工业网络安全周报

● 政策法规方面，本周观察到国内外网络安全相关政策法规10项，值得关注的有世界经济论坛启动多方利益相关者社区、美国网络空间日光浴委员会提出加强海上网络安全的建议等。

● 漏洞态势方面，本周监测到漏洞动态6条，涉及工业漏洞1条，值得关注的有Osprey水泵控制器中存在多个安全漏洞、QNAP修复NAS设备中的Sudo提权漏洞等。

● 安全事件方面，本周监测到重大网络安全事件14起，其中典型的事件有南亚黑客组织Bitter APT针对中国核能机构展开攻击、Latitude Financial数据泄露事件影响1400万名客户等。

● 产品技术方面，设备级零信任OT网络安全公司NanoLock Security与ISTARI合作，为客户提供设备级零信任OT保护。网络安全检测和预防领域领导者ReasonLabs推出了暗网监控功能，可针对一系列恶意在线活动提供实时的保护。

01 世界经济论坛启动多方利益相关者社区

世界经济论坛(WEF)发起了一个多方利益相关者社区，以加强整个制造业生态系统的网络安全弹性。利益相关者包括公共部门和学术界等，其计划通过提高决策者的意识和动员全球承诺来加强整个工业制造生态系统的网络安全弹性。新举措将在五大网络弹性支柱的基础上，定义整个制造业生态系统集体责任的关键指导原则和实践。

资料来源：http://lj2t.u.dwx1.sbs/brXYMYA

02 FDA提高医疗设备网络安全的标准

美国卫生与公众服务部(HHS)食品和药物管理局(FDA)机构于3月29日发布了最终指南，为网络设备制定了新的网络安全要求，其中包括要求设备制造商提交有关网络安全的信息。该文件还要求医疗保健利益相关者将涵盖软件物料清单(SBOM)和漏洞披露报告的网络安全规定纳入其基础设施。

资料来源：http://lblw.u.dwx1.sbs/fYQfLjW

03 网络空间日光浴委员会提出加强海上网络安全的建议

美国网络空间日光浴委员会提出了四项建议，以增强海上领域的网络安全。其中包括要求美国海岸警卫队增加资源以支持其作为部门风险管理机构(SRMA)的职责，以及在网络安全和基础设施安全局(CISA)内建立运营技术(OT)测试台来识别海上运输系统(MTS)中使用的关键系统的潜在网络安全漏洞。

资料来源：http://2cg9.u.dwx1.sbs/BVAk2J0

04 ENISA发布ECSMAF v2.0以分析欧盟网络安全市场

欧洲网络和信息安全局(ENISA)发布了网络安全市场分析框架(ECSMAF) v2.0，用于分析欧洲网络安全市场。ECSMAF v2.0有助于分析欧盟网络安全市场的趋势，以帮助ENISA及其利益相关者确定创新的、新兴的并具有需求和供应潜力的网络安全领域。资料来源：

http://0suv.f.dzxt.sbs/ZzoHkVJ

05 Osprey水泵控制器中存在多个安全漏洞

研究人员在ProPump and Controls制造的Osprey水泵控制器中发现了多个安全漏洞，攻击者可以利用这些漏洞远程入侵系统并完全控制设备。这些漏洞包括远程代码执行、身份验证绕过、命令注入和后门访问等，其中许多漏洞无需身份验证即可被利用。研究人员试图向供应商报告漏洞，但供应商未做出回应，漏洞可能仍未修补。

资料来源：http://fhqn.u.dwx1.sbs/FrvE5NE

06 Wi-Fi漏洞允许拦截流量和绕过客户端隔离

研究人员在IEEE 802.11 WiFi协议标准的设计中发现了一个漏洞，该漏洞被跟踪为CVE-2022-23961。攻击者可以利用该漏洞欺骗接入点，以明文形式泄漏网络帧。这些帧按队列排序受控传输，而排队缓冲的帧缺乏安全保护机制，攻击者可以操纵数据传输、客户端欺骗、帧重定向和捕获。该缺陷可以用来劫持TCP连接或拦截客户端和网络流量，影响各种设备和操作系统(包括Linux、FreeBSD、iOS和Android)。

