安全态势周刊

News information

六方云 安全态势周刊丨第260期

<<返回

2023年08月09日 08:00

01.

业界动态


1、国际标准《网络安全 工业互联网平台安全参考模型》正式发布

2023年7月,我国牵头提出的国际标准ISO/IEC 24392:2023《网络安全 工业互联网平台安全参考模型》正式发布。该提案于2018年4月提交至ISO/IEC JTC1/SC27,后经研究,于2019年6月正式立项;2023年7月正式发布。我国3名专家担任该国际标准提案的编辑和联合编辑。

https://www.secrss.com/articles/57409


2、半数人工智能开源项目引用存在漏洞的软件包

根据EndorLabs的数据,开源在AI技术堆栈中发挥着越来越重要的作用,但大多数项目(52%)引用了存在已知漏洞的易受攻击的依赖项。

https://www.secrss.com/articles/57396


02.

关键基础设施


1、卡巴斯基发现APT31针对工业组织的气隙系统的攻击

卡巴斯基在7月31日称,APT31(又名Zircium)一直在利用新的恶意软件攻击工业组织,旨在从气隙系统中窃取数据。调查发现,攻击者在主要针对东欧的攻击中使用了至少15个不同的植入程序,每个植入程序都用于不同的攻击阶段。攻击始于去年4月份,涉及三个不同的阶段:初始阶段的植入程序建立对目标系统的持久性和远程访问,并收集侦察数据;第二阶段,APT31会安装更专业的恶意软件,来使用USB传播从气隙系统中窃取数据;最后的第三阶段,黑客使用植入程序将收集到的数据上传到C2服务器。

https://ics-cert.kaspersky.com/publications/reports/2023/07/31/common-ttps-of-attacks-against-industrial-organizations-implants-for-gathering-data/


2、以色列最大炼油厂BAZAN的网站遭到DDoS攻击暂时中断

以色列最大的炼油厂运营商BAZAN Group的网站遭到DDoS攻击,在全球大部分地区都无法访问。该公司年收入超过135亿美元,年总炼油能力约980万吨原油。本周末,BAZAN Group网站bazan.co.il和eng.bazan.co.il要么出现HTTP 502错误,要么被公司服务器拒绝。测试发现以色列境内可以访问,这可能是BAZAN实施的地理封锁。CyberAv3ngers声称对此次攻击负责,还公开了BAZAN SCADA 系统的屏幕截图,并透露利用了Check Point防火墙的漏洞入侵该公司。

https://www.bleepingcomputer.com/news/security/israels-largest-oil-refinery-website-offline-after-ddos-attack/


3、加拿大专业医疗厂商被黑,心脏监测服务瘫痪数天

7月31日消息,加拿大消费级和专业级心脏监测技术提供商CardioComm Solutions遭遇网络安全事件,导致服务中断。去年9月,美国联邦调查局警告称,广泛使用的医疗设备存在数百个漏洞,为网络攻击留下了后门。FBI特别指出了在心脏内复律器、移动心脏遥测器、心脏起搏器中发现漏洞,认为恶意黑客可能接管这些设备并更改读数,施加过量药物,或“以其他方式危及患者健康”。

https://techcrunch.com/2023/07/26/cardiocomm-ecg-monitoring-cyberattack/


03.

安全事件


1、黑客利用CVE-2023-3519在数百台Citrix服务器安装后门

8月2日报道称,Shadowserver Foundation发现数百台Citrix Netscaler ADC和Gateway服务器被入侵并安装后门。CISA近期发布通告称,攻击者正在利用RCE漏洞(CVE-2023-3519)在易被攻击的系统中安装Web shell。Shadowserver最初报告,至少有15000台服务器易被攻击,主要位于美国和德国。最新更新中显示,截至8月1日,攻击者已在至少581台Citrix服务器上安装了Webshell。Citrix强烈建议用户安装更新。

https://securityaffairs.com/149083/hacking/phishing-facebook-campaign-salesforce-zero-day.html


