国家/行业政策
n 国家密码管理局印发《商用密码检测机构管理办法》《商用密码应用安全性评估管理办法》
n 《工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)》公开征求意见
n 公开征求对《工业互联网安全分类分级管理办法(公开征求意见稿)》的意见
n 美国安全机构发布提高OT和工业控制系统中开源软件的安全性指南
n NSA发布ICS/OT入侵检测签名和分析的存储库
n 美国安全机构发布反网络钓鱼指南
n 美国运安局更新铁路网络安全指令
行业发展动态
n 第三届中国石油石化网络安全应用研讨会将于11月在深圳召开
n 2023年工业信息安全大会将于11月2-3日在京召开
n 研究显示9月勒索软件攻击创历史新高
安全事件追踪
n 江森自控遭勒索软件攻击可能泄露美国国土安全部的敏感数据
n 英国电力和数据制造商Volex遭网络攻击
n RANSOMEDVC勒索软件组织声称入侵了美国Colonial Pipeline油气管道公司
n MATA恶意软件攻击东欧工业公司
n 卡巴斯基披露了针对俄罗斯工业和政府部门的攻击
n LockBit勒索软件组织声称入侵了波音公司
重要安全漏洞
n 工业路由器一帆YF325中存在11个严重漏洞
n 罗克韦尔自动化称Stratix工业交换机受Cisco IOS XE零日漏洞影响
n Weintek HMI存在三个安全漏洞
n ICS 10月补丁:西门子和施耐德修复了40多个影响其产品的安全漏洞
1、国家密码管理局印发《商用密码检测机构管理办法》《商用密码应用安全性评估管理办法》
10月7日,国家密码管理局官方发布了《商用密码检测机构管理办法》(国家密码管理局令第2号),自2023年11月1日起开始施行。
https://www.oscca.gov.cn/sca/index.shtml
2、《工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)》公开征求意见
10月9日,工信部发布《工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)》。为贯彻落实《数据安全法》《工业和信息化领域数据安全管理办法(试行)》,指导地方行业主管部门、工业和信息化领域数据处理者规范开展风险评估工作,我们研究起草了《工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)》。
https://www.miit.gov.cn/gzcy/yjzj/art/2023/art_b79941ed6485425790bfaf257dc6e4d3.html
3、公开征求对《工业互联网安全分类分级管理办法(公开征求意见稿)》的意见
10月24日,工信部发布《工业互联网安全分类分级管理办法(公开征求意见稿)》公开征求意见。为贯彻落实《网络安全法》《数据安全法》以及《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》等法规政策要求,加快建立健全工业互联网安全管理制度体系,深入实施工业互联网安全分类分级管理,工业和信息化部起草了《工业互联网安全分类分级管理办法(公开征求意见稿)》。为进一步听取社会各界意见,现予以公示。如有意见或建议,请于2023年11月22日前反馈。
https://www.miit.gov.cn/gyhxxhb/jgsj/wlaqglj/gyhlwhclwaq/art/2023/art_bbea1a8bad5847f7ac01b9b1dbb53ab6.html
4、美国安全机构发布提高OT和工业控制系统中开源软件的安全性指南
10月10日,美国网络安全和基础设施安全局(CISA)、联邦调查局(FBI)、国家安全局(NSA)和美国财政部联合发布了针对运营技术(OT)供应商和关键基础设施人员的新指南。该指南有助于更好的管理OT产品中使用开源软件(OSS)带来的风险,并提高利用可用资源的弹性。
https://www.cisa.gov/sites/default/files/2023-10/Fact_Sheet_Improving_OSS_in_OT_ICS_508c.pdf
5、NSA发布ICS/OT入侵检测签名和分析的存储库
10月17日消息,美国国家安全局发布了一个名为“Elitewolf”的GitHub存储库,包含了以ICS/SCADA/OT为重点的入侵检测签名和分析,可帮助国防工业基础(DIB)、国家安全系统(NSS)和其他关键基础设施所有者和运营商能够实施持续的系统监控。
https://www.securityweek.com/nsa-publishes-ics-ot-intrusion-detection-signatures-and-analytics/
6、美国安全机构发布反网络钓鱼指南
美国网络安全和基础设施安全局(CISA)、国家安全局 (NSA)、联邦调查局 (FBI)和多州信息共享与分析中心 (MS-ISAC)联合发布了反网络钓鱼指南,该指南详细介绍了常用的网络钓鱼技术,以及缓解措施和最佳实践。
https://www.cisa.gov/sites/default/files/publications/Capacity_Enhancement_Guide-Counter-Phishing_Recommendations_for_Federal_Agencies_1_0.pdf
