工业网络安全周报

本期摘要

政策法规方面，本周观察到国内外网络安全相关政策法规10项，值得关注的有国国家网信办《规范和促进数据跨境流动规定》公开征求意见。

漏洞态势方面，本周监测到漏洞动态31条，值得关注的有Claroty的Team82揭示了ConnectedIO边缘路由器、设备平台中的严重漏洞。

安全事件方面，本周监测到重大网络安全事件35起，其中典型的事件有江森自控勒索软件攻击可能影响美国国土安全部。

产品技术方面，连接设备安全公司Ordr已与ServiceNow Vulnerability Response集成，以缩小可见性差距，优化漏洞管理。

01、国家网信办《规范和促进数据跨境流动规定》公开征求意见

9月28日，为保障国家数据安全，保护个人信息权益，进一步规范和促进数据依法有序自由流动，依据有关法律，我办起草了《规范和促进数据跨境流动规定(征求意见稿)》，现向社会公开征求意见。

资料来源：http://www.cac.gov.cn/2023-09/28/c_1697558914242877.htm

02、CISA对ICS、OT、医疗设备的安全公告实施OASIS CSAF 2.0 标准

美国网络安全和基础设施安全局(CISA)宣布正式采用OASIS通用安全咨询框架(CSAF)2.0版标准，发布与ICS(工业控制系统)、OT(运营技术)和医疗设备相关的安全咨询。此举使用CSAF 2.0标准提供机器可读的建议，通过加入该机构采取主动措施来实现自动化、未来工具并推动及时修复。

资料来源：http://3kug3.xai8.sbs/t6OnToD

03、CISA、NSA强调十大网络安全错误配置，敦促网络防御者和软件制造商采取行动

10月5日，美国国家安全局(NSA)和网络安全与基础设施安全局(CISA)发布了一份联合网络安全咨询(CSA)，强调了大型组织中最常见的网络安全配置错误。该通报详细介绍了黑客用来利用这些错误配置的TTP(策略、技术和程序)。它还呼吁网络防御者和软件制造商采取适当的行动，降低恶意行为者利用已识别的错误配置的风险。

资料来源：https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-278a

04、NSA-CISA报告提供IAM指导，解决威胁关键基础设施、国家安全系统的风险

10月4日，美国国家安全局(NSA)与网络安全和基础设施安全局(CISA)以及行业合作伙伴合作发布了一份网络安全技术报告(CTR)。NSA-CISA文档为多重身份验证(MFA)和单点登录(SSO)技术的开发人员和供应商提供身份和访问管理(IAM)指南，并提供可操作的建议，以解决其产品中的关键挑战。

资料来源：http://tigs5.xai6.sbs/jpVln9j

05、NIST发布800-82r3 OT安全指南最终版本

9月28日，NIST宣布，它已发布最新操作技术(OT)安全指南的最终版本。NIST于2021年4月发布了特别出版物(SP)800-82r3(修订版3)的初稿，一年后发布了第二稿。目前，OT安全指南第三版已经完成。这份长达316页的文件提供了有关提高OT系统安全性的指导，同时满足其独特的安全性、可靠性和性能要求。

资料来源：http://i1nr5.xai6.sbs/U9KbJpH

06、Claroty的Team82揭示了ConnectedIO边缘路由器、设备平台中的严重漏洞

Claroty的Team82研究人员发现并披露了ConnectedIO ER2000 3G/4G边缘路由器中的关键漏洞，这些路由器充当网关，将IoT(物联网)设备连接到互联网。这些漏洞影响边缘路由器和基于云的设备管理平台以及将设备连接到云的通信协议。研究还指出，攻击者可能利用这些缺陷完全破坏云基础设施、远程执行代码并泄露所有客户和设备信息。

资料来源：http://3inu2.xai6.sbs/iZv60DQ

07、Atlassian修补攻击中利用的关键Confluence零日漏洞

澳大利亚软件公司Atlassian发布了紧急安全更新，以修复其Confluence数据中心和服务器软件中已被利用的最高严重性零日漏洞。这个严重的权限提升缺陷被追踪为CVE-2023-22515，影响Confluence Data Center和Server 8.0.0及更高版本，并且被描述为可在不需要用户交互的低复杂性攻击中远程利用。

