谛听 工控安全月报 | 10月
目录
01
工控安全相关政策
-
国家密码管理局发布《商用密码应用安全性评估管理办法》(国家密码管理局令第3号)
-
工业和信息化部征求《工业互联网安全分类分级管理办法(公开征求意见稿)》意见
-
中国电机工程学会人工智能专委会征求《电力物联网感知层总体技术要求》标准意见
-
中国电机工程学会人工智能专委会征求《电力物联网云边协同安全防护技术规范》标准意见
02
工控安全相关事件
-
朝鲜黑客攻击韩国造船业窃取军事机密
-
Milesight工业蜂窝路由器存在安全漏洞
-
Siemens SICAM A8000设备存在固件漏洞
-
Cisco IOS XE软件Web UI功能中的两个漏洞已被黑客利用
-
罗克韦尔自动化签署协议收购工业保护公司Verve Industrial Protection
-
Cyber Av3ngers黑客组织声称获得了以色列内坦亚市的一家污水处理厂控制系统的访问权限
03
蜜罐数据分析
04
俄罗斯、乌克兰联网工控设备分析
工控安全相关政策
01
国家密码管理局发布《商用密码应用安全性评估管理办法》(国家密码管理局令第3号)
10月7日,国家密码管理局发布第3号令,公布了于2023年9月11日国家密码管理局局务会议审议通过的《商用密码应用安全性评估管理办法》。该办法规范了商用密码应用安全性评估的概念定义、管理体制、程序及内容要求、实施规范等内容,明确“商用密码应用安全性评估,是指按照有关法律法规和标准规范,对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动。”,管理办法自2023年11月1日起开始施行。
参考链接:
https://www.oscca.gov.cn/sca/xxgk/2023-10/07/content\_1061109.shtml
02
工业和信息化部征求《工业互联网安全分类分级管理办法(公开征求意见稿)》意见
10月24日,工信部公示《工业互联网安全分类分级管理办法(公开征求意见稿)》,并征求社会各界意见。该办法是工信部为贯彻落实《网络安全法》《数据安全法》以及《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》等法规政策要求,加快建立健全工业互联网安全管理制度体系,深入实施工业互联网安全分类分级管理而起草。如有修改意见或建议,需在2023年11月22日前反馈。
参考链接:
https://www.miit.gov.cn/gzcy/yjzj/art/2023/art\_cce18e45a43f4cf6818f0b98ee39c2b4.html
03
中国电机工程学会人工智能专委会征求《电力物联网感知层总体技术要求》标准意见
10月25日,由人工智能专委会管理、中国电力科学研究院有限公司牵头起草的中国电机工程学会标准《电力物联网感知层总体技术要求》现已完成征求意见稿的编制,于2023年10月20日至11月19日在中国电机工程学会标准管理平台网站向有关单位、专家公开征求意见。该标准规定了电力物联网感知层功能定位、连接关系等总体要求,以及感知层设备和本地通信的技术要求、安全要求,适用于指导电力物联网感知层的规划、设计与建设。如有修改意见和建议,需在2023年11月19日前反馈至标准项目技术工作组。
参考链接:
http://www.csee.org.cn/portal/xpzxyjzq/20231025/32842.html
04
中国电机工程学会人工智能专委会征求《电力物联网云边协同安全防护技术规范》标准意见
10月30日,由电力信息化专业标委会管理、中国电力科学研究院有限公司牵头起草的中国电机工程学会标准《电力物联网云边协同安全防护技术规范》现已完成征求意见稿的编制,于2023年10月30日至11月28日在中国电机工程学会标准管理平台网站向有关单位、专家公开征求意见。该标准规定了电力物联网云边协同安全防护技术的总体要求、物理安全、设备安全、通信安全、边界安全以及协同安全要求,适用于指导电力物联网云边协同的安全防护规划、设计、建设、运行等阶段的安全防护。如有修改意见和建议,需在2023年11月29日前反馈至标准项目技术工作组。
参考链接:
http://www.csee.org.cn/portal/xpzxyjzq/20231030/32849.html
