工业网络安全周报（2024年第24期）

本期摘要

政策法规方面，本周观察到国内外网络安全相关政策法规6项，值得关注的有全国网络安全标准化技术委员会发布《关键信息基础设施安全保护能力指标体系》和《数据安全和个人信息保护社会责任指南》两项国家标准征求意见稿。

漏洞态势方面，本周监测到漏洞动态14条，值得关注的有Phoenix固件存在严重UEFI缺陷，影响英特尔芯片电脑的启动固件，可能让攻击者获得设备控制权。

安全事件方面，本周监测到重大网络安全事件20起，其中典型的事件有全球半导体封装和电子组装解决方案供应商K&S遭数据泄露。

1、《网络安全技术 关键信息基础设施安全保护能力指标体系》等2项国家标准公开征求意见

6月21日，全国网络安全标准化技术委员会发布《关键信息基础设施安全保护能力指标体系》和《数据安全和个人信息保护社会责任指南》两项国家标准征求意见稿，公开征求意见。相关材料已上网安标委网站，意见反馈截止至2024年8月19日。

资料来源：https://www.secrss.com/articles/67285

2、MITRE推出ACID增强OT安全

6月20日，据媒体报道，美国MITRE开发了基于ATT&CK基于ATT&CK的Zeek控制系统指标检测)的Zeek控制系统指标检测工具ACID，支持S7COMM、ENIP/CIP和BACnet协议，利用CISA的ICSNPP解析器，增强OT网络流量的可见性。ACID仍在开发中，计划增加远程访问、进程警报等监控功能。

资料来源：http://zjvsb.dwa5.sbs/93k771o

3、美国能源部发布供应链网络安全原则

6月20日，据媒体报道，美国能源部(DOE)与爱达荷国家实验室合作，发布了一套供应链网络安全原则，以加强全球能源基础设施安全。这些原则基于最佳实践，涵盖供应商和最终用户的网络安全指导，确保设备安全，防止网络攻击。DOE的CESER办公室根据行业反馈制定原则，获得GE Vernova、施耐德等企业支持，并与国际伙伴合作推广。

资料来源：http://2nuba.dwa2.sbs/akbi4l3

4、Phoenix固件存在严重UEFI缺陷

6月20日，据媒体报道，安全研究人员发现Phoenix Technologies的UEFI SecureCore存在缓冲区溢出漏洞(CVE-2024-0762)，影响英特尔芯片电脑的启动固件，可能让攻击者获得设备控制权。Eclypsium指出，联想、宏碁、戴尔、惠普等品牌数百种型号受影响。漏洞CVSS评分7.5，Phoenix已发布补丁。用户应更新固件以修复。

资料来源：http://i05nc.dwa5.sbs/PqYXeZD

5、Trellix修补入侵防御系统(IPS)管理器中的严重漏洞

6月19日，据媒体报道，Trellix修复了其IPS管理器中的严重安全漏洞CVE-2024-5671，该漏洞因不安全反序列化而存在，允许远程未授权攻击者执行任意代码。CVSS评分9.8，影响11.1.x以下版本，可能导致数据泄露和网络攻击。建议立即应用补丁，加强监控，并在打补丁前限制访问。

资料来源：https://cybersecuritynews.com/vulnerability-trellix-ips/

6、CISA警告RAD SecFlow-2工业交换机存在漏洞

6月19日，据媒体报道，CISA警告RAD Data Communications生产的工业交换机存在高危漏洞CVE-2019-6268，允许未授权攻击者通过路径遍历获取系统文件。漏洞细节和PoC代码已公开。受影响的SecFlow-2设备已停产，RAD建议升级至SecFlow-1p网关。CISA提供降低风险建议，强调该漏洞对ICS和OT系统构成威胁。

资料来源：http://tqj5c.dwa5.sbs/z9VYCpA

7、D-Link路由器发现严重后门漏洞

6月17日，据媒体报道，D-Link多款无线路由器型号(如E15、E30、G403等)存在严重安全漏洞CVE-2024-6045，CVSS评分8.8。漏洞源于后门，允许未认证攻击者通过特定URL启用Telnet服务，获取管理员权限。D-Link已发布固件更新，建议用户更新以降低风险。安全研究员Raymond发现并报告了该问题。用户应定期更新固件，确保设备安全。

