工业网络安全简报「2022年09期」

元瑾

一、行业发展动态





中国信通院工业互联网安全实验室获得12项标准的CMA资质认定和CNAS认可
2022年7月，中国信通院依托工业互联网安全技术试验与测评工业和信息化部重点实验室建设的检测评估体系和技术能力，已通过国家认可认证监督管理委员会和中国合格评定国家认可委员会的现场评审，获得了国家和团体安全标准、以及欧洲电信标准化委员会（ETSI）消费者物联网设备网络安全基线标准共12项检测能力的CMA资质认定和CNAS认可，覆盖网络关键设备、网络互联设备、消费者物联网设备、服务器等，可编程序控制器、工业控制系统现场测控设备等工业控制设备，以及网络防火墙、工业控制系统专用防火墙、工业控制网络安全隔离与信息交换系统、工业控制系统网络审计产品、工业控制网络监测产品等安全产品。

（来源：中国信通院CAICT）

工信安全中心发布《美国支持工业软件发展的政策举措》
8月8日，第二十三场“工信安全智库”系列报告在线发布活动成功举办。国家工业信息安全发展中心信息政策所软件产业研究室助理工程师赵铭晨发布了瞭望系列报告《美国支持工业软件发展的政策举措》。报告提炼总结了美国推进工业软件发展的成熟经验，分析了美国支持工业软件发展政策举措的主要特点，旨在为加速我国工业软件高质量发展提供参考。

（来源：国家工业信息安全发展研究中心）

中国信通院将联合主办2022年中国工业互联网安全大赛
为深入实施工业互联网创新发展战略，大力培育高素质网络安全技术技能人才队伍、更大范围推动工业互联网安全政策，持续推进工业互联网安全保障体系和能力建设，提升工业互联网安全防护水平，中国信息通信研究院、重庆市经济和信息化委员会、中共重庆市委网络安全和信息化委员会办公室、重庆市公安局、重庆市通信管理局、重庆市合川区人民政府、工业和信息化部教育与考试中心决定共同主办“2022年中国工业互联网安全大赛”，大赛是由中央网信办正式批复同意冠名“中国工业互联网安全大赛”的国家级网络安全赛事，决赛拟于2022年10月下旬在重庆市举办。

（来源：中国信通院CAICT）

美国能源部制定4500万美元计划用于美国能源系统安全
8月17日，美国能源部宣布了一项4500万美元的融资机会公告，该公告旨在创建、加速和测试保护电网免受网络攻击的技术。此举将支持六个拟议主题领域的项目，这些项目将有助于使美国能源系统安全、有弹性和可靠，帮助向美国人部署清洁和廉价的能源。

（来源：Industrial Cyber）

研究显示上半年IOT漏洞披露量增加57%

根据Claroty的一项研究，与21年下半年相比，2022 年上半年影响物联网设备的漏洞披露增加了57%。报告发现，供应商的自行漏洞披露增加了69%，报告的数量首次超过独立研究机构；完全或部分修复的固件漏洞增加了 79%，鉴于修补固件与软件漏洞的相对挑战，这是一个显著的改进。

（来源：SecurityInfoWatch）

LockBit勒索团伙宣布未来将采用三重勒索策略进行攻击
LockBit勒索软件团伙最近遭受了DDoS攻击而未能泄露窃取的数据，他们称正在加强对DDoS攻击的防御，已了解该攻击方式的破坏性，正在寻求在加密数据并泄漏数据的基础上添加DDoS作为勒索策略。

（来源：BleepingComputer）

伊朗UNC3890组织攻击以色列航运和其他关键部门
UNC3890是一个伊朗威胁组织，该组织通过社会工程诱饵和水坑攻击针对以色列航运、政府、能源和医疗保健组织。自2020年底开始活跃，到2022年中仍在进行。

（来源：SecurityWeek）

超过9000台VNC服务器无密码公开暴露

研究人员发现了至少9000个暴露的VNC（虚拟网络计算）端点，无需身份验证即可访问和使用的情况，从而使攻击者可以轻松访问内部网络。VNC（虚拟网络计算）是一个独立于平台的系统，通过RFB（远程帧缓冲协议）提供对远程计算机（桌面）的访问和控制，广泛应用于工业自动化系统中，大多数工控系统厂商都会在产品中基于VNC来实现远程管理工具。例如制造、能源、交通设施、水务等关键领域，攻击者可能会滥用VNC作为登录用户执行恶意操作，例如打开文档、下载文件和运行任意命令。

