工业网络安全周报

本期摘要

政策法规方面，本周观察到国内外网络安全相关政策法规4项，值得关注的有美国NIST公布了NIST SP 800-82文件的第三次迭代以应对OT环境中网络威胁的复杂性、美国安全机构发布防止网络钓鱼入侵的指南并提供缓解策略。

漏洞态势方面，本周监测到漏洞动态24条，值得关注的有中国物联网和视频监控产品制造商Milesight制造的一些工业路由器存在高危漏洞。

安全事件方面，本周监测到重大网络安全事件29起，其中典型的事件有乌克兰至少11家电信公司遭到攻击导致服务暂时中断、日本最大通信运营商九百万条数据被盗等。

产品技术方面，OT网络安全公司Radiflow宣布与Cyolo建立合作伙伴关系，以提高安全远程访问并进一步检测异常行为。

01. 美国NIST公布了NIST SP 800-82文件的第三次迭代以应对OT环境中网络威胁的复杂性

在直接针对操作技术(OT)的威胁不断加剧和危险的近距离攻击的背景下，美国国家标准与技术研究院(NIST)最近公布了NIST SP 800-82文件的第三次迭代。新版本强调了对OT的更大关注，这与之前对工业控制系统(ICS)的重视不同。值得注意的是，NIST SP 800-82r3出版物纳入了涵盖所有OT威胁和漏洞的关键更新，同时还推进了OT风险管理、建议实践和架构考虑因素领域。

资料来源：http://vdjy6.xai8.sbs/P5ffrg8

02. 美国安全机构发布防止网络钓鱼入侵的指南并提供缓解策略

美国网络安全和基础设施安全局(CISA)、国家安全局(NSA)、联邦调查局(FBI)和多州信息共享与分析中心(MS-ISAC)推出指南，帮助组织了解恶意行为者是什么这样做，防御者可以采取适当的网络钓鱼缓解措施。该文档详细介绍了恶意行为者的技术，以及技术缓解措施和最佳实践，以帮助防止成功的网络钓鱼尝试。

资料来源：http://f5fx3.xai8.sbs/aZM12tB

03. 美国财政部与阿联酋签署网络安全协议

美国和阿拉伯联合酋长国已敲定一项协议，规定两国将如何在网络安全和数字弹性方面进行合作。美国财政部和阿联酋网络安全委员会签署的协议中呼吁加强有关金融部门数字威胁的信息共享;更多的员工培训和参观;据财政部称，还有“能力建设活动”，例如联合在线演习。

资料来源：https://therecord.media/treasury-deal-with-uae-cybersecurity

04. NSA发布ICS/OT入侵检测签名和分析工具

美国国家安全局发布了一个名为Elitewolf工具库，帮助关键基础设施实体追查ICS和其他OT环境中的恶意活动，该工具库包含以ICS/SCADA/OT为重点的入侵检测签名和分析，使国防工业基础(DIB)、国家安全系统(NSS)和服务以及其他关键基础设施所有者和运营商能够实施持续的系统监控。

资料来源：http://dee25.xai6.sbs/s2Hv8qU

05. 思科Talos披露一帆YF325工业路由器中的11个严重漏洞

思科Talos的研究人员最近披露了工业蜂窝路由器一帆YF325中的11个漏洞，其中10个是未打补丁的零日漏洞。攻击者可以利用路由器中的漏洞进行各种攻击，在某些情况下获得在目标设备上执行任意shell命令的能力。

资料来源：http://3fqj5.xai6.sbs/8kvKeM8

06. Cisco透露其IOS XE软件中身份验证绕过漏洞已被利用

媒体10月16日报道，Cisco透露其IOS XE软件中的身份验证绕过漏洞(CVE-2023-20198)已被主动利用。未经身份验证的攻击者可利用该漏洞获得管理员权限，并远程控制受影响的路由器和交换机。该漏洞仅影响启用了Web用户界面(Web UI)功能且同时启用了HTTP或HTTPS服务器功能的设备，目前仍在等待补丁。Cisco于9月28日发现了这些攻击，进一步调查发现攻击可追溯到9月18日，并于10月12日发现了与该漏洞利用相关的其它活动。该公司建议管理员禁用面向互联网的系统上的HTTP服务器功能，以抵御此类攻击。

资料来源：http://8nai5.xai6.sbs/hsiAn8J

07. Milesight工业路由器被爆高危漏洞

据漏洞利用和漏洞情报公司VulnCheck称，影响中国物联网和视频监控产品制造商Milesight制造的一些工业路由器的漏洞可能已在攻击中被利用。Milesight (Ursalink)的多款UR系列工业蜂窝路由器受到CVE-2023-43261的影响，这是一个暴露系统日志文件(例如“httpd.log”)的严重漏洞。

