工业网络安全周报（2024年第4期）

本期摘要

政策法规方面，本周监测到漏洞动态26条，值得关注的有Atlassian Confluence漏洞被利用、Splunk宣布修复Splunk Enterprise中的多个漏洞。

安全事件方面，本周监测到重大网络安全事件29起，其中典型的事件有乌克兰能源巨头、邮政服务和运输机构遭受网络攻击、美国双鹰能源控股公司遭受猎人勒索软件攻击。

安全技术方面，工业网络安全公司Nozomi Networks推出了Wednesday Guardian Air，以增强OT和物联网安全。

1、Atlassian Confluence漏洞被利用

1月22日，非营利网络安全组织Shadowserver Foundation报告称发现了关键Atlassian Confluence漏洞(CVE-2023-22527)利用的尝试。Shadowserver发现来自大约600个唯一IP地址的近40,000次利用尝试，这表明恶意行为者正在寻找易受攻击的服务器，他们可以破坏和滥用这些服务器来访问受害者的网络。

资料来源：http://5fnyc.dwa1.sbs/yGFcZvu

2、NTLM哈希泄漏攻击针对Outlook、Windows程序

1月22日，据报道，数据安全公司Varonis披露了一个新的漏洞和三种攻击方法，用于通过针对Microsoft Outlook和两个Windows程序来获取NTLM v2哈希值。新漏洞被追踪为CVE-2023-35636。Microsoft已为其分配了“重要”严重性评级，并通过2023年12月的补丁星期二更新修复了该问题。

资料来源：http://btvxc.dwa1.sbs/AyT01sf

3、Splunk修补Splunk Enterprise高严重性漏洞

1月22日，Splunk宣布修复Splunk Enterprise中的多个漏洞，其中包括影响Windows实例的高严重性错误。该高严重性缺陷被追踪为CVE-2024-23678，被描述为与路径输入数据的错误清理相关的问题，导致“从计算机上的单独磁盘分区不安全地反序列化不受信任的数据”。

资料来源：http://xqgwb.dwa1.sbs/RQC0FHE

4、思科修补企业协作产品中的严重漏洞

1月24日，思科宣布针对多个统一通信和联络中心解决方案产品中的严重漏洞发布补丁。该问题的编号为CVE-2024-20253(CVSS评分为9.9)，存在的原因是用户提供的数据在读入内存时未得到正确处理。

资料来源：http://vobva.dwa1.sbs/5dmH2T9

5、乌克兰能源巨头、邮政服务和运输机构遭受网络攻击

1月25日，几家乌克兰国有关键基础设施公司报告称其系统遭到网络攻击。受害者包括乌克兰最大的国有石油天然气公司Naftogaz。乌克兰国家邮政服务提供商Ukrposhta于当天也报告了一次网络攻击。25日报告网络攻击的第三个乌克兰实体是负责运输安全的机构DSBT。

资料来源：http://ujfaa.dwa1.sbs/CE0K3X0

6、乌克兰黑客声称攻击了俄罗斯科学研究中心

1月24日，GUR报道，名为“BO Team”的黑客组织攻击了俄罗斯国家空间水文气象研究中心(又名“Planeta”)，摧毁了其数据库和宝贵设备。据GUR称，丢失的数据可能会让俄罗斯损失至少1000万美元。然而，这一说法和攻击本身都无法独立验证。

资料来源：https://therecord.media/ukrainian-hackers-hit-russian-scientific-center

7、黑客利用特斯拉、电动汽车充电器、信息娱乐系统漏洞获奖金超过70万美元

1月24日，趋势科技的零日计划(ZDI)在日本东京举行的汽车世界会议期间为第一天的24个独特漏洞提供了总计722,500美元的奖励。最大的奖励颁给了Synacktiv团队，他们因破解Tesla调制解调器而获得了10万美元。另一项针对Phoenix Contact产品的充电桩漏洞为NCC Group团队赢得了30,000美元。

