工业网络安全周报（2024年第20期）

本期摘要

政策法规方面，本周观察到国内外网络安全相关政策法规5项，值得关注的有由中央网络安全和信息化委员会办公室、中央机构编制委员会办公室、工业和信息化部、公安部制定的《互联网政务应用安全管理规定》已印发。

漏洞态势方面，本周监测到漏洞动态14条，值得关注的有西门子S7产品线存在远程调试风险。

安全事件方面，本周监测到重大网络安全事件16起，其中典型的事件有半导体巨头OmniVision个人信息在勒索软件攻击中被盗。

安全技术方面，Windows 11将淘汰NTLM并新增AI驱动安全防护。

1、四部门制定《互联网政务应用安全管理规定》

5月23日，据媒体报道，由中央网络安全和信息化委员会办公室、中央机构编制委员会办公室、工业和信息化部、公安部制定的《互联网政务应用安全管理规定》已印发。规定要求，建设运行互联网政务应用应当依照有关法律、行政法规的规定以及国家标准的强制性要求，采取技术措施和其他必要措施，防范内容篡改、攻击致瘫、数据窃取等风险，保障互联网政务应用安全稳定运行和数据安全。

资料来源：https://www.freebuf.com/news/401719.html

2、美国CISA首次推出符合零信任策略的联邦机构加密DNS实施指南

5月19日，据媒体报道，美国网络安全和基础设施安全局(CISA)发布了针对联邦民事行政部门(FCEB)机构的加密域名系统(DNS)实施指南，旨在提升网络安全弹性并符合OMB备忘录M-22-09和国家网络安全战略的零信任原则。

资料来源：http://gud7a.dwa2.sbs/3jfOBhX

3、美国国防部发布《网络安全互惠手册》

5月22日，美国国防部首席信息官(CIO)宣布公开发布《国防部网络安全互惠手册》，该手册参考了国防部长备忘录中的互惠概念。手册提供了在国防部系统内实施网络安全互惠的指导，定义了互惠概念，概述了其益处和风险，并提供了示例用例。

资料来源：http://suoda.dwa2.sbs/FfaJVGA

4、西门子S7产品线存在远程调试风险

5月21日，据媒体报道，以色列理工学院Eyal Semel等研究人员发现可利用固件修改攻击实施对西门子S7 PLCs的远程调试，该攻击在西门子所有Simatic S7产品线中都有效，且存在问题的PLC无法进行漏洞修复。

资料来源：https://mp.weixin.qq.com/s/gTfSElNrLfiZZ_CC4Q19Zw

5、CISA就Apache Flink安全漏洞被主动利用发出警告

5月23日，美国网络安全和基础设施安全局(CISA)将一个影响开源统一流处理和批处理框架Apache Flink的安全漏洞添加到已知被利用漏洞(KEV)目录中，并引用了积极利用的证据。该漏洞被追踪为CVE-2020-17519，与访问控制不当的情况有关，该情况可能允许攻击者通过JobManager的REST接口读取JobManager本地文件系统上的任何文件。

资料来源：http://xxmca.dwa2.sbs/zLS6VSC

6、Ivanti修补Endpoint Manager中的关键代码执行漏洞

5月21日，IT软件公司Ivanti宣布了一系列安全补丁，其中包括针对其Endpoint Manager (EPM)中的严重漏洞的修复。EPM中的10个安全缺陷中有6个是极其严重的SQL注入错误，这些漏洞允许未经身份验证的攻击者在网络上执行任意代码，CVE编号为CVE-2024-29822至CVE-2024-29827，CVSS评分高达9.6。Ivanti已发布热修复和更新指南，并承诺未来版本中将包含这些补丁。

资料来源：http://rrkha.dwa5.sbs/Mnd5PuA

7、声音攻击可能成为针对水下数据中心的武器

5月22日，据媒体报道，佛罗里达大学和日本电子通信大学的科学家发现，水下数据中心可能因声波干扰而运行受阻。研究人员在arXiv上发表的论文中指出，硬盘驱动器(HDD)的谐振频率声波可能导致RAID存储系统性能下降甚至应用崩溃。这种声波影响可传递至6米外，且正确谐振频率的声音会通过振动影响读写头和磁盘。