资料来源：http://ud7tc.dwa5.sbs/TQDOARH

8、黑客利用电信政策漏洞在Telegram提供“免费”移动数据访问

6月19日，据媒体报道，黑客利用电信政策漏洞，在Telegram上为非洲和亚洲用户提供"免费"移动数据访问。他们通过HTTP Injector等工具，使用隧道技术操纵数据包，建立加密隧道，或使用VPN混淆技术，欺骗网络将流量视为不计量。攻击者还滥用零评级政策，通过修改HTTP标头、DNS设置、HTTPS中的SNI，使流量看似来自豁免服务。CloudSEK发现的工具如Freedom VPN Client，利用隧道功能绕过限制。

资料来源：https://gbhackers.com/hackers-vpns-exploit-restrictions-steal-data/

9、Snowflake遭网络攻击致数据泄露

6月20日，据媒体报道，Snowflake云数据仓库平台遭遇大规模数据泄露，攻击者窃取数TB数据并索要500万美元赎金。约165个客户账户受影响，包括Ticketmaster、桑坦德银行等。谷歌Mandiant小组揭露犯罪集团还试图出售数据，并协助Snowflake调查。攻击者通过SnowSight或SnowSQL工具获得访问权限，部分入侵与第三方承包商有关。Snowflake正推动多因素认证(MFA)作为默认安全措施。

资料来源：http://7jfma.dwa5.sbs/2dFNs6g

10、美国铁路公司披露旅客数据泄露事件

6月19日，据媒体报道，美国铁路公司Amtrak披露了一起数据泄露事件，5月15日至18日期间，未知第三方未经授权访问了火车旅客奖励账户信息，包括姓名、联系方式、账户详情、部分信用卡和礼品卡信息。Amtrak称系统未被黑客攻击，但攻击者可能使用了之前泄露的凭证。公司采取措施恢复账户并建议用户更换密码和启用多因素认证。Jumio CTO建议采用生物特征认证等技术加强保护。

资料来源：http://ptoza.dwa5.sbs/Bxq2AWE

11、半导体巨头AMD遭遇重大数据泄露

6月18日，黑客Intelbroker声称对AMD进行了数据泄露，并在BreachForums公开，包括未来产品详情、客户数据库、源代码等敏感信息。事件暴露AMD网络安全漏洞，威胁竞争优势和知识产权。Intelbroker曾攻击多个机构。AMD尚未回应，网站运行正常，但后端数据库可能受影响。

资料来源：https://thecyberexpress.com/amd-data-breach-on-dark-web/

12、TETRA公司遭遇勒索软件攻击致数据

6月18日，据媒体报道，TETRA技术公司遭受Akira勒索软件攻击，护照、出生证明等个人文件及机密协议面临泄露风险，攻击者威胁发布约40GB数据。尽管公司网站正常，但内部系统可能受影响。Akira以勒索赎金避免数据公开而知名。TETRA强调网络安全管理，包括风险评估、事件响应和员工培训，正加强防御以应对新兴威胁。

资料来源：http://tu0ob.dwa5.sbs/k0qocL9

13、北约机密数据泄露

6月16日，自称为丹尼斯·库欣的威胁者宣称出售包含北约49,000名成员敏感信息的数据库，要求10,000 XMR赎金，并提议使用托管服务保证交易安全。数据包括成员的性别、姓名、国籍等详细信息，涉及多国国防部或政府机构。此事件严重威胁国家安全，暴露网络安全漏洞。

资料来源：http://htyda.dwa5.sbs/9HgfquX

14、全球短信诈骗与恶意软件攻击激增

6月16日，据媒体报道，巴基斯坦遭遇短信网络钓鱼攻击，首次成为此类攻击的新目标，攻击者通过iMessage和短信冒充邮政服务窃取信息。巴西面临Grandoreiro木马和Astaroth恶意软件攻击。PINEAPPLE和FLUXROOT威胁者利用云服务和钓鱼页面传播恶意软件，影响多行业。Red Akodon自4月以来针对哥伦比亚政府和行业传播远程访问木马。全球网络安全威胁上升，需加强防范。

资料来源：https://thehackernews.com/2024/06/grandoreiro-banking-trojan-hits-brazil.html

15、澳大利亚发布Medibank网络攻击事件分析报告

6月18日，据澳大利亚信息专员报告指出Medibank数据泄露事件起因于配置错误和警报遗漏，导致黑客入侵并窃取900多万人的数据。2022年10月，Medibank遭网络攻击，客户个人数据和健康索赔信息泄露。事件由一名承包商在家用电脑上使用工作凭据，且电脑感染恶意软件，使黑客得以窃取密码并获取Medibank账户访问权限。

资料来源：http://kub2a.dwa2.sbs/MWTlwLz