工业网络安全周报

本期摘要

政策法规方面，本周观察到国内外网络安全相关政策法规4项，值得关注的有国家标准美国CISA发布HBOM供应链风险管理框架，帮助采购商评估、降低风险。

漏洞态势方面，本周监测到漏洞动态12条，值得关注的有NCCoE发布最终NIST IR 8441 HSN配置文件，以增强太空网络安全。

安全事件方面，本周监测到重大网络安全事件30起，其中典型的事件有微软AI研究人员泄露38TB数据，包括密钥、密码和内部消息。

01、美国CISA发布HBOM供应链风险管理框架，帮助采购商评估、降低风险

9月25日，美国网络安全和基础设施安全局(CISA)发布了供应链风险管理的硬件物料清单(HBOM)框架。本文档介绍了一个HBOM框架，该框架为供应商创建了一个一致的、可复制的途径，以便在当前或未来的产品采购中与购买者就硬件组件进行互动。该框架为购买者提供了彻底评估和降低供应链风险的方法。

资料来源：http://o3oo2.xai6.sbs/ZqCGdSZ

02、美国提出两项法案推动加强农村网络安全

美国参议员MikeRounds(南达科他州，共和党)和CatherineCortezMasto(内华达州，民主党)提出了两项跨党派的立法，旨在保护农村和农业社区的网络安全，免受针对企业、基础设施和美国食品供应链的网络攻击。

资料来源：http://g1fd6.xai8.sbs/HPaAjc4

03、NCCoE发布最终NIST IR 8441 HSN配置文件，以增强太空网络安全

9月25日，美国国家标准与技术研究院(NIST)旗下的国家网络安全卓越中心(NCCoE)发布了最终的NIST IR 8441，即混合卫星网络(HSN)的网络安全框架(CSF)配置文件。HSN CSF配置文件(HSN配置文件)可作为空间利益相关者的指导资源，非常适合需要多个利益相关者参与与图像、传感、广播、通信或其他天基架构相关的活动的应用。

资料来源：http://g8cv3.xai8.sbs/t9RNLmP

04、新加坡CSA开展“网络之星”演习，测试11个关键部门对复杂网络攻击场景的响应

9月22日，新加坡网络安全局(CSA)进行了第五次网络之星演习(XCS23)，以评估和增强新加坡的危机应对能力，确保快速有效地应对网络攻击。新加坡武装部队数字和情报部门积极参与XCS23。此次演习有超过450人积极参与，其中包括CSA人员以及来自11个关键信息基础设施(CII)部门领导和业主的代表，共同为XCS23的成功做出了贡献。

资料来源：http://l5gm5.xai6.sbs/xCjdvVK

05、日本欧姆龙公司对抗复杂的恶意软件

日本公司欧姆龙最近发布了针对网络安全公司Dragos在分析复杂恶意软件时发现的可编程逻辑控制器(PLC)和工程软件中的漏洞的补丁。去年，美国网络安全机构CISA向组织发出了三个影响Omron NJ和NX系列控制器的漏洞的警告。Dragos报告称，其中一个漏洞(硬编码凭据关键问题CVE-2022-34151)被用来访问欧姆龙PLC，并且是名为Pipedream(Incontroller)的工业控制系统(ICS)的攻击目标。

资料来源：https://www.securitylab.ru/news/542075.php

06、西门子ALM漏洞导致访问权限被完全接管

以色列Otorio公司的研究团队发现并报告了西门子一款软件产品中的多个0day漏洞，特别是西门子ALM(自动化许可证管理器)。关键漏洞之一CVE-2022-43513允许攻击者在目标计算机内移动文件，这可能会导致许可问题。更严重的威胁是漏洞CVE-2022-43514，该漏洞允许攻击者绕过路径清理并获得目标系统的系统级权限。利用这些漏洞可以通过多次重命名和移动文件导致远程代码执行。攻击者可以替换并重新启动ALM服务可执行文件，从而有效地控制受影响的系统。

资料来源：https://www.securitylab.ru/news/542067.php

07、Google发布针对主动利用的零日漏洞的补丁

9月27日，谷歌周三推出了修复程序，以解决Chrome浏览器中新的被积极利用的零日漏洞。该高严重性漏洞被追踪为CVE-2023-5217，被描述为libvpx中VP8压缩格式中基于堆的缓冲区溢出，libvpx是Google和开放媒体联盟(AOMedia)提供的免费软件视频编解码器库。

