工业网络安全周报

政策法规方面，本周观察到国内外网络安全相关政策法规5项，值得关注的有国家标准《网络关键设备安全技术要求可编程逻辑控制器(PLC)》公开征求意见、美国CISA发布新的身份和访问管理指南等。

漏洞态势方面，本周监测到漏洞动态7条，值得关注的有CISA披露西门子SIMATICPCS、欧姆龙设备中存在ICS漏洞。

安全事件方面，本周监测到重大网络安全事件34起，其中典型的事件有微软AI研究人员泄露38TB数据，包括密钥、密码和内部消息。

01、国家标准《网络关键设备安全技术要求可编程逻辑控制器(PLC)》公开征求意见

全国信息安全标准化技术委员会归口的国家标准《网络关键设备安全技术要求可编程逻辑控制器(PLC)》现已形成标准征求意见稿。根据《全国信息安全标准化技术委员会标准制修订工作程序》要求，现将该标准征求意见稿面向社会公开征求意见。

资料来源：https://www.tc260.org.cn/front/postDetail.html?id=20230921164223

02、美国CISA发布新的身份和访问管理指南

CISA于2023年9月发布了关于联邦机构如何将身份和访问管理(IDAM)功能集成到其身份、凭证和访问管理(ICAM)架构中的新指南。新指南是作为CISA持续诊断和缓解(CDM)计划的一部分发布的，该计划提供信息安全持续监控(ISCM)功能，帮助联邦机构提高其网络的安全性。

资料来源：http://irgr6.xai8.sbs/IcmUAsB

03、美国CISA发布开源软件安全路线图

9月20日，联邦调查局(FBI)和网络安全和基础设施安全局(CISA)发布了一份联合网络安全通报(CSA)，传播与FBI调查中最近于6月1日发现的Snatch勒索软件变种相关的已知勒索软件IOC和TTP。除了启用和实施防网络钓鱼的多因素身份验证(MFA)之外，还敦促关键基础设施组织保护并密切监控远程桌面协议(RDP)，并维护数据的离线备份。

资料来源：http://ukg53.xai8.sbs/HPaAjc4

04、美国DHS建议协调关键基础设施实体的网络事件报告，以识别趋势、防止攻击

美国国土安全部(DHS)概述了一系列关于联邦政府如何简化和协调网络事件报告以保护国家关键基础设施的可行建议。这些建议在9月19日提交给国会的一份报告中，允许政府识别恶意网络事件的趋势，并帮助组织预防、响应攻击并从攻击中恢复。这些措施也是2022年3月《关键基础设施网络事件报告法案》(CIRCIA)规定的。

资料来源：http://5gkn5.xai6.sbs/YSQBEOr

05、CISA披露西门子SIMATIC PCS、欧姆龙设备中存在ICS漏洞

9月19日，美国CISA(网络安全和基础设施安全局)发布了四份ICS(工业控制系统)公告，警告关键基础设施部门西门子SIMATIC PCS neo管理控制台、欧姆龙工程软件Zip-Slip、欧姆龙工程软件中存在硬件漏洞、欧姆龙CJ/CS/CP系列。这些通报及时提供了有关当前ICS安全问题、漏洞和漏洞的信息，该机构敦促用户和管理员查看新发布的ICS通报，了解技术细节和缓解措施。

资料来源：http://lx8l2.xai6.sbs/svUAETq

06、欧姆龙修补了ICS恶意软件分析过程中发现的PLC、工程软件缺陷

日本电子巨头欧姆龙最近修补了工业网络安全公司Dragos在分析复杂恶意软件时发现的可编程逻辑控制器(PLC)和工程软件漏洞。这些漏洞包括标识为CVE-2022-34151的关键硬编码凭据问题、标识为CVE-2022-45790的使用FINS协议的欧姆龙CJ/CS/CP系列PLC中的一个高严重性漏洞、标识为CVE-2022-45793的Sysmac Studio任意代码执行漏洞等。

资料来源：http://bxgn5.xai6.sbs/77gomTi

资料来源：https://cybersecuritynews.com/fortinet-fortios-flaw/

08、漏洞GitLab修补关键管道执行漏洞

DevOps平台GitLab宣布发布安全更新，解决了一个严重的漏洞，该漏洞允许攻击者以另一个用户的身份运行管道。跟踪为CVE-2023-5009(CVSS得分为9.6)，影响16.2.7之前的所有GitLab企业版(EE)版本和16.3.4之前的GitLab社区版(CE)版本。

