9月9日，2024年国家网络安全宣传周主论坛上，全国网络安全标准化技术委员会（以下简称“网安标委”）发布《人工智能安全治理框架》1.0版。贯彻落实《全球人工智能治理倡议》，网安标委研究制定了《人工智能安全治理框架》（以下简称《框架》）。《框架》以鼓励人工智能创新发展为第一要务，以有效防范化解人工智能安全风险为出发点和落脚点，提出了包容审慎、确保安全，风险导向、敏捷治理，技管结合、协同应对，开放合作、共治共享等人工智能安全治理的原则。《框架》按照风险管理的理念，紧密结合人工智能技术特性，分析人工智能风险来源和表现形式，针对模型算法安全、数据安全和系统安全等内生安全风险和网络域、现实域、认知域、伦理域等应用安全风险，提出相应技术应对和综合防治措施，以及人工智能安全开发应用指引。

参考链接：

https://www.tc260.org.cn/front/postDetail.html?id=20240906174148

2024年9月18日，全国网络安全标准化技术委员会发布了TC260-PG-20244A《网络安全标准实践指南——敏感个人信息识别指南》（以下简称《识别指南》），旨在指导各组织识别敏感个人信息范围，为敏感个人信息处理、出境和保护工作提供参考。《识别指南》为《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）第28条第1款规定的敏感个人信息提供了实践指引；同时，相比于之前在个人信息保护合规实践中起着重要指导作用的推荐性国家标准GB/T 35273—2020《信息安全技术 个人信息安全规范》，《识别指南》在很多方面有所变化。《识别指南》在《个人信息保护法》的基础上对敏感个人信息的识别进行了细化。相对于《个人信息安全规范》，《识别指南》更加符合上位法的原则和精神，更便于企业在合规过程中参照。《识别指南》以团体标准而非国家标准的形式发布，表明其具有一定的探索性和延展性。

参考链接：

https://www.tc260.org.cn/upload/2024-09-18/1726621097544005928.pdf

9月30日，国务院发布《网络数据安全管理条例》（以下简称《条例》）。该《条例》自2025年1月1日起施行。《条例》旨在规范网络数据处理活动，保障网络数据安全，促进网络数据依法合理有效利用，保护个人、组织的合法权益，维护国家安全和公共利益。《条例》共9章64条，主要规定了网络数据安全管理总体要求、个人信息保护、重要数据安全制度、跨境安全管理及网络平台服务提供者义务五个方面，从鼓励创新、加强保护到明确各主体责任，全面规范网络数据安全管理，保障个人和国家数据安全。《条例》的出台与实施将进一步筑牢我国数字经济发展基础，以高水平安全护航网络强国建设。

参考链接：

https://www.cac.gov.cn/2024-09/30/c_1729384452307680.htm

工控安全相关事件

9月4日，思科修复了一个命令注入漏洞（CVE-2024-20469，CVSS v3：6.3分），该漏洞的公开利用代码允许攻击者在易受攻击的系统上将权限提升为root权限。该漏洞发现于思科的身份服务引擎（ISE）中。该命令注入漏洞是由于对用户输入验证不足引起的。攻击者可以通过提交恶意构造的CLI命令，在不需要用户交互的情况下进行漏洞利用。到目前为止，思科尚未发现攻击者利用该安全漏洞进行攻击活动。

参考链接：

https://nvd.nist.gov/vuln/detail/CVE-2024-20469

9月10日，西门子披露了其用户管理组件（UMC）中的一个堆缓冲区溢出漏洞（CVE-2024-33698，CVSS v3：9.3分），可能允许未经身份验证的远程攻击者在受影响的系统上执行任意代码。UMC是西门子多个产品的重要组成部分，包括SIMATIC PCS neo分布式控制系统、SINEC NM网络管理系统和全集成自动化门户（TIA Portal）。这些系统广泛应用于关键基础设施和工业环境中，因此该漏洞可能会造成严重的影响。堆缓冲区溢出漏洞允许攻击者利用UMC的内存管理功能，可能覆盖关键数据或注入恶意代码。成功利用该漏洞的攻击者可以完全控制受影响的系统，从而窃取敏感信息、破坏操作，甚至造成物理损害。目前西门子正在为受影响的产品开发补丁，该公司建议受影响的用户先通过限制网络流量、禁用未使用服务等方式降低被攻击的风险。

参考链接：

https://securityonline.info/siemens-issues-critical-security-advisory-for-user-management-component-umc-cve-2024-33698/

9月12日，思科披露其多个基于Web管理界面产品中使用的JSON-RPC API功能存在漏洞（CVE-2024-20381，CVSS v3：8.8分），涉及Cisco Crosswork Network Services Orchestrator (NSO)、Cisco Optical Site Manager和Cisco RV340双WAN千兆VPN路由器。该漏洞可能允许经过身份验证的远程攻击者修改受影响设备的配置并提升权限。该漏洞源于JSON-RPC API上的授权检查不当问题，具有足够权限访问易受攻击的应用程序或设备的攻击者可以向API发送恶意请求来利用此漏洞。思科已发布软件更新以修复此漏洞，建议客户升级到适当的修复版本。此外，思科没有为已结束生命周期的RV340路由器提供补丁。

