谛听 工控安全月报 | 7月
目录
01
工控安全相关政策
-
工业和信息化部与国家金融监督管理总局联合印发《关于促进网络安全保险规范健康发展的意见》
-
中国电机工程学会热工自动化专委会征求《火力发电厂工控系统可信验证技术导则》等4项CSEE团体标准意见
-
河北省工业和信息化厅印发《2024年工业企业信息安全综合防护能力建设试点申报指南》
02
工控安全相关事件
-
日本名古屋港口遭到勒索攻击导致货运业务暂停
-
思科交换机中存在尚未解决的安全漏洞
-
CISA研究人员在PiiGAB产品中发现严重潜在漏洞
-
澳大利亚基础设施公司Ventia遭受网络攻击
-
霍尼韦尔将收购网络安全解决方案提供商SCADAfence
-
思科SD-WAN vManage软件存在严重安全漏洞
-
研究人员提出新型PLC攻击方法
-
以色列最大炼油厂遭伊朗黑客入侵——疑SCADA系统遭黑
03
蜜罐数据分析
04
俄罗斯、乌克兰联网工控设备分析
工控安全相关政策
01
工业和信息化部与国家金融监督管理总局联合印发《关于促进网络安全保险规范健康发展的意见》
7月2日,为深入贯彻《中华人民共和国网络安全法》等相关法律法规,加快推动网络安全产业和金融服务融合创新,引导网络安全保险健康有序发展,培育网络安全保险新业态,促进企业加强网络安全风险管理,推动网络安全产业高质量发展,工业和信息化部与国家金融监督管理总局联合印发《关于促进网络安全保险规范健康发展的意见》。该意见围绕完善政策标准、创新产品服务等提出5方面10条意见,立足我国网络安全保险发展现状和亟待解决的问题,以促进网络安全保险规范健康发展。
参考链接:
https://www.gov.cn/zhengce/zhengceku/202307/content\_6892557.htm
02
中国电机工程学会热工自动化专委会征求《火力发电厂工控系统可信验证技术导则》等4项CSEE团体标准意见
7月5日,由热工自动化专委会管理的,西安热工研究院有限公司等单位牵头起草的《火力发电厂工控系统可信验证技术导则》、《电站锅炉风机健康状态实时评估技术导则》、《大型旋转机械监测系统测量模块检测规范》和《火力发电厂石灰石-石膏湿法烟气脱硫控制技术导则》等4项中国电机工程学会团体标准现已完成征求意见稿编制工作,于2023年7月5日至2023年8月4日在中国电机工程学会标准管理平台网站及有关单位、专家公开征求意见。如有修改意见和建议,需在2023年8月4日前反馈至专委会秘书处联系人。
参考链接:
http://www.csee.org.cn/pic/u/cms/www/202307/06154607h455.pdf
03
河北省工业和信息化厅印发《2024年工业企业信息安全综合防护能力建设试点申报指南》
7月24日,为深入贯彻工业和信息化部《工业互联网企业网络安全分类分级管理指南(试行)》《工业和信息化领域数据安全管理办法》《工业和信息化部工业控制系统信息安全防护指南》有关要求,落实省政府《关于推动互联网与先进制造业深度融合加快发展工业互联网的实施意见》相关工作部署,提升省工业企业信息安全综合防护水平,河北省工业和信息化厅决定开展2024年工业企业信息安全综合防护能力建设试点工作。
参考链接:
http://gxt.hebei.gov.cn/hbgyhxxht/xwzx32/tzgg83/936312/index.html
工控安全相关事件
01
日本名古屋港口遭到勒索攻击导致货运业务暂停
7月5日,日本最大且最繁忙的港口名古屋港发布了关于其统一码头系统(NUTS)遭到攻击的通知,NUTS是控制该港所有集装箱码头的中央系统。根据通知,勒索攻击发生于当地时间7月4日凌晨06:30左右。名古屋港务局预计系统将于7月5日恢复上线,货运业务于7月6日恢复,在相关业务恢复之前,所有使用拖车在码头进行的集装箱装卸作业均已取消,这给港口造成了巨大的财务损失,并严重扰乱了进出日本的货物流通。7月26日,名古屋港再次发布调查通知,表示截至7月6日18时15分,所有码头业务已恢复运营,并且在爱知县警察本部和系统维护公司的共同调查下,名古屋港务局确认此次事件的原因是勒索软件感染。据报道,该机构曾于7月4日上午收到了一份用办公室打印机远程打印的赎金要求。
参考链接:
https://www.documentcloud.org/documents/23867021-nayoga-notice
