融安网络安全简报【2021年第05期】

2021-11-01 11:26:34来源:深圳融安网络科技有限公司



一、行业发展动态


1、超大规模的物联网僵尸网络:Pink 影响国内数百万IOT设备   

近日,关键基础设施安全应急响应中心发布了一份调查报告,披露了一个超大规模的物联网僵尸网络。报告指出,黑客定向攻击某运营商的家庭用户设备并植入控制程序Pink,使其成为僵尸网络节点。根据所涉运营商和设备厂商的初步评估,被黑客入侵并控制的设备数量超过百万,这或许是已公开的规模最大的IoT僵尸网络。更严重的是,96%以上的攻击目标分布在中国境内。


(来源:关键基础设施安全应急响应中心)


2、FinCEN:2021年上半年的勒索软件交易数额已经超过了2020年全年

美国金融犯罪执法网络(FinCEN)发布关于2021年上半年勒索软件的趋势分析报告,截至今年6月,金融机构向FinCEN报告了5.9亿美元的与勒索软件相关的付款,包括加密货币付款,超过了2020年全年的总额(4.16亿美元)。


(来源:cnYES)


3、工业企业位居勒索软件攻击目标榜首               

工业产品和服务业务仍然是勒索软件攻击的最热门目标,网络犯罪分子正在越来越多样化地勒索他们的组织。


在很多情况下,受害者会屈服于要求并支付赎金。这可能是因为他们没有备份,因为如果不付款,犯罪分子威胁会泄露被盗数据,或者仅仅是因为受害者认为支付赎金是恢复网络的最快方式。然而实际上,即使使用正确的解密密钥,服务也可能在事件发生后很长一段时间内仍会中断。


(来源:ZDNet)



4、30多个国家承诺在美国主导的全球会议上打击勒索软件攻击   

来自美国、欧盟和其他30个国家的代表承诺,降低勒索软件的风险并加强金融系统免受破坏生态系统的攻击。


(来源:TheHackerNews)



5、研究人员称关键基础设施安全性“糟糕透顶”          

新的研究发现,工业控制系统(ICS)的“极差”安全状态正将关键服务置于严重风险之中。


网络安全公司CloudSEK发布了一份研究报告,根据最近针对工业、公用事业和制造目标的网络攻击,探索ICS及其安全态势,该研究侧重于可通过互联网获得的ICS。报告中引用的一些允许初始访问的最常见问题,包括默认凭据、易受漏洞利用的过时或未打补丁的软件、第三方导致的凭据泄漏、影子IT和源代码泄漏等。在对易受攻击的ICS进行网络扫描后,该团队表示发现了“数百个”易受攻击的端点。


(来源:ZDNet)




二、安全事件





1、伊朗石油管理燃料补贴系统遭遇网络攻击,导致全国加油站大面积关闭

当地时间10月26日,一场针对伊朗各地加油站的网络攻击关闭了管理燃料补贴的政府系统,并使愤怒的驾车者在关闭的加油站排起了长队。国家电视台援引该国国家安全委员会一位不愿透露姓名的官员承认了网络攻击。美联社记者在德黑兰加油站看到汽车排长队,油泵关闭,加油站关闭。 



(来源:WTHI-TV)


2、美国政府发布联合警告:BlackMatter勒索软件正对美国基础设施发起攻击 

10月18日,CISA、FBI和NSA发布了勒索软件BlackMatter的联合网络安全咨询 (CSA)。自今年7月以来,勒索软件BlackMatter已攻击了美国的多个与关键基础设施相关的公司,例如食品和农业行业。该CSA分析了BlackMatter的样本并结合了来自第三方的信息,提供了攻击者的策略、技术和程序,并概述缓解措施,以帮助组织改进针对此类攻击的保护、检测和响应措施。



(来源:CISA)


3、勒索软件攻击了美国3个供水设施的SCADA系统          

10月14日,FBI、CISA、EPA和NSA发布了《美国供水和废水系统的持续网络威胁》联合警报,警告供水和废水部门注意一系列的网络攻击。警报强调了2019年3月至2021年8月在五个州发生的业务系统遭到勒索软件攻击或其他黑客攻击的事件,还描述了三次此前未报告过的针对水务设施工业控制系统的勒索软件攻击。