2、汉堡王法国分公司因网站配置错误导致凭据等信息泄露

媒体8月3日称,汉堡王法国分公司因网站配置错误,导致凭据等信息泄露。6月1日,研究团队发现了属于汉堡王法国网站的可公开访问的环境文件(.env),其中包含各种凭据,该文件托管在用于发布工作机会的子域上。尽管泄露的数据不足以完全控制网站,但它可以简化攻击者劫持网站的过程。目前,该公司已经解决了这个问题。2019年,由于类似的配置错误,法国分公司曾泄露了购买汉堡王的儿童的PII信息。

https://cybernews.com/security/burger-king-data-leak/


3、美国蒙特克莱尔镇遭到勒索攻击同意交45万美元赎金

据8月1日报道,美国蒙特克莱尔镇(Montclair)遭到网络攻击,该镇的保险公司与攻击者协商达成了45万美元的和解协议。临时镇长Hartnett称,目前攻击已经得到了解决,对该镇业务和运营至关重要的数据也已恢复。但是一些属于个人用户的数据,和涉及为该镇服务并存储过去记录的外部供应商的数据仍有待恢复。这些丢失的数据影响了该镇当局响应《公开公共记录法案》某些要求的能力。

https://www.databreaches.net/cyber-attack-on-montclair-township-led-to-450k-ransom-payment/


4、Cado发现可针对Redis服务器的P2PInfect蠕虫新变体

Cado发现了一种针对Redis的新型恶意软件活动。该恶意软件被开发者命名为P2Pinfect,用Rust开发,充当僵尸网络代理。研究人员分析的样本包括一个嵌入式PE文件以及一个ELF二进制文件,这表明了Windows和Linux之间具有跨平台兼容性。它还利用复制功能来攻击Redis数据存储的实例。此外,P2Pinfect试图通过Cron未经身份验证的RCE机制攻击Redis主机。该活动背后的攻击者身份尚不清楚,P2PInfect的目的也不清楚。

https://www.cadosecurity.com/redis-p2pinfect/


04.

漏洞事件


1、新型侧信道攻击方式Collide+Power影响几乎所有CPU

据媒体8月1日报道,研究团队发现了一种名为Collide+Power的新型基于软件的电源侧信道攻击方式,影响了几乎所有CPU,可能导致数据泄露。其主要概念是,当攻击者的数据与其它应用程序发送的数据在CPU缓存内存中发生数据“冲突”并覆盖前者时,可从CPU功耗测量值中泄露数据。


该漏洞被追踪为CVE-2023-20583,影响了Intel、AMD和使用ARM架构的处理器。该漏洞具有研究意义,但利用起来比较困难,因此严重程度较低。至于缓解措施,需要重新设计CPU,所以更现实的缓解措施是防止攻击者观察到与电源相关的信号。

https://www.securityweek.com/nearly-all-modern-cpus-leak-data-to-new-collidepower-side-channel-attack/


05.

政策监管


1、上海市推进城市区块链数字基础设施体系工程实施方案

2023年8月1日,《上海市推进城市区块链数字基础设施体系工程实施方案(2023—2025年)》正式发布,方案主要目标包括:到2025年,浦江数链“1+1+1+X”数字基础设施体系全面建成;区块链核心技术攻关、标准体系建设取得突破进展;推动长三角区块链网络资源协同,打造国际区块链交换枢纽链接。

https://www.shanghai.gov.cn/nw12344/20230731/74d21b6a0d7e4f909168ad372c2b4f82.html


06.

安全标准


1、《网络安全 设备与服务建立可信连接的安全建议》《网络安全 工业互联网平台安全参考模型》正式发布

ISO/IEC 27071《网络安全 设备与服务建立可信连接的安全建议》,给出了设备和服务建立可信连接的框架和安全建议,包括对硬件安全模块、信任根、身份、身份鉴别和密钥建立、环境证明、数据完整性和真实性等组件的安全建议。该国际标准适用于基于硬件安全模块在设备和服务之间建立可信连接的场景,例如移动支付、车联网、工业物联网等,有助于提升数据从设备中采集到服务的全过程的安全性。


ISO/IEC 24392《网络安全 工业互联网平台安全参考模型》作为首个工业互联网安全领域的国际标准,基于工业互联网平台安全域、系统生命周期和业务场景三个视角构建了工业互联网平台安全参考模型。该国际标准用于解决工业互联网应用和发展过程中的平台安全问题,可以系统指导工业互联网企业及相关研究机构,针对不同的工业场景,分析工业互联网平台的安全目标,设计工业互联网平台安全防御措施,增强工业互联网平台基础。

https://www.tc260.org.cn/front/postDetail.html?id=20230803173711