参考链接：

https://cybersecuritynews.com/cisco-web-management-vulnerability/#google_vignette

9月13日，罗克韦尔自动化公司（Rockwell Automation）的FactoryTalk软件产品中存在两个安全漏洞（CVE-2024-45823，CVSS v3：9.2分；CVE-2024-45824，CVSS v3：9.2分），对工业控制系统（ICS）构成了威胁。CVE-2024-45823影响FactoryTalk Batch View 2.01.00版本。该漏洞源于跨账户使用共享密钥，攻击者可以利用身份验证过程中所需的额外信息冒充合法用户。成功利用该漏洞可能使攻击者未经授权访问系统和敏感数据。CVE-2024-45824影响FactoryTalk View Site Edition 12.0、13.0和14.0版本。该漏洞允许攻击者结合使用路径遍历、命令注入和XSS漏洞进行完全未经身份验证的远程代码执行。这意味着远程攻击者可能在不需要任何身份验证的情况下在受影响的系统上执行恶意代码，对工业操作造成严重破坏。罗克韦尔自动化公司已发布补丁修复这两个漏洞。

参考链接：

https://securityonline.info/rockwell-automation-products-face-critical-security-risks-urgent-patching-required/

9月13日，尼日利亚计算机应急响应中心（ngCERT）发布了紧急警报，警告勒索组织正在攻击尼日利亚的关键系统。攻击者利用Veeam Backup and Replication（VBR）软件中的一个高危漏洞（CVE-2023-27532，CVSS v3：7.5分）进行攻击，并且此次事件涉及Phobos勒索组织。CVE-2023-27532影响VBR 12及以下版本，允许攻击者未经授权访问敏感数据，包括存储在Veeam配置数据库中的加密和明文凭据。攻击者能够利用该漏洞提升权限、安装恶意软件并在受感染系统上执行任意代码。Phobos勒索组织利用此Veeam漏洞攻击尼日利亚的云基础设施。成功入侵网络后，攻击者部署勒索软件，加密关键数据，并向受害者索要赎金。

参考链接：

https://cert.gov.ng/advisories/ransomware-groups-targeting-critical-systems-in-nigeria

9月17日下午，黎巴嫩首都贝鲁特以及黎巴嫩东南部和东北部多地发生大量寻呼机（BP机）爆炸事件。黎巴嫩真主党第一时间发布消息称，爆炸发生在当地时间下午3时30分左右，影响了真主党各机构的“工作人员”，有“大量”人受伤。截至18日16时，以色列时报援引黎巴嫩公共卫生部门数据称，爆炸造成11人死亡，约4000人受伤，其中约500人双目失明。当地时间19日，包括对讲机爆炸事件，黎巴嫩公共卫生部长表示，爆炸事件已致37人死亡。

参考链接：

https://www.wired.com/story/pager-explosion-hezbollah/

https://www.antiy.cn/research/notice%26report/research_report/PagerExplosion.html

9月24日，安全研究人员披露了Proroute H685t-w 4G路由器中的两个安全漏洞（CVE-2024-45682，CVSS v3：8.8分；CVE-2024-38380，CVSS v3：5.4分），这些漏洞可能允许远程攻击者入侵受影响的设备，可能导致未经授权的访问、数据泄露和网络服务中断。CVE-2024-45682是一个经过身份验证的命令注入漏洞，允许攻击者在底层操作系统上执行任意代码。任何具有路由器Web界面访问权限的用户，即使权限有限，也可能利用此漏洞完全控制设备，执行诸如安装恶意软件、窃取敏感信息或对连接的网络发起进一步攻击等操作。CVE-2024-38380是一个反射型跨站脚本（XSS）漏洞，可能允许攻击者将恶意脚本注入受影响路由器用户查看的网页中。此漏洞可能被利用来窃取会话 Cookie、劫持用户账户或发起网络钓鱼攻击。该厂商已在3.2.335版本的固件中修复这两个安全漏洞。

参考链接：

https://securityonline.info/vulnerabilities-found-in-proroute-h685t-w-4g-router-command-injection-and-xss-exposed/

9月24日，Bitsight公司发布专题研究报告，称自动油箱计量（ATG）系统中存在多个严重未修补的安全漏洞，可能对加油站、机场、军事基地等关键基础设施造成破坏和物理损害。ATG系统用于监控和管理燃料储罐，确保液位适当并检测泄漏。研究发现，来自五家供应商的六款ATG系统中的11个漏洞可能允许攻击者完全控制ATG，从而引发从无法加油到环境破坏等一系列问题。数千台ATG目前仍可通过互联网直接访问，使它们成为网络攻击的主要目标。安全研究人员强调，应更加关注这些控制社会重要部分的系统，并系统地发现、分类和减轻它们在互联网上公开暴露的风险。

参考链接：

https://www.bitsight.com/blog/critical-vulnerabilities-discovered-automated-tank-gauge-systems

