工业网络安全简报2022年11期

　　一、行业发展动态
　　工业互联网总体网络架构国家标准正式发布
　　近日，国标委批准发布国家标准GB/T 42021-2022《工业互联网 总体网络架构》，这是我国工业互联网网络领域发布的首个国家标准。标志着全国工业互联网体系建设迈出了坚实的一步。标准围绕工业互联网网络规划、设计、建设和升级改造，规范了工业互联网工厂内、工厂外网络架构的目标架构和功能要求，提出了工业互联网网络实施框架和安全要求，有助于加快构建高质量的工业互联网网络基础设施，有助于引导全行业全产业的数字化、网络化、智能化水平提升，对于加速产业数字化转型具有重要意义。
　　（来源：工信部）
　　工业互联网平台领域首批国家标准正式发布实施
　　10月14日，国家市场监督管理总局（国家标准化管理委员会）发布2022年第13号中华人民共和国国家标准公告，批准GB/T 41870-2022《工业互联网平台 企业应用水平与绩效评价》和GB/T 23031.1-2022《工业互联网平台 应用实施指南 第1部分：总则》2项国家标准正式发布，这是我国工业互联网平台领域发布的首批国家标准，对我国工业互联网平台标准化建设具有重要意义。
　　（来源：工信部）
　　工业和信息化部、应急管理部印发《＂工业互联网+安全生产＂行动计划（2021-2023年）》
　　10月10日，工业和信息化部、应急管理部联合发布了《＂工业互联网+安全生产＂行动计划(2021-2023年)》。提出到2023年底，工业互联网与安全生产协同推进发展格局基本形成，工业企业本质安全水平明显增强。一批重点行业工业互联网安全生产监管平台建成运行，＂工业互联网+安全生产＂快速感知、实时监测、超前预警、联动处置、系统评估等新型能力体系基本形成，数字化管理、网络化协同、智能化管控水平明显提升，形成较为完善的产业支撑和服务体系，实现更高质量、更有效率、更可持续、更为安全的发展模式。
　　（来源：工信部）
　　关于征集工业和信息化领域商用密码典型应用方案的通知
　　10月9日，工业和信息化部国家密码管理局发布关于征集工业和信息化领域商用密码典型应用方案的通知，征集方向包括面向通信基础设施的密码应用、面向智能装备与控制系统的密码应用、面向网络应用与服务的密码应用、面向新技术新应用的密码应用、面向基础软硬件的密码应用、其他工业和信息化领域的商用密码应用和解决方案。
　　（来源：工信部）
　　美国运输安全管理局TSA发布《加强铁路网络安全指令》
　　美国运输安全管理局TSA发布了《加强铁路网络安全-SD1580/82-2022-01》指令，旨在改善美国铁路运营的网络安全。指令对客运和货运铁路运营商的网络安全提出了多项要求，要求对指定的客运和货运铁路运营商实施监管，通过基于绩效指标的措施增强网络安全弹性。
　　（来源：SecurityWeek）
　　美国宣布将推出物联网产品的网络安全标签计划
　　美国白宫国家安全委员会宣布了一项消费品网络安全标签计划，该标签将应用于智能（IoT）设备，帮助消费者了解他们购买的产品是否安全，以防止黑客攻击和其他网络漏洞。政府计划首先推荐三到四个网络安全标准，制造商可以将这些标准用作标签的基础，用于防范物联网设备相关的风险。
　　（来源：Risky Biz News）
　　澳大利亚开始参与推动关键基础设施改革的风险管理计划
　　澳大利亚政府宣布，已开始根据《2018年关键基础设施安全法》第2A部分的要求，就风险管理计划规则的制定进行公开意见征求。该行动致力于建立强有力和有效的政府与产业界伙伴关系，这是实现政府关键基础设施安全和弹性愿景的关键。风险管理计划(RMP)将要求某些关键基础设施资产的所有者和运营商识别其业务面临的风险，并每年由董事会或其他管理机构签署一份风险计划。意见征求期限从2022年10月5日到11月18日。
　　（来源：Industrial Cyber）
　　二、安全事件
　　澳大利亚第三大能源公司EnergyAustralia遭网络攻击
　　澳大利亚第三大能源公司EnergyAustralia称遭受了网络攻击，攻击者可以访问323名住宅和小型企业客户的信息，被泄露的数据存储在公司的在线平台My Account上，包括客户姓名、地址、电子邮件地址、电费和煤气费、电话号码以及信用卡的前六位和后三位数字等信息。
　　（来源：Canstar Blue）
　　印度最大的电力公司Tata Power的IT基础设施遭网络攻击
　　10月15日，印度最大的综合电力公司Tata Power的IT基础设施遭到网络攻击。该公司在向印度国家证券交易所（NSE）提交的文件中表示，对IT基础设施的入侵影响了＂其部分IT系统＂，它进一步表示，已采取措施检索和恢复受影响的机器，并为面向客户的门户设置了安全护栏，以防止未经授权的访问。据称，攻击活动针对的是至少7个印度国家电力调度中心(sldc)，它们负责在各自的州内实施实时电网控制和电力调度操作。
　　（来源：The hacker news）
　　英国汽车经销商Pendragon遭LockBit勒索软件攻击
　　Pendragon Group在英国拥有200多家汽车经销商，遭到LockBit勒索软件团伙的网络攻击，据称该团伙要求6000万美元解密文件而不是泄露文件。Pendragon 拥有CarStore、Evans Halshaw和Stratstone豪华汽车零售商，销售各种预算的品牌汽车，从Jaguar、Porsche、Ferrari、Mercedes-Benz、BMW、Land Rover、Aston Martin，到Renault、Ford、Hyundai、Nissan、标致、沃克斯豪尔、雪铁龙、DS、达契亚和DAF。Pendragon向英国执法部门以及该国的数据保护办公室报告该事件，目前，其没有提供更多相关细节。