资料来源：http://uvsq3.xai8.sbs/jLroFgz

08. Knight勒索软件组织声称BMW经销商遭受网络攻击

臭名昭著的Knight勒索软件组织声称对BMW Munique Motors(朗多尼亚州授权的BMW经销商)的网络攻击负责。此网络攻击声明发布在Knight勒索软件组织经常使用的暗网频道上。更严重的是，威胁行为者给访问者留下了一条消息，称“倒计时结束时，下载链接将显示在此处。”

资料来源：https://thecyberexpress.com/cyberattack-on-bmw-munique-motors/

09. 乌克兰至少11家电信公司遭到攻击导致服务暂时中断

黑客组织的网络攻击构成了现代战争的数字冲突新前沿。新加坡网络安全公司Group-IB表示，在巴以冲突升级期间，各种威胁组织正在加入战局，并对政府网站和IT系统发起攻击。地面和网络空间的战斗愈演愈烈，以色列正在地面和网络空间两条战线上开展反击。“匿名者苏丹”正在加紧行动。该组织不满足于摧毁网站，他们的目标是以色列的移动全天候防空系统“铁穹”。

资料来源：https://www.secrss.com/articles/59473

10. 智利海关总署部分基础设施感染勒索软件Black Basta

10月18日报道称，智利海关总署的部分基础设施感染了勒索软件Black Basta。智利国家服务局表示，在检测到安全事件后立即采取了响应措施。该国计算机安全事件响应小组(CSIRT)调查确认，这是一次勒索攻击，并指出该事件涉及Black Basta团伙。CSIRT提醒智利所有的政府机构，勒索软件是在国家海关总署的部分基础设施中发现的，并敦促他们检查自己的系统以抵御进一步的攻击。

资料来源：https://therecord.media/chile-black-basta-ransomware-attack-customs-department

11. 日本最大通信运营商九百万条数据被盗，泄露时间长达十年

10月17日，日本最大通信网络运营商NTT WEST两家子公司宣布，一位负责系统维护的前外包临时工非法获取了约900万条用户信息，并将部分信息发给其他公司，其中包括用户姓名、地址、电话号码以及信用卡信息等。两家子公司表示，目前尚无法确认信息泄露造成的损害，警方正对此展开调查。

资料来源：http://3v5o2.xai6.sbs/ph0MIPC

12. 复杂的MATA框架攻击东欧石油和天然气公司

作为2022年8月至2023年5月期间发生的网络间谍活动的一部分，名为MATA的复杂后门框架的更新版本已被用于针对石油和天然气行业以及国防工业的十几家东欧公司的攻击。卡巴斯基在本周发布的一份新的详尽报告中表示：“攻击背后的攻击者使用鱼叉式网络钓鱼邮件来瞄准多名受害者，其中一些受害者通过互联网浏览器下载文件而感染了Windows可执行恶意软件。”

资料来源：https://thehackernews.com/2023/10/sophisticated-mata-framework-strikes.html

13. 卡西欧披露数据泄露影响了149个国家的客户

日本电子产品制造商卡西欧(Casio)披露，黑客侵入其ClassPad教育平台的服务器后，数据泄露，影响了来自149国家/地区的客户。卡西欧于10月11日检测到该事件，原因是该公司开发环境中的ClassPad数据库发生故障。

资料来源：http://gcil5.xai6.sbs/kIBlrue

14. 黑客组织Cyber Av3ngers宣称关闭200个以色列加油站

据伊朗塔斯尼姆通讯社(Tasnim)新闻社10月15日报道，黑客组织CyberAv3ngers声称对以色列著名加油站控制解决方案提供商ORPAK Systems的大规模网络攻击负责。攻击者在他们的Telegram频道上发布了被盗的数据库。据媒体报道，一次网络攻击导致以色列200个汽油泵关闭，进而导致特拉维夫和海法等地多个加油站关闭。CyberAv3ngers还在其Telegram频道上发布了一些加油站闭路电视摄像机的文件和录音。

资料来源：https://www.securitylab.ru/news/542755.php

15. Radiflow与Cyolo合作保护OT网络免受未经授权的设备访问

10月17日，OT网络安全公司Radiflow宣布与Cyolo建立合作伙伴关系，以提高安全远程访问并进一步检测异常行为。该合作伙伴关系确保对OT/ICS(操作技术/工业控制系统)网络和资产的访问和安全操作得到持续监控和控制，并通过对威胁的快速有效响应得到加强。

资料来源：http://z98c3.xai8.sbs/n3ctIad