融安网络 · 安全简报「2022年03期」

2022-03-03 10:56:08来源:深圳融安网络科技有限公司

工信部部署做好工业领域数据安全管理试点工作

工业和信息化部近日印发通知,部署做好工业领域数据安全管理试点工作,明确在辽宁等15个省(区、市)及计划单列市开展试点工作。要求各地工业和信息化主管部门认真学习贯彻《数据安全法》等法律法规、工业和信息化领域数据安全相关管理制度等要求,明确数据安全管理部门和负责人,指导本地区工业企业开展数据安全管理工作。试点地区工业和信息化主管部门要紧扣申报事项和计划节点,保质保量完成试点任务。要确定一名分管负责同志负责试点工作,组织精干力量,建立工作台账,将责任落实到人、任务落实到位。要加快提升行政执法能力,加大对行政执法人员和企业培训力度,鼓励有条件的地区统筹建立专业执法队伍。要强化政策支持和资金投入,加强数据安全监测、风险报送、事件处置等技术能力建设,全面提升本地区数据安全监管能力。

(来源:工信微报)


美国能源部计划为国家电网建立网络威胁检测平台


根据美国两党基础设施法案以及联邦政府加强关键基础设施安全的要求,美国能源部正在计划为全国电力设施网络开发用于检测网络威胁的通用平台。2021年7月,美国政府在国家安全备忘录中正式发布“工业控制系统网络安全倡议”,旨在帮助关键基础设施运营商为其工业控制系统采用网络监测工具。倡议发布后,能源行业率先加入,天然气管道和供水行业紧随其后。

(来源:Federal News Network)


洛杉矶港建立网络弹性中心旨在加强实体和数字供应链防御

美国最大的港口洛杉矶港建立了一个新的网络弹性中心,以应对实体和数字供应链日益增长的威胁。该中心将为这个占地7500英亩的港口及其利益相关者创建一个自动化、全港范围的“社区网络防御解决方案”,它将作为威胁信息共享中心,并为事故后恢复提供支持。该中心将汇集20多家利益相关方,包括码头运营商、航运公司、卡车和铁路货运公司。

(来源:The Daily Swig)


Conti 勒索软件团伙接管了 TrickBot 恶意软件运营

TrickBot 是一个 Windows 恶意软件平台,它使用多个模块进行各种恶意活动,包括信息窃取、密码窃取、渗透 Windows 域、初始访问网络和恶意软件传递。经过四年的活动和无数次下架尝试,TrickBot的丧钟已经敲响,因为它的高层成员已被新管理层Conti勒索软件团伙接管,并计划用更隐秘的恶意软件BazarBackdoor取代它。

(来源:BleepingComputer)


执法压力迫使勒索组织改进攻击策略


根据 Coveware 发布的报告显示,发起勒索软件攻击的成本和风险比以往任何时候都要高,勒索软件组织通过减少攻击量和要求支付更高的赎金来应对。发现仅2021年第四季度,平均赎金支付达到322168 美元,同比高出130%。中位数赎金增长了63%,高达117116美元。

(来源:Coveware)


针对ICS/OT系统的多个黑客组织

一份关于工业网络安全的新报告揭示了三个针对工业部门的新黑客组织。该报告进一步表明,对工业部门的所有攻击中,约有一半是由两个已知的网络犯罪组织发起的。研究人员在最近的报告中披露了一些针对工业部门的威胁组织的详细信息。专家们发现了三个针对ICS/OT系统的新组织Petrovite、Kostovite和Erythrite。报告显示,Kostovite和Erythrite可以进行复杂的入侵,目的是劫持系统和窃取数据。该报告提供了有关这三个黑客组织的详细信息:Kostovite在2021年针对一家大型可再生能源组织,它利用Ivanti Connect Secure中的零日漏洞来直接访问公司的基础设施、横向移动和窃取数据。Petrovite于 2019年首次被发现,并不断针对哈萨克斯坦的采矿和能源公司,使用了Zebrocy后门并进行了全面侦察。Erythrite通常针对位于美国和加拿大的组织,目标包括石油和天然气、电力公司、制造商,以及财富500强的一名成员。

(来源:Cyware)


