谛听 工控安全月报 | 1月
目录
01
工控安全相关政策
-
国家铁路局公布《铁路关键信息基础设施安全保护管理办法》
-
全国信息安全标准化技术委员会公开征求《信息安全技术 网络安全产品互联互通 资产信息格式》(征求意见稿)等4项国家标准意见
-
工业和信息化部公布《2023年工业和信息化领域数据安全典型案例名单》
-
CISA发布供水和废水处理领域网络安全实践指南
-
工业和信息化部等九部门发布《原材料工业数字化转型工作方案(2024—2026年)》
-
工业和信息化部印发《工业控制系统网络安全防护指南》
02
工控安全相关事件
-
思科ASA的远程命令注入漏洞被攻击者通过暗网销售
-
美国海军造船厂遭勒索软件攻击泄露近17000人信息
-
多个境外机构在我国海域周边投放大量航空信息窃密设备
-
博世力士乐扳手存在23个漏洞,可导致拧紧操作被篡改
-
思科修复影响Cisco Unity Connection软件的安全漏洞
03
蜜罐数据分析
04
俄罗斯、乌克兰联网工控设备分析
工控安全相关政策
1
国家铁路局公布《铁路关键信息基础设施安全保护管理办法》
1月2日,国家铁路局公布《铁路关键信息基础设施安全保护管理办法》(中华人民共和国交通运输部令2023年第20号),自2024年2月1日起施行。该管理办法是为保障铁路关键信息基础设施安全,维护网络安全,根据《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》等法律、行政法规而制定,适用于铁路关键信息基础设施的安全保护和监督管理工作。
参考链接:
https://www.nra.gov.cn/xxgk/gkml/ztjg/gfzd/bmgz/202401/t20240102\_344297.shtml
2
全国信息安全标准化技术委员会公开征求《信息安全技术 网络安全产品互联互通 资产信息格式》(征求意见稿)等4项国家标准意见
1月4日,信安标委发布通知,公开征求《信息安全技术 网络安全产品互联互通 资产信息格式》(征求意见稿)、《信息安全技术 网络安全产品互联互通 告警信息格式》(征求意见稿)、《信息安全技术 信息安全管理体系 要求》(征求意见稿)等4项国家标准意见。《信息安全技术 网络安全产品互联互通 资产信息格式》是网络安全产品互联互通系列标准的资产信息描述标准,规定了网络安全产品互联互通资产信息的描述格式,适用于网络安全产品的设计、开发、应用和测试;《信息安全技术 网络安全产品互联互通 告警信息格式》是网络安全产品互联互通系列标准的告警信息描述标准,规定了网络安全产品互联互通时告警信息的描述格式,适用于网络安全产品互联互通的设计、开发、应用和测试;《信息安全技术 信息安全管理体系 要求》规定了在组织环境下建立、实现、维护和持续改进信息安全管理体系的要求,包括了根据组织需求所剪裁的信息安全风险评估和处置的要求,适用于各种类型、规模或性质的组织。征求意见需于2024年3月3日前反馈至信安标委秘书处。
3
**工业和信息化部公布《2023年工业和信息化领域数据安全典型案例名单》
**
1月4日,工业和信息化部办公厅发布关于公布2023年工业和信息化领域数据安全典型案例名单的通知,该遴选工作是为贯彻落实《中华人民共和国数据安全法》及《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》,充分发挥典型案例在数据安全产业发展中的示范引领作用,切实增强工业和信息化领域数据安全保障水平而组织开展,经申报推荐、形式审查、专业初审、专家评审和网上公示而确定名单,各单位需结合工作实际,加强宣传推广,进一步提升工业和信息化领域数据安全保护水平。
参考链接:
https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2024/art\_a33687acf8b74cb8ac95b421e5a15ceb.html
4
CISA发布供水和废水处理领域网络安全实践指南
1月18日,美国网络安全和基础设施安全局(The Cybersecurity and Infrastructure Security Agency,CISA)、美国环境保护局(United States Environmental Protection Agency,EPA)、美国联邦调查局(Federal Bureau of Investigation,FBI)联合发布了一项网络安全实践指南,该指南旨在帮助美国城市供水和污水处理领域(the Water and Wastewater Systems,WWA)的企业组织提高网络安全弹性和事件响应能力,防范严重网络安全事件发生,包含了对WWA企业开展网络安全事件响应的多个阶段行动指导和建议,包括准备工作阶段、检测分析阶段、遏制、消除和恢复生产阶段、事件后的调查阶段。
