工业网络安全周报

政策法规方面，本周观察到国内外网络安全相关政策法规4项，值得关注的有CISA发布关于采用DDoS缓解措施的指南、美国DOE增加了两项新资源以提高能源领域CIE的认识和实施等。

漏洞态势方面，本周监测到漏洞动态19条，值得关注的有SEL电源系统管理产品中的9个漏洞已修复。

安全事件方面，本周监测到重大网络安全事件20起，其中典型的事件有Fancy Bear针对某能源基础设施的攻击等。

产品技术方面，MITRE和CISA发布用于OT攻击模拟的开源工具。

01、CISA发布关于采用DDoS缓解措施的指南

美国网络安全和基础设施安全局(CISA)发布了新指南，帮助联邦机构采用分布式拒绝服务(DDoS)缓解措施。DDoS攻击是一种网络攻击，其中威胁行为者用互联网流量淹没服务器或网络，耗尽其资源并使目标无法访问。

资料来源：http://wfju3.xai8.sbs/IpOAXRK

02、美国DOE增加了两项新资源，以提高能源领域CIE的认识和实施

9月5日，美国能源部(DOE)网络安全、能源安全和应急响应办公室(CESER)发布了两份声明，以支持实施国家网络信息工程(CIE)战略的多项建议。CESER根据其外展计划开发了CIE资源库和CIE实施指南，该计划支持处于整个行业实施CIE前沿的能源合作伙伴。该战略由保护能源基础设施执行工作组在国会的指导下制定，重点关注加强该部门识别和缓解网络漏洞的能力，提供了建议的行动，使能源部门能够通过主动建设网络安全来引领国家纳入CIE进入基础设施系统的设计。

资料来源：http://yyoc5.xai6.sbs/FZ4pFEN

03、美国能源部OT Defender Fellowship开放申请2024年列队

9月4日，美国能源部(DOE)宣布，其OT Defender Fellowship已开放2024届学生的申请。此举的重点是通过公私合作伙伴关系加强整个能源部门的网络安全。申请将于9月30日截止。OT Defender Fellowship向美国能源行业资产所有者运营商的中高级员工开放，包括电力、石油、天然气和可再生能源公司。之前的参与者包括来自全国各地组织的能源部门资产所有者和运营商。大约15名申请者将被选中参加。

资料来源：http://kynl3.xai8.sbs/CyNRshK

04、澳大利亚、英国等11家数据保护机构发布数据抓取联合声明

8月24日，澳大利亚信息专员办公室(OAIC)联合英国信息专员办公室(ICO)等11家国际数据保护机构发布了一份数据抓取联合声明。随着数据抓取技术实践越来越普遍，其引发的个人信息及隐私泄露风险也愈加凸显，通过数据抓取获取的数据可能会流向恶意第三方和情报机构，以此实现非法牟利或情报收集。

资料来源：http://dbvo5.xai6.sbs/blcdox7

05、华硕路由器受到三个严重远程代码执行缺陷的影响

华硕路由器RT-AX55、RT-AX56U_V2和RT-AC86U受到三个关键远程代码执行漏洞的影响，这些漏洞可能允许威胁行为者接管设备。三个漏洞分别为CVE-2023-39238(CVSS 9.8)：未经身份验证的远程攻击者可以利用该缺陷获取远程代码执行权限，从而在设备上执行任意操作或中断服务。CVE-2023-39239(CVSS 9.8)：华硕RT-AX55、RT-AX56U_V2和RT-AC86U通用设置功能的API中存在格式字符串漏洞。此函数无法正确验证输入格式字符串。未经身份验证的远程攻击者可以利用此漏洞获得远程代码执行、对设备执行任意操作或中断服务。CVE-2023-39240(CVSS 9.8)：ASUS RT-AX55、RT-AX56U_V2和RT-AC86U iperf相关模块set_iperf3_cli.cgi API存在格式字符串漏洞。此函数无法正确验证输入格式字符串。远程攻击者可以在未经许可的情况下利用它。该漏洞允许远程执行代码对设备执行任意操作或中断服务。攻击者可以通过向设备上的某些管理API函数提供特制的输入来触发上述问题。

资料来源：https://securityaffairs.com/150399/iot/asus-routers-critical-rces.html

06、SEL电源系统管理产品中的9个漏洞已修复

Schweitzer Engineering Laboratories(SEL)生产的几个电力管理产品最近修复了九个漏洞，其中包括潜在的严重缺陷。SEL是一家总部位于美国的公司，为电力行业提供广泛的产品和服务，包括控制系统、发电机和输电保护以及配电自动化。工业网络安全公司Nozomi Networks的研究人员在SEL-5030 acSELerator QuickSet和SEL-5037 Grid Configurato发现9个漏洞，该漏洞被标识为CVE-2023-31171，它允许目标用户从特制文件导入设备配置，从而允许在运行SEL软件的工程工作站上执行任意代码。该漏洞可与CVE-2023-31175关联，允许攻击者提升权限。SEL已发布软件更新来修复这些漏洞。