多年来一直以航空航天和国防工业为目标的神秘黑客组织TA2541

一个未知的黑客犯罪组织正在用特洛伊恶意软件攻击航空、航空航天、国防、交通和制造业的组织,研究人员表示,这些攻击已经持续了多年。该组织被称为TA2541,自2017年以来一直很活跃,并已危及北美、欧洲和中东地区的数百家组织。该组织尽管运营多年,攻击几乎没有发展,大致遵循相同的目标和主题,攻击者远程控制受感染的机器、对网络进行侦察和窃取敏感数据。但TA2541仍然是一个持续的、活跃的网络犯罪威胁。

(来源:ZDNet)


俄媒:全球最大的黑客组织宣布对俄发起“网络战争”

国际黑客组织“匿名者(Anonymous)”就俄罗斯在乌克兰的军事行动宣布对俄发动“网络战争”,并声称对“今日俄罗斯”(RT)遭受的一次网络攻击负责。

(来源:cnBeta)


货运巨头Expeditors遭网络攻击导致全球大部分业务关闭

2月20日,全球物流和货运巨头公司Expeditors International遭到网络攻击,迫使该集团关闭了其全球大部分业务。该公司在通告中没有提及网络攻击的类型,但从其描述以及知情人士提供的消息来看,这可能是一起大规模的勒索软件攻击事件。此次攻击造成的影响是巨大的, Expeditors 的运营受到限制,包括货运、海关和配送活动,这可能导致其客户的货运停滞。该公司指出,系统将持续处于离线,直到可以从备份中安全地恢复。该公司表示聘请了网络安全专家来调查此次事件并从攻击中恢复。

(来源:BleepingComputer)


FBI:BlackByte 勒索软件入侵美国关键基础设施

近日,美国联邦调查局 (FBI) 透露,BlackByte 勒索软件组织在过去三个月中入侵了至少三个来自美国关键基础设施领域的网络。BlackByte 是一个勒索软件即服务 (RaaS) 组织,它加密受感染的 Windows 主机系统上的文件,包括物理和虚拟服务器。该勒索软件组织至少从2021年7月开始就一直活跃,针对全球企业展开攻击,以利用软件漏洞(包括 Microsoft Exchange Server)来获得对其企业目标网络的初始访问权限而闻名。

(来源:BleepingComputer)


黑客攻击欧洲港口石油设施,油轮无法靠港

因遭到勒索软件的攻击,位于荷兰阿姆斯特丹和鹿特丹、比利时安特卫普的几处港口的石油装卸和转运受阻。截至当地时间2月4日,至少有7艘油轮被迫在安特卫普港外等候,无法靠港,负责从这些港口经莱茵河向内陆城市转运石油的驳船也发生延误。负责从这些港口经莱茵河向内陆城市转运石油的驳船也发生延误。英国壳牌公司已经决定绕开这几处港口装运石油。这波网络袭击由何人发起目前还不清楚,受影响的公司正聘请网络安全专家进行调查。

(来源:上观新闻)


德国主要燃料储存供应商遭网络攻击,可能造成燃油供应中断

据CyberScoop证实,1月29日,德国主要石油储存公司Oiltanking GmbH Group遭到网络攻击。德国新闻媒体Handelsblatt首次报道,网络攻击影响了Oiltanking以及矿物油贸易公司Mabanaft的IT系统。两家公司都隶属于总部位于汉堡的Marquard & Bahls集团,该集团是世界上最大的能源供应公司之一。Oiltanking和Mabanaft在他们的联合声明中表示,他们正在努力尽快解决该问题并了解其全部波及范围。另据路透社报道,荷兰皇家壳牌公司2月1日表示,由于德国物流公司Marquard& Bahls的两家子公司遭到网络攻击后,它正在将石油供应重新转运到其他仓库。2月1日,受攻击事件影响,欧洲西北部地区馏分柴油价格略微上涨。

(来源:黑客技术)


GE Digital修复了Proficy CIMPLICITY HMI/SCADA的两个新漏洞

GE Digital针对影响其Proficy CIMPLICITY HMI/SCADA软件的两个严重漏洞发布了补丁和缓解措施,该软件被世界各地的工厂用于监测和控制运营。这两个漏洞编号分别为:CVE-2022-23921(CVSS评分:7.5)可用于权限提升和远程代码执行。