参考链接:
5
工业和信息化部等九部门发布《原材料工业数字化转型工作方案(2024—2026年)》
1月25日,工业和信息化部、国家发展和改革委员会等九部门发布关于印发《原材料工业数字化转型工作方案(2024—2026年)》的通知。该工作方案是为推动原材料工业数字化转型,加快推进新型工业化、建设制造强国而制定。方案在主要任务中指出要完善网络化基础,引导企业构建泛在感知网络环境,支撑数据要素流动传输,实现设备互联、业务互联及产业互联;加强网络与数据安全治理,落实工业互联网安全分类分级管理要求,建立完善分类分级管理制度,科学识别和判定企业网络安全级别,落实适合自身发展实际的安全防护措施,持续开展网络安全演练,实战化检验提升重大风险防御和处置能力。
参考链接:
https://www.miit.gov.cn/jgsj/ycls/wjfb/art/2024/art\_df31d4ff7a794bb3a29826e1bf33e3e1.html
6
工业和信息化部印发《工业控制系统网络安全防护指南》
1月30日,工业和信息化部发布关于印发工业控制系统网络安全防护指南的通知,该指南的发布目的是为了适应新型工业化发展形势,提高我国工业控制系统网络安全保障水平,指导工业企业开展工控安全防护工作,以高水平安全护航新型工业化高质量发展。该防护指南定位于面向工业企业做好网络安全防护的指导性文件,坚持统筹发展和安全,围绕安全管理、技术防护、安全运营、责任落实四方面,提出33项指导性安全防护基线要求,推动解决走好新型工业化道路过程中工业控制系统网络安全面临的突出问题。
参考链接:
https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2024/art\_b9415a5455934902b04961909b1c2873.html
工控安全相关事件
1
思科ASA的远程命令注入漏洞被攻击者通过暗网销售
1月4日,美国网络安全新闻The Cyber Express报道,名为“xc7d2f4”的威胁行为者正在暗网出售Cisco自适应安全设备(Adaptive Security Appliance,ASA)的远程命令注入漏洞。该行为者声称该漏洞存在于所有55XX系列的思科ASA上并于暗网上展示了RCI.rb (Ruby) Meterpreter模块、一份有关如何使用该模块的PDF手册、一份包含有关远程命令注入漏洞详细信息的PDF文档以及RE片段,同时该威胁行为者向需要购买此远程命令注入漏洞数据的用户索要100万美元的一次性付款。
参考链接:
https://thecyberexpress.com/cisco-remote-command-injection-vulnerability/?&web\_view=true
2
美国海军造船厂遭勒索软件攻击泄露近17000人信息
1月5日,意大利造船公司芬坎蒂尼集团(Fincantieri)的美国子公司芬坎蒂尼海事集团(Fincantieri Marine Group,FMG)向缅因州监管机构提交了一封违规通知信,信中表示在2023年4月6日至2023年4月12日期间,FMG环境中的某些系统遭到未经授权的访问,因此,存储在其系统上的某些数据遭到未经授权的获取,然而该公司当时没有回应置评请求,但向美国海军研究所和《绿湾新闻公报》发送了一份声明,确认其遭遇了一起网络安全事件,导致“其网络上的某些计算机系统暂时中断”。据美国海军学院在2023年4月的报道称,该造船厂建造了美国海军的自由级濒海战斗舰和星座级导弹护卫舰。
参考链接:
https://apps.web.maine.gov/online/aeviewer/ME/40/901b3d47-d21e-426e-87dd-e25266b0db96.shtml
3
多个境外机构在我国海域周边投放大量航空信息窃密设备
1月6日,“国家安全部”微信公众号发布消息称,国家安全机关工作发现,多个境外机构以免费提供设备、共享航空信息为诱饵,依托网络社交平台面向境内航空爱好者精准招募“志愿者”,并跨境邮寄设备,指挥“志愿者”在我境内非法采集、向境外秘密传输我国飞行器飞行数据。经调查,这些境外机构通过向“志愿者”寄送大小接近普通智能手机的便携式信号接收设备,并远程指导“志愿者”在我国境内航空枢纽附近投放,实现对周边一定范围内飞机的型号、高度、经度、纬度、速度、航向等信息的自动采集,并将上述数据实时传输到境外机构指定的服务器上。
