TOP5 | 头条：冰瀑报告披露56个重大OT漏洞

冰瀑”报告披露56个重大OT漏洞；

 标签：漏洞利用，工控，物联网，运营漏洞

根据Forescout昨日发布的“冰瀑漏洞”（IceFall）工控安全报告，安全研究人员在10家OT供应商的产品中发现56个冰瀑漏洞，这些漏洞表明：工控安全在设计层面就存在根本性的重大问题。

报告指出，受冰瀑漏洞影响的制造商包括本特利内华达（GE Bently Nevada）、艾默生电气（Emerson）、霍尼韦尔（Honeywell）、捷太格特（JTEKT）、摩托罗拉、欧姆龙、菲尼克斯电气（Phoenix Contract）、西门子和横河电机（Yokogawa）。受影响产品列表如下：

• 本特利内华达–3700，TDI设备–状态监测器

• 艾默生–DeltaV–分布式控制系统

• 艾默生–Ovation–分布式控制系统

• 艾默生–OpenBSI–工程工作站

• 艾默生–ControlWave、BB 33xx、ROC–远程终端单元

• 艾默生–Fanuc,PACsystems–可编程逻辑控制器

• 霍尼韦尔–Trend IQ–楼宇控制器

• 霍尼韦尔–安全经理FSC–安全仪表系统

• 霍尼韦尔–Experion LX–分布式控制系统

• 霍尼韦尔–ControlEdge–远程终端单元

• 霍尼韦尔–Saia Burgess PCD–可编程逻辑控制器

• JTEKT–Toyopuc–可编程逻辑控制器

• 摩托罗拉–MOSCAD、ACE IP网关–远程终端单元

• 摩托罗拉–MDLC–协议

• 摩托罗拉–ACE1000–远程终端单元

• 摩托罗拉–MOSCAD工具箱STS–工程工作站

• 欧姆龙–SYSMAC Cx系列、Nx系列–可编程逻辑控制器

• 菲尼克斯电气–ProConOS–逻辑运行时

• 西门子–WinCC AO–监控和数据采集(SCADA)

• 横河电机–STARDOM–可编程逻辑控制器

根据报告，56个冰瀑漏洞大致分为四类：

• 不安全的工程协议

• 弱加密或损坏的身份验证方案

• 不安全的固件更新

• 通过本机功能远程执行代码(RCE)

最常见的漏洞类型是凭据窃取(38%)，其次是固件操作(21%)、远程代码执行RCE(14%)和配置操作(8%)。报告还列出了少量DoS、身份验证绕过、文件操作和逻辑操作错误。

“通过冰瀑漏洞的大规模披露，希望能对工控OT网络安全设计漏洞进行定量描述和分析，而不是过去针对单个产品的周期性漏洞爆发或某个供应商或资产所有者偶发的‘过错’，后者经常被忽视。”Forescout解释道。

Forescout透露，受冰瀑漏洞影响的产品系列中有74%通过了某种形式的安全认证，并认为如果制造商之前进行了深入的漏洞扫描，报告所揭示的大多数问题应该相对快速、轻松地被发现。

除了冰瀑漏洞，报告还指出工控安全当下存在六大常见风险：

• 不安全的设计漏洞比比皆是：报告披露的漏洞中超过三分之一(38%)允许破坏凭据，固件操作位居第二(21%)和远程代码执行位居第三(14%)。设计不安全问题的主要例子是与未经身份验证的协议相关的九个漏洞，但我们还发现了许多损坏的身份验证方案，这些方案在实施时表现出低于标准的安全控制。

• 易受攻击的产品通常经过认证：受冰瀑漏洞影响的产品系列中有74%具有某种形式的安全认证，报告的大多数问题应该在深入的漏洞发现过程中相对较快地发现。导致此问题的因素包括有限的评估范围、不透明的安全定义以及对功能测试的关注。

• 由于缺乏CVE，风险管理变得复杂：仅知道设备或协议不安全是不够的。为了做出明智的风险管理决策，资产所有者需要知道这些组件是如何变得不安全的。不安全设计导致的问题并不总是能够分配CVE，因此经常被忽视。

• 存在设计不安全的供应链组件：OT供应链组件中的漏洞往往不会被每个受影响的制造商报告，这导致了风险管理的困难。

• 并非所有不安全的设计都是平等的：报告研究了通过本机功能在1级设备上获得RCE的三种主要途径：逻辑下载、固件更新和内存读/写操作。所分析的系统都不支持逻辑签名，并且大多数设备(52%)将其逻辑编译为本机机器代码。这些系统中有62%接受通过以太网下载固件，而只有51%具有此功能的身份验证。

• 攻击性能力的开发比想象的更容易达成：对单个专有协议进行逆向工程需要1天到2人工周，而对于复杂的多协议系统则需要5到6个人工月。这意味着，针对OT的恶意软件或网络攻击可以由一个规模小但技术娴熟的团队以合理的成本开发。

