工业网络安全周报-2023年第45期
2023-11-13 21:12:26   来源： 安帝Andisec   评论：0 点击：

　　2023 week 45

　　本期摘要 BREAKING NEWS

　　政策法规方面，本周观察到国内外网络安全相关政策法规4项，值得关注的有伊斯兰合作组织OIC-CERT推出适用于5G环境的新协调统一网络安全认证系统等。

　　漏洞态势方面，本周监测到漏洞动态13条，值得关注的有Veeam发布更新修复Veeam ONE监控平台中多个漏洞。

　　安全事件方面，本周监测到重大网络安全事件25起，其中典型的事件有俄罗斯“沙虫”APT新型攻击摧毁了乌克兰电网。

　　产品技术方面，XIoT安全公司NetRise在NetRise平台中引入Trace，使用户能够识别和验证受损和易受攻击的第三方和专有软件资产。

　　并购融资方面，财产和意外伤害保险巨头Travelers 宣布，已达成协议以约4.35亿美元收购Corvus Insurance Holdings，通过此次收购将加速该公司对战略路线图上的尖端网络能力的获取。

　　01　伊斯兰合作组织OIC-CERT推出适用于5G环境的新协调统一网络安全认证系统

　　11月10日，伊斯兰合作组织-计算机应急响应小组（OIC-CERT）最近发布了关于协调统一网络安全认证系统（HUCCS）的指导文件。该体系旨在建立一种保证机制，使在一个地区获得的安全认证能够得到OIC-CERT其他成员国的认可和接受。它还可以提高在OIC-CERT成员国部署通用网络安全认证的效率。因此，HUCCS可以帮助提高OIC-CERT成员国的网络安全整体水平。

　　资料来源：

　　https://www.oic-cert.org/en/wg/5g/index.html
 

　　02　美国国土安全部启动新的关键基础设施安全和弹性活动

　　11月7日，美国国土安全部(DHS)、网络安全和基础设施安全局(CISA)以及联邦紧急事务管理局(FEMA)宣布开展“盾牌就绪”活动，鼓励关键基础设施社区重点加强抵御能力。该活动是对CISA去年2月推出的Shields Up活动的补充，该活动鼓励关键基础设施利益相关者采取具体的、时间敏感的行动，以降低在网络攻击、物理安全威胁或自然灾害期间响应特定威胁情报的风险。

　　资料来源：

　　http://p8oq3.xai8.sbs/owzV85L
 

　　03　QNAP警告QTS操作系统和应用程序存在严重命令注入漏洞

　　QNAP Systems发布了针对两个关键命令注入漏洞的安全公告，这些漏洞影响QTS操作系统的多个版本及其网络附加存储(NAS)设备上的应用程序。第一个漏洞被追踪为CVE-2023-23368，严重程度为9.8（满分10）。这是一个命令注入漏洞，远程攻击者可利用该漏洞通过网络执行命令。受安全问题影响的QTS版本为QTS 5.0.x和4.5.x、QuTS Hero h5.0.x和h4.5.x以及QuTScloud c5.0.1。第二个漏洞被识别为CVE-2023-23369，严重程度较低，为9.0，也可以被远程攻击者利用，达到与前一个漏洞相同的效果。受影响的QTS版本包括5.1.x、4.3.6、4.3.4、4.3.3和4.2.x、多媒体控制台2.1.x和1.4.x，以及媒体流加载项500.1.x和500.0.x。

　　资料来源：

　　http://nve12.xai6.sbs/evzzrgm
 

　　04　Veeam发布更新修复Veeam ONE监控平台中多个漏洞

　　11月6日，Veeam发布了安全更新以修复Veeam ONE IT基础设施监控和分析平台中的4个漏洞。其中较为严重的是CVE-2023-38547(CVSS评分9.9)，可用来获取有关Veeam ONE用于访问其配置数据库的SQL服务器连接的信息，可能导致远程代码执行；以及CVE-2023-38548（CVSS评分9.8），可获取Veeam ONE Reporting Service所使用帐户的NTLM哈希。另外两个是可通过XSS攻击窃取管理员令牌的漏洞（CVE-2023-38549）和可访问Dashboard Schedule的漏洞（CVE-2023-41723）。