第一起事件发生于今年3月,网络犯罪分子使用未知的勒索软件袭击了内华达州的一处供水设施,影响了该设施的SCADA系统和备份系统;第二起事件发生在7月,黑客利用ZuCaNo勒索软件,入侵了缅因州一处供水设施的废水SCADA计算机;第三起事件发生在8月,黑客在加州一处水利设施的系统上部署了一款名为Ghost的勒索软件,该勒索软件在三个监控和数据采集(SCADA)服务器显示勒索软件消息时被发现;此时该变种大约已在系统中存在一个多月。


(来源:CISA)


4、以色列一家医院遭遇勒索软件攻击                 

10月13日,以色列哈德拉的希勒尔雅菲医疗中心遭到了勒索软件攻击,医院系统受到影响。据当地媒体报道,攻击发生以来,该医院一直在使用备用系统来为患者进行治疗。以色列国家网络理事会将这一攻击事件定义为“重大攻击”。


(来源:SecurityAffairs)






三、重要安全漏洞




1、InHand Networks工业路由器漏洞可使许多工业公司面临远程攻击     

近日,研究人员在InHand Networks制造的工业路由器中发现了13个漏洞可能会使许多工业组织面临远程攻击,目前厂商尚未发布可用的补丁。

13个漏洞如下:

• CVE-2021-38472CVSS评分:4.7)渲染 UI 层或框架的不当限制

• CVE-2021-38486CVSS评分:8.0)授权不当

• CVE-2021-38480CVSS评分:9.6)跨站请求伪造

• CVE-2021-38464CVSS评分:6.4)加密强度不足

• CVE-2021-38474CVSS评分:6.3)过度认证尝试的不当限制

• CVE-2021-38484CVSS评分:9.1)无限制上传危险类型

• CVE-2021-38466CVSS评分:8.8)网页生成期间输入的不当中和(“跨站点脚本”)

• CVE-2021-38470CVSS评分:9.1OS命令中使用的特殊元素的不当中和(“OS 命令注入”)

• CVE-2021-38478CVSS评分:9.1OS命令中使用的特殊元素的不当中和(“OS 命令注入”)

• CVE-2021-38482CVSS评分:8.7)网页生成期间输入的不当中和(“跨站点脚本”)

• CVE-2021-38468CVSS评分:8.7)网页生成期间输入的不当中和(“跨站点脚本”)

• CVE-2021-38476CVSS评分:6.5)观察的响应差异

• CVE-2021-38462CVSS评分:9.8)弱口令

受影响版本

IR615路由器:版本 2.3.0.r4724 和2.3.0.r4870

修复建议

InHand Networks 尚未发布补丁,CISA 建议用户采取以下防御措施:

• 尽量减少所有控制系统设备和/或系统的网络暴露,并确保它们不能从 Internet 访问。

• 定位防火墙后面的控制系统网络和远程设备,并将它们与业务网络隔离。

• 当需要远程访问时,请使用安全方法,例如虚拟专用网络 (VPN),认识到 VPN 可能存在漏洞并应更新到可用的最新版本。还要认识到 VPN 的安全性取决于其连接的设备。



(来源:CISA)


2、霍尼韦尔Experion PKS和ACE控制器存在多个严重漏洞可让黑客破坏工业生产流程         

工业网络安全研究人员发现工业巨头霍尼韦尔的Experion过程知识系统(PKS)存在多个漏洞,这些漏洞可被用来实现远程代码执行和拒绝服务 (DoS)攻击。具体产品型号为C200、C200E、C300和ACE控制器。

 漏洞列表如下:

• CVE-2021-38397CVSS 分数:10.0)无限制上传具有危险类型的文件

• CVE-2021-38395CVSS 分数:9.1)下游组件使用的输出中特殊元素的不当中和

• CVE-2021-38399CVSS 评分:7.5)相对路径遍历

受影响版本

• C200:所有版本

• C200E:所有版本

• C300 ACE控制器:所有版本

修复建议

目前厂商已发布升级补丁以修复漏洞,相关链接如下:https://www.honeywellprocess.com/library/support/notifications/Customer/SN2021-02-22-01-Experion-C300-CCL.pdf



(来源:TheHackerNews)


3、工业公司AUVESY的Versiondog数据管理产品存在多个安全漏洞        

研究人员在AUVESY公司的Versiondog数据管理产品中发现了17个漏洞,其中包括许多严重和高危的漏洞。这些漏洞是由工业网络安全公司Claroty的员工发现的,并负责向总部位于德国的AUVESY。该公司专门从事自动化生产的数据管理。目前AUVESY已修补了所有的漏洞。