资料来源：http://8fhy5.xai6.sbs/Tlrz5wx

09、Nagios XI网络监控软件中已披露多个安全漏洞，可能导致权限升级和信息泄露。

Nagios XI网络监控软件中已披露多个安全漏洞，可能导致权限升级和信息泄露。从CVE-2023-40931到CVE-2023-40934跟踪的四个安全漏洞影响NagiosXI版本5.11.1及更低版本。继2023年8月4日负责任地披露后，它们已于2023年9月11日进行了修补，发布了5.11.2版本。

资料来源：https://thehackernews.com/2023/09/critical-security-flaws-exposed-in.html

10、罗克韦尔报告关键基础设施网络攻击激增，能源行业受到高度关注

9月19日，罗韦尔自动化公司公布了其报告《工业运营中100多起网络安全事件剖析》的调查结果，调查结果显示过去三年的OT/ICS网络安全事件已超过1991年至2000年期间报告的总数;威胁行为者最关注能源行业(占攻击的39%);网络钓鱼仍然是最流行的攻击技术(34%)，这突显了网络安全策略(例如分段、隔离、零信任和安全意识培训)对于降低风险的重要性;在超过一半的OT/ICS事件中，监控和数据采集(SCADA)系统是目标(53%)，可编程逻辑控制器(PLC)是第二常见的目标(22%)。

资料来源：http://13kn3.xai8.sbs/cwdTTom

11、微软AI研究人员泄露38TB数据，包括密钥、密码和内部消息

Wiz Research在Microsoft的AI GitHub存储库上发现了一起数据泄露事件，其中包括30,000多条Microsoft Teams内部消息，所有这些都是由一个错误配置的SAS令牌造成的。这个案例是组织在开始更广泛地利用人工智能的力量时面临的新风险的一个例子，随着数据科学家和工程师竞相将新的人工智能解决方案投入生产，他们处理的大量数据需要额外的安全检查和保障措施。

资料来源：http://q7nz5.xai6.sbs/bMClCzo

12、电信公司遭受伪装成安全软件的新型后门攻击

思科Talos研究人员发现了名为HTTPSnoop和PipeSnoop的新后门，可用于维持中东电信公司网络的长期访问。HTTPSnoop是一个简单但有效的新型后门，它使用低级Windows API直接与系统上的HTTP设备交互。它利用此功能将特定的HTTP(S) URL模式绑定到端点以侦听传入请求。PipeSnoop可以通过读取预先存在的名为Windows IPC管道的内容，在受感染端点上运行shellcode有效负载。

资料来源：https://www.helpnetsecurity.com/2023/09/21/telecom-backdoors/

13、爱沙尼亚Elron铁路票务系统因网络攻击而瘫痪

9月20日，国家铁路公司Elron的火车票销售因网络攻击而中断，导致车终点站、火车本身以及埃尔隆在线环境内的销售都受到干扰。票务系统由一家名为Rindago的公司提供，截至9月20日下午，该公司正在努力解决这一问题。Ridango的系统遭受了分布式拒绝服务(DDoS)攻击，攻击期间有人试图阻止我们的应用程序并使服务器超载，从而导致外部服务无法访问。

资料来源：http://abck5.xai6.sbs/l9NoPum

14、Bing Chat AI宕机影响Windows Copilot等

Bing Chat是著名的ChatGPT支持的聊天机器人，允许用户与不同的人物和主题进行对话，但在全球范围内都存在连接问题。BleepingComputer可以确认Bing Chat在亚洲和美国无法使用。如果您遇到“连接”错误，您并不孤单。这次中断影响了所有依赖Bing Chat的服务，包括Microsoft Edge的侧边栏、Android上的SwiftKey以及Windows 11即将推出的Copilot集成。

资料来源：http://ceos2.xai6.sbs/FAgYe5B

15、Cyolo因其创新的零信任访问解决方案荣获Frost&Sullivan安全产品创新奖

9月19日，关键基础设施安全访问提供商Cyolo宣布其获得2023年北美安全远程访问运营技术和工业控制系统(OT/ICS)的产品创新奖。该公司提供单一、易于部署、使用和管理的解决方案，保护全球公司免受高风险访问场景的影响，并确保安全的OT环境。

资料来源：http://albj2.xai6.sbs/grmhFf8

16、思科将以约280亿美元收购Splunk，增强人工智能驱动时代的组织安全性和弹性

9月22日，思科和Splunk宣布达成一项最终协议，根据该协议，思科打算收购Splunk，以帮助组织从威胁检测和响应转向威胁预测和预防。该交易还将帮助组织在人工智能驱动的世界中变得更加安全和有弹性。合并后，思科和Splunk将成为全球最大的软件公司之一，并将加速思科的业务转型，实现更多经常性收入。

资料来源：http://ahlb5.xai6.sbs/Pb2qvU8