工业网络安全周报（2024年第6期）

1、美军网络司令部/国家安全局新官上任--中曾根交棒蒂莫西·豪

当地时间2月2日，来自国防部和情报界的领导人齐聚马里兰州米德堡，参加美国网络司令部指挥权变更仪式，陆军上将保罗·M·中曾根(Paul M. Nakasone) 将旗帜交给空军上将蒂莫西·D·豪(Timothy D. Haugh)。豪还成为国家安全局局长和中央安全局局长。指挥变更是在司令部新总部的香农肯特会议中心进行的。国防部副部长凯瑟琳·希克斯(Kathleen Hicks) 主持了指挥权变更，国家情报总监艾薇儿·D·海恩斯(Avril D. Haines)主持了豪担任NSA/CSS局长的工作。参谋长联席会议副主席、海军上将克里斯托弗·格雷迪代表参谋长联席会议出席活动。

资料来源：http://fneyc.dwa1.sbs/jppYYQa

2、美国将对滥用间谍软件针对记者和活动人士的人实施签证限

拜登政府周一(2月5日)宣布，将推出一项新政策，允许对参与滥用商业间谍软件的外国个人实施签证限制。政府的政策将适用于那些参与滥用商业间谍软件来攻击个人的人，包括记者、活动人士、被视为持不同政见者、边缘化社区成员或目标人的家庭成员。官员们表示，签证限制也可能适用于那些为滥用商业间谍软件提供便利或从中获取经济利益的人。美国国务卿安东尼·布林肯在宣布新政策的声明中表示：“美国仍然对世界各地越来越多地滥用商业间谍软件来促进镇压、限制信息自由流动和侵犯人权感到担忧。”

资料来源：http://yj3hb.dwa1.sbs/0hEt79g

3、英国和法国召集外交官就间谍软件达成国际协议

英国和法国本周将在伦敦兰开斯特宫联合主办外交会议，推出一项新的国际协议，解决“商业网络入侵工具的扩散”问题。据英国外交部称，将有35个国家的代表出席此次会议，此外还有“大型科技领袖、法律专家和人权捍卫者”以及“参与开发和销售网络入侵工具和服务的供应商”。尽管苹果、BAE Systems、谷歌和微软等跨国公司已被确认参加会议，但入侵工具供应商名单尚未公布。会议将由英国副首相奥利弗·道登宣布开幕，宣布“一项由参与国和企业签署的新国际倡议”，称为“波迈尔进程”。英国外交部解释说：“在会议上签署宣言后，各国和其他与会者将承诺就这一问题采取联合行动，包括 2025年在巴黎再次举行会议。

资料来源：http://fzfqb.dwa1.sbs/oPW4VPt

4、白宫将在未来几周内发布内存安全代码指南

白宫主要网络安全委员会将在未来几周内发布一篇有关内存安全软件开发的论文，以鼓励公共和私营部门程序员采取防止黑客通过代码漏洞破坏系统的做法。这一消息是由国家网络总监Harry Coker在周三(2月7日)于华盛顿特区举行的信息技术产业委员会活动上向技术和网络安全专业人士发表的首次重要演讲中宣布的。科克是第二位确认担任该职位的人，他上任仅七周多一点，他利用这次演讲概述了该办公室旨在通过去年发布的全面国家战略引入的各种网络优先事项。这些优先事项包括增强网络安全劳动力和保护美国关键基础设施。

资料来源：http://6ioxa.dwa1.sbs/5i47cOf

5、美国众议院国土安全小组委员会讨论OT威胁以及CISA在确保OT安全方面的作用

美国众议院国土安全小组委员会网络安全和基础设施保护委员会周二(2月6日)举行了一次听证会，以解决包括水务部门在内的关键基础设施部门运营技术(OT)面临的威胁，并讨论网络安全和基础设施安全局(CISA)的履职情况。来自纽约的共和党人、委员会主席Andrew Garbarino在开幕词中概述了确保CISA有效履职的重要性。“OT系统负责控制整个美国生命线功能的可靠交付，包括清洁水和电力。确保支撑我们国家最关键职能的基础技术和基础设施是国家当务之急。”