工控安全相关事件
01
朝鲜黑客攻击韩国造船业窃取军事机密
10月4日,韩国国家情报院发布名为《国家情报局就“朝鲜针对造船业的黑客攻击蔓延”发出警告》的新闻稿。新闻稿指出在去年8月和9月就已经发现了几起朝鲜黑客组织企图入侵主要造船厂的案件,朝鲜黑客组织之所以将目标对准韩国造船企业,是因为金正恩下达了建造大中型军舰的命令,并预测朝鲜的攻击趋势今后仍将持续,呼吁包括大型造船企业和船舶零部件制造商在内的相关企业进行彻底的安全管理。韩国国家情报院认为,黑客攻击的方法是夺取和绕过IT维护公司的个人主机,或向内部员工分发钓鱼邮件,然后安装恶意软件。韩国国家情报院敦促业界加强安全措施,包括“对黑客行为的蔓延发出警告并禁止查看不明确的电子邮件”。
参考链接:
https://www.nis.go.kr:4016/resources/synap/skin/doc.html?fn=NIS\_FILE\_1696403626891
02
Milesight工业蜂窝路由器存在安全漏洞
10月4日,美国国家漏洞数据库发布了追踪为CVE-2023-43261(CVSS v3:7.5分)的漏洞信息,该漏洞涉及到Milesight UR5X、UR32L、UR32、UR35、UR41等工业蜂窝路由器产品,可能会导致工业信息泄露并允许攻击者访问敏感路由器组件。工业蜂窝路由器有可能将ICS网络连接到互联网,利用该漏洞可能允许攻击者从Internet访问ICS网络。攻击者可以通过Web界面远程并且无需认证地访问httpd.log等日志以及其他敏感凭据。目前大约有5500台Milesight路由器暴露在互联网上,但只有大约5%的路由器运行着易受攻击的固件版本。
参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2023-43261
03
Siemens SICAM A8000设备存在固件漏洞
10月10日,西门子发布两条安全公告,对其SICAM A8000设备上CPCI85固件的硬编码凭据漏洞(CVE-2023-36380,CVSS v3:9.8分)和Web服务器路径遍历漏洞(CVE-2023-42796,CVSS v3:7.5分)进行了修补。SICAM A8000系列是一个模块化设备系列,应用于能源供应中各个领域的远程控制和自动化应用。攻击者利用CVE-2023-36380可以通过SSH登录到设备,但只有具有已激活调试支持的设备才会受到影响;利用CVE-2023-42796可以遍历系统上的目录并下载任意文件,并通过探查活动会话ID,将权限提升到管理员角色。
参考链接:
https://cert-portal.siemens.com/productcert/html/ssa-134651.html
https://cert-portal.siemens.com/productcert/html/ssa-770890.html
04
Cisco IOS XE软件Web UI功能中的两个漏洞已被黑客利用
10月16日,思科发布安全公告称Cisco IOS XE软件Web UI功能中存在两个已被黑客利用的漏洞,分别被追踪为CVE-2023-20198(CVSS v3:10.0分)和CVE-2023-20273(CVSS v3:7.2分)。CVE-2023-20198允许未经身份验证的远程攻击者在受影响的系统上创建具有15级访问权限的帐户,从而可以控制受影响的系统,CVE-2023-20273为Web UI功能中的一个提权漏洞,和CVE-2023-20198一起作为利用链而被使用,思科表示,攻击者首先利用CVE-2023-20198获得初始访问权限,并发出一个等级为15的特权命令,创建一个本地用户和密码组合,这样用户就能以正常用户权限登录,其次,攻击者利用Web UI功能的另一个组件,利用新创建的本地用户提升到root权限,并将植入内容写入文件系统。目前思科已发布免费软件更新。
参考链接:
05
罗克韦尔自动化签署协议收购工业保护公司Verve Industrial Protection