信源：https://www.forescout.com/blog/ot-icefall-56-vulnerabilities-caused-by-insecure-by-design-practices-in-ot/

拜登签署两项旨在加强政府网络安全的新法案；

白宫新闻稿称，美国现任总统乔·拜登于本周二签署了三项新法案，且其中有两项都侧重于加强政府网络安全。首先是标题为《2021 联邦网络职员轮岗计划》的 S.1097 法案。CIO 委员会指出，该法案旨在机构内部建立管理、设计、防御、分析、管理、以及运维能力，且涵盖了保障联邦政府系统网络数据的多元化从业者群体。

S. 1097法案规定，某些联邦雇员有望在其它机构轮换网络管理职位时得到详细的说明，并授权机构确定哪些雇员有机会参与该计划。

其次是 S. 2520 号《2021 州与地方政府网络安全法案》，其旨在要求国土安全部门加强各州和地区政府实体，与企业、协会和公众在网络安全方面的合作。

该法案还要求国家网络安全与通信集成中心为相关人员提供培训和开展沿袭，并于所有较低层级的政府机构中促进网络安全意识教育。

为尽量减少美国政府机构面临的网络安全威胁，民主党、共和党议员和相关代表共同发起了这两项法案。

早些时候，拜登政府还监督了一个网络安全局和网络安全审查委员会的成立、并签署了一项行政命令，以期在能源公司 Colonial Pipeline 于去年遭遇黑客攻击后增强相关网络的安全性。

信源：https://www.cnbeta.com/articles/tech/1283629.htm

疑伊朗黑客攻击以色列空袭警报系统致火箭警报误响一小时；

  标签：以色列，网络安全

以色列国家网络局（INCD）当地时间6月20日早上证实，19日晚上在耶路撒冷和埃拉特启动的虚假火箭警报很可能是由网络攻击引起的。

周一（20日），人们普遍猜测伊朗是此次黑客攻击的肇事者，许多网络专家在采访中就伊朗参与的可能性发表了这样的看法。然而，一位外交消息人士表示，尚不确定伊斯兰共和国是否是袭击的源头。外交消息人士还淡化了这次袭击的重要性，称“针对以色列的网络活动不断。就以色列致力于提高其网络弹性而言，它的情况还不错。[国家] 多年计划的一部分是与其他国家合作建立一个网络铁穹。昨天的头条新闻夸大了警报器。”19日晚上，火箭警报在埃拉特和包括Talpiot、Katamon和Beit Hakerem 在内的几个耶路撒冷社区响起近一个小时。

《耶路撒冷邮报》报道，以色列国防军最初将其归咎于系统故障，警报响了近一个小时。平民区的火箭弹袭击仍然是以色列的地方性危险。

以色列国家网络局现在怀疑网络入侵是原因。经济部副部长亚尔戈兰20号在国家媒体上暗示，罪魁祸首可能来自伊朗。这位前以色列国防军副参谋长告诉以色列国防军电台说：“伊朗人正试图通过网络伤害以色列，这起事件需要迅速调查。”

以色列国防军国土战线司令部表示，被破坏的警报器是市政系统，而不是军事系统。民防当局在一条推文中说，它“指示地方当局对当地公共广播系统采取迅速的保护措施”。该推文承认“怀疑市政公共广播系统接口处发生网络事件，导致埃拉特和耶路撒冷市的少数地点激活公共广播。”

INCD没有立即回应信息安全媒体集团的置评请求。

伊朗和以色列之间的紧张局势正在加剧，因为德黑兰指责这个犹太国家最近对其核基础设施发动了一连串袭击，而以色列则敦促其公民离开土耳其，因为担心伊朗特工可能在伊斯坦布尔对以色列人发动袭击。

以色列网络安全公司Check Point 周公布了一项针对以色列和美国知名高管的鱼叉式网络钓鱼行动，并将其归咎于伊朗。

Check Point确定的目标包括以色列前外交部长兼副总理Tzipi Livni；一位未透露姓名的前少将，曾在以色列国防军担任高度敏感的职位；以及以色列国防工业的一位未透露姓名的高级管理人员。

Check Point文章发表的同一天，即6月14日，以色列国家网络局发布了关于“针对以色列各种用户的积极网络钓鱼活动”的警告，并发布了包含允许用户阻止攻击的信息的警报。

信源：https://www.jpost.com/israel-news/article-709867https://www.gov.il/he/departments/publications/reports/alert_1460https://www.govinfosecurity.com/cyberattack-blamed-for-setting-off-rocket-sirens-in-israel-a-19402

最高检：严厉打击行业“内鬼”泄露公民个人信息违法犯罪；

  标签：最高检，行业“内鬼”，公民个人信息违法犯罪

信源：央视新闻

美国旗星银行150万客户数据遭泄露；

  标签：旗星银行，客户数据，信息泄露

信源：https://threatpost.com/telegram-spread-eternity-maas/179623/