02
思科交换机中存在尚未解决的安全漏洞
7月5日,思科发布安全公告称其某些数据中心交换机型号存在高危漏洞,该漏洞被标记为CVE-2023-20185(CVSS v3评分:7.4)。当思科Nexus 9332C、9364C和9500主干交换机们处于ACI模式、属于多站点拓扑、启动了CloudSec加密功能且固件为14.0及更高版本时,会受到此漏洞的影响。若成功利用该漏洞,未经身份验证的攻击者能够远程读取或修改站点间的加密流量。思科尚未针对该漏洞发布安全补丁或软件更新,建议受到影响的客户关闭易受攻击的功能。目前还未发现该漏洞被攻击者所利用的迹象。
参考链接:
03
CISA研究人员在PiiGAB产品中发现严重潜在漏洞
7月6日,CISA(美国网络安全和基础设施安全局)发布通报称其研究人员发现了瑞典工业和楼宇自动化软硬件提供商PiiGAB的M-Bus 900转换器的多种类型的安全漏洞,涉及代码注入、登录尝试率限制、硬编码和明文凭据、弱密码、跨站点脚本(XSS)和跨站点请求伪造(CSRF)漏洞。攻击者能够利用这些漏洞执行任意代码、发起暴力破解攻击、获取系统访问权限、提升权限以及诱导用户执行恶意命令。目前该公司已针对这些漏洞发布安全更新。
参考链接:
https://www.cisa.gov/news-events/ics-advisories/icsa-23-187-01
04
澳大利亚基础设施公司Ventia遭受网络攻击
7月8日,基础设施提供商Ventia发布公告表示其发现了一起网络入侵事件,该事件影响了Ventia的部分系统,目前Ventia已采取包括关闭关键系统等措施来遏制该事件,并聘请了外部网络安全专家,积极与监管机构和执法部门合作。Ventia是澳大利亚和新西兰最大的基础设施提供商之一,业务涉及国防、能源、医疗保健、采矿、电信和水务行业。在7月9日的后续的声明中Ventia表示,他们仍在处理此次攻击事件,且其业务正在持续运营。该公司暂未透露此次攻击事件是否与勒索软件相关。
参考链接:
https://www.ventia.com/news-and-insights/cyberincident
https://www.ventia.com/news-and-insights/cyberincident-2
05
霍尼韦尔将收购网络安全解决方案提供商SCADAfence
7月10日,霍尼韦尔在其官网宣布同意收购SCADAfence来加强其网络安全软件产品组合。SCADAfence是一家先进的OT和IoT网络安全解决方案提供商,擅长监控大规模网络安全,其在资产管理方面,可以为工业和建筑行业提供网络安全方面的关键支撑。SCADAfence产品组合将集成到霍尼韦尔互联企业内的Honeywell Forge Cybersecurity+套件中,此次收购加强了霍尼韦尔现有的网络安全能力,并增强了其高速增长的OT网络安全投资组合业务,帮助客户更安全、可靠和高效地运营。该交易预计将于2023年下半年完成,期间需要满足如监管批准等交割条件。
参考链接:
06
思科SD-WAN vManage软件存在严重安全漏洞
7月12日,思科发布安全公告称Cisco SD-WAN vManage软件的REST API的请求身份验证中存在漏洞(CVE-2023-20214,CVSS v3评分:9.1),该漏洞可能允许未经身份验证的远程攻击者获得目标Cisco SD-WAN vManage实例配置的完全读取权限或有限的写入权限。该漏洞是由于使用REST API功能时请求验证不足造成的。攻击者可以通过向受影响的vManage实例发送经构造的API请求来利用此漏洞,成功利用该漏洞可能允许攻击者从受影响的Cisco vManage实例的配置中检索信息并向其发送信息。目前思科已发布软件更新来解决此漏洞。
参考链接:
07
研究人员提出新型PLC攻击方法
