工業(yè)網(wǎng)絡(luò)安全周報(bào)（2025年第9期）

本期摘要

政策法規(guī)方面，本周觀察到國(guó)外網(wǎng)絡(luò)安全相關(guān)政策法規(guī)3項(xiàng)，值得關(guān)注的有美國(guó)眾議院通過(guò)《聯(lián)邦承包商網(wǎng)絡(luò)安全漏洞削減法案》，要求聯(lián)邦承包商實(shí)施符合NIST標(biāo)準(zhǔn)的漏洞披露政策(VDP)，以防范惡意攻擊者利用其系統(tǒng)漏洞。

漏洞預(yù)警方面，本周監(jiān)測(cè)到ICS漏洞10條，值得關(guān)注的有日立能源Relion系列設(shè)備被爆存在權(quán)限漏洞。

安全事件方面，本周監(jiān)測(cè)到重大網(wǎng)絡(luò)安全事件12起，其中典型的事件有德國(guó)制造業(yè)巨頭機(jī)密項(xiàng)目數(shù)據(jù)遭非法兜售、泰國(guó)國(guó)家級(jí)水利設(shè)施遭黑客兜售后臺(tái)權(quán)限。

風(fēng)險(xiǎn)預(yù)警方面，六個(gè)關(guān)鍵基礎(chǔ)設(shè)施部門未能達(dá)到NIS2合規(guī)性;TXOne Networks調(diào)查報(bào)告顯示OT系統(tǒng)補(bǔ)丁管理存在困境。

政策法規(guī)

01、美國(guó)眾議院通過(guò)《聯(lián)邦承包商網(wǎng)絡(luò)安全漏洞削減法案》立法

2025年3月3日，美國(guó)眾議院通過(guò)《聯(lián)邦承包商網(wǎng)絡(luò)安全漏洞削減法案》，要求聯(lián)邦承包商實(shí)施符合NIST標(biāo)準(zhǔn)的漏洞披露政策(VDP)，以防范惡意攻擊者利用其系統(tǒng)漏洞。法案提出者指出，聯(lián)邦每年簽訂超1100萬(wàn)份合同，承包商接觸大量敏感數(shù)據(jù)(包括公民個(gè)人信息)，強(qiáng)制遵循NIST規(guī)范將增強(qiáng)國(guó)家安全。法案獲微軟、Tenable等科技公司及眾議院監(jiān)督委員會(huì)支持，后續(xù)需參議院表決通過(guò)。

資料來(lái)源：https://www.cisa.gov/news-events/ics-advisories/icsa-25-058-01

02、日本內(nèi)閣通過(guò)《人工智能相關(guān)技術(shù)的研發(fā)及應(yīng)用促進(jìn)法》

2025年2月28日，日本內(nèi)閣通過(guò)《人工智能相關(guān)技術(shù)的研發(fā)及應(yīng)用促進(jìn)法》草案。該法案旨在推動(dòng)人工智能技術(shù)的研發(fā)和應(yīng)用，確保技術(shù)正當(dāng)性和透明性，提升國(guó)際競(jìng)爭(zhēng)力。法案未設(shè)懲罰性條款，而是通過(guò)公布侵權(quán)企業(yè)名單等方式增強(qiáng)威懾力。法案還明確了國(guó)家、地方政府、研究機(jī)構(gòu)、企業(yè)和國(guó)民的職責(zé)分工，提出研發(fā)、人才培養(yǎng)、普及教育及國(guó)際合作等多項(xiàng)基本施策。此外，法案計(jì)劃在內(nèi)閣設(shè)立人工智能戰(zhàn)略本部，負(fù)責(zé)綜合管理相關(guān)技術(shù)研發(fā)及應(yīng)用推進(jìn)措施。

資料來(lái)源：https://www.cao.go.jp/houan/pdf/217/217anbun_2.pdf

漏洞預(yù)警

03、日立能源Relion系列設(shè)備權(quán)限漏洞預(yù)警

2025年3月6日，據(jù)CISA通報(bào)，日立能源Relion 670/650/SAM600-IO系列設(shè)備存在權(quán)限不足處理漏洞(CVE-2021-35534)，CVSS v4評(píng)分8.6，攻擊復(fù)雜度低，可遠(yuǎn)程利用。攻擊者可通過(guò)用戶憑證或會(huì)話票據(jù)訪問(wèn)ODBC協(xié)議(TCP 2102)，操控?cái)?shù)據(jù)庫(kù)表，繞過(guò)安全控制，修改或禁用設(shè)備。受影響版本包括Relion 670/650系列2.2.0至2.2.4版(部分除外)，2.2.5版及以下，以及SAM600-IO系列2.2.1版。日立能源建議用戶升級(jí)至安全版本，并采取防火墻隔離、限制ODBC協(xié)議使用等措施。

資料來(lái)源：https://www.cisa.gov/news-events/ics-advisories/icsa-25-065-02

04、Keysight Ixia Vision產(chǎn)品系列漏洞警報(bào)

