工业网络安全周报

本期摘要

政策法规方面，本周观察到国内外网络安全相关政策法规3项，值得关注的有18国签署《安全AI系统开发指南》等。

漏洞态势方面，本周监测到漏洞动态9条，值得关注的有Chrome发布紧急更新修复漏洞CVE-2023-6345。

安全事件方面，本周监测到重大网络安全事件21起，其中典型的事件有伊朗黑客组织CYBER AV3NGERS劫持美国自来水公司的工业控制系统、大信团队声称北德克萨斯市政水区遭到黑客攻击。

并购技术方面，Palo Alto Networks推出适用于变电站等运营技术(OT)环境的新型坚固型防火墙，该产品利用机器学习来阻止威胁，与上一代防火墙相比，它的性能提高了三倍。

01. 18国签署《安全AI系统开发指南》

11月27日，美国、英国和其他十几个国家公布了首份关于如何保护AI免受流氓行为侵害的详细国际协议《安全AI系统开发指南》，敦促企业打造“设计安全”的AI系。协议由英国国家网络安全中心(NCSC)主导，并与美国网络安全和基础设施安全局(CISA)共同制定，从而建立了AI领域的全球合作。

资料来源：https://www.ncsc.gov.uk/news/uk-develops-new-global-guidelines-ai-securityl

02. WEF制定了五项指导原则，以实现跨OT环境的网络安全

11月23日，世界经济论坛(WEF)发表了一篇论文，提供了在OT和IT(信息技术)环境日益数字化和融合之际确保操作技术(OT)环境中网络安全的指南。确保OT网络安全是工业运营持续运行的基础，而工业运营对于保持全球经济和基础设施的运行至关重要。

资料来源：https://www.weforum.org/publications/unlocking-cyber-resilience-in-industrial-environments-five-principles/

03. 美国CISA计划于2024年初推出ReadySetCyber工具，将网络安全纳入业务决策

11月28日，美国网络安全和基础设施安全局(CISA)提供了一种新方式的推出，让组织可以了解其网络风险并获得围绕该机构的网络安全绩效目标(CPG)制定的有针对性的、直接的指导。名为ReadySetCyber的新工具将于2024年初首次亮相，它将简化将网络安全纳入组织业务决策的过程，无论专业水平或员工数量如何。

资料来源：https://industrialcyber.co/cisa/cisa-plans-to-launch-readysetcyber-tool-in-early-2024-to-integrate-cybersecurity-into-business-decisions/

04. Chrome发布紧急更新修复漏洞CVE-2023-6345

11月28日，Google发布紧急安全更新，修复了今年的第6个Chrome零日漏洞(CVE-2023-6345)。该漏洞源于Skia开源2D图形库中的一个整数溢出漏洞，可能导致宕机和执行任意代码等。

资料来源：https://www.bleepingcomputer.com/news/security/google-chrome-emergency-update-fixes-6th-zero-day-exploited-in-2023/

05. Ray AI框架中发现严重漏洞

11月28日，网络安全公司Bishop Fox称，人工智能开源计算框架Ray中存在一个严重的错误，该错误的编号为CVE-2023-48023，其存在是因为Ray未在其至少两个组件(即仪表板和客户端)上正确强制执行身份验证。远程攻击者可以利用此问题在未经身份验证的情况下提交或删除作业。此外，Bishop Fox表示，攻击者还可以检索敏感信息并执行任意代码。

资料来源：https://www.securityweek.com/critical-vulnerability-found-in-ray-ai-framework/

06. BLUFFS漏洞可让攻击者劫持蓝牙连接

11月28日，据报道，Eurecom的研究人员Daniele Antonioli开发了六种蓝牙攻击，统称为“BLUFFS”，可以破坏蓝牙会话的保密性，从而允许设备冒充和中间人(MitM)攻击。这些缺陷并非特定于硬件或软件配置，而是架构性的，这意味着它们从根本上影响蓝牙。这些缺陷被标识为CVE-2023-24023，影响蓝牙核心规范4.2至5.4。

资料来源：https://www.bluetooth.com/learn-about-bluetooth/key-attributes/bluetooth-security/bluffs-vulnerability/

07. 伊朗黑客组织CYBER AV3NGERS劫持美国自来水公司的工业控制系统

11月27日，伊朗威胁行为者入侵了美国宾夕法尼亚州阿里基帕市水务局(MWAA)，并控制了其中一个增压站。当局指出，此次袭击并未影响该设施的运营、供水和饮用水。MWAA董事会主席马修·莫特斯(Matthew Mottes)向KDKA-TV证实，此次攻击是伊朗黑客组织Cyber Av3ngers所为。

资料来源：https://securityaffairs.com/154818/hacktivism/cyber-av3ngers-hacked-municipal-water-authority-of-aliquippa.html

