工业网络安全周报（2024年第16期）

本期摘要

政策法规方面，本周观察到国内外网络安全相关政策法规5项，值得关注的有全国信安标委发布《网络安全技术 网络安全运维实施指南》等3项国家标准公开征求意见。

漏洞态势方面，本周监测到漏洞动态9条，值得关注的有Unitronics Vision系列PLC和三菱电机MELSEC iQ-R系列ICS网络控制器存在多个严重漏洞可供远程利用且无补丁。

安全事件方面，本周监测到重大网络安全事件16起，其中典型的事件有乌克兰使用破坏性ICS恶意软件“Fuxnet”攻击俄罗斯基础设施。

产品技术方面，非营利组织MITRE计划在2024年通过ICS子技术和多域集成增强网络安全。CAASM+(网络资产攻击面管理)产品，用于网络资产攻击面管理。

1、《网络安全技术 网络安全运维实施指南》等3项国家标准公开征求意见

4月15日，全国网络安全标准化技术委员会归口的《网络安全技术 网络安全运维实施指南》等3项国家标准现已形成标准征求意见稿。标准相关材料已发布在网安标委网站。

资料来源：https://www.tc260.org.cn/front/bzzqyjList.html?start=0&length=10

2、英国NCSC发布网络安全评估框架CAF v3.2

4月15日，英国NCSC发布网络安全评估框架CAF v3.2 ，在CAF3.2版本中，NCSC通过分析全球关键基础设施遭受的各种网络攻击，对CAF3.1版本中有关远程访问、特权操作、用户访问级别和多因素认证的使用(均包含在框架的B2a和B2c原则中)的部分进行了重大修订。

资料来源：http://dkjra.dwa2.sbs/0tr0erQ

3、美国CISA、FBI、欧洲刑警组织和NCSC-NL就Akira勒索软件威胁发布联合网络安全咨询

4月18日，美国网络安全和基础设施安全局(CISA)、联邦调查局(FBI)、欧洲刑警组织欧洲网络犯罪中心(EC3)和荷兰国家网络安全中心(NCSC-NL)联合发布了一份CSA(网络安全安全咨询))。该通知传播了已知的Akira勒索软件IOC(妥协指标)以及通过FBI调查和截至2024年2月的可信第三方报告确定的策略、技术和程序 (TTP)。

资料来源：http://gc46a.dwa2.sbs/5Vr09qX

4、美国五眼机构发布有关保护人工智能的指南

4月15日，美国五眼联盟国家的政府安全机构发布了安全部署人工智能系统的新指南，该指南建议在部署人工智能模型的情况下，在网络上实现检测、分析和响应功能的自动化。该指南设定了三个核心目标包括提高人工智能系统的机密性和完整性、确保已知的网络安全漏洞得到保护、并实施一系列强大的保护措施来检测和防止恶意活动。

资料来源：http://kqqoc.dwa2.sbs/4ASVb3C

5、ICS网络控制器可供远程利用且无可用补丁

4月19日，据媒体报道，网络安全和基础设施安全局(CISA)发布安全公告提醒管理员注意两种工业控制系统设备(Unitronics Vision系列PLC和三菱电机MELSEC iQ-R系列)中的漏洞。CISA警告称，Unitronics Vision系列PLC控制器由于以可恢复格式存储密码而容易受到远程攻击。此漏洞(CVE-2024-1480)的CVSS评分为8.7。三菱电机公司MELSEC iQ-R CPU模块存在设计缺陷(根据 CVE-2021-20599进行跟踪)、敏感信息暴露(CVE-2021-20594、CVSS 5.9);凭据保护不足(CVE-2021-20597、CVSS 7.4);以及限制性帐户锁定机制(CVE-2021-20598、CVSS 3.7)四个漏洞。

资料来源：http://jl6xa.dwa2.sbs/mkvvZKr

6、Palo Alto Networks发布最新零日漏洞的修复程序

4月14日，Palo Alto Networks发布了针对影响其GlobalProtect VPN产品的零日漏洞的修复程序，该漏洞标记为 CVE-2024-3400严重程度最高为10。该漏洞对攻击者来说是一个福音，因为这些设备可以通过互联网访问并允许进入受害者网络，从而使黑客能够在进入后横向移动。