9月26日，英国铁路网公司表示，英国多个火车站的公共无线网络25日晚遭到网络攻击，相关网络服务已暂停。据英国媒体报道，遭受网络攻击的火车站包括伦敦尤斯顿站、曼彻斯特皮卡迪利站、伯明翰新街站、爱丁堡韦弗利站、格拉斯哥中央车站等，英国铁路警察局已对事件展开调查。英国铁路网公司26日在一份声明中说，此次遭受网络攻击的火车站共有19个。车站的公共无线网络由第三方提供，只是简单的“点击并连接”服务，不收集任何个人数据。这一网络安全事件有待全面调查，预计公共无线网络服务将在本周末恢复。

参考链接：

https://baijiahao.baidu.com/s?id=1811325801769857487&wfr=spider&for=pc

9月11日-14日，东北大学“谛听”团队受邀参加2024全球工业互联网大会。大会深入贯彻习近平总书记关于推进新型工业化的重要指示精神，切实响应党的二十届三中全会的重要部署，以“以智焕制 以旧焕新”为主题，进一步展现新一代信息技术改造传统产业、科技创新引领产业升级的生动局面。

9月12日，由中国联通辽宁省分公司承办的“5G+工业互联网”专题论坛成功举办。本次论坛介绍了由中国联通联合多家企业全新打造的“中国联通5G+TAN新型配电网边缘控制系统”。中国联通研究院表示将持续聚焦该领域，助力各行业智能化转型。东北大学姚羽教授分享了《5G+工业互联网安全实践与思考》主题报告。

9月12日，由辽宁省工业和信息化厅指导，北方实验室（沈阳）股份有限公司携北京信安世纪科技股份有限公司、沈阳市浑南区工商业联合会共同承办的以“密码技术赋能工业企业数字蝶变”为主题的“工业互联网+商用密码专题论坛”成功举办。多位密码行业专家在会议上分享心得，旨在通过密码安全为工业互联网提供核心保障，推动我国工业互联网高质量发展。围绕此次话题，东北大学姚羽教授分享了《工业互联网数据安全治理的挑战》主题报告。

参考链接：

https://mp.weixin.qq.com/s/RFEY79p7bJ8AgEhPgoIUFw

https://mp.weixin.qq.com/s/3oLu0BGBkvuPjOo5x7gh-w

https://mp.weixin.qq.com/s/Q_MAprJivLsB0s4BjbLyUg

蜜罐数据分析

“谛听”工控蜜罐在9月份收集到大量针对不同工控协议、来自不同地区的工控网络攻击数据。图1、图2和图3中展示了经过统计和分析后的数据，以下将对各个图表进行简要说明。

图1展示了9月份和8月份不同工控协议下各蜜罐受到的攻击量对比情况。从图中可以看到，9月份EGD、Siemens S7、CIP协议蜜罐受到的攻击数量高于8月份受到的攻击数量，除此以外9月份各协议蜜罐受到的攻击数量都低于8月份受到的攻击数量。

图1.  9月份和8月份蜜罐各协议攻击量对比（数据来源“谛听”）

图2展示了9月份和8月份攻击量最多的10个国家的对比情况。从图中可以看到，9月份英国和日本对工控蜜罐的攻击量有所增加，其他国家针对工控蜜罐的攻击量均有所减少。

图2.  9月份和8月份其他各国对蜜罐的攻击量对比TOP10

（数据来源“谛听”）

由图3可以看出，9月份来自北京的流量最多，来自上海的流量位居第二，来自浙江的流量位居第三。排名靠前的省市基本是工业发达地区或沿海地区，此外其他省份的流量有所波动。

图3.  9月份中国国内各省份流量（TOP10）（数据来源“谛听”）

俄罗斯、乌克兰联网工控设备分析

截至2024年9月底，战斗主要集中在乌克兰东部和南部地区，特别是在巴赫穆特和扎波罗热等关键城市。乌克兰军队在某些地区取得了一定的进展，成功进行了一系列反攻行动，旨在收复被占领的领土。同时，俄罗斯则继续加强其防线，并在一些地区进行空袭和炮击。国际社会对冲突的关注依然高涨，西方国家加大了对乌克兰的军事支持，同时也在努力寻找和平解决方案。

为了深入了解俄罗斯和乌克兰的工控领域状况，团队持续关注并进行了探测，以获取被扫描设备的详细信息。

/ 2024年9月俄罗斯、乌克兰暴露工控设备相关协议 /

从图4乌克兰各协议暴露数量对比图中可以看出，9月探测到的数量相比于8月份，各个协议变化不明显。同时联网摄像头暴露数量相比8月有小幅度的上升，由1049升高至1190。

图4. 8月、9月乌克兰各协议暴露工控资产数量对比

（数据来源“谛听”）

俄罗斯的各协议暴露数量对比如图5所示。从图中可以看出，与8月相比，9月AMQP和Modbus协议有小幅度的升高，Nport协议有大幅度减少，其他协议没有很大幅度的变化。9月联网摄像头暴露数量有小幅度减少，由1626降低至1620。

后续团队将对相关信息持续关注。

图5.8月、9月俄罗斯各协议暴露工控资产数量对比

（数据来源“谛听”）