7、美国运安局更新铁路网络安全指令
10月23日,美国运输安全管理局(TSA)宣布更新三项监管客运和货运铁路运输公司的安全指令(SD),以持续努力增强地面运输系统和相关基础设施的网络安全。这三项安全指令原定于今年10月24日到期,现已续签一年,其中包括旨在加强行业防御网络攻击的更新。
https://www.tsa.gov/news/press/releases/2023/10/23/tsa-renews-cybersecurity-requirements-passenger-and-freight-railroad
1、第三届中国石油石化网络安全应用研讨会将于11月在深圳召开
10月15日消息,“第三届中国石油石化网络安全应用研讨会暨北斗导航能源安全应用技术交流会”定于2023年11月28-30日在广东省深圳市召开。会议以网络安全专题、北斗导航专题、网络安全新技术及新成果展览展示为主要内容展开交流讨论,将有效促进网络安全技术自主自强和创新发展,全面筑牢集约、高效、敏捷的网络安全防护体系和能力。10月19日消息,为深入贯彻习近平总书记关于建设网络强国、制造强国的重要指示精神,贯彻落实《网络安全法》《数据安全法》,以及《加强工业互联网安全工作的指导意见》《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》等法律、政策要求,进一步凝聚行业各方力量,切实增强工业和信息化领域网络和数据安全保障水平,护航新型工业化高质量发展。国家工业信息安全发展研究中心、工业信息安全产业发展联盟将于11月2日至3日在北京世纪金源大饭店举办2023年工业信息安全大会。10月24日,Group发布的月度报告显示,9月勒索软件攻击创历史新高水平,泄露网站公布了514名受害者的详细信息。该数据较去年9月同比增长153%,打破了2023年7月创下的纪录(502次攻击)。LostTrust和RansomedVC等新成立的威胁组织跻身最活跃组织前五名。其中工业行业仍然是攻击目标最多的行业占40% ,其次是消费类周期性产品占21%。针对医疗保健行业的勒索攻击大幅增加,较8月环比增长86%。
https://newsroom.nccgroup.com/news/ncc-group-monthly-threat-pulse-september-2023-474190
1、江森自控遭勒索软件攻击可能泄露美国国土安全部的敏感数据
10月2日消息,江森自控国际公司遭受了勒索软件攻击,该攻击对设备进行了加密,并影响了内部和合作伙伴的运营。攻击者声称在攻击期间窃取了超过27TB的公司数据并加密了该公司的VMWare ESXi服务器和其他设备。勒索软件组织要求5100万美元来购买解密器并删除被盗数据。由于江森自控持有许多美国国土安全部设施的物理安全的文件,例如平面图和其它敏感数据,这些数据可能存储在受感染的服务器上,导致国土安全部(DHS)的敏感信息可能在最近针对楼宇自动化巨头江森自控国际公司的勒索软件攻击中遭到泄露。
https://securityaffairs.com/151806/data-breach/johnson-controls-attack-impacts-dhs.html
2、英国电力和数据制造商Volex遭网络攻击
10月9日消息,英国关键电力和数据传输产品制造商Volex PLC遭到网络攻击。该事件是由于攻击者未经授权访问了该公司在全球多个站点的部分IT系统和数据而导致。Volex声称攻击者无法访问财务数据,没有造成重大财务影响。该事件发生后立即采取了应对措施以保持其网站的运行。
https://www.hackread.com/uk-power-data-manufacturer-volex-cyberattack/
3、RANSOMEDVC勒索软件组织声称入侵了美国Colonial Pipeline油气管道公司
10月14日消息,ANSOMEDVC勒索软件组织声称入侵了美国Colonial Pipeline油气管道公司,并泄露了价值5GB的数据,包括内部文件和照片。然而Colonial Pipeline否认了RANSOMEDVC勒索软件组织的入侵,并将泄露的文件与“与Colonial Pipeline无关的第三方数据泄露事件”联系起来。
https://www.hackread.com/ransomedvc-colonial-pipeline-cybersecurity-breach/
4、MATA恶意软件攻击东欧工业公司
10月18日,卡巴斯基披露了MATA恶意软件针对东欧国家的攻击活动。该活动在2022年8月至2023年5月期间一直保持活跃,针对东欧石油和天然气行业以及国防工业的十几家公司。攻击者利用鱼叉式钓鱼邮件诱使目标下载恶意可执行文件,利用Internet Explorer中的CVE-2021-26411漏洞启动感染链。更新的MATA框架结合了一个加载器、一个主木马和一个信息窃取器,以在目标网络中植入后门并获得持久性。
https://securelist.com/updated-mata-attacks-industrial-companies-in-eastern-europe/110829/
5、卡巴斯基披露了针对俄罗斯工业和政府部门的攻击