资料来源：http://yxrw6.xai8.sbs/sRbsPkS

08、新的Supermicro BMC漏洞可能使许多服务器遭受远程攻击

服务器和计算机硬件巨头Supermicro发布了更新，以解决基板管理控制器(BMC) IPMI固件中的多个漏洞。发现这些漏洞的固件供应链安全公司Binarly解释说，这些问题(编号为CVE-2023-40284至CVE-2023-40290)可能允许远程攻击者获得BMC系统的root访问权限。

资料来源：http://sjel5.xai6.sbs/0I3f7se

09、严重的Glibc提权漏洞影响主要Linux发行版

主要Linux发行版(例如Debian、Fedora和Ubuntu)受到GNU C库(glibc)漏洞的影响，该漏洞可能为攻击者提供完全root权限。已发现的问题名为“Looney Tunables”，编号为CVE-2023-4911(CVSS评分为7.8)，影响glibc的动态加载器，该加载器负责将程序所需的库加载到内存中，并在运行时将它们与可执行文件链接起来。

资料来源：http://da4d3.xai8.sbs/b6wsFHs

10、江森自控勒索软件攻击可能影响美国国土安全部

上周江森自控宣布，它成为网络攻击的受害者，该攻击扰乱了其部分“内部信息技术基础设施和应用程序”。由于江森自控持有描述“许多国土安全部设施的物理安全”的文件，例如平面图和安全信息，并且这些文件可能存储在受感染的服务器上，导致国土安全部(DHS)的敏感信息可能在最近针对政府承包商江森自控国际公司的勒索软件攻击中遭到泄露。

资料来源：http://2a0w3.xai8.sbs/jMNXD0U

11、Cyber Av3ngers组织声称对以色列亚夫内市连续的停电事件负责

伊朗黑客组织“Cyber Av3ngers”已联系该组织Cyberwarzone.com，声称是困扰以色列城市的一系列电力故障的幕后黑手。局势已升级到包括市长在内的地方当局要求采取紧急行动的程度。

资料来源：https://www.securitylab.ru/news/542510.php

12、Lyca移动服务因网络攻击而严重中断

国际移动虚拟网络运营商Lyca Mobile证实，由于网络攻击，其服务最近几天严重中断，可能还导致数据泄露。这次攻击，导致客户和零售商无法充值，还影响了国内和国际通话。Lyca Mobile声称受此次攻击影响的移动电信服务现已恢复。

资料来源：https://www.lycamobile.co.uk/en/announcement

13、索尼确认数据泄露影响了近7,000名现任和前任员工

据Bleeping Computer报道，索尼现已通知其数据泄露的索尼互动娱乐(SIE)部门的员工。该媒体写道，该通知已发送给大约6,800名受此次泄露影响的个人。索尼在给受害者的通知中透露，此次泄露是由于MOVEit Transfer中的漏洞造成的，MOVEit Transfer是索尼和其他公司员工使用的文件管理传输软件。

资料来源：http://lcyi6.xai8.sbs/5da7BzH

14、黑客从欧洲电信标准机构窃取用户数据库

一家开发通信标准的非营利机构表示，黑客窃取了识别其用户的数据库。欧洲电信标准协会(ETSI)上周宣布了这一事件。目前尚不清楚这次攻击是否出于经济动机，或者黑客是否打算出于间谍目的获取用户列表。

资料来源：http://r2qs6.xai8.sbs/ObLd0tj

15、Ordr与ServiceNow漏洞响应集成，以缩小可见性差距，优化漏洞管理

连接设备安全公司Ordr已与ServiceNow Vulnerability Response集成，扩展了Ordr与ServiceNow Service Graph Connector、CMDB(配置管理数据库)和ITSM(IT服务管理)现有的双向集成。此举有助于缩小可视性差距并优化托管和非托管设备的漏洞管理，包括IoT(物联网)、IoMT(医疗物联网)和OT(运营技术)。

资料来源：http://mpbg2.xai6.sbs/Fl9t8g3

16、Gartner称2024年网络投资将达到2150亿美元

10月5日，Gartner在对网络安全行业的最新预测中表示，明年全球安全和风险管理支出预计将达到2150亿美元，较2023年同比增长14%。安全服务是业界最大的领域，涵盖咨询、IT外包、实施和硬件支持，将占所有支出的42%。据Gartner称，明年该细分市场将增长11%，达到900亿美元。第二大细分市场是基础设施保护和网络安全端点，预计将分别获得333亿美元和243亿美元的收入。

资料来源：http://mijk3.xai8.sbs/XbblUvt