资料来源：https://therecord.media/palo-alto-networks-fixes-vpn-zero-day

7、思科警告VPN口令喷射攻击数量激增

4月19日，据报道，Cisco Talos警告称，针对VPN服务、SSH服务和Web应用程序身份验证接口的暴力攻击大幅增加，该公司确定这些攻击影响了使用 Cisco Secure Firewall VPN设备和其他多家供应商技术的组织，包括Checkpoint VPN、Fortinet VPN、SonicWall VPN、Mikrotik和Draytek。

资料来源：http://iqa6c.dwa2.sbs/mpsKyS6

8、乌克兰使用破坏性ICS恶意软件“Fuxnet”攻击俄罗斯基础设施

4月15日，综合SecurityWeek和Claroty博文的消息，据信隶属于乌克兰安全部门的一个名为Blackjack的黑客组织声称对俄罗斯多个重要组织发起了攻击。黑客组织声称使用Fuxnet恶意软件已禁用了包括与机场、地铁系统和天然气管道相关的87,000个传感器，但据Team82的分析只有大约500 个传感器网关受到网络攻击的影响。

资料来源：http://zbkfb.dwa2.sbs/6bt6Gb4

9、最强网安机构MITRE遭黑

4月19日，知名网络安全研究机构、非营利组织MITRE证实，它遭遇了一次网络攻击和泄露，MITRE称在其网络实验、研究和虚拟化环境(NERVE)上检测到可疑活动后，确认了外国威胁行为者的入侵，通过分析MITRE确认黑客通过Ivanti Connect Secure中的两个漏洞接管受损的管理员帐户进行横向移动，并使用复杂的后门和网络外壳的组合来保持持久性并获取凭证。

资料来源：https://therecord.media/mitre-breached-ivanti-zero-days

10、美国电信巨头Frontier Communications遭网络攻击

4月14日，美国电信提供商Frontier Communications检测到第三方未经授权访问了其部分信息技术环境，导致个人信息泄露，发现该事件后，该公司被迫部分关闭一些系统，以防止威胁行为者通过网络横向移动，这也导致了一些运营中断。

资料来源：http://ewncc.dwa2.sbs/QM6OQuZ

11、美国纽约州立法机关遭受网络攻击

4月17日，美国纽约州州长凯西·霍赫尔(Kathy Hochul)对当地一家广播电台表示，纽约州立法机关用于起草和打印法案的系统遭到网络攻击，阻碍了州预算的制定。这次袭击发生在纽约市官员处理影响数千名城市工作人员使用的平台的大范围网络事件两周后。

资料来源：https://therecord.media/new-york-state-budget-delayed-cyberattack

12、美国粮食和农业部门2023年遭受160多起勒索软件攻击

4月17日，据领先的行业组织称，美国食品和农业部门去年至少遭遇了167起勒索软件攻击。食品和农业信息共享与分析中心(Food and Ag-ISAC)在其第一份年度报告中表示，该行业是该国第七大目标行业，仅次于制造业、金融服务业和其他行业。截至2024年第一季度，该行业已发生40起攻击，较上年略有下降。

资料来源：https://therecord.media/food-and-agriculture-hit-with-ransomware-attacks

13、俄罗斯黑客入侵德克萨斯州水处理厂

4月16日，谷歌旗下的Mandian报告称，位于德克萨斯州和新墨西哥州边境附近穆勒肖的供水设施遭到俄罗斯黑客组织Sandworm攻击，联邦调查局正在调查这一活动。报告称，德克萨斯州其他城镇也发生了两起相关的黑客攻击事件。

资料来源：http://4aezc.dwa2.sbs/oGCnQKC

14、CISCO DUO 警告电话供应商数据泄露导致 MFA 短信日志暴露

4月15日，Cisco Duo 警告其一家电话供应商发生数据泄露事件，导致通过 SMS 和 VOIP 发送给客户的多因素身份验证 (MFA) 消息受到损害。该安全漏洞发生于 2024 年 4 月 1 日，威胁行为者使用了通过网络钓鱼攻击非法获得的提供商员工的凭据。然后，他们使用该访问权限下载了一组属于客户 Duo 帐户的 MFA 短信日志。

资料来源：http://29xxa.dwa2.sbs/xRvAdzU

15、MITRE计划在2024年通过ICS子技术和多域集成增强网络安全

4月18日，非营利组织MITRE概述，其ATT&CK 2024目标是增强更广泛的可用性，并为各个领域的从业者增强可行的防御措施。这包括探索范围调整和平台再平衡，以及在1 月份之前引入ICS(工业控制系统)子技术来实施结构调整。核心重点是加强防御机制并优化其用户友好性。

资料来源：http://rul8b.dwa2.sbs/hqpanPX