安帝科技速递｜【工业网络安全月报2024年-3月】

一、政策扫描

本月观察到国内外网络安全相关政策法规26项，中国5项、涉及美国15项、欧盟2项、澳大利亚2项、英国1项、印度1项，值得关注的有美国NSA发布云环境应用10大安全策略、美国发布针对关键基础设施防御DDoS攻击的更新指南。

1、《网络安全标准实践指南——车外画面局部轮廓化处理效果验证》发布
3月7日，为指导汽车数据处理者对车外画面进行人脸、车牌局部轮廓化处理效果的自行验证，全国信安标委秘书处组织编制并发布了《网络安全标准实践指南——车外画面局部轮廓化处理效果验证》。
资料来源：http://yndrc.dwa2.sbs/pIVZrts

2、美国NSA发布云环境应用10大安全策略
3月7日，美国国家安全局(NSA)发布了云客户应用来改善安全状况的十大推荐缓解策略列表。该通报于2024年3月7日发布，汇编了从云安全措施到身份和访问管理、数据安全实践和网络分段的十项策略。美国网络安全和基础设施安全局(CISA)为NSA的十项战略中的六项提供了支持。
资料来源：http://uqi9b.dwa2.sbs/wOtNYwR

3、欧盟议会通过人工智能法案
3月13日，欧洲议会投票通过了欧盟的人工智能法案，为整个共同市场的各种人工智能产品引入了一系列规则，该法案旨在“保护基本权利、民主、法治和环境可持续性免受高风险人工智能的影响。
资料来源：https://therecord.media/eu-parliament-passes-ai-act-regulation

4、美国CISA推出安全软件认证表
3月13日，国土安全部的网络安全和基础设施安全局发布了软件开发认证表格，该表格源自一项全面的2021年网络安全行政命令和OMB软件供应链备忘录，旨在强制执行CISA经常推动的安全设计原则，鼓励软件制造商为其产品设计强大的内置基线安全功能。
资料来源：http://gsrzc.dwa2.sbs/rjBDdMl

5、美国发布针对关键基础设施防御DDoS攻击的更新指南
3月21日，美国网络安全和基础设施安全局(CISA)、联邦调查局(FBI)和多州信息共享与分析中心(MS-ISAC)发布了更新的联合指南，指南概述了拒绝服务(DoS)和DDoS情况，包括攻击类型、动机和对政府运营的潜在影响，以及实施预防措施的实际步骤以及针对每种定义的事件响应DDoS和DoS技术类型。
资料来源：http://aazob.dwa2.sbs/dcAFVtn

6、美国五角大楼制定国防工业基础网络安全战略
3月28日，五角大楼发布了首个网络安全战略，以更好地保护其庞大的工业基础免受黑客攻击。该战略将作为增强供应链网络安全和弹性的路线图，涵盖2024至2027财年，制定了四个首要目标，例如改进工业基础内的最佳实践等。
资料来源：http://221qc.dwa2.sbs/s87Csjy

二、安全事件

本月监测到勒索事件20起、数据泄露事件30起、网络攻击55起，钓鱼攻击2起、DDOS攻击2起。其中典型的事件有北朝鲜黑客偷窃了南韩半导体信息，印度尼西亚能源巨头遭受网络攻击。
1、北朝鲜黑客偷窃了南韩半导体信息
3月5日，北朝鲜黑客组织入侵了至少两家南韩半导体制造设备生产商，盗取了产品设计图纸和工厂照片，以逃避制裁并生产自己的半导体，用于武器项目。这一消息传出后，南韩总统警告说，北朝鲜可能会采取挑衅行为，如进行网络攻击或散布虚假新闻，干扰四月的议会选举。
资料来源：http://livfa.dwa2.sbs/vVqqepT

2、印度尼西亚能源巨头遭受网络攻击
3月15日，据媒体报道，一名暗网攻击者正在出售一家印度尼西亚能源公司的访问权限，据信该攻击者与针对一家美国制造商的威胁攻击者是同一人。威胁行为者据称通过组织用于网络保护的流行网络安全解决方案提供了对该公司系统的访问权限。此次非法访问的要价定为800美元。
资料来源：https://thecyberexpress.com/indonesian-energy-sector-threat/

