本月观察到国内外网络安全相关政策法规18项，涉及国内2项、美国14项、新加坡1项、英国1项，需要我们来关注的有国家标准《网络关键设施安全技术方面的要求可编程逻辑控制器(PLC)》公开征求意见、IIC、ISA更新物联网安全成熟度模型用于指导工业自动化控制管理系统安全。1、国家标准《网络关键设施安全技术方面的要求可编程逻辑控制器(PLC)》公开征求意见全国信息安全标准化技术委员会归口的国家标准《网络关键设施安全技术方面的要求可编程逻辑控制器（PLC）》现已形成标准征求意见稿。根据《全国信息安全标准化技术委员会标准制修订工作程序》要求，现将该标准征求意见稿面向社会公开征求意见。

  2、工信部印发《关于开展移动网络应用程序备案工作的通知》为促进互联网行业规范健康发展，进一步做好移动互联网信息服务管理，工业与信息化部近日印发通知，组织并且开展移动网络应用程序（以下简称APP）备案工作。要求在中华人民共和国境内从事互联网信息服务的APP主办者，应当依照《中华人民共和国反电信网络诈骗法》《互联网信息服务管理办法》等规定履行备案手续。资料来源：

  3、CISA发布开源软件安全路线日，美国网络安全和基础设施安全局(CISA)发布了一份新文件，详细的介绍了其支持开源软件(OSS)生态系统并确保联邦机构使用OSS的计划。据该机构称，任何人都可以访问、修改和分发的OSS可以驱动更高质量的代码并促进协作，但也通过Log4Shell等影响广泛的漏洞带来高风险。资料来源：

  美国网络安全和基础设施安全局(CISA)提出美国需要一个国家网络安全警报系统，该系统能提供有关威胁和风险的可操作信息。资料来源：

  CISA于2023年9月发布了关于联邦机构如何将身份和访问管理(IDAM)功能集成到其身份、凭证和访问管理(ICAM)架构中的新指南。新指南是作为CISA持续诊断和缓解(CDM)计划的一部分发布的，该计划提供信息安全持续监控(ISCM)功能，帮助联邦机构提高其网络的安全性。资料来源：

  6、美国CISA发布开源软件安全路线日，联邦调查局(FBI)和网络安全和基础设施安全局(CISA)发布了一份联合网络安全通报(CSA)，传播与FBI调查中最近于6月1日发现的Snatch勒索软件变种相关的已知勒索软件IOC和TTP。除了启用和实施防网络钓鱼的多因素身份验证(MFA)之外，还敦促关键基础设施组织保护并密切监控远程桌面协议(RDP)，并维护数据的离线备份。

  资料来源：7、美国DHS建议协调关键基础设施实体的网络事件报告，以识别趋势、防止攻击

  本月监测到勒索事件16起、数据泄露事件29起、网络攻击45起，DDOS攻击3起、钓鱼攻击6起。其中典型的事件有国际自动化巨头江森自控遭勒索软件攻击致部分运营中断，大众汽车遭遇严重网络故障致德国生产暂停。1、国际自动化巨头江森自控遭勒索软件攻击致部分运营中断

  9月27日，美国网络安全事件报告的FORM 8-K文件显示，江森自控国际公司遭受了网络攻击。Nextron Systems威胁研究员 Gameel Ali在推特上公布消息称该攻击对江森自控的许多设备（包括VMware ESXi服务器）进行了加密，影响了公司及其子公司的运营。资料来源：2、大众汽车遭遇严重网络故障致德国生产暂停

  9月27日，大众汽车表示其遭遇重大IT故障，导致该汽车制造商同名品牌在德国的生产陷入停顿，并补充说，包括保时捷公司和奥迪品牌在内的整个集团都受到了影响。该公司发言人表示该故障自中午12点30分以来就已存在，目前正在分析中。”这对汽车生产厂有影响。大众表示，根据目前的分析情况，外部攻击不太可能是系统故障的原因。目前还无法估计问题何时得到解决以及生产何时能够重新开始。

  资料来源：3、新西兰奥克兰交通局的HOP卡遭遇重大网络攻击致票务系统部分瘫痪

  资料来源：5、微软AI研究人员泄露38TB数据，包括密钥、密码和内部消息

  Wiz Research在Microsoft的AI GitHub存储库上发现了一起数据泄露事件，这中间还包括30,000多条Microsoft Teams内部消息，所有这些都是由一个错误配置的SAS令牌造成的。这个案例是组织在开始更广泛地利用人工智能的力量时面临的新风险的一个例子，随着数据科学家和工程师竞相将新的人工智能解决方案投入生产，他们处理的大量数据需要额外的安全检查和保障措施。

  思科Talos研究人员发现了名为HTTPSnoop和PipeSnoop的新后门，可用于维持中东电信公司网络的长期访问。HTTPSnoop是一个简单但有效的新型后门，它使用低级Windows API直接与系统上的HTTP设备交互。它利用此功能将特定的HTTP(S) URL模式绑定到端点以侦听传入请求。PipeSnoop能够最终靠读取预先存在的名为Windows IPC管道的内容，在受感染端点上运行shellcode有效负载。