10月24日,卡巴斯基披露了针对俄罗斯工业和政府部门的攻击活动。攻击的第一个是恶意文件finansovyy_kontrol_2023_180529.rar,该文件于2023年6月5日至6月6 日以电子邮件附件形式分发。一旦启动,.nsi脚本就会打开一个合法的假文档以转移受害者的注意力。接下来,该脚本解密字符串并调用Nullsoft安装程序里INetC插件的get函数,该函数尝试从恶意网站下载文件到系统。在第一次网络钓鱼邮件中,除了UsrRunVGA 之外,还分发了两个后门,名称分别为Netrunner和Dmcserv,是具有不同C2服务器配置的相同恶意软件。
https://securelist.ru/ataki-na-industrialnyj-i-gosudarstvennyj-sektory-rf/108229/
10月27日消息,LockBit勒索软件组织将波音公司添加到其Tor泄露网站的受害者名单中。该团伙声称从该公司窃取了大量敏感数据,并威胁如果波音不在截止日期(2023年11月2日13:25:39UTC)内联系他们,他们将公布这些数据。波音公司是一家市值600亿美元的公司,与其子公司一起在全球范围内设计、开发、制造、销售、服务和支持商用喷气式客机、军用飞机、卫星、导弹防御、载人航天以及发射系统和服务。
https://securityaffairs.com/153149/cyber-crime/lockbit-ransomware-gang-boeing.html
1、工业路由器一帆YF325中存在11个严重漏洞
10月11日,思科Talos研究人员披露了工业蜂窝路由器一帆YF325中的11个严重漏洞,CVSS v3.1评分均为9.8,其中10个是未打补丁的零日漏洞。攻击者可以利用路由器中的漏洞进行各种攻击,在某些情况下获得在目标设备上执行任意shell命令的能力。其中包括CVE-2023-32632,该漏洞可能允许攻击者在目标设备上执行任意shell命令。研究人员还表示CVE-2023-24479可能是这组漏洞中最严重的一个,攻击者可以利用此漏洞更改设备的管理凭据并获取root访问权限。
https://blog.talosintelligence.com/vulnerability-roundup-webkit-and-yifan-router/
2、罗克韦尔自动化称Stratix工业交换机受Cisco IOS XE零日漏洞影响
罗克韦尔自动化已就其Stratix工业交换机上的Cisco IOS XE零日漏洞被积极利用的影响向客户发出警告。身份不明的黑客利用两个编号为CVE-2023-20198和CVE-2023-20273的Cisco IOS XE零日漏洞在受影响的设备上创建高权限帐户,并部署基于Lua的植入程序,从而使他们能够完全控制系统。罗克韦尔称,其使用Cisco IOS XE操作系统的 Stratix 5800和5200托管工业以太网交换机受到CVE-2023-20198的影响。该漏洞仅在启用IOS XE Web UI功能时,设备才会受到影响。
https://www.securityweek.com/rockwell-automation-warns-customers-of-cisco-zero-day-affecting-stratix-switches/
3、Weintek HMI存在三个安全漏洞
10月12日消息,研究人员在台湾Weintek制造的人机界面(HMI)产品中发现了三个安全漏洞,分别为CVE-2023-38584、CVE-2023-40145、CVE-2023-43492,成功利用这些漏洞可能允许攻击者劫持控制流并绕过登录身份验证或执行任意命令。
https://www.cisa.gov/news-events/ics-advisories/icsa-23-285-12
4、ICS 10月补丁:西门子和施耐德修复了40多个影响其产品的安全漏洞
西门子在10月的补丁中发布了十多个新公告,解决了41个漏洞。其中一份通报描述了影响西门子Ruggedcom APE1808工业应用托管平台的七个漏洞,该平台专为在恶劣的关键任务环境中运行第三方软件而设计。这些漏洞存在于工业和物联网网络安全公司Nozomi Networks生产的产品中,特别是该公司的Guardian产品(旨在提供资产库存和网络可见性)以及中央管理控制台(CMC),该控制台聚合Guardian传感器数据。这些漏洞可被用来获取信息、执行任意JavaScript代码、劫持用户会话并导致拒绝服务(DoS)情况。施耐德电气发布了两份新公告,告知客户针对三个关键漏洞的补丁的可用性。其中两个影响SpaceLogic C-Bus 工具包,当通过网络使用传输命令时,它们可用于远程执行代码;当使用文件命令时,它们可用于篡改运行 C-Bus 的 PC上的文件。第三个严重漏洞影响EcoStruxure Power Monitoring Expert (PME) 和EcoStruxure Power Operating产品,可通过向应用程序发送特制数据包来利用该漏洞执行代码。
https://www.securityweek.com/ics-patch-tuesday-siemens-ruggedcom-devices-affected-by-nozomi-component-flaws/