10月23日,罗克韦尔自动化发布新闻稿称,该公司已签署最终协议,收购专注于工业环境的网络安全软件和服务公司Verve Industrial Protection,通过业界领先的资产清查系统和漏洞管理解决方案扩大罗克韦尔的产品范围。罗克韦尔自动化在9月19日发布了一份名为《工业运营中的网络安全事件》报告,报告指出,运营技术(OT)和工业控制系统(ICS)攻击呈上升趋势,所研究的事件中有60%造成了运营中断。随着企业在工厂中不断增加硬件和软件以及传统设备,许多组织都在努力管理和保护这些资产,以应对不断扩大的攻击面,从而增加了网络攻击的可能性。与此同时,实施和管理运营技术网络安全计划所需的资源和人才严重短缺,困扰着整个行业。Verve Security Center 平台可实现实时资产库存、漏洞管理和风险补救,这将增强罗克韦尔当前的产品并解决这些问题。
参考链接:
https://www.rockwellautomation.com/en-us/campaigns/cyentiareport.html
06
Cyber Av3ngers黑客组织声称获得了以色列内坦亚市的一家污水处理厂控制系统的访问权限
10月23日,黑客组织Cyber Av3ngers在他们的Telegram频道中发布了以色列内坦亚市一家污水处理厂的工厂控制和监控系统屏幕截图,表明他们已经获得了该工厂的访问权限,同时Cyber Av3ngers发出威胁,如果以色列政府不停止支持“占领巴勒斯坦”,他们将破坏污水处理厂。内坦亚废水处理厂每年处理约1400万立方米废水,在维护该地区环境安全方面发挥着重要作用,它确保废水经过污染处理后再返回自然水体。目前以色列尚未正式证实内坦亚废水处理厂遭到黑客攻击,尚不清楚黑客的行为可能对公共安全和健康造成什么后果。
参考链接:
https://t.me/CyberAveng3rs/247
蜜罐数据分析
“谛听”工控蜜罐在10月份收集到大量攻击数据。图1、图2和图3中展示了经过统计和分析后的数据。下面将对各个图表进行简要说明。
图1展示了2023年10月份和9月份不同协议下各蜜罐受到的攻击量对比情况。从图中可以看到,10月份CIP协议蜜罐受到的攻击数量低于9月份受到的攻击数量,除此以外10月份各协议蜜罐受到的攻击数量都高于9月份受到的攻击数量。
图1. 10月份和9月份蜜罐各协议攻击量对比
(数据来源“谛听”)
图2展示了10月份和9月份攻击量最多的10个国家对比情况。从图中可以看到,10月份比利时、俄罗斯和英国对蜜罐的攻击量有所减少,此外其他所有国家对蜜罐的攻击量均有所提高。
图2. 10月份和9月份其他各国
对蜜罐的攻击量对比TOP10
(数据来源“谛听”)
由图3可以看出, 10月份来自浙江的流量最多,来自北京的流量位居第二,而来自河南的流量位居第三。排名比较靠前的也大都是沿海或者工业较发达的地区,其他省份的流量有所波动。
图3. 10月份中国国内各省份流量(TOP10)
(数据来源“谛听”)
俄罗斯、乌克兰联网工控设备分析
根据最新的俄乌战争消息,乌克兰一家法院冻结了三名俄罗斯商人的资产,因为他们涉嫌支持俄罗斯战争。法院表示,米哈伊尔·弗里德曼、彼得·阿文和安德烈·科索戈夫在乌克兰的资产已被冻结,因为这三人被认为是普京亲密圈子的一部分。美国商务部表示,已将42家中国公司列入制裁名单,因为它们向与俄罗斯国防部门相关的俄罗斯公司提供原产美国的集成电路。俄罗斯表示正准备撤销对《全面禁止核试验条约》(CNTBT)的批准。俄罗斯议员维亚切斯拉夫·沃洛金表示,该国立法机构将考虑是否有必要撤销俄罗斯对该条约的批准。
为了深入了解俄罗斯和乌克兰在工控领域的当前情况,团队持续密切关注并进行深度互动探测,继续获取被扫描设备的详细信息。
/2023年10月俄罗斯、乌克兰暴露工控设备相关协议/
从图4乌克兰各协议暴露数量对比图中可以看出,10月探测到的数量与9月份相比,AMQP协议有小幅下降,其他各个协议几乎均没有太大变化。同时联网摄像头暴露数量相比9月有所减少,由1572降至1543。
图4. 9月、10月乌克兰各协议
暴露工控资产数量对比
(数据来源“谛听”)
俄罗斯的各协议暴露数量对比如图5所示。从图中可以看出,与9月相比, 10月份各个协议都有一定程度的增加,Nport协议设备略有减少。与9月不同,10月联网摄像头暴露数量有所降低,由2125降低至2094。后续团队将对相关信息持续关注。
图5. 9月、10月俄罗斯各协议
暴露工控资产数量对比
(数据来源“谛听”)
扫码关注我们
微信号|谛听 ditecting
