工业网络安全周报（2024年第37期）

本期摘要

政策法规方面，本周观察到国外网络安全相关政策法规6项，值得关注的有全国网安标委发布《网络安全标准实践指南——敏感个人信息识别指南》。

漏洞态势方面，本周监测到漏洞动态10条，值得关注的有CISA发布关于Siemens、Yokogawa、Millbeck设备的多个漏洞报告。

安全事件方面，本周监测到重大网络安全事件16起，其中典型的事件有土耳其国防制造公司KALE SAVUNMA的敏感数据被一名为ZeroSevenGroup的威胁行为者在BreachForum社区出售。

安全技术方面，Forescout推出了新的SaaS运营技术(OT)安全解决方案，旨在保护复杂的OT、IoT/IoMT和IT环境。

风险预警方面，关键基础设施保护(CIP)网络安全解决方案公司OPSWAT最新研究称80%的关键基础设施组织遭受了电子邮件安全漏洞的攻击。

政策法规

1、全国网安标委发布《网络安全标准实践指南——敏感个人信息识别指南》

9月18日，全国网安标委为指导各相关组织开展敏感个人信息识别等工作，组织编制了《网络安全标准实践指南——敏感个人信息识别指南》。《实践指南》给出了敏感个人信息识别规则以及常见敏感个人信息类别和示例，可用于指导各组织识别敏感个人信息，也可为敏感个人信息处理和保护工作提供参考。

资料来源：https://www.tc260.org.cn/upload/2024-09-18/1726621097544005928.pdf

2、美国CISA推出FOCAL计划

9月17日，据媒体报道，美国网络安全和基础设施安全局(CISA)最近推出了FOCAL计划，旨在加强联邦政府的网络安全和降低机构风险。该计划专注于五个优先领域：资产管理、漏洞管理、可防御架构、网络供应链风险管理(C-SCRM)以及事件检测和响应。通过这些措施，CISA希望能够提高联邦机构在网络安全方面的一致性和协调性，从而更有效地防御网络威胁和提高对网络安全事件的响应能力。FOCAL计划的实施将有助于联邦机构更好地管理网络安全风险，并确保关键基础设施的安全。

资料来源：http://knyyb.dwa6.sbs/thTXQFB

安全漏洞

3、CISA发布关于Siemens、Yokogawa、Millbeck设备中ICS漏洞的紧急建议

9月18日，美国网络安全和基础设施安全局(CISA)发布了针对工业控制系统(ICS)的三份公告，揭示了Siemens、Yokogawa和Millbeck设备中的硬件漏洞，并提供了技术细节和缓解措施。西门子SIMATIC S7-200 SMART设备存在“不受控制的资源消耗”漏洞，可能导致拒绝服务情况。此外，Millbeck Communications的Proroute H685t-w设备和横河电机的PC2CKM平台计算机也存在安全漏洞，可能允许攻击者执行任意命令或导致拒绝服务。CISA建议采取防御措施，包括限制网络访问、使用VPN等，并强调了进行适当的影响分析和风险评估的重要性。这些公告突显了关键基础设施面临的网络威胁，以及加强安全措施的迫切需求。

资料来源：http://l3jyb.dwa6.sbs/MZG1xZa

4、D-Link修补影响无线路由器的关键漏洞

9月16日，据BleepingComputer 报道，D-Link已经修复了影响其三种无线路由器型号的几个关键漏洞。其中三个漏洞(CVE-2024-45694、CVE-2024-45695 和 CVE-2024-45697)的CVSS评分为9.8。CVE-2024-45694和CVE-2024-45695都是基于堆栈的缓冲区溢出漏洞，可允许未经身份验证的攻击者实现远程代码执行。CVE-2024-45696 和CVE-2024-45697可允许攻击者启用telnet并使用硬编码凭证登录。

资料来源：http://gbizc.dwa6.sbs/GC4wv1v

安全事件

5、澳大利亚最大的食品公司遭勒索攻击

9月19日，据媒体报道，总部位于悉尼的澳大利亚最大的食品和支持服务公司Compass Group确认遭Medusa勒索软件攻击，Medusa称其窃取了785.5 GB的数据，并要求200万美元删除数据，或者要求任何人购买相同金额。

资料来源：http://smbja.dwa6.sbs/QILwsnY

6、俄罗斯安全公司Dr.Web遭网络攻击

9月17日，俄罗斯反恶意软件公司Doctor Web(Dr.Web)称其于9月14日起遭受了网络攻击，该公司在检测到其IT基础设施出现未授权干扰的迹象后，迅速断开了所有服务器与其内部网络的连接。为了应对这一安全事件，Dr.Web还暂停了向客户提供病毒数据库更新，并启动了全面的安全诊断。Dr.Web强调，他们已经成功隔离了威胁，并确保了客户的安全不会受到此次事件的影响。

