工业网络安全周报

本期摘要

政策法规方面，本周观察到国内外网络安全相关政策法规5项，值得关注的有工信部发布《工业互联网安全分类分级管理办法》公开征求意见、美国运安局更新铁路网络安全指令。

漏洞态势方面，本周监测到漏洞动态10条，值得关注的有Firefox、Chrome更新补丁。

安全事件方面，本周监测到重大网络安全事件23起，其中典型的事件有日本制表巨头精工证实6万条个人数据记录遭到泄露、智利电信巨头GTD遭勒索软件团伙袭击等。

产品技术方面，一家专门从事可编程逻辑控制器(PLC)和虚拟工业控制系统(ICS)安全培训实验室端点检测的公司Fortiphyd Logic 在SecurityWeek ICS网络安全会议上提出一种PLC安全编码技术，其目标是为PLC程序员提供提高安全性的指南。

01. 工信部发布《工业互联网安全分类分级管理办法》公开征求意见

为贯彻落实《网络安全法》《数据安全法》以及《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》等法规政策要求，加快建立健全工业互联网安全管理制度体系，深入实施工业互联网安全分类分级管理，工业和信息化部起草了《工业互联网安全分类分级管理办法(公开征求意见稿)》。

资料来源：http://pirs5.xai6.sbs/f5IH6VR

02. 美国运安局更新铁路网络安全指令

美国运输安全管理局(TSA)宣布更新三项监管客运和货运铁路运输公司的安全指令(SD)，以持续努力增强地面运输系统和相关基础设施的网络安全。这三项指令要求TSA指定的客运和货运铁路承运商采取行动，采用灵活的、基于绩效的方法，防止其基础设施中断和退化，并符合TSA对管道运营商的要求。

资料来源：http://z8fd3.xai8.sbs/bbWPZEa

03. CISA和HHS发布网络安全医疗保健工具包

10月25日，美国网络安全机构CISA和卫生与公众服务部(HHS)发布了针对医疗保健和公共卫生(HPH)组织的网络安全资源。新发布的网络安全医疗保健工具包旨在帮助各个级别的组织建立网络安全基础并实施更先进的工具来提高防御能力。该工具包详细介绍了组织和个人应采取的网络卫生步骤，概述了威胁形势，记录了网络安全最佳实践，并提供了网络安全框架实施指南。

资料来源：https://www.cisa.gov/topics/cybersecurity-best-practices/healthcare

04. NSA为在安全框架内使用零信任设备支柱的成熟设备提供建议

10月19日，美国国家安全局(NSA)发布了一份网络安全信息表(CSI)，涵盖零信任安全框架，使联邦机构、合作伙伴和组织能够评估其系统中的设备，并更好地应对与关键资源相关的风险。该文档为使用零信任设备支柱的成熟设备提供了建议，以确保寻求访问的设备根据设备元数据赢得信任，并持续检查以确定设备是否满足组织的最低访问标准。

资料来源：http://yfoc2.xai6.sbs/s2Hv8qU

05. Firefox、Chrome更新补丁

10月24日，Mozilla发布了Firefox119，修补了11个漏洞，其中包括3个高严重性问题。分别被标识为CVE-2023-5721(激活延迟不足的错误，可能会导致用户无意中激活或忽略浏览器提示和对话框，从而可能导致点击劫持)、CVE-2023-5730和CVE-2023-5731，这些问题可能允许攻击者执行任意代码。谷歌宣布了Chrome的软件更新，解决了两个漏洞，其中包括外部研究人员报告的一个高严重性问题。

资料来源：http://fcpe5.xai6.sbs/Ize1kXc

06. VMware修复了vCenter Server中的关键代码执行缺陷

VMware发布了安全更新来修复一个严重的vCenter Server漏洞，该漏洞可用于对易受攻击的服务器进行远程代码执行攻击。vCenter Server是VMware vSphere套件的中央管理中心，可帮助管理员管理和监控虚拟化基础架构。该漏洞(CVE-2023-34048)由趋势科技零日计划的Grigory Dorodnov报告，是由于vCenter DCE/RPC协议实现中的越界写入漏洞造成的。

资料来源：http://n3ag3.xai8.sbs/88IM33t

07. 日本制表巨头精工证实6万条个人数据记录遭到泄露

10月25日，日本制表巨头精工证实，几个月前发现的勒索软件攻击导致约60,000条个人数据记录遭到泄露，泄露的数据不仅包括SWC客户信息，包括姓名、地址、电话号码和电子邮件地址，还包括SGC、SWC和SII业务合作伙伴信息，例如姓名、职务、公司隶属关系和公司联系方式，影响了客户、业务合作伙伴和员工。

