工业网络安全周报（2024年第13期）

本期摘要

政策法规方面，本周观察到国内外网络安全相关政策法规6项，值得关注的有自然资源部印发《自然资源领域数据安全管理办法》。

漏洞态势方面，本周监测到漏洞动态10条，值得关注的有Claroty Team82的研究人员披露了Unitronics UniStream集成PLC/HMI产品中存在严重硬件漏洞。

安全事件方面，本周监测到重大网络安全事件16起，其中典型的事件有黑客攻击印度国防和能源部门。

1、自然资源部印发《自然资源领域数据安全管理办法》

3月29日，为规范自然资源领域数据处理活动，加强数据安全管理，保障数据安全，促进数据开发利用，自然资源部近日印发《自然资源领域数据安全管理办法》(以下简称《办法》)，要求自然资源部、国家林业和草原局及地方行业监管部门将数据安全纳入党委(党组)国家安全责任制，按照“谁管业务，谁管数据，谁管数据安全”的原则，落实本行业本地区本领域数据安全指导监管责任。

资料来源：https://www.mnr.gov.cn/dt/ywbb/202403/t20240329_2840955.html

2、《网络安全标准实践指南——网络安全产品互联互通 资产信息格式》发布

3月29日，为促进网络安全产品互联互通资产信息有效互通和整合，全国信安标委秘书处组织编制了《网络安全标准实践指南——网络安全产品互联互通 资产信息格式》。本《实践指南》给出了网络安全产品互联互通时资产信息的描述格式，可用于指导网络安全产品互联互通功能的设计、开发、应用和测试。

资料来源：https://www.tc260.org.cn/front/postDetail.html?id=20240325113218

3、美国五角大楼制定国防工业基础网络安全战略

3月28日，五角大楼发布了首个网络安全战略，以更好地保护其庞大的工业基础免受黑客攻击。该战略将作为增强供应链网络安全和弹性的路线图，涵盖2024至2027财年，制定了四个首要目标，例如改进工业基础内的最佳实践等。

资料来源：http://ljg1b.dwa2.sbs/s87Csjy

4、美国参议员提出《2024年医疗保健网络安全改进法案》

3月25日，美国参议员提出了《2024年医疗保健网络安全改进法案》，该法案提议在网络事件发生后，在满足最低网络安全标准的情况下，向医疗保健提供者提供预付款和加速付款。这项立法是为了应对针对Change Healthcare的勒索软件攻击，该攻击扰乱了全国范围内提供商的计费服务，使许多提供商面临财务破产的风险。

资料来源：http://1fc7c.dwa2.sbs/JbBHPQm

5、美国CISA发布447页的网络事件报告规则草案

3月28日，美国最高网络安全机构公布了一项新规则的初稿，详细说明了关键基础设施组织需要如何向联邦政府报告网络攻击。网络安全和基础设施安全局(CISA)根据《关键基础设施网络事件报告法》向《联邦公报》发布了447页的法规，允许公众对其发表评论。

资料来源：http://l5v3a.dwa2.sbs/2DPHR4P

6、Claroty的Team82揭示了Unitronics UniStream设备中的严重漏洞

3月25日，据媒体报道，Claroty Team82的研究人员披露了Unitronics UniStream集成PLC/HMI产品中存在严重硬件漏洞，导致供应商更新产品线。这些漏洞可能允许攻击者绕过身份验证并在直接连接到互联网的设备上启用远程代码执行。

资料来源：http://5jswa.dwa2.sbs/hlUyATi

7、德国警告称1.7万台易受攻击的Microsoft Exchange服务器在线暴露

3月26日，德国国家网络安全机构警告称，它发现德国至少17,000台Microsoft Exchange服务器暴露在网上，容易受到一个或多个严重安全漏洞的影响。据德国联邦信息安全局(BSI)称，德国大约45,000台Microsoft Exchange服务器启用了Outlook Web Access(OWA)，并且可以通过Internet进行访问。

资料来源：http://apc5c.dwa2.sbs/ghxMYVV

8、OpenVPN修复Windows中的多个严重漏洞

3月24日，OpenVPN已发布重要安全更新(版本2.6.10)，以解决其Windows软件中的一系列漏洞，这些漏洞可能导致权限升级、远程攻击和系统崩溃。这些漏洞凸显了定期软件更新的必要性，特别是对于OpenVPN等处理网络流量的工具。本次更新的漏洞包括CVE-2024-27459(堆栈溢出保护)、CVE-2024-24974(远程访问限制)、CVE-2024-27903(插件加载限制)和CVE-2024-1305(TAP驱动程序溢出修复)。