资料来源：https://gbhackers.com/new-wifi-flaw/

07 QNAP修复NAS设备中的Sudo提权漏洞

QNAP修复了基于Linux的网络附加存储(NAS)设备中的Sudo提权漏洞。该漏洞被跟踪为CVE-2023-22809，CVSS评分7.8，攻击者可以利用该漏洞通过编辑未经授权的文件来提升权限。该公司已修复了QTS和QuTS hero平台中的漏洞，并在努力提供QuTScloud和QVP安全更新。QNAP建议客户定期将系统更新到最新版本，以防止遭受攻击。

资料来源：http://9eyv.f.dzxt.sbs/gHXPbXy

08 微软修补了Azure云服务中的安全漏洞

微软修补了Azure Service Fabric组件中的一个XSS漏洞，研究人员将其称之为Super FabriXss。Super FabriXss跟踪为CVE-2023-23383，CVSS评分8.2，未经身份验证的远程攻击者可以在其中一个Service Fabric节点托管的容器上执行代码。攻击者可以制作一个恶意URL，当点击该URL时，会启动一个多步骤过程，最终导致在其中一个集群节点上创建和部署有害容器。

资料来源：http://tnut.u.dwx1.sbs/oALErHD

09 网络钓鱼活动针对中国核能行业

Intezer发布安全报告，指出一支被认为来自南亚的黑客组织Bitter APT最近正针对中国核能机构展开攻击。该组织伪装成吉尔吉斯斯坦驻北京大使馆，并向中国核能公司和该领域学者发送钓鱼邮件，邀请他们参加由吉尔吉斯斯坦大使馆主办的核能会议。邮件签名者是真实存在的吉尔吉斯斯坦外交部的一名官员，但邮件附件是恶意的，能够释放一系列恶意负载。

资料来源：http://y06o.u.dwx1.sbs/NoqFqvk

10 印度旁遮普警方遭受网络攻击

安全研究人员在威胁监控期间发现了一篇讨论旁遮普警方网站安全漏洞的Telegram帖子，网络犯罪组织Eagle Cyber Crew声称，他们通过利用本地文件包含(LFI)漏洞获得了访问权限。旁遮普警方网站的这一安全漏洞暴露了登录凭据，包括数据库的用户名和密码。

资料来源：https://thecyberexpress.com/punjab-police-attacked-hackers-target-websites/

11 Latitude Financial数据泄露影响了1400万客户

澳大利亚金融公司Latitude Finance更新了数据泄露通知，称涉及的客户数量已经增加到1400万人。最初，该公司报告称黑客入侵了其两家服务提供商的系统，访问了约328,000条客户记录，但随着进一步调查，发现影响范围更大。约790万个澳大利亚和新西兰的驾照号码泄露，其中40%是在过去10年内提交给该公司的。此外，还有610万条记录也已泄露，其中94%是在2013年之前提交的。

资料来源：http://lwbj.u.dwx1.sbs/frsf0gR

12 丰田意大利公司营销工具的访问权限泄露长达一年半

丰田意大利公司在其官方网站上不小心泄露了其营销工具的访问权限，导致攻击者可能获得客户电话号码和电子邮件地址等信息。研究人员在其官网上官方网站上发现了一个环境文件(.env)，该文件包含了Salesforce Marketing Cloud和Mapbox API的凭证。该文件于2021年5月21日首次被物联网(IoT)搜索引擎编入索引，这意味着它已经向公众公开了一年半以上。

资料来源：https://cybernews.com/security/toyota-customer-data-leak/

13 Nanolock Security和Istari合作提供OT网络保护

设备级零信任OT网络安全公司NanoLock Security与ISTARI合作，为ISTARI的客户提供NanoLock的设备级零信任OT(操作技术)保护。该联盟还将满足针对美国、欧盟和新加坡关键基础设施安装的新兴联邦指导方针。NanoLock提供的设备级预防将确保为新旧OT资产提供与供应商无关的保护，以抵御外部和内部网络威胁。

资料来源：http://9nvo.u.dwx1.sbs/RWaJ2XG

14 ReasonLabs暗网监控识别恶意在线活动

ReasonLabs为其RAV在线安全解决方案推出了暗网监控功能，这是一种Web扩展，可针对一系列恶意在线活动提供实时、全天候的保护。暗网监控功能扫描数以万计的组合列表、泄露的数据库和隐藏在表面网络(可公开访问的互联网)中的恶意软件数据，以查找用户的个人数据，并在发生违规时立即通知用户。

资料来源：http://liic.u.dwx1.sbs/xak4p3d

来源：安帝Andisec