谛听 工控安全月报 | 3月
目录
01
工控安全相关政策
-
全国网络安全标准化技术委员会发布《网络安全标准实践指南——网络安全产品互联互通 资产信息格式》
-
全国网络安全标准化技术委员会发布《数据安全技术 数据分类分级规则》
-
全国网络安全标准化技术委员会第一次主任办公会在京召开
-
5项网络安全国家标准获批发布
02
工控安全相关事件
-
基于Web的Stuxnet风格PLC恶意软件将重新定义工业网络安全威胁
-
比利时督威摩盖特(Duvel Moortgat)啤酒厂遭遇勒索软件攻击,设施生产陷入停顿
-
思科针对Secure Client中的高严重性VPN劫持漏洞发布补丁
-
思科修复IOS XR软件中的权限提升和拒绝服务相关漏洞
-
施耐德遭Cactus勒索软件攻击导致数据被盗
03
蜜罐数据分析
04
俄罗斯、乌克兰联网工控设备分析
工控安全相关政策
01
全国网络安全标准化技术委员会发布《网络安全标准实践指南——网络安全产品互联互通 资产信息格式》
3月15日,全国网络安全标准化技术委员会发布《网络安全标准实践指南——网络安全产品互联互通 资产信息格式》。《网络安全标准实践指南》是全国网络安全标准化技术委员会秘书处组织制定和发布的标准相关技术文件,旨在围绕网络安全法律法规政策、标准、网络安全热点和事件等主题,宣传网络安全相关标准及知识,提供标准化实践指引。该实践指南规范了网络安全产品互联互通资产信息的描述格式,适用于网络安全产品的设计、开发、应用和测试。
参考链接:
https://mp.weixin.qq.com/s/7EiUlXYKziHEAUWuE2OS8w
02
全国网络安全标准化技术委员会发布《数据安全技术 数据分类分级规则》
3月15日,全国网络安全标准化技术委员会发布《数据安全技术 数据分类分级规则》。为支撑国家数据分类分级保护制度,在国家数据安全工作协调机制指导下,根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》及有关规定,中国电子技术标准化研究院联合中国科学技术大学等36家单位,共同研制了《数据安全技术 数据分类分级规则》(标准编号:GB/T43697-2024)国家标准。该文件规定了数据分类分级的原则、框架、方法和流程,给出了重要数据识别指南。适用于规范各行业各领域、各地区、各部门和数据处理者开展数据分类分级工作。不适用于涉及国家秘密的数据和军事数据。
参考链接:
https://mp.weixin.qq.com/s/77ARNzC0sWmZ7F-6F242iQ
03
全国网络安全标准化技术委员会第一次主任办公会在京召开
3月20日,全国网络安全标准化技术委员会(以下简称“网安标委”)召开网安标委第一次主任办公会,副主任委员、国家市场监督管理总局标准技术管理司一级巡视员国焕新,网安标委秘书长、副秘书长以及秘书处有关人员参加了会议。国焕新宣读了国标委批复同意组建网安标委的通知。会议审议了网安标委工作组调整方案、网安标委第一次全体会议方案、网安标委2023年工作总结和2024年工作要点,网安标委章程、标准制修订工作程序、技术文件制定工作程序等3个制度文件,5项网络安全国家标准报批稿、53项网络安全国家标准复审结论建议,以及2023年度网安标委标准化工作先进个人提名名单。
参考链接:
https://www.tc260.org.cn/front/postDetail.html?id=20240326175042
04
5项网络安全国家标准获批发布
3月21日,根据2024年3月15日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2024年第1号),全国网络安全标准化技术委员会归口的5项国家标准正式发布,其中包括了《数据安全技术 数据分类分级规则》(标准编号:GB/T 43697-2024)、《信息技术 安全技术 抗抵赖 第 1部分:概述》(标准编号:GB/T 17903.1-2024)、《信息技术 安全技术 抗抵赖 第 3部分:采用非对称技术的机制》(标准编号:GB/T 17903.3-2024)、《信息技术 安全技术 实体鉴别 第4部分:采用密码校验函数的机制》、(标准编号:GB/T 15843.4-2024)、《信息技术安全技术信息安全管理 监视、测量、分析和评价》(标准编号:GB/T 31497-2024)等五个对于工控网络安全防护具有较强影响的标准文件。
