DDoS)攻击。不久后,黑客组织ALtahrea Team在Telegram上声称对此事负责。

(来源:Hackread)


德克萨斯州交通部遭黑客攻击导致员工信息泄露

5月21日,德克萨斯州交通部(TxDOT)为承包商提供的认证工资系统门户网站遭到黑客攻击,攻击者在黑客论坛上发布了关于TxDOT员工设置的屏幕截图,其中包含员工的个人信息、SSN、登录凭证和网址以及承包商的项目列表。据称,实施这次攻击的黑客已经获得了7000多条个人记录,数据很快会被出售。

(来源:DataBreaches)


通用汽车遭撞库攻击导致车主信息泄露

美国通用汽车称其在上个月遭到了撞库攻击,该攻击泄露了一些客户的信息,被泄露的客户信息包括:姓名、电子邮件地址、住址、与账户绑定的注册家庭成员的用户名和电话号码、家庭成员的头像和照片(如果已上传)、搜索和目的地信息等。并允许黑客用奖励积分兑换礼品卡。该汽车制造商透露,他们在2022年4月11日至29日检测到了恶意登录的活动,发现攻击者已将部分用户的奖励积分兑换为礼品卡。该公司表示,此次违规事件并不是源于通用汽车的系统遭到入侵,而是针对其平台上客户的一波撞库攻击导致的,他们将为所有受影响的用户恢复积分,并建议用户在登录账户之前重置密码。

(来源:BleepingComputer)


恶意npm包针对德国工业公司进行供应链攻击

本月,JFrog安全研究团队发现并披露了多个恶意npm包,旨在针对德国领先的工业公司进行供应链攻击。该npm恶意程序包的有效负载是一种高度复杂、经过混淆的恶意软件,主要充当后门并允许攻击者完全控制受感染的机器。其中4个恶意软件包的维护者分别为bertelsmannnpm、boschnodemodules、stihlnodemodules和dbschenkernpm。根据5月11日的最新消息,一家名为Code White的渗透测试公司声称对此事负责。

(来源:SecurityAffairs )


针对德国汽车行业的攻击活动

本月,研究人员发现了针对德国长达数月的攻击活动。该活动于2021年7月左右开始,目前仍在进行中,主要针对德国的汽车制造商和汽车经销商。攻击者使用电子邮件钓鱼,受害者打开之后将感染窃取信息的恶意软件。

(来源:CheckPoint)


哥斯达黎加遭Conti勒索软件攻击后全国进入紧急状态

哥斯达黎加总统罗德里戈·查韦斯(Rodrigo Chaves)在多个政府机构遭到Conti勒索软件组织的攻击后宣布全国进入紧急状态。Conti勒索软件最初声称上个月对哥斯达黎加政府实体发起了勒索软件攻击。截至5月8日,Conti的数据泄露网站已更新,据称该组织泄露了672 GB数据转储中的97%,其中包含从哥斯达黎加政府机构窃取的信息。

(来源:BleepingComputer)


美国农业机械制造商AGCO遭受勒索软件攻击

美国农业机械制造商AGCO宣布遭受勒索软件攻击,影响了其部分生产设施。攻击发生在5月5日,AGCO没有提供导致中断的详细信息,但可能会关闭其部分IT系统以防止攻击蔓延。AGCO在新闻稿中解释道,调查仍在进行中,预计这次网络攻击的影响将持续很长一段时间,他们会尽力恢复系统。

(来源:Ars Technica)


三、重要安全漏洞


OAS平台易受关键的RCE和API访问漏洞的影响

OAS平台是一种广泛使用的数据连接解决方案,它将工业设备(PLC、OPC、Modbus)、SCADA系统、物联网、网络点、自定义应用程序、自定义API和数据库结合在一个整体系统下。本月,威胁分析人员披露了影响OAS平台的安全漏洞,漏洞可导致设备访问、拒绝服务和远程代码执行。CVE编号为:CVE-2022-26833(CVSS评分:9.4)OAS中未经身份验证的访问和使用REST API功能。CVE-2022-26833(CVSS评分:9.1)

OAS Engine SecureTransferFiles模块中的一个文件写入漏洞。其余漏洞均为高危漏洞,CVSS为7.5分,包括:CVE-2022-27169通过网络请求获取目录列表、CVE-2022-26077针对账户凭据的信息泄露、CVE-2022-26026拒绝服务和数据链接丢失、CVE-2022-26303和CVE-2022-26043外部配置更改以及新用户和安全组的创建。

受影响版本:

Open Automation Software

OAS Platform V16.00.0112 及之前版本

修复建议

修复程序已在2022年5月22日发布,受影响的用户可以升级更新到版本16.00.0.113。

下载链接:

https://openautomationsoftware.com/getting-started-with-oas/download/


(来源:BleepingComputer)


uClibc库域名系统(DNS)组件漏洞,影响全球数百万物联网设备

本月,Nozomi Networks发出警告,uClibc库的域名系统 (DNS) 组件中存在安全漏洞,编号为CVE-2022-30295,该漏洞影响uClibc和uClibc-ng的域名系统。uClibc-ng是一个应用系统。用于Linux的小型C库。uClibc是一个面向嵌入式Linux系统的小型的C标准库。该漏洞源于使用可预测的DNS事务ID,导致攻击者可以利用该漏洞进行 DNS缓存中毒或DNS欺骗,将受害者重定向到恶意网站。

受影响版本:

uClibc-ng:1.0.40版本及之前版本

uClibc:0.9.33.2版本及之前版本

修复建议

目前该漏洞暂未修复。


(来源:Nozomi Networks)


西门子和施耐德5月修复了43个漏洞

西门子


西门子发布了12条公告,修复了35个漏洞,根据CVSS评分,最重要的公告,包括11个影响SICAM P850和P855设备的 Web服务器的漏洞。5个高严重漏洞可能导致DoS攻击、代码执行、流量捕获和干扰设备功能、跨站点脚本(XSS) 攻击或访问设备的管理界面。在Desigo PXC3、PXC4、PXC5和DXR2设备中也发现了严重及高危漏洞,这些漏洞可被用于任意代码执行、密码喷洒或撞库攻击等。Simcenter Femap、JT2Go和Teamcenter Visualization以及使用cURL库的各种西门子工业产品中都发现了高危代码执行漏洞。还有Desigo DXR和PXC控制器、CP 44x-1 RNA通信处理器模块、Teamcenter以及使用OPC本地发现服务器的各种工业产品中发现了可用于DoS攻击的高危漏洞。经过身份验证的攻击者可以利用另一个高危漏洞逃离SIMATIC WinCC中的Kiosk模式。

西门子已开始针对这些漏洞发布了补丁程序,但目前并非所有受影响的产品都提供修复程序。


施耐德电气


施耐德发布了3条公告,涉及8个漏洞。其中6个漏洞影响了一些Wiser Smart家居自动化产品,包括一个严重的硬编码凭据漏洞,以及可用于暴力攻击、管理员账户劫持、跨域攻击和获取身份验证凭据的高危漏洞。其余两个漏洞是影响 Saitel DP 远程终端单元 (RTU) 产品中的中等严重性 DoS 漏洞,以及用于计量设备的 PowerLogic ION Setup 工程工具中的高严重性远程代码执行漏洞。目前,施耐德电气已针对这些漏洞发布了相关补丁程序。


(来源:SecurityWeek)

分享:

微博
微信公众号