当前位置: 首页 > 政务公开 > 网络信息安全 > 工作通知

工业互联网网络安全情况通报 2022年第5期

发布时间:2022-06-23 12:26 来源:网安处 邹建

一、工业互联网安全监测情况

截至2022年5月,贵州省级工业互联网安全态势感知平台(以下简称“省级平台”)共监测联网工业企业 3196家;重点工业企业纳入省级平台监测539家。

本月省级平台监测发现工业互联网网络攻击共23.19万次,其中高危安全事件(木马后门、挖矿事件和僵尸网络等)0.90万次,中危安全事件(非法外联、暴力破解、漏洞利用、渗透提权和web攻击等)13.93万次。

二、工业互联网网络安全分析

1、僵尸网络分析

2022年5月监测发现重点工业企业僵尸网络事件共350次,涉及5家重点工业企业。5月活跃的僵尸网络病毒家族主要为:bebloh、gameover和kraken,涉及到的企业应立即切断感染主机的网络,进行病毒查杀,加强网络安全意识,不要轻易打开未知来源的可执行文件。

2、暴力破解分析

2022年5月监测发现重点工业企业暴力破解事件2.16万次,较上月环比下降45.4%,涉及19家重点工业企业, 较上月新增2家。对暴力破解攻击分析发现,5月暴力破解攻击主要针对SMTP、SSH、和MSSQL,其中针对SMTP的暴力破解事件数最多,共3.39万次。SMTP是简单邮件传输协议,默认端口号为25,主要用来处理电子邮件的发送,攻击者若利用爆破工具爆破出用户的账号口令,会导致信息泄露。企业应重视对开启远程登录主机的安全防护,制定防范暴力破解的安全策略。

3、非法外联分析

2022年5月监测发现重点工业企业非法外联事件2.01万次,较上月环比下降18.2%,涉及10家重点工业企业,较上月新增4家。分析发现,非法外联事件以外联恶意服务器和DNS查询恶意域名为主。外联恶意服务器通信次数排行TOP3的IP为139.59.109.18、194.195.223.249和139.177.196.162;DNS查询恶意域名次数TOP3为donate.v2.xmrig.com(公共矿池)、adnetwork33.redirectme.net (Ramnit蠕虫病毒远控)、和btc.ss.poolin.me(公共矿池)。建议企业根据威胁通报将恶意IP、域名在网络出口拦截通信。

三、重点工业企业网络安全通报

省通信管理局通过省级平台开展工业互联网安全威胁监测与通报,督促指导工业企业整改修复网络安全威胁。2022年5月向6家重点工业企业下发威胁信息处置通知单和安全分析报告。

1、贵州某股份公司网站存在目录遍历漏洞

2022年5月省级平台检测发现贵州某股份公司网站存在IIS目录遍历漏洞,目录浏览漏洞是由于网站存在配置缺陷,导致网站目录可以被任意浏览,这会导致网站很多隐私文件与目录泄露,发现系统logs目录中,存在SQL语句执行记录,内网IP地址等敏感信息。建议企业紧急修复该漏洞,关闭IIS服务器端“目录浏览”功能。

2、贵州某固件公司库存系统存在SQL注入漏洞

2022年5月检测发现贵州某固件公司系统网站存在SQL注入高危漏洞,由于系统未对用户输入参数合法性、安全性进行校验和过滤,导致可通过修改请求参数,恶意拼接SQL语句,不法分子可利用该漏洞查询数据库中所有数据,非法获取数据库中的敏感数据或植入木马非法控制服务器。SQL注入的本质原因是应用层代码的漏洞,建议企业紧急修复该漏洞,对所有用户传递的参数进行过滤,过滤SQL语句基本字符('、-、#、+、concat、%等),过滤SQL语句关键字(or、and、select、database、column、all等)。

【返回顶部】 【关闭窗口】 【打印本页】