CVE-2022-21798(CVSS评分:7.5)与以明文形式传输凭据有关。

受影响版本:

HMI 和 SCADA 平台 Proficy CIMPLICITY 的以下版本受到影响:

CVE-2022-23921:Proficy CIMPLICITY v11.1 及之前的版本

CVE-2022-21798:Proficy CIMPLICITY 所有版本

修复建议

GE Digital已于2022年1月发布了补丁和缓解措施,建议用户及时升级并按照安全部署指南中的说明限制允许运行哪些 CIMPLICITY 项目。

(来源:SecurityWeek)


AirspanNetworks Mimosa 设备中存在多个漏洞

Airspan Network的Mimosa产品线为服务提供商、工业和政府运营商提供混合光纤无线(HFW)网络解决方案,用于短程和远程宽带部署。美国网络安全和基础设施安全局(CISA)发布了工业控制系统咨询警告,警告Airspan Networks Mimosa设备中存在多个漏洞。其中三个漏洞 CVE-2022-21196、CVE-2022-21141、CVE-2022-21215 (CVSS评分:10分)使攻击者能够有效地执行任意代码、访问密钥,甚至修改配置。其余四个漏洞:CVE-2022-21176、CVE-2022-0138、CVE-2022-21143、CVE-2022-21800可能允许攻击者注入任意命令、破解散列密码,并获得对敏感信息的未经授权访问。

受影响版本

MMP:v1.0.3 之前所有版本

PTP C系列:v2.8.6.1 之前版本

PTMP C系列和 A5x:v2.5.4.1 之前版本

修复建议

Airspan Networks 建议用户更新到以下版本:

MMP:1.0.4 或更高版本

PTP:

C5x:2.90 或更高版本

C5c:2.90 或更高版本

PTMP:

C 系列:2.9.0 或更高版本

A5x:2.9.0 或更高版本

(来源:TheHackerNews)


西门子和施耐德2月修复近50个安全漏洞

西门子

西门子发布了 9 份公告,修复了27个漏洞,其中最严重的漏洞是 CVE-2021-45106(CVSS评分:9.9)该漏洞和硬编码凭据有关,暴露了和 SICAM TOOLBOX II 工程解决方案有关的数据库。另外一份重要的安全公告说明了三个高危的拒绝服务漏洞,无需认证,攻击者即可利用这些漏洞攻击企业的控制器。西门子还修复了位于 SIMATIC、SINEMA 和 SCALANCE 产品中的多个高危漏洞,这些产品中都使用了第三方 strongSwan 组件。虽然这些漏洞已被证实可用于发动拒绝服务攻击,但其中一个漏洞在某些情况下可导致远程代码执行。西门子还修复或缓解了位于 Solid Edge、JT2Go、Teamcenter Visualization 和 Simcenter Femap 中的漏洞。攻击者可诱骗目标用户打开特别构造的文件利用这些漏洞。攻击者可利用这些漏洞实施拒绝服务攻击或远程代码执行攻击。西门子公司还发布一份安全公告,提醒客户注意影响其很多款产品的高危OpenSSL 缺陷。西门子已为某些产品提供补丁,但其它一些产品仅有一些缓解措施且并不打算发布更新。西门子还修复了位于 SINEMA Remote Connect Server、Spectrum Power 4 和SIMATICWinCC 和 PCS中的多个中危漏洞。


施耐德电气

施耐德发布了 6 份公告,涉及20个漏洞。在用于监控和控制工业过程的交互式图形 SCADA 系统 (IGSS) 中共出现8个漏洞,其中很多是“严重”和“高危”级别。这些漏洞可导致远程代码执行、数据泄露和SCADA 系统控制丢失等后果。在施耐德电气 spaceLYnk、Wiser For KNX 和 fellerLYnk 产品中也发现了严重漏洞和高危漏洞。施耐德电气公司还发布安全公告,说明了位于 EcoStruxure EV Charging Expert、Easeregy P40、Harmony//Magelis iPC 中的高危和中危漏洞。这些漏洞可被用于越权访问系统、提升本地权限、中断或失去防护能力。

(来源:SecurityWeek)

分享:

微博
微信公众号