工业网络安全周报

政策法规方面，本周观察到国内外网络安全相关政策法规5项，值得关注的有全国信安标委发布《信息安全技术网络攻击和网络攻击事件判定准则》等3项国家标准公开征求意见、全国信安标委发布《信息安全技术重要数据处理安全要求》等4项国家标准公开征求意见等。

漏洞态势方面，本周监测到漏洞动态17条，值得关注的有Nozomi发现工程工作站中使用的SEL软件应用程序存在漏洞。

安全事件方面，本周监测到重大网络安全事件20起，其中典型的事件有澳大利亚能源软件提供商Energy One遭受网络攻击、蒙特利尔电力组织成为LockBit勒索软件狂潮的最新受害者等。

产品技术方面，Cybeats通过为期三年的合同协议向一家医疗设备制造商提供SBOM Studio。

01、全国信安标委发布《信息安全技术网络攻击和网络攻击事件判定准则》等3项国家标准公开征求意见

全国信息安全标准化技术委员会归口的《信息安全技术网络攻击和网络攻击事件判定准则》等3项国家标准现已形成标准征求意见稿。根据《全国信息安全标准化技术委员会标准制修订工作程序》要求，现将该3项标准征求意见稿面向社会公开征求意见。

资料来源：https://tc260.org.cn/front/postDetail.html?id=20230830130651

02、全国信安标委发布《信息安全技术重要数据处理安全要求》等4项国家标准公开征求意见

全国信息安全标准化技术委员会归口的《信息安全技术重要数据处理安全要求》等4项国家标准现已形成标准征求意见稿。根据《全国信息安全标准化技术委员会标准制修订工作程序》要求，现将该4项标准征求意见稿面向社会公开征求意见。

资料来源：https://tc260.org.cn/front/postDetail.html?id=20230830131050

03、ISA立场文件敦促依靠相关标准和培训来推进工业网络安全

国际自动化协会(ISA)发布了一份新的立场文件，其中就政策制定者和私营部门领导人如何有效解决加强关键基础设施网络安全的紧迫问题提供了建议。该论文于本周发布，采用了全球相关标准和一致性计划，并为致力于确保设施、流程和社区安全的工程师和自动化专业人员社区提供支持。该论文题为“推进工业网络安全”，概述了网络入侵对银行、企业和政府网络以及数据库的影响已被广泛宣传并为公众所熟知。对所有现代经济体所依赖的庞大关键基础设施和制造部门的网络和技术的网络攻击可能会对公共安全和福利造成破坏性影响。

资料来源：http://www.qxpc2.xai6.sbs/Nreutgj

04、美国CISA-FBI咨询涵盖QakBot基础设施的识别、破坏;提供缓解行动

8月30日，美国网络安全和基础设施安全局(CISA)和联邦调查局(FBI)发布了一份联合网络安全咨询(CSA)，根据FBI本月进行的调查发布了QakBot基础设施受损指标(IOC)。我们敦促各组织实施所提供的缓解措施，以减少QakBot相关活动的可能性，并促进识别QakBot促进的勒索软件和恶意软件感染。

资料来源：http://www.rnm83.xai8.sbs/HfPh3R0

05、Nozomi发现工程工作站中使用的SEL软件应用程序存在漏洞

Nozomi Networks Labs团队的研究和分析发现了九个漏洞，影响了Schweitzer Engineering Laboratories (SEL)开发的两个主要软件应用程序：SEL-5030 acSELeratorQuickSet和SEL-5037 GridConfigurator。这些应用程序通常安装在Windows工作站上，供工程师或技术人员用来调试、配置和监控SEL设备。研究人员在8月31日的博客文章中写道：“这9个漏洞中最严重的一个将允许威胁行为者在工程工作站上进行远程代码执行(RCE)。”“由于这两种SEL软件产品都包含广泛的功能，可以帮助资产所有者和系统运营商有效地监督和管理复杂的基础设施，因此威胁行为者可以利用它们来改变由任一软件应用程序控制的所有SEL设备的逻辑。”

资料来源：http://www.nco05.xai6.sbs/lop5Xas

06、PoC发布后，黑客利用了关键的瞻博网络RCE漏洞链

黑客正在使用关键的漏洞利用链，通过其暴露在互联网上的J-Web配置界面来瞄准Juniper EX交换机和SRX防火墙。成功利用该漏洞使未经身份验证的攻击者能够在未修补的设备上远程执行代码。Juniper表示：“通过不需要身份验证的特定请求，攻击者能够通过J-Web上传任意文件，从而导致文件系统特定部分的完整性丢失，从而可能导致其他漏洞的链接。”

资料来源：http://www.slim5.xai6.sbs/0r1ci7A

07、研究人员发布针对JuniperSRX防火墙漏洞的PoC

8月28日，研究人员发布了Juniper SRX防火墙中漏洞的PoC。8月中旬，Juniper修复了影响EX交换机和SRX防火墙的四个漏洞(CVE-2023-36844、CVE-2023-36845、CVE-2023-36846、CVE-2023-36847)。watchTowr发布的PoC利用了身份验证上传漏洞(CVE-2023-36846)将任意PHP文件上传到具有随机文件名的受限目录，还上传了PHP配置文件。然后利用PHP外部变量修改漏洞(CVE-2023-36845)覆盖环境变量PHPRC并加载PHP配置文件，以触发执行最初上传的PHP文件。