　　（来源：BleepingComputer）
　　日本科技公司Oomiya遭LockBit 3.0勒索软件攻击
　　Oomiya专注于设计和制造微电子和设施系统设备。Omiya Kasei的业务分为四大领域，化学和工业产品的制造和设计、电子材料的设计、药物开发和工厂制造。Lockbit 3.0运营商声称已从公司窃取数据，并威胁如果公司不支付赎金，将在2022年10月20日之前泄露数据。目前，勒索软件团伙尚未公布涉嫌被盗文件的样本。此事件可能会对第三方组织产生重大影响，因为Oomiya处于全球多个行业的主要组织的供应链中，包括制造、半导体、汽车、通信和医疗保健。
　　（来源：Security Affairs）
　　美国最大的连锁医院之一的CommonSpirit遭勒索软件攻击
　　本月初，美国最大连锁医院之一的CommonSpirit遭到了勒索软件攻击，攻击导致手术延迟，患者护理延误，被迫重新安排全国各地的医生预约。随后，CommonSpirit Health证实其遇到了IT安全问题，迫使其部分基础设施脱机。据报道，勒索软件攻击影响了多个设施，其中包括CHI纪念医院(田纳西州)、圣卢克医院(德克萨斯州)和弗吉尼亚梅森方济会健康中心(西雅图)。
　　（来源：Security Affairs）
　　美国多个机场网站在亲俄黑客组织的DDoS攻击中而被迫关闭
　　10月10日，亲俄黑客组织＂KillNet＂声称对美国几个主要机场的网站进行大规模分布式拒绝服务 (DDoS) 攻击，使其无法访问。DDoS 攻击已经通过垃圾请求使托管这些网站的服务器无法运作，使旅客无法连接并获取有关其定期航班或预订机场服务的更新。返回数据库连接错误的其他机场包括芝加哥奥黑尔国际机场 (ORD)、奥兰多国际机场 (MCO)、丹佛国际机场 (DIA)、凤凰城天港国际机场 (PHX)，以及肯塔基州、密西西比州和夏威夷的一些机场。
　　（来源：BleepingComputer）
　　三、重要安全漏洞
　　研华R-SeeNet存在多个安全漏洞
　　Advantech R-SeeNet是中国台湾研华（Advantech）公司的一个工业监控软件。该软件基于snmp 协议进行监控平台，并且适用于Linux、Windows平台。本月，CISA发布了工业控制系统(ICS)告警，指出R-SeeNet存在三个安全漏洞，分别为：基于堆栈的缓冲区溢出漏洞CVE-2022-3385(CVSS评分：9.8)、CVE-2022-3386(CVSS评分：9.8)和路径遍历漏洞CVE-2022-3387（CVSS评分：6.5）成功利用这些漏洞可能导致未经授权的攻击者远程删除系统上的文件或允许远程执行代码。
　　受影响版本：
　　2.4.19 及更早版本
　　2.4.17 及更早版本（仅限 CVE-2022-3386 和 CVE-2022-3385）
　　修复建议：
　　目前此漏洞已经修复，建议用户将 R-SeeNet更新到版本2.4.21或更高版本
　　（来源：CISA）
　　Apache Commons Text远程代码执行漏洞
　　研究人员表示，在10月18日检测到针对Apache Commons Text中新披露漏洞的利用尝试。该漏洞被跟踪为CVE-2022-42889(CVSSv3评分：9.8)，也被称为Text4Shell，攻击者可以使用脚本、dns和url查找远程发送精心设计的有效载荷，以实现任意远程代码执行。成功利用该漏洞可以使攻击者仅通过特制的有效载荷打开与易受攻击的应用程序的反向shell连接，从而有效地为后续攻击打开大门。
　　受影响版本：
　　1.5至1.9版本
　　修复建议：
　　目前该漏洞已经修复，受影响用户可以升级到Apache Commons Text 1.10.0。
　　下载链接：https://commons.apache.org/proper/commons-text/download_text.cgi
　　（来源：The hacker news）
　　西门子和施耐德10月修复了36个影响其产品的安全漏洞
　　西门子
　　西门子发布了15条新公告，其中严重漏洞为CVE-2022-38465(CVSSv3评分：9.3)，它与未正确保护的全局加密密钥有关，攻击者可以利用漏洞对单个Siemens PLC发起离线攻击，并获得私钥用来破坏整个产品线，再通过获得敏感的配置数据发起中间人(MitM)攻击，读取或修改PLC与其连接的HMI和工程工作站之间的数据。西门子还通报了影响Desigo CC和Cerberus DMS 的关键身份验证相关漏洞和一些影响关键设备的DoS漏洞和权限提升漏洞。
　　施耐德电气
　　施耐德电气发布了4条新公告涵盖多个漏洞，其中包括EcoStruxure Operator Terminal Expert和Pro-face BLUE 产品中的六个可能导致任意代码执行的高严重性漏洞；EcoStruxure Power Operation和Power SCADA Operation 软件受到一个漏洞的影响，该漏洞可能允许攻击者通过让用户单击特制链接来查看数据、更改设置或造成中断。EcoStruxure Panel Server Box 受到可被用于任意写入（这可能导致代码执行）和DoS攻击的漏洞；以及SAGE RTU产品使用的第三方ISaGRAF Workbench软件受到可能导致任意代码执行或权限提升的三个漏洞。