资料来源：http://5ywu2.xai6.sbs/ImjEGkW

08、研究人员发布了SharePoint新RCE漏洞利用链的详细信息

安全研究人员本周在GitHub上发布了一个SharePoint漏洞的概念验证代码，展示了攻击者如何利用该漏洞获取易受攻击系统的管理员权限。安全研究人员本周在GitHub上发布了一个SharePoint漏洞的概念验证代码，展示了攻击者如何利用该漏洞获取易受攻击系统的管理员权限。另一个缺陷被识别为CVE-2023-24955，是微软于5月份修补的远程代码执行(RCE)漏洞。它允许远程攻击者在SharePoint Sever 2019、SharePoint Server 2016和SharePoint Server订阅版上执行任意代码。

资料来源：http://4xdd5.xai6.sbs/6ZQnEkO

09、国际自动化巨头江森自控遭勒索软件攻击致部分运营中断

9月27日，美国网络安全事件报告的FORM 8-K文件显示，江森自控国际公司遭受了网络攻击。Nextron Systems威胁研究员 Gameel Ali在推特上发布消息称该攻击对江森自控的许多设备(包括VMware ESXi服务器)进行了加密，影响了公司及其子公司的运营。

资料来源：http://arwu5.xai6.sbs/etZ7qmp

10、大众汽车遭遇严重网络故障致德国生产暂停

9月27日，大众汽车表示其遭遇重大IT故障，导致该汽车制造商同名品牌在德国的生产陷入停顿，并补充说，包括保时捷公司和奥迪品牌在内的整个集团都受到了影响。该公司发言人表示该故障自中午12点30分以来就已存在，目前正在分析中。”这对汽车生产厂有影响。大众表示，根据目前的分析情况，外部攻击不太可能是系统故障的原因。目前还无法估计问题何时得到解决以及生产何时能够重新开始。

资料来源：http://mx616.xai8.sbs/cqO01yu

11、RansomedVC声称已入侵索尼的系统并将出售其数据

9月26日，据媒体称RansomedVC已入侵索尼集团的系统，并表示将出售其数据和访问权限，因为索尼不想交赎金。RansomedVC发布的样本很小，约2MB，包括PPT演示文稿、一些Java源代码文件和Eclipse IDE截图等。该团伙称窃取了260GB数据，并试图以250万美元出售这些数据。另一个黑客团伙MajorNelson称RansomedVC是骗子，并表示他们对此次攻击负责。该团伙发布了2.4GB的压缩文件作为样本，其中包含RansomedVC的样本中的所有文件。索尼目前正在调查此次攻击事件。

资料来源：http://ndae5.xai6.sbs/bUxZAvi

12、Alphv勒索软件组织入侵全球汽车和其他车辆音频和视频设备制造商Clarion

9月24日，据报道Alphv声称入侵了音频和多媒体设备的全球制造商Clarion。该公司开发、制造和销售各种产品，包括汽车导航系统、音频系统、视频系统和后视摄像头。Alphv在9月23日将Clarion添加到其Tor网站中，称有关业务和合作伙伴的机密已经数据泄露。该团伙还表示其获得了客户数据，并威胁在9月25日之前将这些数据出售给第三方。黑客发布了一些被盗文件的截图作为攻击的证据。

资料来源：http://oetr6.xai8.sbs/5da7BzH

13、加拿大航空Flair员工信息泄露数月

Cyber news研究团队发现，加拿大Flair航空公司将敏感数据库和电子邮件地址的凭据开放至少七个月。这增加了乘客的个人信息(例如电子邮件、姓名或地址)落入坏人之手的风险。泄露的内容包括Flyflair.com网站上托管的可公开访问的环境文件。Flyflair.com隶属于加拿大超低成本航空公司Flair Airlines，成立于2005年。根据SameWeb的数据，该网站每月吸引320万访问者。

资料来源：http://4kzn6.xai8.sbs/AUTCPcp

14、狡猾的Gelsemium黑客被发现对亚洲政府发起攻击

在2022年至2023年为期六个月的针对东南亚政府的攻击中，观察到一种被追踪为Gelsemium的隐形高级持续威胁(APT)。Gelsemium是一个自2014年开始运营的网络间谍组织，目标是东亚和中东的政府、教育和电子制造商。ESET2021年的报告将威胁组织描述为“安静”，强调了多年来帮助他们在雷达下飞行的巨大技术能力和编程知识。

资料来源：http://rmbx6.xai8.sbs/czSc76L

15、OTORIO与HSB推出有限性能保修，以利用风险管理策略，保护运营效率

9月27日，OT网络和数字风险管理解决方案公司OTORIO和专业保险公司HSB宣布，将共同努力提高人们对OT(运营技术)安全和降低风险的认识，将其作为可保性的关键战略。为了启动合作，HSB和OTORIO开发了有限性能保修，支持将OTORIO的OT安全网络风险管理解决方案实施到各种业务应用程序中。

资料来源：http://p3h62.xai6.sbs/E9ngRG