08. 大信团队声称北德克萨斯市政水区遭到黑客攻击

北德克萨斯市政水区(NTMWD)是一个区域水区，为美国北德克萨斯州的一组成员城市和客户提供批发水、废水处理和固体废物服务。它是一个政府实体，旨在解决其成员社区的供水需求并促进负责任的水资源管理。大信团队将NTMWD添加到其Tor泄露网站的受害者名单中。该团伙声称从该公司窃取了大量敏感数据，并威胁要公开这些数据。

资料来源：

https://securityaffairs.com/154881/cyber-crime/daixin-team-north-texas-municipal-water-district.html

09. 乌克兰情报部门黑客入侵俄罗斯联邦航空运输局

11月27日，乌克兰情报部门宣布，他们已经入侵了俄罗斯联邦航空运输局“Rosaviatsia”。这次攻击是复杂的特殊网络行动的结果。乌克兰国防情报局表示，由于在网络空间进行了一次成功的复杂特种行动， 俄罗斯交通部下属机构——联邦航空运输局(Rosaviatsia)的大量机密文件现已被获取。

资料来源：

https://www.bleepingcomputer.com/news/security/ukraine-says-it-hacked-russian-aviation-agency-leaks-data/

10. 麒麟勒索病毒声称攻击汽车巨头延锋

11月27日，又名“Agenda”的Qilin勒索软件组织声称对延锋进行了攻击，并将其添加到其Tor数据泄露勒索网站中。延锋是一家专注于内饰零部件的中国汽车零部件开发商和制造商，在全球240个地点拥有超过57,000名员工。威胁行为者发布了多个样本，以证明他们涉嫌访问延锋系统和文件，包括财务文件、保密协议、报价文件、技术数据表和内部报告。

资料来源：https://www.bleepingcomputer.com/news/security/qilin-ransomware-claims-attack-on-automotive-giant-yanfeng/

11. 斯洛文尼亚最大的电力供应商HSE遭受勒索软件攻击

11月27日，斯洛文尼亚最大电力供应商Holding Slovenske Elektrarne(HSE)遭到勒索攻击。HSE在上11月22日遭到攻击，并于24日控制住了攻击。虽然该公司的发电业务并未受到影响，但是IT系统和文件被加密了。目前，该公司尚未收到赎金要求，并声明称该事件不会导致运营中断和经济损失，当地媒体获得的非官方信息显示，攻击归因于勒索团伙Rhysida。

资料来源：https://www.bleepingcomputer.com/news/security/slovenias-largest-power-provider-hse-hit-by-ransomware-attack/

12. 通用电气调查网络攻击和数据盗窃指控

11月26日，据媒体报道通用电气目前正在调查IntelBroker提出的网络攻击和数据盗窃指控。该组织声称他们获取了与该公司正在与DARPA合作的机密军事项目相关的信息。他们试图在黑客论坛上以500美元的价格出售其网络访问权限。虽然此次泄露事件尚未得到证实，但IntelBroker是一位过去以成功、引人注目的网络攻击而闻名的黑客。

资料来源：https://www.globalsecuritymag.fr/General-Electric-investigates-claims-of-cyber-attack-and-data-theft-by.html

13. LockBit勒索软件组织攻击印度国家航空航天实验室

11月29日，据媒体报道，印度国家航空航天实验室(NAL)面临严重威胁，臭名昭著的LockBit勒索软件组织声称对网络攻击负责。继LockBit在暗网上发布网络攻击声明后，该黑客组织发布了一份令人心寒的最后通牒，截止日期为2023年12月18日18:58:48UTC，警告如果他们的要求仍未得到满足，则数据将被泄露。

资料来源：https://thecyberexpress.com/national-aerospace-laboratories-cyberattack/

14. 日本宇宙航空研究开发机构(JAXA)遭受网络攻击

11月28日，日本宇宙航空研究开发机构(JAXA)的发言人透露，该组织遭受网络攻击。JAXA保证，在其遭受网络攻击后，与卫星或火箭操作相关的敏感数据没有受到损害。截止到目前，JAXA没有透露提供网络攻击初步信息的第三方组织的身份。

资料来源：https://thecyberexpress.com/cyberattack-on-jaxa/

15. Palo Alto Networks推出适用于工业环境的新型坚固型防火墙

11月28日，Palo Alto Networks推出了一款适用于工业环境的坚固型防火墙，以及通过其工业OT安全产品提供的多项新功能。这款新产品推荐用于变电站等运营技术(OT)环境，利用机器学习来阻止威胁，Palo Alto Networks表示，与上一代防火墙相比，它的性能提高了三倍。

资料来源：https://www.paloaltonetworks.com/blog/2023/11/new-ot-security-innovations/