8月速遞

據(jù)報(bào)告顯示，USB可移動(dòng)媒體針對(duì)工業(yè)的威脅有所提升，2022年第二季度工業(yè)勒索軟件事件有所下降。研究人員新開(kāi)發(fā)的攻擊技術(shù)可破壞OT網(wǎng)絡(luò)，以及允許從氣隙PC中泄露數(shù)據(jù)。本月網(wǎng)絡(luò)安全事件頻發(fā)，安全態(tài)勢(shì)愈發(fā)嚴(yán)峻。

USB可移動(dòng)媒體威脅受到嚴(yán)重關(guān)注

Honeywell在8月16日發(fā)布了“工業(yè)網(wǎng)絡(luò)安全：2022年USB威脅報(bào)告”。該報(bào)告稱(chēng)，針對(duì)工業(yè)的威脅從30%相應(yīng)增加至32%，驗(yàn)證了USB可移動(dòng)媒體正被用于滲透許多工業(yè)/OT環(huán)境中的氣隙環(huán)境的理論。

資料來(lái)源：https://industrialcyber.co/reports/usb-removable-media-threats-continue-as-serious-concern-as-ics-increasingly-under-attack-from-hackers/

Dragos報(bào)告顯示，2022年第二季度工業(yè)勒索軟件事件有所下降

工業(yè)網(wǎng)絡(luò)安全公司Dragos 8月9日披露，今年第二季度的工業(yè)勒索軟件事件有所下降。Dragos數(shù)據(jù)顯示，2022年第二季度有125起勒索軟件事件，而上一季度為158起。Dragos表示即使在OT不是預(yù)定目標(biāo)的情況下，對(duì)存在OT的企業(yè)IT的勒索軟件攻擊也會(huì)對(duì)OT運(yùn)營(yíng)產(chǎn)生負(fù)面影響。

資料來(lái)源：https://g.yam.com/KGGbh

新的Evil PLC攻擊將PLC武器化以破壞OT和企業(yè)網(wǎng)絡(luò)

“Evil PLC”攻擊影響羅克韋爾自動(dòng)化、施耐德電氣、通用電氣、貝加萊、新杰、OVARRO和艾默生的工程工作站軟件。在Evil PLC攻擊中，控制器充當(dāng)達(dá)到目的的手段，允許攻擊者破壞工作站，訪問(wèn)網(wǎng)絡(luò)上的所有其他PLC，甚至篡改控制器邏輯。

資料來(lái)源：https://thehackernews.com/2022/08/new-evil-plc-attack-weaponizes-plcs-to.html

ETHERLED和Gairoscope攻擊允許從氣隙PC中泄露數(shù)據(jù)

ETHERLED通過(guò)替換氣隙PC的網(wǎng)卡驅(qū)動(dòng)，進(jìn)而修改LED顏色和閃爍機(jī)制，并以此來(lái)傳輸編碼數(shù)據(jù)波。對(duì)氣隙系統(tǒng)的Gairoscope攻擊依賴(lài)于在目標(biāo)設(shè)備/系統(tǒng)上產(chǎn)生共振頻率，這些頻率可被最遠(yuǎn)距離6米的智能手機(jī)的陀螺儀傳感器捕獲。

資料來(lái)源：https://www.hackread.com/etherled-gairoscope-exfiltration-air-gapped-pc/

盧森堡能源公司遭勒索軟件攻擊

中歐國(guó)家天然氣管道和電力網(wǎng)絡(luò)運(yùn)營(yíng)商Creos Luxembourg SA在7月22日至23日遭到攻擊，導(dǎo)致其客戶門(mén)戶無(wú)法訪問(wèn)，但服務(wù)并未中斷。BlackCat于7月30日將Creos添加到其數(shù)據(jù)泄露網(wǎng)站，并威脅要公開(kāi)盜取的文件，涉及合同、協(xié)議、護(hù)照、賬單和電子郵件等內(nèi)容。

資料來(lái)源：https://www.securityweek.com/luxembourg-energy-company-hit-ransomware

英國(guó)汽車(chē)經(jīng)銷(xiāo)商遭受重大勒索軟件攻擊

總部位于特倫特河畔斯托克的汽車(chē)經(jīng)銷(xiāo)商Holdcroft Motor Group因黑客竊取了包括員工信息在內(nèi)的數(shù)據(jù)而遭到勒索。盡管大多數(shù)系統(tǒng)現(xiàn)在都已備份，并且托管客戶數(shù)據(jù)的核心經(jīng)銷(xiāo)商管理系統(tǒng)未受影響，但該公司承認(rèn)一些基礎(chǔ)設(shè)施已損壞。

資料來(lái)源：https://www.infosecurity-magazine.com/news/car-dealership-hit-by-major/?&web_view=true

英國(guó)供水商受到網(wǎng)絡(luò)攻擊，導(dǎo)致IT網(wǎng)絡(luò)中斷

英國(guó)供水商South Staffordshire Water公司于8月15日發(fā)表聲明確認(rèn)IT系統(tǒng)因網(wǎng)絡(luò)攻擊而中斷。Bleeping Computer的報(bào)告透露，在已發(fā)布的證據(jù)中，Clop提供了一個(gè)包含用戶名和密碼的電子表格，其中包含South Staff Water和South Staffordshire的電子郵件地址。

資料來(lái)源：https://industrialcyber.co/threats-attacks/water-systems-at-south-staffordshire-breached-leading-to-disruption-in-it-network/

大規(guī)模Microsoft Outlook網(wǎng)絡(luò)釣魚(yú)活動(dòng)針對(duì)全球關(guān)鍵基礎(chǔ)設(shè)施公司

