工業(yè)網(wǎng)絡(luò)安全周報(bào)(2025年第3期)
本期摘要
政策法規(guī)方面����,本周觀察到國外網(wǎng)絡(luò)安全相關(guān)政策法規(guī)13項(xiàng)��,值得關(guān)注的有國家發(fā)改革委等部門印發(fā)《關(guān)于完善數(shù)據(jù)流通安全治理
更好促進(jìn)數(shù)據(jù)要素市場化價(jià)值化的實(shí)施方案》的通知�。
漏洞態(tài)勢方面,本周監(jiān)測到漏洞動態(tài)15條��,值得關(guān)注的有Ivanti多款產(chǎn)品存在緩沖區(qū)溢出漏洞(CVE-2025-0282)���。
安全事件方面���,本周監(jiān)測到重大網(wǎng)絡(luò)安全事件14起��,其中典型的事件有惠普企業(yè)遭遇重大數(shù)據(jù)泄露、疑似烏克蘭黑客組織攻擊俄羅斯工業(yè)企業(yè)���。
風(fēng)險(xiǎn)預(yù)警方面,Pumakit Linux Rootkit威脅關(guān)鍵基礎(chǔ)設(shè)施�、數(shù)百萬VPN服務(wù)器和路由器暴露于新的隧道協(xié)議漏洞�。
安全技術(shù)方面,Stratejm集成了Nozomi Vantage以增強(qiáng)云安全性���。
01�����、國家發(fā)改革委等部門印發(fā)《關(guān)于完善數(shù)據(jù)流通安全治理 更好促進(jìn)數(shù)據(jù)要素市場化價(jià)值化的實(shí)施方案》的通知
1月15日���,據(jù)媒體報(bào)道�,國家發(fā)展改革委等部門印發(fā)《關(guān)于完善數(shù)據(jù)流通安全治理
更好促進(jìn)數(shù)據(jù)要素市場化價(jià)值化的實(shí)施方案》的通知��,旨在建立健全數(shù)據(jù)流通安全治理機(jī)制����,提升數(shù)據(jù)安全治理能力,促進(jìn)數(shù)據(jù)要素合規(guī)高效流通利用����,釋放數(shù)據(jù)價(jià)值�。方案提出到2027年底�,基本構(gòu)建規(guī)則明晰、產(chǎn)業(yè)繁榮、多方協(xié)同的數(shù)據(jù)流通安全治理體系。主要任務(wù)包括明晰企業(yè)數(shù)據(jù)流通安全規(guī)則、加強(qiáng)公共數(shù)據(jù)流通安全管理����、強(qiáng)化個人數(shù)據(jù)流通保障等七方面,以推動數(shù)據(jù)高質(zhì)量發(fā)展和高水平安全良性互動����。
資料來源:https://www.secrss.com/articles/74717
02���、四部門發(fā)布《涉及國家安全事項(xiàng)的建設(shè)項(xiàng)目許可管理規(guī)定》
1月15日�,國家安全部部長陳一新簽署第5號部令,公布《涉及國家安全事項(xiàng)的建設(shè)項(xiàng)目許可管理規(guī)定》���,自2025年3月1日起施行����。該規(guī)定由國家安全部等四部門聯(lián)合制定����,是落實(shí)黨的二十大和二十屆三中全會精神的重要舉措�����,也是細(xì)化完善《反間諜法》配套制度的重要成果���。規(guī)定共6章38條�,嚴(yán)格細(xì)化建審許可工作程序,注重與建設(shè)項(xiàng)目領(lǐng)域法律法規(guī)對接。國家安全機(jī)關(guān)將依法依規(guī)開展工作��,加強(qiáng)協(xié)作�,保護(hù)公民和組織合法權(quán)益�����。
資料來源:https://www.secrss.com/articles/74682
03、美國總統(tǒng)拜登簽署《關(guān)于加強(qiáng)和促進(jìn)國家網(wǎng)絡(luò)安全的行政命令》
1月16日����,美國總統(tǒng)拜登簽署《關(guān)于加強(qiáng)和促進(jìn)國家網(wǎng)絡(luò)安全的行政命令》��,旨在應(yīng)對網(wǎng)絡(luò)威脅,特別是東方大國的攻擊�。命令提出多項(xiàng)措施,包括加強(qiáng)軟件供應(yīng)鏈安全���、提升聯(lián)邦系統(tǒng)網(wǎng)絡(luò)安全、保障聯(lián)邦通信安全���、推動量子計(jì)算與后量子密碼學(xué)發(fā)展���、打擊網(wǎng)絡(luò)犯罪與身份欺詐��、應(yīng)用人工智能于網(wǎng)絡(luò)安全、保護(hù)國家安全系統(tǒng)等���,為聯(lián)邦政府網(wǎng)絡(luò)安全設(shè)定了明確目標(biāo)和框架����。