2025年3月4日，據(jù)CISA通報(bào)，Keysight Ixia Vision產(chǎn)品系列存在多個(gè)漏洞，包括路徑遍歷(CVE-2025-24494、CVE-2025-21095、CVE-2025-23416)和XML外部實(shí)體引用不當(dāng)(CVE-2025-24521)，CVSS v4評(píng)分最高達(dá)8.6。攻擊者可利用這些漏洞遠(yuǎn)程執(zhí)行代碼、下載或刪除文件，導(dǎo)致設(shè)備崩潰。受影響版本為6.3.1，修復(fù)版本為6.7.0和6.8.0。Keysight建議用戶盡快升級(jí)至最新版本，并采取網(wǎng)絡(luò)隔離、防火墻保護(hù)等措施。CISA提醒用戶實(shí)施網(wǎng)絡(luò)安全策略，避免社會(huì)工程攻擊。

資料來(lái)源：https://www.cisa.gov/news-events/ics-advisories/icsa-25-063-02

05、臺(tái)達(dá)電子CNCSoft-G2緩沖區(qū)溢出漏洞警報(bào)

2025年3月4日，據(jù)CISA通報(bào)，臺(tái)達(dá)電子CNCSoft-G2(人機(jī)界面)版本V2.1.0.10及更早版本存在基于堆的緩沖區(qū)溢出漏洞(CVE-2025-22881)，CVSS v4評(píng)分8.5，攻擊復(fù)雜度低。攻擊者可通過(guò)誘導(dǎo)用戶訪問(wèn)惡意頁(yè)面或文件，遠(yuǎn)程執(zhí)行代碼。臺(tái)達(dá)建議用戶更新至v2.1.0.20或更高版本，并采取網(wǎng)絡(luò)安全措施，如避免點(diǎn)擊可疑鏈接、隔離控制系統(tǒng)、使用VPN等。CISA提醒用戶采取防御措施，目前尚未發(fā)現(xiàn)針對(duì)該漏洞的公開(kāi)利用。

資料來(lái)源：https://www.cisa.gov/news-events/ics-advisories/icsa-25-063-06

安全事件

06、德國(guó)制造業(yè)巨頭機(jī)密項(xiàng)目數(shù)據(jù)遭非法兜售

2025年2月28日，黑客論壇用戶Rey聲稱出售某德國(guó)頂級(jí)工業(yè)集團(tuán)(年?duì)I收超900億美元)內(nèi)部項(xiàng)目管理系統(tǒng)的訪問(wèn)權(quán)限，權(quán)限可獲取生產(chǎn)排期、研發(fā)文檔及供應(yīng)鏈細(xì)節(jié)等核心商業(yè)機(jī)密。賣家未公開(kāi)企業(yè)名稱，但暗示其為“歐洲工業(yè)自動(dòng)化領(lǐng)導(dǎo)者”。交易支持議價(jià)，權(quán)限或致技術(shù)泄露與競(jìng)爭(zhēng)失衡。事件暴露工業(yè)領(lǐng)域關(guān)鍵數(shù)據(jù)防護(hù)漏洞。

資料來(lái)源：http://rn1.9dw1.sbs/i9bMIA6

07、泰國(guó)國(guó)家級(jí)水利設(shè)施遭黑客兜售后臺(tái)權(quán)限

2025年2月28日，黑客論壇用戶sentap公開(kāi)出售泰國(guó)水利部SCADA系統(tǒng)的超級(jí)管理員權(quán)限(售價(jià)15,000美元)，該系統(tǒng)負(fù)責(zé)全國(guó)水文監(jiān)測(cè)及災(zāi)害預(yù)警。泄露權(quán)限可篡改實(shí)時(shí)數(shù)據(jù)、硬件控制等，恐引發(fā)洪旱災(zāi)害誤判，威脅公共安全。

資料來(lái)源：http://db1.dz911.top/havjpx3

08、法國(guó)電力公司核電站維護(hù)數(shù)據(jù)遭公開(kāi)泄露

2025年2月28日，用戶Arkeliaad免費(fèi)公開(kāi)法電(EDF)DPIH部門數(shù)據(jù)庫(kù)，含核/水電站維護(hù)日志、訪問(wèn)憑證等敏感信息。泄露數(shù)據(jù)或暴露設(shè)施安全漏洞，增加恐怖襲擊風(fēng)險(xiǎn)。

資料來(lái)源：https://x.com/zataz/status/1895825693742596412

09、塞爾維亞首都基建數(shù)據(jù)遭黑客組織大規(guī)模竊取

2025年2月28日，黑客組織“敢死隊(duì)”(EL_FEDAYEEN)宣稱入侵貝爾格萊德市政系統(tǒng)，竊取4萬(wàn)份敏感文件，含基礎(chǔ)設(shè)施藍(lán)圖及政府機(jī)密數(shù)據(jù)。其宣稱此舉為針對(duì)“親猶政權(quán)”網(wǎng)絡(luò)戰(zhàn)的一部分，并通過(guò)Telegram發(fā)布165MB樣本數(shù)據(jù)。