3、法国政府机构遭受“前所未有的强度”的网络攻击
3月11日，法国总理办公室宣布，许多法国政府机构遭到“强烈”网络攻击。3月10日晚上开始的攻击的性质尚未得到证实，尽管描述与分布式拒绝服务(DDoS)攻击一致。目前尚不清楚它们是否仅限于法国政府使用的面向公众的网站。
资料来源：https://therecord.media/france-government-ddos-incident

4、电动汽车充电公司Qmerit泄露中泄露了大量客户信息
3月13日，据报道，网络安全研究员福勒与WebsitePlanet在著名的美国电动汽车服务提供商Qmerit的服务器中发现了一个不受密码保护的数据库，其中包含超过50万条记录，暴露的数据库大小总计585.81GB，包含大量文档，例如工作发票、价格建议、电力许可证和调查，以及客户提交的信息，包括其房屋图像和充电器位置详细信息。
资料来源：http://5q2sb.dwa2.sbs/m5KGBfJ

5、美国恩西纳废水管理局遭受BlackByte勒索攻击
3月15日，据媒体报道，加利福尼亚州卡尔斯巴德-恩西纳废水管理局(EWA)发现自己成为臭名昭著的BlackByte勒索软件组织的目标。网络安全专家认为，尽管恩西纳废水管理局的网站http://encinajpa.com仍然正常运行，没有立即出现入侵迹象，然而威胁行为者可能已经渗透到组织的后端系统或数据库。
资料来源：https://thecyberexpress.com/encina-wastewater-authority-cyberattack/

6、日本富士内网感染恶意软件导致数据泄露
3月17日，富士通报道他们在内部调查期间检测到了该恶意软件。发现后，他们立即隔离受感染的设备，并加强整个系统的安全监控。目前正在进行深入调查，以确定恶意软件的入口点和潜在数据泄露的全部范围。
资料来源：http://8azrb.dwa2.sbs/5o61xOF

三、漏洞态势

本月监测到OT漏洞81个，其中不正确的输入验证9个，SQL注入7个，越界写入7个，栈缓冲区溢出5个，内存缓存的边界中操作限制不当4个，越界读取4个，空指针解引用4个，受限目录路径名处理不当 (路径遍历)3个，整数溢出3个，网页生成时输入处理不当(跨站脚本攻击)2个，不当的权限许可2个，访问未初始化的指针2个，使用硬编码的凭据2个，不当认证2个，堆的缓冲区溢出2个，访问控制不恰当2个，不正确的指针放大2个，明文存储口令1个，路径遍历1个，网页生成时输入处理不当(跨站脚本攻击)2个，未限制危险类型文件上传1个，弱密码1个，使用外部控制的格式字符串1个，可信数据的反序列化1个，参数注入或修改1个，文件和路径信息暴露1个，隐藏功能1个，手动调试的1个，不检查输入数据大小就复制缓冲区1个，释放后使用1个，关键资源的权限分配不正确1个，不受控制的搜索路径元素1个，使用弱哈希1个，路径穿越1个，敏感信息的明文传输1个，将敏感信息暴露给未经授权的演员访问者1个。
1、西门子设备受45个Fortinet漏洞影响
3月12日，西门子发布了11份新公告，共描述了214个漏洞。其中45个漏洞是在Fortinet产品中发现的同时也影响西门子Ruggedcom APE1808，这些缺陷具有严重性和高度严重性，可被利用用于帐户接管、任意代码执行和未经授权的信息访问。
资料来源：http://goefa.dwa2.sbs/xedv5gF

2、工业设备制造商Moxa修复了可导致生产停止的漏洞
3月7日，Moxa发布了固件更新，解决了Positive Technologies专家发现的NPort系列无线工业转换器中的危险漏洞(CVE-2024-1220)。该漏洞允许攻击者在未经授权的情况下在受影响的设备上执行任意代码。
资料来源：https://www.securitylab.ru/news/546666.php

3、QNAP警告其NAS设备存在严重身份验证绕过缺陷
3月8日，QNAP警告其NAS软件产品（包括QTS、QuTS Hero、QuTScloud和myQNAPcloud）存在身份验证绕过（CVE-2024-21899）、命令注入（CVE-2024-21900）和SQL注入（CVE-2024-21901）漏洞，这些漏洞可能允许攻击者访问设备。QNAP已发布升级补丁，以修复这三个漏洞，建议用户及时升级相应版本。
资料来源：http://rh4ib.dwa2.sbs/Oiij5xM