  本月监测到OT漏洞67个，涉及RSA 解密中基于时序的侧通道漏洞1个，涉及缓冲区溢出漏洞8个，涉及敏感信息明文存储漏洞4个，涉及生成包含敏感信息的错误消息漏洞2个，涉及加密签名验证不当漏洞1个，涉及敏感信息的不安全存储漏洞2个，涉及访问控制不当漏洞1个，涉及无限制上传危险类型的文件漏洞1个，涉及会线个，涉及空指针取消引用漏洞1个，涉及越界读取漏洞3个，涉及内存缓冲区范围内的操作限制不当2个，涉及释放后使用2个，涉及越界写入1个，涉及信息泄露2个，涉及检查时间使用时间 (TOCTOU) 竞争条件10个，涉及输入验证不当7个，涉及CSRF漏洞1个，涉及硬编码2个，涉及代码执行8个，涉及文件写入2个，涉及执行任意SQL 查询1个。需要我们来关注的有严重CodeMeter漏洞影响多种西门子产品。1、严重CodeMeter漏洞影响多种西门子产品

  西门子发布了7份新公告，涵盖影响该公司工业产品的总共45个漏洞。其中一份公告描述了CVE-2023-3935，这是一个影响Wibu Systems CodeMeter软件许可和保护技术的严重漏洞，该技术被多种西门子产品使用，包括PSS、SIMATIC、SIMIT、SINEC和SINEMA。如果CodeMeter Runtime配置为服务器，则未经身份验证的远程攻击者可通过该缺陷执行任意代码。如果CodeMeter Runtime配置为客户端，则该错误可能允许经过身份验证的本地攻击者将权限升级到root。资料来源：2、CISA披露西门子SIMATIC PCS、欧姆龙设备中存在ICS漏洞

  9月19日，美国CISA（网络安全和基础设施安全局）发布了四份ICS（工业控制管理系统）公告，警告关键基础设施部门西门子SIMATIC PCS neo管理控制台、欧姆龙工程软件Zip-Slip、欧姆龙工程软件中存在硬件漏洞、欧姆龙CJ/CS/CP系列。这些通报及时提供了有关当前ICS安全问题、漏洞和漏洞的信息，该机构敦促用户和管理员查看新发布的ICS通报，了解技术细节和缓解措施。

  资料来源：3、欧姆龙修补了ICS恶意软件分析过程中发现的PLC、工程软件缺陷

  日本电子巨头欧姆龙最近修补了工业网络安全公司Dragos在分析复杂恶意软件时发现的可编程逻辑控制器(PLC)和工程软件漏洞。这些漏洞包括标识为CVE-2022-34151的关键硬编码凭据问题、标识为CVE-2022-45790的使用FINS协议的欧姆龙CJ/CS/CP系列PLC中的一个高严重性漏洞、标识为CVE-2022-45793的Sysmac Studio任意代码执行漏洞等。

  Fortinet已针对影响多个FortiOS和FortiProxy版本的高严重性跨站脚本(XSS)漏洞发布了补丁。该安全缺陷被追踪为CVE-2023-29183（CVSS评分为7.3），被描述为“网页生成期间输入的不正确中和”。成功利用该漏洞可能允许经过身份验证的攻击者使用精心设计的访客管理设置来触发恶意JavaScript代码的执行。

  日本公司欧姆龙最近发布了针对网络安全公司Dragos在分析复杂恶意软件时发现的可编程逻辑控制器(PLC)和工程软件中的漏洞的补丁。去年，美国网络安全机构CISA向组织发出了三个影响Omron NJ和NX系列控制器的漏洞的警告。Dragos报告称，其中一个漏洞（硬编码凭据核心问题CVE-2022-34151）被用来访问欧姆龙PLC，并且是名为Pipedream(Incontroller)的工业控制管理系统(ICS)的攻击目标。

  以色列Otorio公司的研究团队发现并报告了西门子一款软件产品中的多个0day漏洞，特别是西门子ALM（自动化许可证管理器）。关键漏洞之一CVE-2022-43513允许攻击者在目标计算机内移动文件。更严重的威胁是漏洞CVE-2022-43514，该漏洞允许攻击者绕过路径清理并获得目标系统的系统级权限。利用这些漏洞能够最终靠多次重命名和移动文件导致远程代码执行。攻击者可以替换并重新再启动ALM服务可执行文件，从而有效地控制受影响的系统。

  MITRE和CISA发布用于OT攻击模拟的开源工具。Claroty在其SaaS平台中添加VRM功能，以帮助组织降低CPS风险。1、MITRE和CISA发布用于OT攻击模拟的开源工具

  9月5日，MITRE公司和美国网络安全和基础设施安全局(CISA)宣布了开源Caldera平台的新扩展，该平台可模拟针对运营技术(OT)的对抗性攻击。新的Caldera for OT扩展是国土安全系统工程与开发研究所(HSSEDI)与CISA合作的成果，旨在帮助提高关键基础设施的弹性。资料来源：2、Claroty在其SaaS平台中添加VRM功能，以帮助组织降低CPS风险

  Tenable将以2.4亿美元收购云安全公司Ermetic用于增强其Tenable One暴露管理平台的功能；思科将以约280亿美元收购Splunk，增强人工智能驱动时代的组织安全性和弹性。1、Tenable将以2.4亿美元收购云安全公司Ermetic

  9月7日，风险管理解决方案提供商Tenable宣布，已达成最终协议，将以约2.4亿美元现金和2500万美元限制性股票和限制性股票单位(RSU)收购以色列云安全初创公司Ermetic。Tenable计划使用Ermetic解决方案来增强其Tenable One暴露管理平台的功能，这中间还包括漏洞管理、Web应用程序安全、云安全、身份安全、攻击面管理和OT安全功能。资料来源：2、思科将以约280亿美元收购Splunk，增强人工智能驱动时代的组织安全性和弹性