ThreatLabz團(tuán)隊(duì)發(fā)現(xiàn)了一個(gè)新的網(wǎng)絡(luò)釣魚(yú)套件，它使用AiTM(adversary-in-the-middle，AiTM)模型繞過(guò)多因素身份驗(yàn)證。網(wǎng)絡(luò)釣魚(yú)目標(biāo)是位于美國(guó)、英國(guó)、新西蘭和澳大利亞的金融、信貸、保險(xiǎn)、能源和制造組織。

資料來(lái)源：https://www.securitylab.ru/news/533082.php

研究人員披露了多個(gè)影響超寬帶實(shí)時(shí)定位系統(tǒng)的漏洞。西門(mén)子、施耐德等多家廠商的工業(yè)產(chǎn)品存在漏洞，其中嚴(yán)重的可導(dǎo)致眾多領(lǐng)域的關(guān)鍵基礎(chǔ)設(shè)施遭受破壞性攻擊。

RTLS系統(tǒng)容易受到中間人攻擊和位置篡改

SynSaber公司統(tǒng)計(jì)了2022年上半年CISA披露的681個(gè)工業(yè)控制系統(tǒng)(ICS)漏洞，略高于2021年上半年。在681個(gè)CVE中，大約13%沒(méi)有補(bǔ)丁并且可能永遠(yuǎn)無(wú)法修復(fù)——這些被稱(chēng)為“永久漏洞”。超過(guò)22%的漏洞為超危漏洞，42%為高危漏洞。

資料來(lái)源：https://thehackernews.com/2022/08/rtls-systems-found-vulnerable-to-mitm.html?&web_view=true

西門(mén)子修復(fù)其產(chǎn)品中的7個(gè)漏洞

西門(mén)子8月9日發(fā)布的四項(xiàng)公告描述了七個(gè)安全漏洞。其部分SCALANCE交換機(jī)、路由器、安全設(shè)備和無(wú)線通信設(shè)備受到三個(gè)漏洞的影響。其中一個(gè)超危漏洞可以允許具有管理員權(quán)限的經(jīng)過(guò)身份驗(yàn)證的攻擊者注入代碼或生成root shell。一個(gè)高危漏洞允許未經(jīng)身份驗(yàn)證的攻擊者遠(yuǎn)程導(dǎo)致DoS條件，具有管理員權(quán)限的攻擊者可以利用中危漏洞進(jìn)行XSS攻擊。

資料來(lái)源：https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-fix-only-11-vulnerabilities

施耐德修復(fù)其產(chǎn)品中的4個(gè)漏洞

施耐德電氣8月9日發(fā)布的公告中描述了四個(gè)安全漏洞。其中一個(gè)超危漏洞與弱密碼恢復(fù)機(jī)制有關(guān)，它可能允許攻擊者未經(jīng)授權(quán)訪問(wèn)設(shè)備。在Modicon PLC和PAC產(chǎn)品中，施耐德修復(fù)了一個(gè)可能導(dǎo)致DoS條件的高危漏洞，以及一個(gè)可能導(dǎo)致密碼哈希和項(xiàng)目數(shù)據(jù)等敏感信息泄露的高危漏洞。

資料來(lái)源：https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-fix-only-11-vulnerabilities

Alerton樓宇管理系統(tǒng)存在4個(gè)漏洞

SCADAfence研究人員在Alerton的樓宇管理系統(tǒng)Alerton Compass軟件中發(fā)現(xiàn)了四個(gè)漏洞，分別是產(chǎn)品的人機(jī)界面(HMI)、Ascent控制模塊(ACM)和Visual Logic組件。其中兩個(gè)高危漏洞可以通過(guò)向目標(biāo)系統(tǒng)發(fā)送特制數(shù)據(jù)包來(lái)利用。

資料來(lái)源：https://www.securityweek.com/ot-security-firm-warns-safety-risks-posed-alerton-building-system-vulnerabilities

NetModule路由器存在2個(gè)漏洞

研究人員在NetModule路由器軟件(NRSW)中兩個(gè)新發(fā)現(xiàn)的嚴(yán)重漏洞。NetModule的所有路由器都默認(rèn)運(yùn)行基于Linux的NRSW，并且可以使用遠(yuǎn)程管理平臺(tái)進(jìn)行遠(yuǎn)程管理。遠(yuǎn)程攻擊者可以利用這些漏洞繞過(guò)身份驗(yàn)證和訪問(wèn)管理功能。

資料來(lái)源：https://www.securityweek.com/organizations-warned-critical-vulnerabilities-netmodule-routers

西門(mén)子PLC軟件控制器存在安全問(wèn)題

Technion研究人員發(fā)現(xiàn)西門(mén)子PLC軟件控制器啟動(dòng)過(guò)程并不安全，允許攻擊者讀取和修改文件系統(tǒng)，包括虛擬機(jī)管理程序二進(jìn)制文件和加密的SWCPU，并且可以使用硬編碼密鑰來(lái)解密SWCPU。

資料來(lái)源：https://www.securityweek.com/security-researchers-dig-deep-siemens-software-controllers

施耐德電氣Acti9 PowerTag Link C產(chǎn)品存在漏洞

Secolve研究人員在Acti9 PowerTag Link C設(shè)備中發(fā)現(xiàn)了一個(gè)漏洞(CVE-2022-34754)。最有影響力的兩個(gè)發(fā)現(xiàn)包括硬編碼憑據(jù)，它使研究人員能夠下載世界上任何其他PowerTag Linksmart網(wǎng)關(guān)設(shè)備的完整快照，以及物理設(shè)備上的訪問(wèn)控制實(shí)施不當(dāng)，使研究人員能夠從同一網(wǎng)段發(fā)出任意命令。

資料來(lái)源：https://secolve.com/secolve-identifies-vulnerability-in-schneiders-acti9-powertag-link-c-product/