工业网络安全周报（2024年第15期）

本期摘要

1、七大开源基金会联合制定适用于《网络弹性法案》的通用标准

4月2日，七大开源基金会公开表示，将会联合为欧洲议会上个月通过的《网络弹性法案》(Cyber Resilience Act)制定通用规范和标准，本次合作是为了解决开源生态系统中网络安全层次面临的多方面挑战，并向欧盟表明七大基金会对CRA合作的态度与承诺，以确保2027年CRA正式实行后七大基金会可以适应这项法律。

资料来源：https://www.secrss.com/articles/65087

2、美国发布《美国隐私权法案》草案

4月8日，美国众议院能源与商业委员会主席罗杰斯和参议院商业、科学与运输委员会主席坎特韦尔公开讨论了新发布的《美国隐私权法案》草案。内容包括数据最小化要求、消费者选择不接收定向广告的权利以及查看、更正、导出或删除其数据的权利。此外，该法案还包括数据安全条款、国家数据中介登记处。以及当存在重大隐私损害发生时，保护组织机构免于执行强制性仲裁的部分。

资料来源：https://www.secrss.com/articles/65052

3、CVE-2024-24576：Rust导致Windows远程劫持

Rust编程语言的标准库中发现了一个漏洞，允许在Windows上执行恶意代码。CVE-2024-24576(CVSS 评分：10)与操作系统命令和参数传递机制中的缺陷有关，该缺陷允许经过身份验证的远程攻击者无需用户交互即可执行恶意代码。该攻击执行复杂度较低。

资料来源：https://www.securitylab.ru/news/547395.php

4、新的Ahoi攻击技术可破坏机密虚拟机

苏黎世联邦理工学院的一组研究人员披露了一种新型攻击的技术细节，该攻击可用于破坏机密虚拟机(CVM)。AMD发布了一份公告，称该漏洞存在于Linux内核的SEV-SNP实现中。

资料来源：https://www.securityweek.com/confidential-vms-hacked-via-new-ahoi-attacks/

5、超过9.2万台暴露的D-Link NAS设备存在漏洞

一名威胁研究人员披露了一个新的任意命令注入和硬编码后门漏洞，该漏洞存在于多个寿命终止的D-Link网络附加存储(NAS)设备模型中。研究人员表示，网络扫描显示，超过92,000台易受攻击的D-Link NAS设备暴露在网络上，容易受到这些漏洞的攻击。

资料来源：https://securityaffairs.com/161549/hacking/d-link-nas-flaw.html

6、思科警告已停产的小型企业路由器存在漏洞

思科已就停产(EoL)RV系列小型企业路由器中的跨站点脚本(XSS)漏洞发出警告。该漏洞编号为CVE-2024-20362，无需身份验证即可远程利用，影响小型企业RV016、RV042、RV042G、RV082、RV320和RV325路由器，这些路由器已停产且不再接收安全补丁。思科表示，目前尚不清楚这些漏洞是否被用于攻击。更多信息可以在思科的安全公告页面上找到。

资料来源：http://u7gua.dwa2.sbs/g4mdisB

7、Solar Spider 开发新恶意软件攻击中东的金融行业

4月8日，网络安全服务公司 Resecurity 在本周发布的一份报告中写道，该公司分析了多起事件的技术细节，这些事件涉及针对金融客户的 JSOutProx 恶意软件，如果针对企业，则提供虚假的 SWIFT 付款通知;如果针对私人公民，则提供 MoneyGram 模板。该威胁组织Solar Spider 的目标是印度以及菲律宾、老挝、新加坡、马来西亚、印度的金融组织，现在还有沙特阿拉伯的金融组织。

资料来源：http://qlhtb.dwa2.sbs/6sYzWHV

8、美国电脑配件公司Targus的文件服务器遭受网络攻击致运营暂时中断

4月8日，Targus 是一家移动配件公司，于 2024 年 4 月 5 日在其网络上检测到攻击。Targus 立即启动了事件响应和业务连续性协议来调查、遏制和补救该事件。该公司尚未透露公司数据是否被盗，但由于黑客首先是在公司用于存储文件和数据的文件系统上发现的，因此数据有可能被泄露。