资料来源：http://lhrpc.dwa1.sbs/RAVs9cK

8、美国双鹰能源控股公司遭受猎人勒索软件攻击

1月23日，Hunters勒索软件组织声称对Double Eagle Energy Holdings IV,LLC(一家著名的美国石油和天然气开发和生产公司)发起了网络攻击。Hunters勒索软件攻击发生于2024年1月23日，Hunters组织声称已成功入侵双鹰能源控股公司，泄露了768.2GB的大量敏感数据，包括公司结构、内部文件、会计记录、银行账户信息、扫描的税务信息退货和护照。

资料来源：https://thecyberexpress.com/hunters-ransomware-attack/

9、航空租赁巨头AerCap遭受勒索软件攻击

1月13日，据报道，飞机租赁巨头AerCap确认成为勒索软件的受害者。该公司在向美国证券交易委员会提交的6-K表中表示，此次入侵发生于1月17日，一个名为“Slug”的新兴勒索软件组织已对此次事件负责，并将AerCap列在其泄漏网站上。

资料来源：http://3fdkb.dwa1.sbs/akmD9mb

10、LoanDepot遭遇勒索攻击

1月22日，贷款巨头LoanDepot表示，约1660万人受到本月早些时候披露的勒索软件攻击的影响。该公司表示已确定未经授权的第三方活动包括访问某些公司系统和数据加密。LoanDepot是近几个月来美国第二家遭受网络攻击的抵押贷款公司。

资料来源：http://lhdbc.dwa1.sbs/qAORl06

11、美国、英国主要自来水公司遭受勒索软件攻击

1月24日，据报道，美国威立雅北美公司市政供水部门上周遭到勒索软件攻击。为了应对这一事件，该公司关闭了目标后端系统和服务器，从而扰乱了在线账单支付系统。在大西洋彼岸，勒索组织Black Basta声称攻击英国南方水务公司并在其泄密网站上公布包括包含个人信息和公司文件的文件。

资料来源：http://9sfvb.dwa1.sbs/3lGHXIA

12、乌克兰最大的手机银行Monobank遭遇前所未有的DDoS攻击

1月22日，乌克兰最大的手机银行Monobank于1月21日遭遇一连串拒绝服务(DDoS)攻击，导致其运营瘫痪并造成大范围中断。联合创始人兼首席执行官Oleh Horokhovskyi在Telegram上证实了Monobank遭到网络攻击，并透露其中一次攻击中该银行收到了惊人的5.8亿个服务请求。

资料来源：https://therecord.media/monobank-ukraine-ddos

13、Tietoevry遭勒索软件Akira攻击导致瑞典企业和城市停电

1月21日，芬兰IT服务和企业云托管提供商Tietoevry遭受勒索软件攻击，影响其位于瑞典的一个数据中心的云托管客户，这些服务器用于托管瑞典众多企业的网站或应用程序，导致瑞典最大的连锁影院Filmstaden、折扣零售连锁店Rusta、原材料供应商Moelven和农业供应商Grangnården、众多政府机构和市政当局受到影响。

资料来源：http://m5ijc.dwa1.sbs/hOC3Wrq

14、康科迪亚的新研究表明海上风电场容易受到网络攻击

1月25日，据报道，根据Concordia最近进行的一项研究，海上风电场很容易受到网络攻击。该研究强调，目前针对这一新兴技术的监管框架在提供充分保护方面还不够。从气候角度来看，社会电气化的快速发展令人鼓舞，尽管从化石燃料向风能等可再生能源的过渡带来了尚未完全理解的新风险。

资料来源：http://rywwc.dwa1.sbs/PFTeTvB

15、Nozomi推出Guardian Air无线频谱传感器增强OT和物联网安全

1月25日，据报道，工业网络安全公司Nozomi Networks推出了Wednesday Guardian Air，这是一款专为全球OT(操作技术)和物联网环境而设计的无线频谱传感器。Guardian Air可以通过提供急需的无线设备可见性来帮助减少攻击选项，而到目前为止，这些设备只能在连接到有线网络后才能被检测到。

资料来源：http://uoenb.dwa1.sbs/MVMe6UQ