（来源：BleepingComputer）

Evil PLC攻击：将PLC武器化

Team82研究团队开发了一种称为Evil PLC攻击的新技术，发布题为《Evil PLC攻击：将PLC武器化》白皮书，其中PLC被作为攻击跳板用于损害工程师站。Evil PLC攻击的研究成果对7家自动化公司进行了有效的概念验证利用，包括罗克韦尔自动化、施耐德电气、通用电气、贝加莱、辛杰、OVARRO和艾默生。这篇论文描述了工程师如何诊断PLC问题，编写字节码并将其传输到PLC执行，以及Team82如何概念化、开发和实现许多新技术，以成功地使用PLC在工程师的机器上实现代码执行。

（来源：Industrial Cyber）

二、安全事件





法国医院CHSF遭勒索软件攻击，要求支付1000万美元赎金
法国巴黎的南法兰西林中心医院(CHSF)遭到网络攻击，导致这家医疗中心将患者转诊至其它机构并推迟手术预约。CHSF为60万居民提供医疗服务，因此运营出现任何中断都可能危及危重病人的健康，甚至生命。CHSF表示，医院的业务软件、存储系统（特别是医学成像）和与患者相关的信息系统暂时无法访问，攻击者要求10000000美元的赎金来换取解密密钥。法国媒体发现感染LockBit 3.0的迹象，但目前尚未确定攻击者的身份。如果LockBit 3.0对此次攻击负责，那么它就违反了RaaS运营团伙的行业规则，规则禁止勒索软件团伙对医疗服务机构的系统进行加密。

（来源：BleepingComputer）

黑山宣布国家基础设施遭大规模网络攻击
黑山的国家基础设施受到大规模和“前所未有的”网络攻击，影响了国家的数字基础设施。攻击的目标包括公用事业、电力、交通（包括边境口岸和机场）、电信部门等。出于安全原因，一些电力公司已经转为手动操作，国家管理的IT基础设施已关闭，但公民和商企业的账户及其数据的安全性并未受到影响。该国国防部长将此次攻击归咎于俄罗斯的黑客团伙。

（来源：Security Affairs）

意大利能源服务运营商GSE遭网络攻击，不影响天然气购买
黑客通过最新一代的恶意软件成功入侵了意大利能源服务运营商GSE的安全系统。为了确保数据和信息系统的安全，网站和门户网站暂时无法访问，攻击发生后，公司及时向主管当局报告了遭受的攻击，并启动了恢复系统和服务运行所需的调查和行动。GSE 在一份说明中表示,天然气购买仍能得到保证。

（来源：The News Dept）

希腊天然气运营商遭受与勒索软件相关的数据泄露
本月，希腊最大的天然气分销商DESFA证实，在网络攻击后，他们遭受了有限范围的数据泄露和IT系统中断。Ragnar Locker勒索软件团伙在其勒索门户公布了DESFA名字，并放出了一部分窃取的数据，该团伙表示，他们在DESFA的系统上发现了多个安全漏洞，这可能是他们企图勒索的一部分，如果受害组织不能满足他们的需求，就会发布对应的所有文件。

（来源：BleepingComputer）

Grandoreiro 银行恶意软件针对西班牙和墨西哥工业制造商
Grandoreiro银行恶意软件在最近针对西班牙一家化学品制造商以及墨西哥汽车和机械制造商的攻击中被发现。该恶意软件自2017年以来一直在野活跃，并且仍然是西班牙语用户面临的最严重威胁之一。Zscaler的分析师发现的最近的活动于2022年6月开始，并且仍在进行中。它涉及部署一个 Grandoreiro 恶意软件变种，该变种具有几个新功能以逃避检测和反分析，以及改进的C2系统。

（来源：BleepingComputer）

三、重要安全漏洞





Realtek SoC中的漏洞影响多个网络设备
研究人员发布了利用Realtek RTL819x片上系统（SoC）的网络设备中漏洞的攻击代码，预计受影响设备多达数百万台。漏洞编号为CVE-2022-27255(CVSSv3评分：9.8)，该漏洞是一个基于堆栈的缓冲区溢出漏洞，远程攻击者可用来控制多个原始设备制造商(OEM)的设备，包括路由器、AP和中继器等。目前尚不清楚有多少网络设备使用RTL819x芯片，但RTL819xD版本的SoC出现在60多家供应商的产品中，包括华硕、贝尔金、Buffalo、D-Link、Edimax、TRENDnet、合勤等。