资料来源：http://pqqpc.dwa1.sbs/29Iyr5k

6、空客应用程序漏洞引入飞机安全风险

安全咨询和测试公司Pen Test Partners报告称，入侵空客飞行员电子飞行包(EFB)的一套应用程序可能会对飞机安全构成风险。Flysmart+应用程序套件由空客旗下IT服务公司Navblue开发，可帮助飞行员进行性能计算并直接在iPad等平板电脑上访问飞行操作手册。Pen Test Partners表示，该应用程序有助于“提供高效、安全的航班出发和到达”。在分析Flysmart+ Manager iOS应用程序(该应用程序使用户能够从中央解决方案更新EFB应用程序数据套件)时，Pen Test Partners发现它禁用了应用程序传输安全性(ATS)。ATS是为Apple平台构建的应用程序中的一项网络功能，它强制使用 HTTPS来提高安全性，禁用它会导致通过不安全的方法进行通信，从而为中间人(MitM)攻击打开了大门。

资料来源：http://csddb.dwa1.sbs/BXLgf1c

7、研究人员展示了Apple Vision Pro的内核漏洞利用

苹果全新的Vision Pro空间计算机，是一款虚拟现实耳机(尽管苹果试图不将其打上虚拟现实耳机的标签)，但只向公众开放了一天。但这并没有阻止才华横溢的黑客发挥他们的魔力。麻省理工学院(MIT)研究微架构安全的博士生Joseph Ravichandran(@0xjprx )2月2日深夜在X(以前的Twitter)上分享了据信是第一个公开披露的实例和证据——VisionOS的内核漏洞利用概念。

资料来源：http://9fzsb.dwa1.sbs/wD0QR0L

8、三菱电机工厂自动化缺陷暴露工程工作站

日本电子和电气设备制造公司三菱电机生产的工厂自动化产品中发现了两个潜在的严重漏洞。三菱电机在上周发布的一份公告中表示，一些工厂自动化(FA)产品受到高严重性身份验证绕过和关键远程代码执行漏洞的影响。受影响的产品包括ZSocket、FR Configurator2、GT Designer3、GX和MT Works、MELSOFT Navigator和MX。“未经身份验证的远程攻击者可能能够通过发送特制数据包来绕过身份验证并非法连接到产品(CVE-2023-6942)，”供应商解释道。

资料来源：http://oidib.dwa1.sbs/EXbYbcU

9、严重的TeamCity漏洞允许服务器接管

JetBrains已修复其TeamCity On-Premises服务器中的一个严重安全漏洞，该漏洞可能允许未经身份验证的远程攻击者获得对受影响服务器的控制权，并利用它在组织环境中执行进一步的恶意活动。TeamCity是一个软件开发生命周期(SDLC)管理平台，大约30,000个组织(包括花旗银行、耐克和法拉利等几个主要品牌)使用该平台来自动化构建、测试和部署软件的流程。因此，它拥有大量对攻击者有用的数据，包括源代码和签名证书，并且还可能允许篡改编译版本的软件或部署过程。该漏洞的编号为CVE-2024-23917，属于备用路径或通道绕过身份验证问题。

资料来源：http://quamc.dwa1.sbs/qmUPTYE

10、AnyDesk遭受网络攻击且登录凭据在暗网出售

流行的远程桌面软件提供商AnyDesk已确认其生产系统在网络攻击后遭到破坏。AnyDesk于2月2日透露，该公司的系统遭到攻击者的入侵，他们成功窃取了源代码和私有代码签名密钥，并获得了对该公司生产系统的访问权限。“我们立即启动了一项由网络安全专家CrowdStrike参与的补救和响应计划。修复计划已成功完成。”AnyDesk在一份公开声明中表示。该公司已通过维护撤销了所有与安全相关的证书和门户网站密码，并认为威胁行为者现已脱离其网络。

资料来源：http://jisua.dwa1.sbs/Fh3lLfx

11、OT维护是OT安全事件的主要来源

网络安全公司TXOne Networks专注于运营技术(OT)，其最近发布的一份报告着眼于OT安全事件及其来源，以及组织针对攻击的准备情况。该报告综合了Frost&Sullivan于2023年9月对400多名CIO进行的调查数据，以及TXOne本身从去年北美、欧洲和亚太地区发生的500多起事件中收集的数据。调查受访者代表了美国、德国、日本和阿拉伯联合酋长国 (UAE)的组织，每个国家大约有100名受访者。调查发现，46%的组织在过去12个月内处理过OT安全事件。其中，47%涉及勒索软件，其中美国和阿联酋的比例较高，超过50%，德国最低。TXOne去年在北美追踪了317起针对拥有OT系统的公司的勒索软件攻击，在欧洲追踪了124起勒索软件攻击。