　　资料来源：

　　http://0wvu6.xai8.sbs/vs0gj1u
 

　　05　Microsoft Exchange被爆出四个零日漏洞允许RCE和数据盗窃攻击

　　11月2日，趋势科技披露了Microsoft Exchange四个零日漏洞，攻击者可以利用这些漏洞远程执行任意代码或泄露受影响安装上的敏感信息。所有这些漏洞都需要身份验证才能利用，这将其严重性CVSS评级降低到7.1到7.5之间。此外，要求身份验证是一个缓解因素。

　　资料来源：

　　http://hpxo2.xai6.sbs/9j5HIlf
 

　　06　OT攻击协同导弹打击！俄罗斯“沙虫”APT新型攻击摧毁了乌克兰电网

　　11月9日，Mandiant公司发布报告称，2022年底，该公司响应了一起破坏性网络物理事件，其中与俄罗斯有关的威胁参与者Sandworm针对乌克兰关键基础设施组织进行了攻击。该事件是一次多事件网络攻击，攻击中利用了一种影响工业控制系统(ICS)/操作技术(OT)的新技术。攻击者首先使用OT级陆上(LotL)技术来触发受害者的变电站断路器，导致意外停电，同时乌克兰各地的关键基础设施遭到大规模导弹袭击。Sandworm随后在受害者的IT环境中部署了CADDYWIPER擦除器的新变种，从而实施了第二次破坏性事件。Mandiant没有透露目标能源设施的位置、停电时间以及受影响的人数。

　　资料来源：

　　http://xyg63.xai8.sbs/U9b4eGA
 

　　07　俄罗斯的国有储蓄银行Sberbank遭到DDoS攻击

　　11月8日，俄罗斯联邦储蓄银行（Sberbank）发布公告称其遭到了大规模DDoS攻击。Sberbank是一家国有银行和金融服务公司，也是俄罗斯最大的金融机构，持有该国约三分之一的资产。俄罗斯媒体Interfax称，攻击大约在两周前，达到了每秒100万个请求(RPS)，这大约是该银行迄今为止遭到的最大规模DDoS攻击的四倍。

　　资料来源：

　　http://mkvv6.xai8.sbs/83IIDu2
 

　　08　制造巨头日本航空电子公司遭到AlphV的攻击运营受到影响

　　11月8日，据媒体报道，日本航空电子公司透露，其系统遭到网络攻击，网站被迫关闭。11月6日晚上，该公司的网站显示了一条消息，表明其部分服务器在11月2日被黑。这家公司表示，他们目前正在调查入侵情况并恢复运营，但一些系统已经中断，收发电子邮件也出现了一些延误，尚未发现信息泄露。AlphV在11月6日将日本航空电子公司加入其网站，但该公司尚未透露是否正在应对勒索攻击。

　　资料来源：

　　http://tywf2.xai6.sbs/GOPWxDj
 

　　09　美国航空的飞行员工会APA遭到勒索攻击系统仍在恢复中

　　11月3日，据报道，美国航空飞行员工会Allied Pilots Association(APA)遭到勒索攻击。APA工会成立于1963年，是目前世界上最大的独立飞行员工会。攻击发生于10月30日，部分系统被加密。APA表示，其IT团队正在努力通过备份来恢复受勒索攻击影响的系统，最初的重点是在未来几小时和几天内首先恢复面向飞行员的产品和工具。APA尚未透露是否有飞行员的个人信息泄露，也没有透露受影响的具体人数。

　　资料来源：

　　https://therecord.media/american-airlines-pilot-union-cyberattack
 

　　10　医疗公司因数据泄露被New York AG罚款45万美元

　　11月8日，纽约州总检察长宣布，一家医疗公司因勒索软件攻击导致数据泄露而被罚款45万美元。据纽约总检察长办公室称，2021年12月，大型私人放射学组织US Radiology Specialists成为勒索软件攻击的目标。该事件导致近20万名患者（包括92,000名纽约人）的个人和健康信息遭到泄露。