17个漏洞信息如下:

• CVE-2021-38457CVSS评分:9.8访问控制不当 

• CVE-2021-38475CVSS评分:7.3)关键资源的权限分配不正确

• CVE-2021-38461CVSS评分:8.2)使用硬编码的加密密钥

• CVE-2021-38451CVSS评分:4.8)越界读取

• CVE-2021-38467CVSS评分:7.3)释放后重利用

• CVE-2021-38479CVSS评分:6.5)越界写入

• CVE-2021-38449CVSS评分:9.8)任意文件写入

• CVE-2021-38473CVSS评分:8.0)缓冲区溢出

• CVE-2021-38471CVSS评分:9.1)无限制上传危险类型文件

• CVE-2021-38477CVSS评分:9.8)文件名或路径的外部控制

• CVE-2021-38453CVSS评分:9.1)系统或配置设置的外部控制

• CVE-2021-38455CVSS评分:7.3)不正确的输入验证

• CVE-2021-38463CVSS评分:7.3)不可控的资源消耗

• CVE-2021-38469CVSS评分:9.1)不可控的搜索路径元素

• CVE-2021-38459CVSS评分:8.1)通过捕获重放绕过身份验证

• CVE-2021-38481CVSS评分:8.1SQL注入

• CVE-2021-38465CVSS评分:8.0)不可控资源消耗

受影响版本

Versiondog:v8.0 之前的所有版本

修复建议

AUVESY建议将Versiondog升级到版本8.1或更高版本

链接如下(需要登陆):

https://www.my.versiondog.com/home-en.html



(来源:SecurityWeek)


4、西门子和施耐德10月修复了50多个安全漏洞              

西门子和施耐德电气10月发布了11份安全公告,涉及影响其产品的总共50多个漏洞,这两家公司已发布了补丁和缓解措施来解决这些漏洞。


西门子

西门子发布了5个新公告,涵盖33个漏洞。其SINEC网络管理系统的更新修补了15个漏洞,包括可用于执行任意代码的漏洞。虽然其中一些漏洞为高危漏洞,但利用此漏洞需要身份验证。 


针对其基于SCALANCE W1750D控制器中存在的15个漏洞,发布了补丁和缓解措施,其中包括允许远程未经身份验证的攻击者在底层操作系统上引发DoS条件或执行任意代码的严重漏洞。


施耐德

施耐德电气10月发布了6个安全公告,涵盖20个漏洞。其中一份公告描述了11个Windows漏洞对公司Conext太阳能发电厂产品的影响。微软在2019年和2020年修补了这些安全漏洞,其中许多漏洞均为严重或高危漏洞。 


另一个公告描述了影响施耐德IGSS SCADA系统的两个严重漏洞、一个高危漏洞及一个中危漏洞。最坏的利用场景“可能导致攻击者在生产中运行IGSS的机器上获得对Windows操作系统的访问权限。”


施耐德还向用户通报了影响spaceLYnk、Wiser For KNX和ellerLYnk产品的高危信息泄露漏洞,以及ConneXium网络管理器软件中的高危命令执行漏洞。


最后一个公告描述了两个AMNESIA:33漏洞对Modicon TM5模块的影响。AMNESIA:33是去年在四个开源TCP/IP堆栈中发现的33个漏洞的名称。



(来源:SecurityWeek)




关于融安网络


作为工控安全技术领军企业,融安网络专业从事于工业控制系统网络安全,拥有国际领先、完整自主知识产权的安全测试和防护技术,开发出全面覆盖工业互联网、工业物联网的保护监测、检测、管理、工业安全态势等系列产品,为电力、轨道交通、石化、军工、冶金、燃气、水务、智能制造等国家重点行业客户提供完整的工业互联网安全解决方案。


融安网络将秉承持续精进软硬件的创新,为工业智能化——“中国制造2025”植入安全基因,实现从“工业控制系统的安全”到“安全的工业控制系统”的跨越,构建可持续发展的工业互联网安全防护体系。


融安网络将秉承“客户至上、用心服务”的服务理念,为客户提供7*24H专业、高效的安全服务,为用户精准预警及响应,为您的业务保驾护航。如您有关工控安全的相关需求,可直接拨打全国客服热线 4008-696-715,我们将竭诚为您服务。

分享:

微博
微信公众号