资料来源：http://2oxhc.dwa2.sbs/VYF9CLg

9、TheMoon恶意软件在72小时内感染6,000台华硕路由器

3月26日，据媒体报道，TheMoon”恶意软件僵尸网络的新变种感染了88个国家/地区数千个过时的小型办公室和家庭办公室(SOHO)路由器和物联网设备。TheMoon与“Faceless”代理服务相关联，该服务使用一些受感染的设备作为代理，为希望匿名其恶意活动的网络犯罪分子路由流量。Black Lotus Labs研究人员对2024年3月上旬开始的最新TheMoon活动进行监控，发现72小时内有6,000台华硕路由器成为攻击目标。

资料来源：http://b4gua.dwa2.sbs/H0scNAy

10、代码执行缺陷困扰着NVIDIA公司的Windows版ChatRTX击

人工智能计算巨头NVIDIA周三(3月27日)针对其ChatRTX for Windows应用程序中的两个软件缺陷推出了紧急补丁，同时警告用户面临代码执行和数据篡改攻击的风险。根据NVIDIA的一份报告，这些缺陷具有“高风险”评级，可被利用通过跨站点脚本攻击来启动有害代码。标记为CVE-2024-0082和CVE-2024-0083的安全缺陷影响Windows 0.2及之前版本的ChatRTX。

资料来源：http://uwdda.dwa2.sbs/TKbFfWj

11、黑客攻击印度国防和能源部门

3月27日，印度政府实体和能源公司发布公告称其遭遇攻击，攻击者通过网络钓鱼电子邮件发送伪装成印度空军的邀请函，进而利用Slack通道作为渗透点，在恶意软件执行后上传机密文档、私人电子邮件和缓存的网络浏览器数据。

资料来源：http://56nia.dwa2.sbs/ImadCJF

12、美国佛罗里达州的圣克劳德市遭到勒索攻击

3月26日，圣克劳德市表示，勒索攻击导致许多部门受到影响，但他们正在尽可能最佳地运作，直到问题得到解决。圣克劳德位于奥兰多以南约一小时车程处，拥有60000名居民。并且公园和休闲活动及服务的现场付款也暂时只能使用现金。

资料来源：http://tdlaa.dwa2.sbs/WxAmVAy

13、INC勒索软件袭击苏格兰NHS，威胁泄露3TB患者数据

3月27日，据媒体报道，INC勒索软件团伙在其暗网泄密博客上发布公告，声称已成功窃取苏格兰国家医疗服务体系(NHS Scotland)高达3TB的敏感数据。但是截止至当前截至撰写本文时，NHS Scotland尚未证实勒索软件攻击的发生或是否经历过数据泄露。

资料来源：http://xbieb.dwa2.sbs/uHxvBSW

14、越南证券经纪商的网络攻击

3月27日，越南第三大证券经纪商VNDirect在3月24日遭遇网络攻击后仍在努力全面恢复运营。据路透社报道，自27日以来，VNDirect的股价已下跌近4%。同时另一个更大的越南市场胡志明市证券交易所(简称HOSE或HSX)的交易量下降了10%，因为使用VNDirect的投资者无法进行交易。

资料来源：http://g1nyc.dwa2.sbs/ewvWbRW

15、Top.gg Discord机器人社区遭到供应链攻击

3月25日，多年来，威胁行为者一直在使用多种策略、技术和程序(TTP)，包括劫持GitHub帐户、分发恶意Python包、使用虚假的Python基础设施和社会工程。上传到PyPI的恶意包充当了破坏系统的初始载体。一旦系统遭到破坏，或者攻击者劫持了特权GitHub帐户，他们就会更改项目文件以指向假镜像上托管的依赖项。Top.gg是攻击者最近的受害者之一，这是一个流行的搜索和发现平台，适用于Discord服务器、机器人和其他社交工具，旨在游戏、提高参与度和改进功能。攻击者入侵了top.gg维护者“editor-syntax”的帐户，该维护者对该平台的GitHub存储库拥有重要的写入访问权限。

资料来源：http://orada.dwa2.sbs/azPKN5D