資料來源:http://9t5vm.dz115.sbs/4w71wif
04�����、美國海岸警衛(wèi)隊(duì)發(fā)布關(guān)于海事安全和網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的最終規(guī)則
1月16日��,據(jù)媒體報(bào)道�,美國海岸警衛(wèi)隊(duì)將于本周發(fā)布涵蓋海上安全法規(guī)的最終規(guī)則����,為懸掛美國國旗的船只、外大陸架設(shè)施和受2002年《海上運(yùn)輸安全法》法規(guī)約束的設(shè)施制定最低網(wǎng)絡(luò)安全要求。該規(guī)則旨在通過增加最低網(wǎng)絡(luò)安全要求來幫助檢測風(fēng)險(xiǎn)并響應(yīng)網(wǎng)絡(luò)安全事件并從中恢復(fù),從而解決海上運(yùn)輸系統(tǒng)中當(dāng)前和新出現(xiàn)的網(wǎng)絡(luò)安全威脅。最終規(guī)則包括制定和維護(hù)網(wǎng)絡(luò)安全計(jì)劃���、任命網(wǎng)絡(luò)安全官以及實(shí)施各種策略以確保維護(hù)網(wǎng)絡(luò)安全的任務(wù)�����。此外,海岸警衛(wèi)隊(duì)正在就可能延長懸掛美國國旗的船只的實(shí)施時間表征求反饋意見���。
資料來源:http://d6fjn.dz115.sbs/GKzgquM
05、美國NIST就反映CSF 2.0增強(qiáng)功能的勒索軟件社區(qū)概況草案征求意見
1月16日����,據(jù)媒體報(bào)道���,美國國家科學(xué)技術(shù)研究所(NIST)通過其國家網(wǎng)絡(luò)安全卓越中心(NCCoE)部門發(fā)布了勒索軟件社區(qū)概況草案��,反映了從CSF
1.1到CSF
2.0的更改�,旨在管理��、檢測�����、響應(yīng)勒索軟件事件并從中恢復(fù)�。NIST正在征求對風(fēng)險(xiǎn)管理框架修訂草案的反饋�,以指導(dǎo)未來的勒索軟件預(yù)防指南�����。該草案適用于任何可能受勒索軟件攻擊的組織����,無論其行業(yè)或規(guī)模如何���。
資料來源:http://oarim.dz115.sbs/gjSXPRQ
06��、Ivanti多款產(chǎn)品存在緩沖區(qū)溢出漏洞(CVE-2025-0282)
1月17日���,據(jù)媒體報(bào)道����,研究人員在Ivanti Connect Secure、Policy Secure和Neurons for
ZTA網(wǎng)關(guān)存在關(guān)鍵遠(yuǎn)程代碼執(zhí)行漏洞CVE-2025-0282,CVSS評分9.0�����,影響22.7R2.5前的Connect
Secure版本�����、22.7R1.2前的Policy
Secure版本及22.7R2.3前的ZTA網(wǎng)關(guān)的Neurons��。未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可利用該漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行,且已有在野利用。MITRE
ATT&CK技術(shù)顯示���,攻擊者可借此實(shí)現(xiàn)初始訪問、執(zhí)行任意代碼及權(quán)限提升�����。Ivanti已發(fā)布安全更新��,建議用戶立即升級�����。
資料來源:http://kju6n.dz114.sbs/Ht2XHyn
07、SimpleHelp遠(yuǎn)程訪問軟件中被曝存在多個嚴(yán)重漏洞
1月15日���,據(jù)媒體報(bào)道,網(wǎng)絡(luò)安全研究人員在SimpleHelp遠(yuǎn)程訪問軟件中發(fā)現(xiàn)多個安全漏洞����,包括路徑遍歷(CVE-2024-57727)����、任意文件上傳(CVE-2024-57728)和權(quán)限提升(CVE-2024-57726)漏洞���。這些漏洞可導(dǎo)致信息泄露�����、權(quán)限提升和遠(yuǎn)程代碼執(zhí)行��。攻擊者可利用這些漏洞下載任意文件��、上傳惡意文件并提升權(quán)限�。這些漏洞已在SimpleHelp
