8月速遞

據報告顯示，USB可移動媒體針對工業(yè)的威脅有所提升，2022年第二季度工業(yè)勒索軟件事件有所下降。研究人員新開發(fā)的攻擊技術可破壞OT網絡，以及允許從氣隙PC中泄露數(shù)據。本月網絡安全事件頻發(fā)，安全態(tài)勢愈發(fā)嚴峻。

USB可移動媒體威脅受到嚴重關注

Honeywell在8月16日發(fā)布了“工業(yè)網絡安全：2022年USB威脅報告”。該報告稱，針對工業(yè)的威脅從30%相應增加至32%，驗證了USB可移動媒體正被用于滲透許多工業(yè)/OT環(huán)境中的氣隙環(huán)境的理論。

資料來源：https://industrialcyber.co/reports/usb-removable-media-threats-continue-as-serious-concern-as-ics-increasingly-under-attack-from-hackers/

Dragos報告顯示，2022年第二季度工業(yè)勒索軟件事件有所下降

工業(yè)網絡安全公司Dragos 8月9日披露，今年第二季度的工業(yè)勒索軟件事件有所下降。Dragos數(shù)據顯示，2022年第二季度有125起勒索軟件事件，而上一季度為158起。Dragos表示即使在OT不是預定目標的情況下，對存在OT的企業(yè)IT的勒索軟件攻擊也會對OT運營產生負面影響。

資料來源：https://g.yam.com/KGGbh

新的Evil PLC攻擊將PLC武器化以破壞OT和企業(yè)網絡

“Evil PLC”攻擊影響羅克韋爾自動化、施耐德電氣、通用電氣、貝加萊、新杰、OVARRO和艾默生的工程工作站軟件。在Evil PLC攻擊中，控制器充當達到目的的手段，允許攻擊者破壞工作站，訪問網絡上的所有其他PLC，甚至篡改控制器邏輯。

資料來源：https://thehackernews.com/2022/08/new-evil-plc-attack-weaponizes-plcs-to.html

ETHERLED和Gairoscope攻擊允許從氣隙PC中泄露數(shù)據

ETHERLED通過替換氣隙PC的網卡驅動，進而修改LED顏色和閃爍機制，并以此來傳輸編碼數(shù)據波。對氣隙系統(tǒng)的Gairoscope攻擊依賴于在目標設備/系統(tǒng)上產生共振頻率，這些頻率可被最遠距離6米的智能手機的陀螺儀傳感器捕獲。

資料來源：https://www.hackread.com/etherled-gairoscope-exfiltration-air-gapped-pc/

盧森堡能源公司遭勒索軟件攻擊

中歐國家天然氣管道和電力網絡運營商Creos Luxembourg SA在7月22日至23日遭到攻擊，導致其客戶門戶無法訪問，但服務并未中斷。BlackCat于7月30日將Creos添加到其數(shù)據泄露網站，并威脅要公開盜取的文件，涉及合同、協(xié)議、護照、賬單和電子郵件等內容。

資料來源：https://www.securityweek.com/luxembourg-energy-company-hit-ransomware

英國汽車經銷商遭受重大勒索軟件攻擊

總部位于特倫特河畔斯托克的汽車經銷商Holdcroft Motor Group因黑客竊取了包括員工信息在內的數(shù)據而遭到勒索。盡管大多數(shù)系統(tǒng)現(xiàn)在都已備份，并且托管客戶數(shù)據的核心經銷商管理系統(tǒng)未受影響，但該公司承認一些基礎設施已損壞。

資料來源：https://www.infosecurity-magazine.com/news/car-dealership-hit-by-major/?&web_view=true

英國供水商受到網絡攻擊，導致IT網絡中斷

英國供水商South Staffordshire Water公司于8月15日發(fā)表聲明確認IT系統(tǒng)因網絡攻擊而中斷。Bleeping Computer的報告透露，在已發(fā)布的證據中，Clop提供了一個包含用戶名和密碼的電子表格，其中包含South Staff Water和South Staffordshire的電子郵件地址。

資料來源：https://industrialcyber.co/threats-attacks/water-systems-at-south-staffordshire-breached-leading-to-disruption-in-it-network/