资料来源：http://g63i3.xai8.sbs/5KoVmr4

07、Fancy Bear针对某能源基础设施的攻击

9月6日，CERT-UA在公告中提及Fancy Bear针对乌克兰某能源基础设施发起攻击。攻击使用了包含BAT文件的钓鱼邮件来获得目标系统的初始访问权限。运行CMD文件将创建.bat和.vbs文件，并启动一个VBS文件，该文件将依次执行BAT文件。攻击者还在目标计算机中安装了Tor应用，并通过合法的webhook.site服务API使用“curl”实现远程命令执行，通过创建计划任务运行以BAT文件作为参数的VBS脚本来确保持久性。CERT-UA称，该能源基础设施的安全人员采取了相应措施阻止了此次攻击活动。

资料来源：https://therecord.media/ukraine-energy-facility-cyberattack-fancy-bear-email

08、研究人员公开Atlas VPN中泄露用户真实IP地址的漏洞

9月5日，Bill Toulas报道称一位名为“Educational-Map-8145”的Reddit用户在Reddit上发布了一个PoC漏洞，该漏洞不需要认证仅需要访问Atlas VPN Linux API就可以获取用户的真实IP地址。该PoC创建了一个由JavaScript自动提交的隐藏表单，连接到API终端URL http://127.0.0.1:8076/connection/stop。访问该API终端时，它会自动终止隐藏用户IP地址的Atlas VPN会话。一旦VPN连接断开，PoC就会自动连接到api.ipify.org，记录访问者的实际IP地址。Atlas VPN承诺将尽快发布修复程序。

资料来源：http://9fhn6.xai8.sbs/gCSjVCp

09、25个主要汽车品牌在安全和隐私方面被Mozilla评为不及格

Mozilla的一项研究显示，25个主要汽车品牌未能通过用户的麦克风、摄像头和汽车连接设备收集个人数据来保护消费者隐私。Mozilla分析的目标品牌包括宝马、雷诺、斯巴鲁、菲亚特、吉普、克莱斯勒、大众、丰田、雷克萨斯、福特、奥迪、梅赛德斯-奔驰、本田、林肯、讴歌、起亚、GMC、雪佛兰、现代、日产和特斯拉。

资料来源：http://eip46.xai8.sbs/b5UNHGq

10、伊朗黑客通过Zoho、Fortinet漏洞入侵美国航空组织

9月7日，CISA、FBI和美国网络司令部(USCYBERCOM)发布的一份联合报告显示，国家支持的黑客组织利用针对Zoho和Fortinet关键漏洞的漏洞攻击了美国一家航空组织。此次违规事件背后的威胁组织尚未被命名，但虽然联合通报没有将攻击者与特定国家联系起来，但美国网络司令部的新闻稿将恶意行为者与伊朗的利用活动联系起来。

资料来源：https://therecord.media/montreal-electricity-organization-lockbit-victim/

11、邪恶的MinIO漏洞：破坏企业网络的新攻击媒介

Security Joes的研究人员发现，一个未知的威胁参与者利用MinIO对象存储系统中的漏洞在易受攻击的服务器上远程执行任意代码。研究人员在GitHub存储库上发现了利用CVE-2023-28434和CVE-2023-28432漏洞的漏洞代码Evil_MinIO。MinIO是一种高性能的分布式对象存储系统，被各种组织使用。启动应用程序后，攻击者利用这些缺陷添加后门，使他们能够对受害者的系统进行远程代码执行攻击。

资料来源：https://hackread.com/uk-air-traffic-control-system-collapses-travel-chaos/

12、涉嫌LockBit攻击导致塞维利亚城市网络关闭

据当地媒体报道，9月7日，西班牙塞维利亚市议会仍未从网络攻击中恢复过来，官员们将此次网络攻击归咎于LockBit网络犯罪团伙。该事件影响了广泛的城市服务，包括警察、消防员和税务部门。据市政府官员称，袭击于9月4日开始，最初被确定为内部系统故障。

资料来源：http://ew3x5.xai6.sbs/D3waR6I、

13、德国金融监管机构网站遭受DDoS攻击

纽约市地铁的非接触式支付系统存在安全漏洞。任何有权访问某人信用卡号的人都可以看到他们在过去7天内进入城市地铁的时间和地点。问题出在OMNY网站上的一个“功能”，OMNY是大都会交通管理局(MTA)的触碰支付系统，它允许您仅使用信用卡信息查看最近的乘车历史记录。

资料来源：http://1khd3.xai8.sbs/E6955eU

14、数以千计的热门网站泄露秘密

代码安全公司Truffle Security警告称，Alexa前100万网站列表中的数千个域正在泄露机密，包括凭据。据该提供开源秘密扫描引擎的公司称，被分析的网站中有4,500个暴露了其.git目录。.git目录是在初始化Git存储库时创建的，其中包含项目所需的所有信息，包括代码提交、文件路径、版本控制信息等。

资料来源：http://1bcp2.xai6.sbs/f5Trgmk

15、MITRE和CISA发布用于OT攻击模拟的开源工具

9月5日，MITRE公司和美国网络安全和基础设施安全局(CISA)宣布了开源Caldera平台的新扩展，该平台可模拟针对运营技术(OT)的对抗性攻击。新的Caldera for OT扩展是国土安全系统工程与开发研究所(HSSEDI)与CISA合作的成果，旨在帮助提高关键基础设施的弹性。

资料来源：https://infosecurity-magazine.com/news/mitre-cisa-ot-attack-emulation-tool/