工业网络安全周报（2024年第2期）

本期摘要

政策法规方面，本周观察到国内外网络安全相关政策法规2项，值得关注的有英国NCSC发布针对中小型企业的实用安全指南。

漏洞态势方面，本周监测到漏洞动态14条，值得关注的有博世螺母扳手漏洞可助黑客攻击汽车生产线、思科Unity Connection严重漏洞可让攻击者获得root权限。

安全事件方面，本周监测到重大网络安全事件35起，其中典型的事件有沙特工业和矿产资源部(MIM)敏感数据暴露长达15个月、巴拉圭最大运营商Tigo遭到Black Hunt的勒索攻击。

1、英国NCSC发布针对中小型企业的实用安全指南

1月11日，英国安全机构发布了针对中小型企业(SMB)的新指南，旨在帮助减少使用在线服务时网络攻击的潜在影响。国家网络安全中心(NCSC)表示，其安全使用在线服务指南专门针对可能无法获得专门IT和支持人员的组织。

资料来源：https://www.infosecurity-magazine.com/news/ncsc-practical-security-guidance/

2、思科Unity Connection严重漏洞可让攻击者获得root权限

1月10日，思科称已经修补了一个关键的Unity Connection安全漏洞，该漏洞(CVE-2024-20272)是在该软件基于Web的管理界面中发现的，它允许攻击者通过将任意文件上传到目标系统来在底层操作系统上执行命令，最终可让未经身份验证的攻击者远程获取未修补设备上的root权限。

资料来源：http://njsfc.dwa1.sbs/lgQBIuu

3、两个Ivanti零日漏洞在野外被积极利用

1月1日，据报道，Ivanti在确认其Connect Secure和Policy Secure网关中的两个零日漏洞(CVE-2023-46805和CVE-2024-21887)正在被积极利用后，Ivanti敦促其客户尽快修复漏洞。资料来源：http://btd5a.dwa1.sbs/M8onzDN

4、Windows Kerberos漏洞导致Microsoft安全机制被绕过

1月9日，Microsoft发布的更新中包含两个严重错误，其中之一是CVE-2024-20674，这是一个Windows Kerberos安全功能绕过漏洞，允许攻击者绕过身份验证机制并发起模拟攻击。另一个严重漏洞是CVE-2024-20700，这是Windows超虚拟化技术中的远程代码执行漏洞。

资料来源：http://zdbcb.dwa1.sbs/wh8keEr

5、博世螺母扳手漏洞可助黑客攻击汽车生产线

1月9日，据报道，网络安全公司Nozomi Networks的研究人员表示，德国工程技术公司博世子公司生产的一系列流行的气动扭矩扳手中发现了多个漏洞。部分漏洞的CVE评分高达8.8分。所有CVE均影响14个版本的Rexroth Nexo充电式拧紧器和5个版本的Rexroth Nexo专用充电式拧紧器。

资料来源：http://busib.dwa1.sbs/WYmyB0S

6、QNAP修补QTS、Video Station、QuMagie、Netatalk产品中的高严重性缺陷

1月5日，台湾QNAP Systems宣布修复其产品组合中的十几个漏洞，其中包括操作系统中的高严重性缺陷其中包括操作系统中的高严重性缺陷。第一个高严重性问题是CVE-2023-39296，它被描述为原型污染缺陷，可能允许远程攻击者用类型不兼容的属性覆盖现有属性，这可能会导致系统崩溃。

资料来源：http://7c8yb.dwa1.sbs/yxp0TIF

7、网络威胁情报巨头Mandiant账户遭劫持

1月10日，网络威胁情报巨头Mandiant的X(以前的Twitter)账户被接管，并开始向其123,5000名关注者发送指向加密货币Drainer钓鱼页面的链接。1月11日该公司公布了此次调查的结果，确定此次劫持很可能是由于暴力密码攻击造成的。

资料来源：http://c3bzb.dwa1.sbs/SUNiCb2

8、沙特工业和矿产资源部(MIM)敏感数据暴露长达15个月

1月8日，据报道，沙特工业和矿产资源部(MIM)的环境文件被曝光，敏感细节向任何愿意获取这些信息的人开放。Cybernews研究团队认为敏感数据暴露已长达15个月。文件泄露了多种类型的数据库凭据、邮件凭据和数据加密密钥。

资料来源：http://p8qba.dwa1.sbs/DdDAUfX

9、美国交通部数据泄露致航空记录受损

1月8日，名为IntelBroker的威胁参与者在Breachforums上发帖称对对1月7日美国交通部(DOT)的重大数据泄露事件负责，Dot数据泄露泄露的数据库据称包含敏感信息，包含2015年的580万条飞行日志。截至目前，DOT尚未发布声明。

资料来源：http://nrmpa.dwa1.sbs/KPqLJ9S

10、黎巴嫩贝鲁特国际机场遭遇网络攻击

1月7日，下午5点刚过，黎巴嫩贝鲁特的拉菲克哈里里国际机场遭到网络黑客攻击。威胁行为者破坏了机场的航班信息显示系统(FIDS)，与此同时，行李系统出现技术故障，攻击者意在敦促伊朗支持的强大组织真主党不要“将国家拖入战争”。资料来源：

https://www.arabnews.pk/node/2437611/middle-east

11、AsyncRAT恶意软件攻击针对美国基础设施长达11个月

1月7日，AT&T的Alien Labs研究人员发布通告称其通过调查发现向选定目标传送AsyncRAT恶意软件的活动至少在过去11个月内一直活跃，使用了数百个独特的加载程序样本和100多个域。其中一些已确定的受害者管理着美国的关键基础设施。

资料来源：http://qt8qb.dwa1.sbs/EbOqoEC

12、土耳其黑客Sea Turtle攻击荷兰ISP、电信公司

1月8日，据报道，被追踪为“海龟”的土耳其国家支持的网络间谍组织一直在荷兰开展多次间谍活动，重点攻击对象为电信公司、媒体、互联网服务提供商(ISP)和库尔德网站。此前该组织主要针对中东地区以及瑞典和美国，利用DNS劫持和流量重定向等技术对政府进行中间人攻击以及非政府组织、媒体、ISP和IT服务提供商。

资料来源：http://ziw9d.dwa1.sbs/1okCCe2

13、巴拉圭最大运营商Tigo遭到Black Hunt的勒索攻击

1月9日，据报道称，巴拉圭最大的移动运营商Tigo Business遭受网络攻击，影响该公司业务部门的云和托管服务后，巴拉圭军方就Black Hunt勒索软件攻击发出警告。社交媒体上的大量报道指出其超过330台服务器被加密，备份在攻击期间遭到破坏。

资料来源：http://c6n2c.dwa1.sbs/CV6lT9N

14、美国某安全公司遭到攻击导致瑞士空军敏感文件泄露

1月10日，据报道，总部位于英国的国防和安全组织Ultra的子公司Ultra Intelligence&Communications(I&C)的30GB数据被盗，包括财务数据、员工数据和审计数据。其中一份泄露的文件涉及瑞士国防部与I&C之间的一份价值近500万美元的合同。

资料来源：http://6h9kd.dwa1.sbs/5jPlvUp

15、Forescout与ServiceNow集成，以增强跨数字工作流程的OT和ICS资产可视性

1月11日，网络安全公司Forescout宣布推出Forescout eyeInspect与ServiceNow集成。通过这种集成，Forescout使安全团队能够获取实时运营技术(OT)和工业控制系统(ICS)资产信息，从而有助于缩短平均检测时间(MTTD)和平均响应时间(MTTR)威胁。

资料来源：http://qxwqb.dwa1.sbs/Q7RBAuR