7月18日,Richard Derbyshire、Benjamin Green、Charl van der Walt和David Hutchison在于康奈尔大学策划的研究共享平台arXiv上发表了一篇名为《Dead Man’s PLC: Towards Viable Cyber Extortion for Operational Technology》的OT网络安全研究论文,提出了一种名为DM-PLC(Dead Man’s PLC)的攻击方法,其利用OT环境中的现有功能,创建一个由可编程逻辑控制器(PLC)和工程工作站(EW)组成的隐蔽监控网络,不断相互轮询、监控攻击行为的任何偏差,并拒绝受害者的配置访问,如果受害者试图改变攻击者控制下的资产环境或没有及时支付赎金,就会触发类似Dead Man开关的警报,该警报将在整个隐蔽监控网络中传播,并将所有输出转为“ON”状态,从而导致受害者的物理环境发生混乱。研究人员表示,DM-PLC仅通过使用现有OT网络的合法功能来实现攻击,这表明攻击者不需要针对OT网络的复杂漏洞发起攻击,从而显著降低OT网络攻击的潜在成本。该研究警告OT网络安全工作者应该重点关注OT网络的设计安全性,以便现有功能不会被武器化。
参考链接:
https://arxiv.org/pdf/2307.09549.pdf
08
以色列最大炼油厂遭伊朗黑客入侵——疑SCADA系统遭黑
7月30日,据美国网络安全媒体BLEEPINGCOMPUTER报道,以色列最大的炼油厂运营商BAZAN集团的网站在世界大部分地区都无法访问,在Telegram平台上,伊朗黑客组织“网络复仇者”(又名“CyberAv3ngers”)声称他们入侵了BAZAN的网络,并泄露了BAZAN的数据采集与监视控制系统(SCADA)的屏幕截图,其中包括“火炬气回收装置”、“胺再生”系统、“石化分流器部分”和PLC代码的图表。该黑客组织进一步暗示,他们是通过针对该公司Check Point防火墙的漏洞入侵这家石化巨头的。BAZAN表示,其服务器和资产并未遭到损坏,并认为此次网络攻击是一种旨在传播错误信息的宣传行为。该公司正在与以色列国家网络管理局及其合作伙伴密切合作,以确保其运营的安全性和完整性。
参考链接:
蜜罐数据分析
“谛听”工控蜜罐在7月份收集到大量攻击数据。图1、图2和图3中展示了经过统计和分析后的数据。下面将对各个图表进行简要说明。
图1展示了2023年7月份和6月份不同协议下各蜜罐受到的攻击量对比情况。从图中可以看到,7月份Fox和EGD协议蜜罐受到的攻击数量高于6月份受到的攻击数量,除此以外7月份各协议蜜罐受到的攻击数量都低于6月份受到的攻击数量。
图1. 7月份和6月份蜜罐各协议攻击量
对比(数据来源“谛听”)
图2展示了7月份和6月份攻击量最多的10个国家对比情况。从图中可以看到,7月份意大利对蜜罐的攻击量有所增多,此外其他所有国家对蜜罐的攻击量均有所下降。
图2. 7月份和6月份其他各国
对蜜罐的攻击量对比TOP10
(数据来源“谛听”)
由图3可以看出,与6月份相比,7月份来自浙江的流量最多,来自北京的流量位居第二,而来自四川的流量位居第三。排名比较靠前的也大都是沿海或者工业较发达的地区,其他省份的流量有所波动。
图3. 7月份中国国内各省份流量(TOP10)
(数据来源“谛听”)
俄罗斯、乌克兰联网工控设备分析
根据有关俄乌战争的最新报道,俄罗斯连夜对乌克兰敖德萨市发动导弹袭击,造成两人死亡、22人受伤,一座与俄罗斯有关的东正教大教堂严重受损。克里姆林宫宣布俄罗斯总统弗拉基米尔·普京和白俄罗斯领导人亚历山大·卢卡申科将在圣彼得堡会面。克里姆林宫还谴责战地记者罗斯季斯拉夫·祖拉夫列夫之死,称其为西方列强和基辅犯下的“令人发指的、有预谋的罪行”,并承诺采取“回应”措施。同时,英国国防部声称一名前俄罗斯情报官员和主要民族主义军事博客作者被捕,可能引起军方和博客界人士的愤怒。
为了深入了解俄罗斯和乌克兰的工控领域状况,团队持续关注并进行了高交互探测,以获取被扫描设备的详细信息。
/2023年7月俄罗斯、乌克兰暴露工控设备相关协议/
从图4乌克兰各协议暴露数量对比图中可以看出,7月探测到的数量与6月份相比,AMQP协议略有下降,其他各个协议几乎均保持不变。同时联网摄像头暴露数量相比6月有所减少,由1645降至1610。
图4. 6月、7月乌克兰各协议
暴露工控资产数量对比
(数据来源“谛听”)
俄罗斯的各协议暴露数量对比如图5所示。从图中可以看出,相较于6月,7月份除XMPP协议有所增加外,其他协议都有不同程度的减少,其中AMQP与Nport协议的数量减少最为明显。联网摄像头暴露数量继续减少,由2396降至2071。后续团队将对相关信息持续关注。
图5. 6月、7月俄罗斯各协议
暴露工控资产数量对比
(数据来源“谛听”)
扫码关注我们
微信号|谛听 ditecting