资料来源：http://vbcsc.dwa6.sbs/1PTaOBy

7、巴西最大银行敏感数据暴露

9月17日，据媒体报道，Cybernews研究人员发现巴西最大银行Braza Bank存在安全漏洞，导致敏感数据泄露。泄露的数据包括身份验证密钥、API访问数据和电子邮件服务配置，可能影响银行及其客户安全。Cybernews联系银行后，银行立即关闭了文件访问，并声明泄露不会影响内部数据，已加强网络安全措施。

资料来源：https://www.securitylab.ru/news/552144.php

8、土耳其国防制造公司KALE SAVUNMA遭受网络攻击

9月14日，土耳其国防制造公司KALE SAVUNMA的敏感数据被一名为ZeroSevenGroup的威胁行为者在BreachForum社区出售。这些数据包括备份、数据库、项目、制造设计、员工及客户信息、研究资料、协议合同、银行财务信息、软件应用程序、系统示意图等，涉及多家土耳其顶级国防公司。总数据量约为70GB，售价待议，具体联系方式为私信。

资料来源：https://breachforums.st/Thread-SELLING-Defense-Company-In-Turkey

安全技术

9、Forescout 宣布推出SaaS运营技术(OT)解决方案

9月19日，据媒体报道，Forescout推出了新的SaaS运营技术(OT)安全解决方案，旨在保护复杂的OT、IoT/IoMT和IT环境。该解决方案结合了主动安全、风险管理、威胁检测、关键操作监控和跨网络控制。它通过统一多个用例，减少人工错误，降低运营复杂性。主要功能包括为OT、IoT和IT环境设计的全面安全规则、资产智能、AI报告、角色特定仪表板和利用漏洞优先级确定。Forescout首席执行官Barry Mainz强调，该解决方案提供了跨OT、IT和IoT环境的行业领先安全策略。

资料来源：https://www.helpnetsecurity.com/2024/09/19/forescout-for-ot-security/

风险预警

10、OPSWAT报告称关键基础设施面临电子邮件安全漏洞的风险

9月18日，据媒体报道，关键基础设施保护(CIP)网络安全解决方案公司OPSWAT最新研究称80%的组织遭受了电子邮件安全漏洞的攻击，其中75%的关键基础设施网络威胁是通过电子邮件传播的。这些攻击可能包括网络钓鱼、恶意链接和恶意软件附件。尽管如此，超过一半的组织仍然认为电子邮件不包含威胁，而63.3%的组织认为他们的电子邮件安全需要改进，48%的组织对现有的电子邮件防御措施缺乏信心。随着关键基础设施中的关键系统，尤其是运营技术，越来越多地连接到通用IT网络和互联网，电子邮件攻击不仅能够横向传播到受害者的IT系统，还能够传播到OT网络上和内部，增加了风险。网络安全专家因此建议西方国家应立即修复漏洞并加强多身份验证，以应对严重的网络威胁。

资料来源：https://www.infosecurity-magazine.com/news/cisa-warns-critical-infrastructure/

11、朝鲜黑客攻击能源和航空航天行业

9月19日，据媒体报道，谷歌旗下的Mandiant追踪发现一个朝鲜的网络间谍组织UNC2970通过伪装成招聘人员，针对能源和航空航天行业的高级员工进行网络钓鱼攻击，目的是获取敏感和机密信息。他们使用的恶意软件包括MISTPEN后门，通过特制的PDF文件和木马化的Sumatra PDF阅读器应用程序传播。这些攻击活动表明，UNC2970正在不断改进其技术手段，以保持隐蔽性和有效性。

资料来源：http://ufv2b.dwa6.sbs/Vl7fCkK

12、Orca AI安全现状报告显示，大多数公司都在部署AI而不考虑安全性

9月18日，云安全提供商Orca Security发布了《2024年AI安全现状报告》，揭示了当前AI使用趋势及其对组织安全的影响。报告指出，许多组织在快速采用AI工具时忽视了基本的安全措施，导致风险增加。主要发现包括：56%的受访者使用自定义AI模型，62%的组织部署了至少一个存在已知漏洞的AI包，98%使用Google Vertex AI的组织未启用静态加密。这些问题主要源于云服务提供商的默认设置，强调了在AI创新中加强安全的重要性。

资料来源：http://xe1ea.dwa6.sbs/8yePhFx

13、俄罗斯加大网络攻击力度，西方关键基础设施面临严重威胁

9月18日，据媒体报道，俄罗斯加强了网络攻击部队的建设，特别是GRU 29155部队，已经对西方关键基础设施发起了大规模网络攻击。Mandiant首席分析师约翰·赫尔奎斯特警告，这些攻击可能导致物理损害和生命损失。美国财政部长担心俄罗斯可能破坏海底电缆等基础设施。网络安全专家建议西方国家修复漏洞并加强多身份验证来抵御网络威胁。

资料来源：https://www.theregister.com/2024/09/18/Russia_west_ritic_infrastruct/