资料来源：http://www.tr1u2.xai6.sbs/kI05T4X

08、Netgear发布针对两个高严重性漏洞的补丁

网络硬件巨头Netgear发现了两个漏洞，影响其一款路由器型号及其网络管理软件。其中一个漏洞(编号为CVE-2023-41183)允许黑客访问Netgear的Orbi 760路由器并在无需身份验证的情况下利用它们。根据零日计划，问题在于简单对象访问协议(SOAP)API的设置，该协议允许不同的软件应用程序进行通信。他们表示，在授予某人使用某些SOAP功能的权限之前，没有适当的流程来确认某人的身份。该漏洞在通用漏洞评分系统(CVSS)上的得分为8.8。Netgear已经发布了补丁。该公司的公告称：“Netgear强烈建议您尽快下载最新固件。”并补充说，如果客户未能遵循其安全建议，该公司对由此产生的后果不承担任何责任。另一个漏洞(编号为CVE-2023-41182)影响该公司的网络管理系统ProSAFE。该缺陷允许黑客在ProSAFE系统上控制和运行自己的代码。零日计划表示，尽管利用此漏洞需要进行身份验证，但现有的身份验证机制可以被绕过。该漏洞的CVSS评分为7.2，并已在最新版本的ProSAFE中修复。目前还没有任何有关该漏洞被大规模利用的报告。

资料来源：https://therecord.media/netgear-releases-patches-for-two-bugs

09、丰田订单系统出现故障导致14个生产车间停产36小时

媒体8月30日称，日本丰田公司的订单系统出现故障，导致14个生产车间的28条生产线停产。故障开始于本周一晚间，生产于本周三按计划恢复。这家汽车制造商以其精益准时的生产系统闻名，并认为该系统非常可靠。这意味着丰田汽车的零部件库存量极低，几乎在需要安装到汽车上时这些零件才会就位。该公司在周二表示，系统故障并非攻击导致的，但他们将继续调查原因。

资料来源：https://theregister.com/2023/08/30/toyota_japan_production_resumes/

10、蒙特利尔电力组织成为LockBit勒索软件狂潮的最新受害者

LockBit勒索软件团伙继续占据新闻头条，并因对关键组织、政府和企业发起一系列攻击而引起网络安全专家的担忧。8月30日，该团伙声称对蒙特利尔电力服务委员会(CSEM)进行了攻击，该委员会是一个拥有100年历史的市政组织，负责管理蒙特利尔市的电力基础设施。CSEE于8月29日证实了这一事件，并在一份声明中写道，该组织于8月3日遭到勒索软件攻击，但拒绝支付赎金。它联系了魁北克省的国家当局和执法部门，同时尽一切努力恢复其系统。CSEM表示，其IT基础设施已经重建。“参与此案的犯罪团伙公开了一些被盗数据。

资料来源：https://therecord.media/montreal-electricity-organization-lockbit-victim/

11、空中交通管制系统宕机导致英国航班大面积取消和延误

8月28日，英国空中交通管制系统宕机，数十万旅客的行程受到影响。国家空中交通管制提供商NATS称它遇到了“技术问题”，并实施了交通流量限制以维护安全。该问题导致英国各地航班大面积延误和取消，还对整个欧洲的航班产生了连锁反应，一些航空公司取消了往返英国的航班。NATS已就此次中断事件致歉，并表示正在努力以尽快解决问题。

资料来源：http://www.zzsp6.xai8.sbs/o0gH41C

12、某供应商遭到攻击导致伦敦警局近5万员工的信息泄露

8月27日，伦敦大都会警察局正在调查关于其47000名警官和工作人员的信息泄露事件。泄露数据包括姓名、照片、军衔、审查级别和身份证号等。此次数据泄露是由于负责打印授权卡和员工通行证的承包商的IT系统遭到攻击导致的。目前尚不清楚攻击者是出于经济动机，还是专门窃取警察和工作人员的信息。由于担心泄露数据被有组织的攻击团伙利用，国家犯罪局(NCA)已被要求调查此次数据泄露事件。

资料来源：https://therecord.media/metropolitan-police-data-leak-hackers-uk

13、纽约地铁安全漏洞使得追踪乘客的行程成为可能

纽约市地铁的非接触式支付系统存在安全漏洞。任何有权访问某人信用卡号的人都可以看到他们在过去7天内进入城市地铁的时间和地点。问题出在OMNY网站上的一个“功能”，OMNY是大都会交通管理局(MTA)的触碰支付系统，它允许您仅使用信用卡信息查看最近的乘车历史记录。

资料来源：http://www.nwzm2.xai6.sbs/E6955eU

14、Cybeats通过为期三年的合同协议向一家医疗设备制造商提供SBOM Studio

Cybeats Technologies宣布签署新的许可协议，向另一家“全球五强”医疗设备制造商(MDM)提供 Cybeats解决方案SBOM Studio。通过此次合作，SBOM Studio成为全球十大MDM中的三个选定的SBOM管理平台。最近与MDM签订的几份合同表明Cybeats在价值180亿美元的医疗保健网络安全领域加速取得商业成功，并将其定位为该领域的“SBOM管理领导者”。Cybeats目前已与排名前10的MDM中的3家合作，并与其他几家全球MDM公司进行试验评估和后期合同谈判。SBOM Studio提供全面的软件供应链智能技术，使MDM能够管理软件物料清单(SBOM)并主动解决医疗设备中的网络风险。

资料来源：http://www.gv3s2.xai6.sbs/EbwNCQn

15、美国能源部拨款3900万美元用于电网现代化项目，其中包括网络安全

美国能源部(DOE)宣布为其国家实验室的项目提供高达3900万美元的资金，以帮助实现电网现代化。这些资金来自2023年电网现代化计划(GMI)实验室呼吁，旨在支持测量、分析、预测、保护和控制未来电网所需的概念、工具和技术的开发和部署，同时纳入公平性以及现有的最好的气候科学。现代化工作还将侧重于加强网络安全态势。

资料来源：http://www.q1wc3.xai8.sbs/FIPiu2V