参考链接:
https://mp.weixin.qq.com/s/7HNLRAoAnOpv\_i3Rd5xA4g
4
博世力士乐扳手存在23个漏洞,可导致拧紧操作被篡改
1月9日,美国网络安全技术公司Nozomi发布报告称其研究人员发现博世力士乐公司(Bosch Rexroth)生产的NXA015S-36V-B型手持螺帽扳手存在23个漏洞。该型号的扳手可以无线连接到使用它的企业本地网络,工程师能够将螺栓和其他机械紧固件拧紧到对安全性和可靠性至关重要的精确扭矩水平,并通过相搭配的扭矩级别的指示显示屏查看拧紧情况。在某些情况下,攻击者可以利用这些漏洞安装恶意软件,并通过恶意软件使整个设备群瘫痪,或者使它们的紧固件过松或过紧,而显示屏却继续显示关键设置仍然正确到位。
参考链接:
https://www.nozominetworks.com/blog/vulnerabilities-on-bosch-rexroth-nutrunners
5
思科修复影响Cisco Unity Connection软件的安全漏洞
1月10日,思科发布软件安全更新,以解决其Unity Connection软件中基于Web的管理界面漏洞,该漏洞被追踪为CVE-2024-20272(CVSS v3:7.3分),是由于特定API缺乏身份验证以及对用户提供的数据验证不当造成的。攻击者可通过向受影响系统上传任意文件利用此漏洞。成功利用漏洞后,攻击者可在系统上存储恶意文件,在操作系统上执行任意命令,并将权限提升至root。该漏洞影响Cisco Unity Connection的12.5及更早版本(已在版本12.5.1.19017-4中修复)和14(已在版本14.0.1.14006-5中修复)版本,版本15不易受到攻击。
参考链接:
蜜罐数据分析
“谛听”工控蜜罐在1月份收集到大量攻击数据。图1、图2和图3中展示了经过统计和分析后的数据。下面将对各个图表进行简要说明。
图1展示了2024年1月份和2023年12月份不同协议下各蜜罐受到的攻击量对比情况。从图中可以看到,1月份Ethernet/IP协议蜜罐受到的攻击数量低于12月份受到的攻击数量,除此以外1月份各协议蜜罐受到的攻击数量都高于12月份受到的攻击数量。
图1. 1月份和12月份蜜罐各协议攻击量对比
(数据来源“谛听”)
图2展示了2024年1月份和2023年12月份攻击量最多的10个国家对比情况。从图中可以看到,1月份荷兰和英国对蜜罐的攻击量有所减少,此外其他所有国家对蜜罐的攻击量均有所提高。
图2. 1月份和12月份其他各国对蜜罐的攻击量对比TOP10
(数据来源“谛听”)
由图3可以看出, 1月份来自浙江的流量最多,来自江苏的流量位居第二,而来自北京的流量位居第三。排名比较靠前的也大都是沿海或者工业较发达的地区,其他省份的流量有所波动。
图3. 1月份中国国内各省份流量(TOP10)
(数据来源“谛听”)
俄罗斯、乌克兰联网工控设备分析
截止至2024年1月28日,俄乌战争已经进入第703天,俄罗斯继续在乌克兰东部地区发动攻势,但进展缓慢。俄军在卢甘斯克州的进展较为顺利,已占领了该州大部分地区。但在顿涅茨克州,俄军的进展较为缓慢,遭到了乌军的顽强抵抗。俄乌战争已对全球经济和安全造成了重大影响。战争导致全球能源和粮食价格飙升,加剧了全球通胀。
为了深入了解俄罗斯和乌克兰的工控领域状况,团队持续关注并进行了探测,以获取被扫描设备的详细信息。
2023年1月俄罗斯、乌克兰暴露工控设备相关协议
从图4乌克兰各协议暴露数量对比图中可以看出,1月探测到的数量与12月份相比,AMQP协议有小幅下降,其他各个协议几乎均没有太大变化。同时联网摄像头暴露数量相比11月有小幅度下降,由1470降至1459。
图4. 12月、1月乌克兰各协议暴露工控资产数量对比
(数据来源“谛听”)
俄罗斯的各协议暴露数量对比如图5所示。从图中可以看出,与12月相比, 1月Modbus协议有小幅升高,AMQP和Nport协议小幅度下降,其他协议变化不明显。1月联网摄像头暴露数量也有一定程度下降,由2020下降至1970。
后续团队将对相关信息持续关注。
图5. 12月、1月俄罗斯各协议暴露工控资产数量对比
(数据来源“谛听”)
扫码关注我们
微信号|谛听ditecting