大規(guī)模Microsoft Outlook網絡釣魚活動針對全球關鍵基礎設施公司

ThreatLabz團隊發(fā)現(xiàn)了一個新的網絡釣魚套件，它使用AiTM(adversary-in-the-middle，AiTM)模型繞過多因素身份驗證。網絡釣魚目標是位于美國、英國、新西蘭和澳大利亞的金融、信貸、保險、能源和制造組織。

資料來源：https://www.securitylab.ru/news/533082.php

研究人員披露了多個影響超寬帶實時定位系統(tǒng)的漏洞。西門子、施耐德等多家廠商的工業(yè)產品存在漏洞，其中嚴重的可導致眾多領域的關鍵基礎設施遭受破壞性攻擊。

RTLS系統(tǒng)容易受到中間人攻擊和位置篡改

SynSaber公司統(tǒng)計了2022年上半年CISA披露的681個工業(yè)控制系統(tǒng)(ICS)漏洞，略高于2021年上半年。在681個CVE中，大約13%沒有補丁并且可能永遠無法修復——這些被稱為“永久漏洞”。超過22%的漏洞為超危漏洞，42%為高危漏洞。

資料來源：https://thehackernews.com/2022/08/rtls-systems-found-vulnerable-to-mitm.html?&web_view=true

西門子修復其產品中的7個漏洞

西門子8月9日發(fā)布的四項公告描述了七個安全漏洞。其部分SCALANCE交換機、路由器、安全設備和無線通信設備受到三個漏洞的影響。其中一個超危漏洞可以允許具有管理員權限的經過身份驗證的攻擊者注入代碼或生成root shell。一個高危漏洞允許未經身份驗證的攻擊者遠程導致DoS條件，具有管理員權限的攻擊者可以利用中危漏洞進行XSS攻擊。

資料來源：https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-fix-only-11-vulnerabilities

施耐德修復其產品中的4個漏洞

施耐德電氣8月9日發(fā)布的公告中描述了四個安全漏洞。其中一個超危漏洞與弱密碼恢復機制有關，它可能允許攻擊者未經授權訪問設備。在Modicon PLC和PAC產品中，施耐德修復了一個可能導致DoS條件的高危漏洞，以及一個可能導致密碼哈希和項目數(shù)據等敏感信息泄露的高危漏洞。

資料來源：https://www.securityweek.com/ics-patch-tuesday-siemens-schneider-electric-fix-only-11-vulnerabilities

Alerton樓宇管理系統(tǒng)存在4個漏洞

SCADAfence研究人員在Alerton的樓宇管理系統(tǒng)Alerton Compass軟件中發(fā)現(xiàn)了四個漏洞，分別是產品的人機界面(HMI)、Ascent控制模塊(ACM)和Visual Logic組件。其中兩個高危漏洞可以通過向目標系統(tǒng)發(fā)送特制數(shù)據包來利用。

資料來源：https://www.securityweek.com/ot-security-firm-warns-safety-risks-posed-alerton-building-system-vulnerabilities

NetModule路由器存在2個漏洞

研究人員在NetModule路由器軟件(NRSW)中兩個新發(fā)現(xiàn)的嚴重漏洞。NetModule的所有路由器都默認運行基于Linux的NRSW，并且可以使用遠程管理平臺進行遠程管理。遠程攻擊者可以利用這些漏洞繞過身份驗證和訪問管理功能。

資料來源：https://www.securityweek.com/organizations-warned-critical-vulnerabilities-netmodule-routers

西門子PLC軟件控制器存在安全問題

Technion研究人員發(fā)現(xiàn)西門子PLC軟件控制器啟動過程并不安全，允許攻擊者讀取和修改文件系統(tǒng)，包括虛擬機管理程序二進制文件和加密的SWCPU，并且可以使用硬編碼密鑰來解密SWCPU。

資料來源：https://www.securityweek.com/security-researchers-dig-deep-siemens-software-controllers

施耐德電氣Acti9 PowerTag Link C產品存在漏洞

Secolve研究人員在Acti9 PowerTag Link C設備中發(fā)現(xiàn)了一個漏洞(CVE-2022-34754)。最有影響力的兩個發(fā)現(xiàn)包括硬編碼憑據，它使研究人員能夠下載世界上任何其他PowerTag Linksmart網關設備的完整快照，以及物理設備上的訪問控制實施不當，使研究人員能夠從同一網段發(fā)出任意命令。

資料來源：https://secolve.com/secolve-identifies-vulnerability-in-schneiders-acti9-powertag-link-c-product/