参考链接:
https://www.tc260.org.cn/front/postDetail.html?id=20240321160121
工控安全相关事件
01
基于Web的Stuxnet风格PLC恶意软件将重新定义工业网络安全威胁
2月26日至3月1日,第31届网络与分布式系统安全研讨会(NDSS)于美国加利福尼亚州圣地亚哥举行,会上佐治亚理工学院的研究人员发表的一篇名为《Compromising Industrial Processes using Web-Based Programmable Logic Controller Malware》的论文指出了一种开发可编程逻辑控制器(PLC)恶意软件的新方法。该方法允许恶意软件使用管理门户网站公开的合法Web应用程序接口秘密攻击底层的现实世界机器,此类攻击包括伪造传感器读数、禁用安全警报以及操纵物理执行器。研究人员表明,他们提出的攻击将对每个主要制造商生产的PLC起作用,同时易于部署且难以检测。与传统PLC恶意软件不同,Web PLC恶意软件无需深入了解物理过程或执行器设置,可以简单地通过虚拟操作界面造成破坏。此外,攻击者可以滥用管理员设置进一步破坏或窃取工业间谍数据。
参考链接:
https://www.ndss-symposium.org/
https://www.ndss-symposium.org/wp-content/uploads/2024-49-paper.pdf
02
比利时督威摩盖特(Duvel Moortgat)啤酒厂遭遇勒索软件攻击,设施生产陷入停顿
3月6日,比利时督威摩盖特(Duvel Moortgat)啤酒厂遭遇勒索软件攻击,导致该公司啤酒装瓶设施生产陷入停顿。Duvel是一个比利时啤酒品牌,以其浓郁、果味浓郁的同名金色淡色艾尔啤酒而闻名。据该公司一位发言人透露,勒索软件攻击于3月6日被公司的自动威胁检测系统发现。公司的公关经理Ellen Aarts表示:“昨晚1:30,公司IT部门的警报响起,报告检测到了勒索软件。因此,生产立即停止。目前尚不清楚何时可以复产。我们希望今天或明天可以重新开始生产。”Stormous勒索软件组织声称对该攻击事件负责,目前已获得从Duvel Moortga系统中窃取的88GB数据,并威胁称,如果Duvel Moortga在2024年3月25日之前不支付赎金,就会泄露这些数据。
参考链接:
03
思科针对Secure Client中的高严重性VPN劫持漏洞发布补丁
3月6日,思科为其Secure Client软件中的一个高危安全漏洞(CVE-2024-20337,CVSS v3:8.2分)发布了补丁,思科安全客户端的SAML身份验证过程中的漏洞可能允许未经身份验证的远程攻击者对用户进行回车换行(CRLF)注入攻击。由于对用户提供的输入校验不足,攻击者可能利用此漏洞诱使用户在建立VPN会话时点击一个特制的链接。如果攻击者成功利用此漏洞,他们可以在浏览器中执行任意脚本代码或访问敏感的基于浏览器的信息,包括有效的SAML令牌,然后,攻击者可以使用这个令牌与受影响用户的权限建立远程访问VPN会话。
参考链接:
04
思科修复IOS XR软件中的权限提升和拒绝服务相关漏洞