5.3.9�����、5.4.10和5.5.8版本中修復(fù)�。用戶需迅速應(yīng)用補(bǔ)丁��,并更改管理員密碼���,輪換技術(shù)員賬戶密碼�,限制登錄IP地址。
資料來源:http://cwpbm.dz115.sbs/fwr64rA
08����、惠普企業(yè)遭遇重大數(shù)據(jù)泄露
1月16日���,據(jù)暗網(wǎng)論壇報(bào)道����,惠普企業(yè)(HPE)遭遇重大數(shù)據(jù)泄露�����,攻擊者IntelBroker���、zjj和EnergyWeaponUser聲稱負(fù)責(zé)����。泄露數(shù)據(jù)包括私有GitHub存儲庫���、Docker構(gòu)建���、SAP
Hybris文檔���、證書、產(chǎn)品源代碼�、API訪問憑據(jù)��、WePay集成、自托管GitHub存儲庫及用戶個人身份信息(PII)����。攻擊者在暗網(wǎng)論壇BreachForums公開部分?jǐn)?shù)據(jù)并提供證據(jù)�。此次事件可能嚴(yán)重影響HPE的運(yùn)營和聲譽(yù)��,導(dǎo)致知識產(chǎn)權(quán)盜竊�����、客戶信任受損、運(yùn)營中斷風(fēng)險(xiǎn)及潛在后續(xù)攻擊。
資料來源:http://mcsnn.dz114.sbs/zcI1ltw
09、疑似烏克蘭黑客組織攻擊俄羅斯工業(yè)企業(yè)
1月16日���,據(jù)媒體報(bào)道,疑似與烏克蘭有關(guān)的黑客組織Sticky
Werewolf正在對俄羅斯科學(xué)和工業(yè)企業(yè)進(jìn)行網(wǎng)絡(luò)間諜活動。該組織通過偽裝成俄羅斯工業(yè)和貿(mào)易部的欺詐電子郵件,向當(dāng)?shù)貒拦I(yè)公司發(fā)送帶有惡意檔案的郵件���,一旦打開,就會傳遞名為Ozone的遠(yuǎn)程訪問惡意軟件。Sticky
Werewolf主要針對俄羅斯�、波蘭和白俄羅斯的政府機(jī)構(gòu)�����、研究機(jī)構(gòu)和工業(yè)企業(yè)���,其工具包包括Darktrack和Ozone遠(yuǎn)程訪問木馬,以及Glory
Stealer和MetaStealer惡意軟件。該組織是攻擊俄羅斯最活躍的民族國家威脅行為者之一,盡管基輔從未公開承認(rèn)與其有聯(lián)系�。目前尚不清楚Sticky
Werewolf的最新活動有多成功����,但F.A.C.C.T.表示攻擊始于“新年假期之后”。
資料來源:https://therecord.media/suspected-ukraine-hackers-russian-phishing
10�����、15,000臺Fortinet防火墻數(shù)據(jù)被黑客泄露
1月15日�,名為“Belsen Group”的威脅行為者公開了超過15,000臺Fortinet
FortiGate防火墻的配置文件和VPN憑據(jù)����。泄露的數(shù)據(jù)包括IP地址、用戶名、密碼(部分為明文)��、設(shè)備管理證書和完整的防火墻規(guī)則。這些數(shù)據(jù)據(jù)信是通過2022年的一個零日漏洞(CVE-2022-40684)獲取的,該漏洞影響Fortinet的FortiOS����、FortiProxy和FortiSwitchManager產(chǎn)品�。安全研究員Kevin
Beaumont確認(rèn)了數(shù)據(jù)的真實(shí)性�����,并指出即使組織在2022年應(yīng)用了補(bǔ)丁�,其配置文件和憑據(jù)可能早在幾年前就被竊取���,因此仍面臨風(fēng)險(xiǎn)����。受影響的設(shè)備主要位于墨西哥����、美國和德國。
資料來源:https://cybersecuritynews.com/fortigate-firewall-configs-leaked/
11���、美國西黑文市遭網(wǎng)絡(luò)攻擊,麒麟勒索軟件組織聲稱負(fù)責(zé)
1月14日�����,據(jù)媒體報(bào)道�,康涅狄格州西黑文市遭網(wǎng)絡(luò)攻擊,迫使暫時關(guān)閉所有IT系統(tǒng)�。市政府正在調(diào)查��,未明確具體日期����。市長Dorinda
Borer稱,仍在評估受影響數(shù)據(jù)���。此次攻擊發(fā)生在美國多個城市報(bào)告假期網(wǎng)絡(luò)事件期間���,馬薩諸塞州伯恩鎮(zhèn)也報(bào)告IT網(wǎng)絡(luò)遭入侵��。麒麟勒索軟件組織聲稱負(fù)責(zé),該組織去年攻擊血液檢測巨頭Synnovis��,導(dǎo)致倫敦近100萬人醫(yī)療數(shù)據(jù)泄露�,1,100多例手術(shù)被推遲。