资料来源：http://rqrp6.xai8.sbs/2pUHzcv

08. 思科零日漏洞已被利用在数千台设备上植入恶意Lua后门

思科警告称，IOS XE中存在新的零日漏洞，未知威胁者已积极利用该漏洞在易受影响的设备上部署基于Lua的恶意植入程序。该漏洞被追踪为CVE-2023-20273(CVSS评分：7.2)，与Web UI功能中的权限升级缺陷有关，据说与CVE-2023-20198(CVSS评分：10.0)一起使用，作为漏洞利用链。

资料来源：http://4dkr6.xai8.sbs/4jDgaKo

09. Kaspersky披露针对俄罗斯工业部门和政府机构的攻击

10月24日，Kaspersky在披露了针对俄罗斯工控行业和政府机构的攻击活动。研究人员于6月首次检测到该活动，而在8月中旬发现了新版本的后门，该后门具有更复杂的绕过功能，表明攻击正在进行优化。攻击始于一个包含恶意ARJ文件的邮件，其中有一个诱饵PDF文档和一个NSIS脚本，该脚本用于获取主要payload并启动它。Kaspersky称，同一钓鱼活动还传播了两个名为Netrunner和Dmcserv的后门，这些是具有不同C2服务器配置的相同恶意软件。

资料来源：https://securelist.ru/ataki-na-industrialnyj-i-gosudarstvennyj-sektory-rf/108229/

10. 身份供应商Okta被黑后市值蒸发逾20亿美元

知名身份供应商Okta自10月20日披露其遭黑客攻击以来，公司市值已经减少超过20亿美元。Okta于10月20日披露，一个不明身份的黑客组织能够通过支持系统访问客户文件。该公司股价应声下跌，跌幅超过11%。10月23日开盘后，该公司股价继续下跌，收盘时跌幅达8.1%。

资料来源：http://mmye5.xai6.sbs/5fQeB6G

11. 美国能源公司分享Akira勒索软件如何入侵其系统

美国能源服务公司BHI Energy罕见地展示了透明度，详细介绍了Akira勒索软件操作如何在攻击期间破坏其网络并窃取数据。BHI Energy隶属于西屋电气公司，是一家专业工程服务和人员配置解决方案提供商，为私营和政府运营的石油和天然气、核能、风能、太阳能和化石发电装置以及输配电设施提供支持。

资料来源：http://4zd16.xai8.sbs/XthJrRF

12. Zscaler报告物联网、OT恶意软件攻击大幅增加；强调需要改进零信任安全

云安全公司Zscaler在其最新报告中指出，物联网和OT(运营技术)恶意软件攻击同比增长400%，强调需要更好的零信任安全性来保护关键基础设施。该报告发现，制造业和教育行业是最受攻击的行业，其中教育行业的物联网恶意软件攻击增加了近1000%。

资料来源：http://e1bn6.xai8.sbs/j6kmPzA

13. 智利电信巨头GTD遭勒索软件团伙袭击

智利电信巨头Grupo GTD是一家在整个拉丁美洲提供服务的电信公司，在智利、西班牙、哥伦比亚和秘鲁设有分支机构。该公司提供各种IT服务，包括互联网接入、移动和固定电话、数据中心和IT托管服务。10月23日，Grupo GTD称其遭受网络攻击，影响其基础设施即服务(IaaS)平台，导致在线服务中断。

资料来源：http://qwg76.xai8.sbs/yHNVSF4

14. 新的TetrisPhantom黑客从政府系统的安全USB驱动器中窃取数据

一种名为“TetrisPhantom”的新型复杂威胁一直在使用受损的安全USB驱动器来攻击亚太地区的政府系统。安全USB驱动器将文件存储在设备的加密部分中，并用于在系统(包括气隙环境中的系统)之间安全地传输数据。可以通过自定义软件访问受保护的分区，该软件根据用户提供的密码解密内容。UTetris.exe就是此类软件之一，它捆绑在USB驱动器的未加密部分上。

资料来源：http://hdjt2.xai6.sbs/j1J1JDI

15. Fortiphyd Logic提出一种PLC安全编程技术

一家专门从事可编程逻辑控制器(PLC)和虚拟工业控制系统(ICS)安全培训实验室端点检测的公司Fortiphyd Logic 在SecurityWeek ICS网络安全会议上提出一种PLC安全编码技术，其目标是为PLC程序员提供提高安全性的指南。

资料来源：http://evqp3.xai8.sbs/37a3HfX