资料来源：https://www.securitylab.ru/news/548466.php

8、网络安全公司和物联网设备制造商联合修复软件漏洞

5月22日，据媒体报道，网络安全公司Bitdefender与物联网技术公司ThroughTek合作，成功修复了Kalay工具中的四个软件漏洞，这些漏洞可能被恶意黑客利用以深入访问网络。受影响的公司包括设备制造商Roku、婴儿监视器制造商Owlet和无线相机销售商Wyze。

资料来源：http://8rnta.dwa5.sbs/vMUUAUm

9、特斯拉汽车的开源数据记录器 TeslaLogger 中发现漏洞

5月17日，据媒体报道，得克萨斯大学达拉斯分校(UT Dallas)网络安全专业硕士研究生Harish SG发现 TeslaLogger(用于从 Tesla 车辆收集数据的第三方软件)中存在一个漏洞，该漏洞利用不安全的默认设置，可被利用来获得对TeslaLogger实例的未经授权的访问。随后TeslaLogger维护人员通过启用加密以在数据库中存储tesla API密钥和刷新令牌来缓解风险。

资料来源：https://cybersecuritynews.com/30-tesla-cars-hacked/

10、半导体巨头OmniVision个人信息在勒索软件攻击中被盗

5月21日，据媒体报道，半导体制造公司OmniVision Technologies在2023年9月遭受勒索软件攻击后，披露了一起数据泄露事件。该事件在系统被加密后被发现，OmniVision迅速展开调查并通知执法部门。调查确定攻击者在9月4日至30日窃取了个人信息。

资料来源：http://zuizc.dwa5.sbs/RbK0lyo

11、威胁行为者声称获取7000万行监狱数据

5月21日，据媒体报道，威胁行为者USDoD和SXUL声称对LeakBase上涉嫌的重大监狱数据泄露事件负责，该事件泄露了与犯罪数据库相关的约7000万行敏感数据。监狱数据泄露包括唯一的身份证号码、社会安全号码、全名、出生日期、出生州、身体特征、家庭和备用地址、犯罪代码、犯罪日期、犯罪描述、法院处理、定罪日期和指控日期。数据以.csv格式共享，压缩后文件大小为3GB，未压缩时文件大小为22GB。

资料来源：http://oqydc.dwa5.sbs/i8SDVJE/

12、美国无线电中继联盟(ARRL)遭受重大网络攻击

5月22日，据媒体报道，美国无线电中继联盟(ARRL)，已确认遭受严重网络攻击，影响了包括“世界日志”(LoTW)互联网数据库在内的多个关键在线服务。ARRL尚未明确网络事件的性质，正与外部网络安全专家合作，以减轻影响并恢复服务。

资料来源：https://thecyberexpress.com/cyberattack-on-arrl/

13、与伊朗相关的攻击者对阿尔巴尼亚和以色列进行了网络攻击

5月22日，一个与伊朗情报和安全部(MOIS)有关的威胁行为者被认为是针对阿尔巴尼亚和以色列进行破坏性擦除攻击的幕后黑手，分别以“Homeland Justice”和“Karma”的名义进行活动。研究人员将这一活动追踪为“Void Manticore”。

资料来源：http://dmo5a.dwa2.sbs/arG3p7t

14、微软必应全球宕机波及 ChatGPT、Copilot、DuckDuckGo等服务

5月24日，据媒体报道，微软全球必应搜索服务出现宕机事件，且持续了1天时间，但影响并不仅仅局限于必应搜索网站，很多调用必应搜索API的服务也因此受到影响。微软表示正在积极调查问题的根本原因，并将在必要时采取进一步的缓解措施。

资料来源：https://www.ithome.com/0/770/260.htm

15、Singing River医疗系统遭勒索软件攻击

5月20日，Singing River Health System 表示，2023年8月的勒索软件攻击造成数据泄露影响了895,204人。根据数据泄露通知，暴露的信息包括全名、出生日期、物理地址、社会安全号码 (SSN)和以及医疗和健康信息。

资料来源：http://f27pa.dwa5.sbs/PBSHOEV

16、Windows 11将淘汰NTLM并新增AI驱动安全防护

5月20日，微软确认计划在2024年下半年逐步淘汰Windows 11中的NT LAN Manager(NTLM)，并宣布了采用Kerberos进行身份验证等一系列新的安全措施，以增强广泛使用的桌面操作系统的安全性。

资料来源：http://q3thb.dwa5.sbs/TwL1iKV