資料來源:https://therecord.media/west-haven-connecticut-city-government-cyberattack
12�����、Pumakit Linux Rootkit威脅關(guān)鍵基礎(chǔ)設(shè)施
1月17日����,據(jù)媒體報(bào)道���,Elastic Security Labs發(fā)現(xiàn)了一種名為Pumakit的隱蔽且復(fù)雜的Linux
Rootkit�,針對電信、金融和國家安全等關(guān)鍵基礎(chǔ)設(shè)施部門����。Pumakit采用復(fù)雜規(guī)避技術(shù)在內(nèi)核級別運(yùn)行��,通過多階段感染過程,包括投放器、內(nèi)存駐留可執(zhí)行文件�、內(nèi)核模塊rootkit和用戶空間rootkit等組件�����,可隱藏文件和網(wǎng)絡(luò)活動�����、篡改系統(tǒng)日志�、禁用安全工具等��,實(shí)現(xiàn)長期控制和數(shù)據(jù)盜竊���。其僅在滿足特定條件時激活��,檢測難度大。Elastic
Security Labs發(fā)布了YARA規(guī)則幫助檢測�,建議組織積極監(jiān)控入侵指標(biāo)并實(shí)施防御措施���。
資料來源:https://cybersecuritynews.com/pumakit-linux-rootkit/
13�、數(shù)百萬VPN服務(wù)器和路由器暴露于新的隧道協(xié)議漏洞
1月16日�����,研究人員Simon Migliano和Mathy
Vanhoef發(fā)布報(bào)告稱,超過400萬臺互聯(lián)網(wǎng)主機(jī),包括VPN服務(wù)器和私人家庭寬帶路由器,因隧道協(xié)議中的新漏洞(CVE-2024-7595����、CVE-2025-23018/23019和CVE-2024-7596)易被劫持��,以執(zhí)行匿名攻擊并提供對其私有網(wǎng)絡(luò)的訪問。這些漏洞影響多種隧道協(xié)議,如IPIP/IP6IP6、GRE/GRE6�����、4in6和6in4����,使主機(jī)可被濫用為單向代理���,執(zhí)行包括DNS欺騙���、傳統(tǒng)放大DoS攻擊等在內(nèi)的多種攻擊����。受影響最嚴(yán)重的國家包括中國、法國、日本、美國和巴西。專家建議使用IPsec或WireGuard等更安全的協(xié)議來提供身份驗(yàn)證和加密����,以防止此類攻擊���。
資料來源:http://pbvpn.dz114.sbs/drCTXIy
14、黑客利用Aviatrix控制器漏洞部署后門和加密礦工
1月13日����,據(jù)媒體報(bào)道�,黑客正利用Aviatrix
Controller的CVE-2024-50603漏洞部署后門和加密貨幣礦工����。該漏洞CVSS評分10分���,影響所有低于7.2.4996或7.1.4191版本的Aviatrix
Controller���,允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程代碼執(zhí)行���。Aviatrix已發(fā)布補(bǔ)丁��,建議用戶盡快升級����。
資料來源:https://thehackernews.com/2025/01/hackers-exploit-aviatrix-controller.html
15、Stratejm集成了Nozomi Vantage以增強(qiáng)云安全性
1月14日,據(jù)媒體報(bào)道�����,Nozomi Networks與加拿大托管安全服務(wù)提供商Stratejm達(dá)成合作,Stratejm成為加拿大首家集成Nozomi
Vantage云平臺的MSSP。該平臺可實(shí)現(xiàn)跨OT、IoT���、IT、邊緣和云資產(chǎn)的全面安全監(jiān)控和風(fēng)險(xiǎn)管理,通過單一管理平臺進(jìn)行統(tǒng)一�。Stratejm的安全即服務(wù)將為客戶提供Nozomi
Vantage平臺�,擴(kuò)展安全可見性����、資產(chǎn)管理和風(fēng)險(xiǎn)評估�,助力加拿大企業(yè)實(shí)現(xiàn)高級漏洞評估、威脅檢測和響應(yīng)�����。
資料來源:http://qau7m.dz115.sbs/GQqvXwR