資料來(lái)源：http://pa1.9dw1.sbs/jPL9Mre

10、波蘭航天局遭遇網(wǎng)絡(luò)攻擊

2025年3月3日，波蘭航天局(POLSA)因檢測(cè)到網(wǎng)絡(luò)攻擊，緊急切斷網(wǎng)絡(luò)連接以保護(hù)數(shù)據(jù)安全。波蘭數(shù)字事務(wù)部長(zhǎng)稱，黑客通過(guò)未授權(quán)訪問(wèn)入侵其IT系統(tǒng)，推測(cè)可能為勒索軟件或與俄烏沖突相關(guān)的國(guó)家級(jí)攻擊(波蘭長(zhǎng)期支持烏克蘭)。事件導(dǎo)致POLSA官網(wǎng)及內(nèi)部郵件系統(tǒng)癱瘓，社交媒體自周日未更新。國(guó)家網(wǎng)絡(luò)安全機(jī)構(gòu)及軍方團(tuán)隊(duì)已介入恢復(fù)系統(tǒng)并溯源，承諾后續(xù)公布進(jìn)展。目前尚無(wú)數(shù)據(jù)泄露證據(jù)，調(diào)查持續(xù)進(jìn)行中。

資料來(lái)源：https://x.com/POLSA_GOV_PL/status/1896247268069765211

11、印度塔塔科技遭勒索組織威脅泄露1.4TB數(shù)據(jù)

2025年3月5日，印度塔塔科技公司(塔塔汽車子公司)于2025年1月31日遭勒索組織Hunters International攻擊，致部分IT服務(wù)暫停后再遭該組織攻擊，Hunters International聲稱竊取1.4TB數(shù)據(jù)(約73萬(wàn)份文件)，威脅六天內(nèi)公開(kāi)。目前，公司正調(diào)查數(shù)據(jù)是否被盜，安全專家已介入。

資料來(lái)源：https://www.securityweek.com/ransomware-group-claims-attack-on-tata-technologies/

風(fēng)險(xiǎn)預(yù)警

12、六個(gè)關(guān)鍵基礎(chǔ)設(shè)施部門未能達(dá)到NIS2合規(guī)性

2025年3月6日，據(jù)Enisa的NIS360報(bào)告指出，IT服務(wù)管理、太空領(lǐng)域、公共管理部門、海事、健康和天然氣行業(yè)六個(gè)關(guān)鍵基礎(chǔ)設(shè)施部門未能達(dá)到NIS2合規(guī)性面臨諸多風(fēng)險(xiǎn)，如網(wǎng)絡(luò)安全知識(shí)不足、依賴商用組件、遺留系統(tǒng)和OT相關(guān)挑戰(zhàn)。此外，數(shù)字基礎(chǔ)設(shè)施行業(yè)成熟度較低。Enisa正與成員國(guó)合作提供指導(dǎo)，推動(dòng)合規(guī)。報(bào)告還指出，電力、電信和銀行業(yè)相對(duì)成熟，但I(xiàn)T和OT安全技能短缺仍是合規(guī)阻礙。

資料來(lái)源：https://www.enisa.europa.eu/news/enisa-nis360-2024-report

13、思科Talos揭露了針對(duì)政府、電信和媒體的Lotus Blossom網(wǎng)絡(luò)間諜活動(dòng)

2025年3月6日，思科Talos揭露了Lotus Blossom組織的網(wǎng)絡(luò)間諜活動(dòng)，該組織自2012年起活躍，針對(duì)政府、制造、電信和媒體部門。利用Sagerunex等后門工具進(jìn)行攻擊，通過(guò)第三方云服務(wù)如Dropbox和Twitter進(jìn)行C2通信，影響菲律賓、越南、香港和臺(tái)灣等地區(qū)。

資料來(lái)源：http://bh1.dz911.top/8AhU34Q

14、TXOne Networks調(diào)查報(bào)告：OT系統(tǒng)補(bǔ)丁管理困境凸顯網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

2025年3月5日，網(wǎng)絡(luò)物理安全公司TXOne Networks發(fā)布《2024年度OT/ICS網(wǎng)絡(luò)安全報(bào)告》顯示，85%的受訪企業(yè)(覆蓋北美、歐洲、中東及亞洲150家機(jī)構(gòu))因擔(dān)憂設(shè)備停機(jī)(47%)及缺乏人員(48%)、供應(yīng)商支持(43%)，未定期修補(bǔ)運(yùn)營(yíng)技術(shù)(OT)系統(tǒng)，致長(zhǎng)期暴露于攻擊風(fēng)險(xiǎn)。37%的OT安全事件涉及漏洞利用，近六成組織選擇在計(jì)劃停機(jī)時(shí)修補(bǔ)，55%通過(guò)受控環(huán)境測(cè)試補(bǔ)丁。

資料來(lái)源：https://www.txone.com/security-reports/ot-ics-cybersecurity-2024/