资料来源：http://wepnb.dwa1.sbs/DsNgjuM

12、卡巴斯基预测2024年勒索软件仍将是工业企业的最大威胁

卡巴斯基在其ICS(工业控制系统)和OT(操作技术)威胁预测中指出，预计今年工业网络威胁格局不会发生快速变化。大多数趋势以前就已经观察到过，其中许多趋势已经有好几年了，例如勒索软件。然而，其中一些已经达到了临界数量的蠕变变化，这可能会导致威胁格局最早在明年发生质的转变。Evgeny Goncharov在卡巴斯基报告中写道，到2024年，勒索软件仍将是工业企业的头号祸害。

资料来源：http://scn7a.dwa1.sbs/og0WB03

13、法国3300万个社会安全号码因健康保险黑客攻击而暴露

2月初，两家法国健康保险公司遭遇数据泄露，3300万法国公民的个人信息可能遭到泄露。法国领先的医疗第三方支付提供商Viamedis于2月1日证实遭遇数据泄露。医疗第三方支付是法国的一种系统，其中健康保险公司代表国家社会保障服务机构向患者预付医疗服务费用。Viamedis是许多此类健康保险提供商的支付运营商。后来有报道称，威胁行为者于1月29日获得了对Viamedis的IT系统的访问权限。四天后，即2月5日，另一家第三方支付运营商Almerys表示也经历了类似事件。这两起违规事件都可能影响3300万法国公民。

资料来源：http://uxmgb.dwa1.sbs/0hOjMRj

14、针对高管的二维码“镇压”攻击激增

上个季度，依赖二维码的电子邮件攻击激增，攻击者专门针对企业高管和经理，这强化了公司围绕其业务领导层实施额外数字保护的建议。更糟糕的是，根据提供商Abnormal Security本周发布的一份报告，使用QR码(又名“quishing”)的网络钓鱼电子邮件通常可以通过垃圾邮件过滤器，针对Microsoft 365和DocuSign用户的攻击成功登陆电子邮件收件箱云电子邮件安全。2023年第四季度，最高管理层平均遇到的使用二维码的网络钓鱼攻击是普通员工的42倍。根据该公司的报告，其他管理职位遭受的攻击也有所增加，尽管攻击规模明显较小。

资料来源：http://px7qb.dwa1.sbs/rpykGFA

15、Nozomi研究揭示了OT和物联网网络异常对关键基础设施构成的日益严重的威胁

Nozomi Networks的最新研究表明，随着关键基础设施面临的威胁变得更加复杂，普遍存在的OT(运营技术)和IoT网络异常会引发危险信号。关键制造领域的漏洞也激增了230%，这一点令人担忧，因为威胁黑客有更多机会访问网络并导致这些异常。Nozomi Networks Labs从覆盖25个国家/地区的各种用例和行业的OT和IoT环境中收集的独特遥测数据发现，网络异常和攻击在2023年下半年的威胁中所占比例最大(38%)。对这些网络异常的关注比上一报告期增加了19%，这些异常可能表明高度复杂的威胁行为者参与其中。

资料来源：http://29gba.dwa1.sbs/5Cr1jzW

16、智能网联汽车数据安全拆解：发展、安全如何平衡?

随着智能网联汽车的发展，汽车产业链不断重构，价值链也得到充分延伸。在数据安全问题愈发重要的当下，智能网联汽车的数据安全问题成为各方关切。智能网联汽车数据安全有何特点?智能网联汽车发展过程中，创新发展、安全成本又该如何平衡多方利益?汽车是国家经济产业发展主力军，历经70余年发展，中国汽车制造业逐步壮大。智能网联汽车是汽车产业的下半场，各方纷纷入局抢注新赛道。值得注意的是，一辆智能网联汽车每天能产生TB级海量数据，在数据安全问题愈发重要的当下，如何保障汽车数据安全成为智能网联汽车企业发展的重要命题。

资料来源：http://wtd2c.dwa1.sbs/lOinSRz

17、Deepfake民主：人工智能技术使选举安全变得复杂

最近发生的事件，包括冒充拜登总统的人工智能(AI)生成的深度伪造机器人电话，敦促新罕布什尔州选民在初选中弃权，这些事件清楚地提醒我们，恶意行为者越来越多地将现代生成式人工智能(GenAI)平台视为针对目标的有力武器。ChatGPT、Google的Gemini(以前称为Bard)或任何数量的专门构建的暗网大型语言模型(LLM)等平台都可能在扰乱民主进程方面发挥作用，其攻击包括大规模影响力活动、自动恶意攻击和扩散深度伪造内容。事实上，联邦调查局局长克里斯托弗·雷(Christopher Wray)最近对正在进行的使用深度造假的信息战表示担忧，因为国家支持的行为者试图影响地缘政治平衡，这可能会在即将到来的总统竞选期间散布虚假信息。

资料来源：http://99h2b.dwa1.sbs/VdRMFRD