资料来源：http://jgmga.dwa2.sbs/wTvxC72

9、日本光学设备制造商Hoya 的IT系统遭受攻击后暂停生产

4月5日，日本的 Hoya是一家眼镜和隐形眼镜制造商，以及用于制造半导体制造、平板显示器和硬盘驱动器的套件- IT 系统遭受攻击后，该公司已停止部分生产和销售活动。此次网络攻击的全部范围尚未确定。不过，漏洞已经影响到 Hoya 产品的生产和销售。

资料来源：https://www.theregister.com/2024/04/05/hoya_infosec_incident/

10、CISA称俄罗斯黑客在Microsoft数据泄露事件中访问了美国政府电子邮件

4月11日，克里姆林宫支持的特工在一月份通过暴力密码猜测技术访问了敏感的微软系统，成功窃取了联邦民事机构的电子邮件通信。这家软件巨头在今年年初向该组织发出了警报，行业安全研究人员将其称为“午夜暴雪”。

资料来源：http://odhua.dwa2.sbs/OYqAYvv

11、新的勒索组织Muliaka针对俄罗斯企业进行攻击

某勒索组织在使用Conti黑客组织泄露的源代码，使用勒索软件攻击俄罗斯企业。研究人员将该组织称为“Muliaka”，意为“浑水”，其攻击留下的痕迹很少，但可能至少自2023年12月以来就一直活跃。攻击者通过加密Windows系统和VMware ESXi虚拟基础设施来攻击一家未具名的俄罗斯企业。为了远程访问受害者的设备，攻击者使用了该公司的虚拟专用网络(VPN)服务，并将勒索软件伪装成安装在公司计算机上的流行企业防病毒软件。

资料来源：http://opqqa.dwa2.sbs/x4z1Zbq

12、网络犯罪团伙RansomHub勒索美国联合健康集团

RansomHub声称被盗的Change Healthcare数据涉及“数百万”名美国现役军人和海军人员、医疗和牙科记录、付款和索赔信息、患者社会安全号码等个人信息，以及保险记录、3000多个Change Healthcare解决方案的源代码文件等。

资料来源：http://mwf5c.dwa2.sbs/oqmvAsr

13、HTTP/2协议漏洞可导致拒绝服务攻击

名为“CONTINUATION Flood”的HTTP/2协议漏洞可导致拒绝服务(DoS) 攻击，在某些实现中使具有单个TCP连接的Web服务器崩溃。研究人员称，该漏洞与HTTP/2 CONTINUATION帧的使用有关，这些帧在协议的许多实现中都没有得到适当的限制或检查。研究人员称，在某些实现中，内存不足的情况可能会导致使用单个HTTP/2 TCP连接的服务器崩溃。

资料来源：http://ruolb.dwa2.sbs/Dl51vmU

14、超过 90,000 台 LG 智能电视可能遭受远程攻击

Bitdefender 的安全研究人员发现了四个漏洞，影响多个版本的 WebOS(LG 智能电视使用的操作系统)。这些缺陷可以对受影响的模型进行不同程度的未经授权的访问和控制，包括授权绕过、权限升级和命令注入。

资料来源：https://www.t00ls.com/articles-71544.html

15、TA547网络钓鱼攻击利用Rhadamanthys Stealer袭击德国公司

作为以发票为主题的网络钓鱼活动的一部分，被追踪为TA547的威胁行为者利用名为Rhadamanthys的信息窃取程序以数十个德国组织为目标。在最新活动中观察到的电子邮件冒充德国公司Metro AG，并包含受密码保护的ZIP文件，其中包含ZIP存档，打开该文件后，会启动远程PowerShell脚本的执行，从而直接在内存中启动Rhadamanthys窃取程序。

资料来源：http://ys3sa.dwa2.sbs/059SJo6

16、四月ICS补丁日：西门子解决Palo Alto Networks产品漏洞

工业巨头西门子和施耐德电气发布了2024年4月的周二补丁公告，向客户通报过去一个月在其ICS产品中发现的漏洞。西门子发布了8份新公告，涵盖约80个漏洞。其中一份通报涵盖了该公司Telecontrol Server Basic产品中发现的近50个缺陷，尤其是第三方组件中的缺陷。另有两个公告涵盖了由于使用Palo Alto Networks虚拟下一代防火墙而引入的漏洞。施耐德电气本月发布了一份新公告，告知客户存在影响其 Easergy Studio产品的高严重性权限升级漏洞。

资料来源：http://fx6kc.dwa2.sbs/2i5mjcw