　　资料来源：

　　http://aovq5.xai6.sbs/tv7EDQ8
 

　　11　SideCopy APT的多平台攻击瞄准印度政府和国防实体

　　11月6日，据报道，SEQRITE Labs APT-Team发现了过去几个月针对印度政府和国防实体的多个APT SideCopy活动。该威胁组织目前正在利用最近的WinRAR漏洞CVE-2023-38831来部署AllaKore RAT、DRat和其他有效负载。受感染的域用于托管SideCopy的有效负载，可多次重复使用，解析为相同的IP地址。它还部署了名为Ares RAT的开源代理的Linux变体，在stager有效负载中发现了与其父威胁组织透明部落(APT36)的代码相似性。SideCopy和APT36都使用相同的诱饵和命名约定同时进行多平台攻击，共享基础设施和代码，以积极针对印度。

　　资料来源：

　　http://mw0q5.xai6.sbs/oPDV5Hm
 

　　12　安全厂商发生数据泄漏，客户连夜更换API密钥

　　11月7日，云监控和SIEM公司Sumo Logic发布公告称11月3日发现的一起“潜在安全事件”涉及通过使用受损凭证未经授权访问Sumo Logic AWS账户。虽然经过调查没有迹象表明该公司的系统、网络或客户数据受到了影响。但是，Sumo Logic建议用户更换用于访问Sumo Logic或您提供给Sumo Logic以访问其他系统的凭据。

　　资料来源：

　　http://ztpy2.xai6.sbs/J5hsdFp
 

　　13　NetRise 推出Trace，这是其人工智能驱动的软件供应链安全语义搜索

　　11月9日，XIoT安全公司NetRise宣布在NetRise平台中引入Trace。该解决方案利用人工智能驱动的语义搜索，使用户能够识别和验证受损和易受攻击的第三方和专有软件资产，标志着该领域的重大进步。

　　资料来源：

　　https://www.netrise.io/xiot-security-blog/trace-solution-benefits
 

　　14　MITRE和Microsoft将人工智能添加到MITRE ATLAS社区知识库

　　11月6日，非营利组织MITRE和软件巨头微软在MITRE ATLAS中添加了数据驱动的生成式AI系统，MITRE ATLAS是一个社区知识库，安全专业人员、AI开发人员和AI操作员可以在保护人工智能(AI)系统时使用它。框架更新和相关的新案例研究直接解决了结合生成式人工智能和大型语言模型(LLM)（如ChatGPT和Bard）的系统的独特漏洞。

　　资料来源：

　　http://hqlo5.xai6.sbs/iBFtzR4
 

　　15　Travelers将以4.35亿美元收购网络保险公司Corvus

　　11月6日，财产和意外伤害保险巨头Travelers 宣布，已达成协议以约4.35亿美元收购Corvus Insurance Holdings。Corvus成立于2017年，总部位于马萨诸塞州波士顿，是一家网络保险管理总承保商，依靠人工智能进行数据分析以及损失预测和预防。Travelers董事长兼首席执行官Alan Schnitzer强调了此次收购将加速该公司对战略路线图上的尖端网络能力的获取，包括复杂的承保算法、先进的网络漏洞扫描以及与客户和分销合作伙伴的数字连接。

　　资料来源：

　　http://rjfz2.xai6.sbs/dbip8jW
 

　　16　Tidal Cyber为威胁知情防御平台筹集了500万美元

　　11月9日，由MITRE退伍军人创立的早期初创公司Tidal Cyber宣布，已在Squadra Ventures领投的种子轮融资中筹集了500万美元。这家总部位于华盛顿特区的公司成立于2022年，正在构建所谓的威胁知情防御平台，帮助组织自动执行检测和响应，同时减少分析时间。

　　资料来源：

　　http://3wzi2.xai6.sbs/8oqTHRI