4、ABB控制器中发现的严重漏洞
3月20日，据媒体报道，Positive Technologies专家在ABB Freelance AC 900F和AC 700F控制器中发现了两个漏洞，这些漏洞在CVSS v3.1等级上获得了8.6的相同评级。这些设备应用于冶金、化工等领域。通过利用发现的漏洞，攻击者可以停止控制器的运行并破坏技术流程。此外，通过发送特制的数据包，攻击者可以进行远程代码执行攻击，从而夺取设备的控制权。
资料来源：https://www.securitylab.ru/news/546904.php

5、Ivanti产品发现安全漏洞
3月21日，Ivanti警告其Standalone Sentry产品存在严重漏洞。它允许攻击者远程执行任意命令。该漏洞编号为CVE-2023-41724，CVSS分为9.6，影响该产品的所有受支持版本，包括9.17.0、9.18.0和9.19.0以及更早的版本。
资料来源：https://therecord.media/eu-parliament-passes-ai-act-regulation

6、Claroty的Team82揭示了Unitronics UniStream设备中的严重漏洞
3月25日，据媒体报道，Claroty Team82的研究人员披露了Unitronics UniStream集成PLC/HMI产品中存在严重硬件漏洞，导致供应商更新产品线。这些漏洞可能允许攻击者绕过身份验证并在直接连接到互联网的设备上启用远程代码执行。
资料来源：http://eykib.dwa2.sbs/hlUyATi

四、产品方案

人工智能驱动的资产智能供应商Ordr宣布推出基于OrdrAI资产智能平台构建的新OrdrAI CAASM+（网络资产攻击面管理）产品，用于网络资产攻击面管理。
1、Ordr推出Ordr AICAASM+产品
3月19日，人工智能驱动的资产智能供应商Ordr宣布推出基于OrdrAI资产智能平台构建的新OrdrAI CAASM+（网络资产攻击面管理）产品。OrdrAI CAASM+以其经过验证的资产智能平台为基础，具有独特的功能，例如用于统一资产发现的Ordr发现引擎、AI/ML分类和分析以及自动化策略创建和工作流程，为组织提供了一个无摩擦的选项来管理其整个资产攻击面—包括设备、用户、已安装的软件、云和SaaS。
资料来源：http://7kp1c.dwa2.sbs/1NYtYab

2、Check Point引入Harmony SaaS实现自动威胁防护
Check Point推出了Harmony SaaS，它通过无缝集成到客户现有的基础设施中提供保护，并提供实时威胁预防。通过无缝集成基于人工智能的威胁预防和持续减少攻击面，Harmony SaaS使组织能够在SaaS领域保持领先地位，确保对其敏感数据和关键资产的强大保护。
资料来源：http://4nm9c.dwa2.sbs/PHqCe6v

五、融资并购

Claroty获得1亿美元的增长融资，以促进垂直和区域扩张、产品创新和合作伙伴关系。工业和物联网网络安全公司Nozomi Networks融资1亿美元以拓展工业网络安全业务。
1、Claroty获得1亿美元的增长融资
3月6日，Claroty宣布已获得1亿美元的增长融资。参与者包括主要股权投资者Delta-v Capital，以及AllianceBernstein的AB Private Credit Investors、Standard Investments、东芝数字解决方案、SE Ventures、罗克韦尔自动化和First Citizens Bank旗下硅谷银行。结合Claroty迄今为止现有的6.35亿美元融资，新融资进一步确立了该公司在关键基础设施网络安全市场的领导地位。
资料来源：http://43xvb.dwa2.sbs/MJDlWik

2、Nozomi Networks融资1亿美元
3月13日，工业和物联网网络安全公司Nozomi Networks宣布完成1亿美元的融资，使该公司筹集的资金总额超过2.5亿美元。最新一轮融资包括三菱电机和施耐德电气的投资，这两家公司以及霍尼韦尔和江森自控等之前投资过Nozomi的其他OT设备制造商(OEM)也参与其中。Nozomi表示，额外投资将有助于扩大产品开发力度，并支持其在全球范围内的上市方式。
资料来源：http://j4mqb.dwa2.sbs/hEnFybp