受影响版本：
rtl819x-eCos-v0.x
rtl819x-eCos-v1.x
修复建议
目前该漏洞已修复，链接如下：
https://www.realtek.com/images/safe-report/Realtek_APRouter_SDK_Advisory-CVE-2022-27255.pdf

（来源：BleepingComputer）

霍尼韦尔Alerton楼宇自控系统存在多个安全漏洞
工业巨头霍尼韦尔旗下品牌Alerton制造的广泛使用的楼宇管理系统Alerton Compass软件中发现了四个漏洞，分别是产品的人机界面(HMI)、Ascent控制模块(ACM)和Visual Logic组件。CVE编号为：CVE-2022-30242(CVSSv3评分：6.8)、CVE-2022-30243(CVSSv3评分：8.8)、CVE-2022-30244(CVSSv3评分：8.0)、CVE-2022-30245(CVSSv3评分：6.5)其中两个高危漏洞可以通过向目标系统发送特制数据包来利用。未经身份验证的远程攻击者可以在控制器上进行配置更改或编写未经授权的代码，这两者都可能导致控制器功能发生变化，在实际的场景中，这可能带来灾难性的破坏。
受影响版本：
Alerton Ascent Control Module (ACM)2022-05-04及之前版本
Alerton Visual Logic 2022-05-04及之前版本
Alerton Compass 1.6.5
修复建议
目前漏洞暂未修复，霍尼韦尔有望很快发布补丁。研究人员建议在此期间，确保其OT网络是隔离的、正确配置楼宇自动化系统(BAS)防火墙、创建和维护ACM基线配置、禁用外部网络上的BAS协议段、并在不需要的所有端口上禁用以太网。

（来源：SecurityWeek）

CSTIS发布关于畅捷通T+软件漏洞造成勒索攻击隐患的风险提示
8月29日，工业和信息化部网络安全威胁和漏洞信息共享平台收到报告，畅捷通信息技术股份有限公司T+软件存在远程代码执行的超危安全漏洞。目前，该漏洞已被攻击者利用进行勒索病毒攻击，导致多起服务器因遭受攻击造成数据被加密的事件。T+软件是畅捷通信息技术股份有限公司开发的面向中小企业的ERP管理软件。现发现该软件存在远程代码执行漏洞，影响T+专属云v17.0以及以下版本。8月30日畅捷通信息技术股份有限公司在官方网站发布了安全补丁进行了修复。
受影响版本：
T+专属云v17.0以及以下版本
修复建议
目前此漏洞已经修复，建议受影响用户及时安装补丁：
https://www.chanjetvip.com/product/goods/goods-detail?id=53aaa40295d458e44f5d3ce5

（来源：网络安全威胁和漏洞信息共享平台）

西门子和施耐德8月修复了11个影响其产品的漏洞
西门子
西门子发布了4条公告，修复了7个漏洞。其中SCALANCE交换机、路由器、安全设备和无线通信设备受到3个漏洞影响；1个超危漏洞允许具有管理员权限的经过身份验证的攻击者注入代码或生成 root shell；1个高危漏洞允许未经身份验证的攻击者远程导致DoS条件，具有管理员权限的攻击者可以利用中危漏洞进行XSS攻击。在Teamcenter软件中，西门子修补了两个可能导致远程代码执行或DoS条件的超危漏洞。
施耐德电气
施耐德发布了4条公告，涉及4个漏洞。其中包括EcoStruxure Control Expert、EcoStruxure Process Expert以及Modicon M580和M340的一个超危漏洞与弱密码恢复机制有关，它可能允许攻击者未经授权访问设备。在Modicon PLC和PAC产品中，施耐德修复了一个可能导致DoS条件的高危漏洞，以及一个可能导致密码哈希和项目数据等敏感信息泄露的高危漏洞。EcoStruxure Control Expert产品中已修复可使用特制项目文件利用的DoS漏洞。截至目前，施耐德电气已针对上述漏洞发布了补丁和缓解措施。

（来源：SecurityWeek）