3月13日,思科修复了其IOS XR软件中的三个与权限提升和拒绝服务相关的高危漏洞(CVE-2024-20318,CVSS v3:7.4分;CVE-2024-20320,CVSS v3:7.8分;CVE-2024-20327,CVSS v3:7.4分)。CVE-2024-20318存在于思科IOS XR软件的第2层以太网服务中,该漏洞可以被未经认证的邻近攻击者利用并导致线卡网络处理器重置,从而导致拒绝服务状态;CVE-2024-20320是一个思科IOS XR软件SSH权限提升漏洞,该漏洞存在于思科8000系列路由器和思科网络融合系统(Network Convergence System,NCS)540和5700系列路由器的Cisco IOS XR软件的SSH客户端功能中,经过认证的本地攻击者可以利用这个漏洞在受影响的设备上提升权限;CVE-2024-20327,是ASR 9000系列路由器的以太网上的点对点协议终止功能的拒绝服务漏洞,该漏洞可以被未经认证的邻近攻击者利用并导致ppp_ma进程崩溃,从而引发拒绝服务(DoS)状态。
参考链接:
05
施耐德遭Cactus勒索软件攻击导致数据被盗
3月14日,能源巨头施耐德遭Cactus勒索软件攻击,导致公司大量数据被盗。Cactus勒索软件是一种复杂的网络攻击工具,它利用加密技术对受害者的计算机系统进行破坏和数据窃取。这种恶意软件通常通过电子邮件、社交媒体或其他网络渠道传播,要求用户下载并运行附件或链接以获取访问权限。一旦被激活,Cactus勒索软件会对用户的硬盘驱动器和其他存储设备进行加密,使得数据无法读取或访问。由于该软件使用复杂的技术来隐藏自身和操作系统的进程,它可能伪装成常规文件或电子邮件附件,诱骗用户点击恶意链接或下载并运行附件中的恶意软件,因此很难被发现和清除。
参考链接:
蜜罐数据分析
“谛听”工控蜜罐在3月份收集到大量攻击数据。图1、图2和图3中展示了经过统计和分析后的数据。下面将对各个图表进行简要说明。
图1展示了3月份和2月份不同协议下各蜜罐受到的攻击量对比情况。从图中可以看到,3月份ATG和Tridium Fox协议蜜罐受到的攻击数量低于2月份受到的攻击数量,除此以外3月份各协议蜜罐受到的攻击数量都高于2月份受到的攻击数量。
图1. 3月份和2月份蜜罐各协议攻击量对比
(数据来源“谛听”)
图2展示了3月份和2月份攻击量最多的10个国家对比情况。从图中可以看到,3月份比利时、保加利亚、英国和俄罗斯对蜜罐的攻击量有所减少,此外其他所有国家对蜜罐的攻击量均有所提高。
图2. 3月份和2月份其他各国
对蜜罐的攻击量对比TOP10
(数据来源“谛听”)
由图3可以看出, 3月份来自北京的流量最多,来自浙江的流量位居第二,而来自上海的流量位居第三。排名比较靠前的也大都是沿海或者工业较发达的地区,其他省份的流量有所波动。
图3. 3月份中国国内各省份流量(TOP10)
(数据来源“谛听”)
俄罗斯、乌克兰联网工控设备分析
截至2024年3月底,俄乌战争持续激烈。俄罗斯军方声称摧毁了多架乌克兰发射的无人机,并针对乌克兰的能源设施发起了多轮导弹攻击,导致多地断电。乌克兰方面则在克里米亚半岛对俄罗斯的军舰和黑海的军事设施进行了打击。此外,乌克兰加强了对电力的进口以应对俄罗斯的打击,并暂停了电力出口。在政治和外交层面,波兰因俄罗斯一枚导弹短暂进入其领空而要求俄罗斯解释。与此同时,乌克兰军事行动包括对俄罗斯境内的炼油厂进行无人机打击,并在东乌克兰和顿涅茨克城附近发生了地面冲突,俄罗斯方面在这些地区取得了一些进展。
为了深入了解俄罗斯和乌克兰的工控领域状况,团队持续关注并进行了探测,以获取被扫描设备的详细信息。
/2023年3月俄罗斯、乌克兰暴露工控设备相关协议/
从图4乌克兰各协议暴露数量对比图中可以看出,3月探测到的数量与2月份相比,AMQP协议稍微增加,其他各个协议变化不明显。同时联网摄像头暴露数量相比2月有小幅度下降,由1408降至1381。
图4. 2月、3月乌克兰各协议
暴露工控资产数量对比
(数据来源“谛听”)
俄罗斯的各协议暴露数量对比如图5所示。从图中可以看出,与2月相比, 3月AMQP、Modbus、XMPP和Nport协议有小幅的下降。2月联网摄像头暴露数量有小幅度升高,由1919升高至1921。
后续团队将对相关信息持续关注。
图5. 2月、3月俄罗斯各协议
暴露工控资产数量对比
(数据来源“谛听”)
扫码关注我们
微信号|谛听 ditecting
