工業網絡安全周報（2025年第4期）

本期摘要

政策法規方面，本周觀察到國外網絡安全相關政策法規10項，值得關注的有國家發改革委等部門印發《關于完善數據流通安全治理 更好促進數據要素市場化價值化的實施方案》的通知。

漏洞態勢方面，本周監測到漏洞動態17條，值得關注的有施耐德電氣Easergy Studio被曝存在權限管理漏洞。

安全事件方面，本周監測到重大網絡安全事件18起，其中典型的事件有威脅行為者聲稱泄露了菲律賓武裝部隊的數據、政府供應商Conduent遭網絡攻擊致多州政府服務中斷。

風險預警方面，DeNexus對北美、歐洲和澳大利亞的254個工業站點進行分析后發現，92%的站點因遠程服務存在重大網絡風險，潛在損失高達150萬美元。

安全技術方面，Xona Systems發布了新的Xona平臺，旨在為關鍵基礎設施和運營技術(OT)環境提供安全訪問管理解決方案。

01.《網絡安全標準實踐指南——人工智能生成合成內容標識 服務提供者編碼規則》公開征求意見

1月22日，據媒體報道，全國網絡安全標準化技術委員會秘書處組織編制了《網絡安全標準實踐指南——人工智能生成合成內容標識 服務提供者編碼規則(征求意見稿)》。該指南旨在為生成合成服務提供者和內容傳播服務提供者提供編碼規則，規范人工智能生成合成內容的文件元數據隱式標識工作。目前，該文件面向社會公開征求意見，意見反饋截止日期為2025年2月5日。

資料來源：https://www.secrss.com/articles/75051

02.美國國土安全部批準TSA安全指令以增強鐵路網絡安全

1月22日，美國國土安全部(DHS)宣布，運輸安全監督委員會(TSOB)已批準針對關鍵鐵路實體的安全指令，以應對網絡威脅。這些指令包括對2023年和2024年批準的指令的延長和修訂，旨在增強鐵路系統的網絡安全性和威脅響應能力。

資料來源：http://u9aym.dz114.sbs/1NyNszj

03.施耐德電氣Easergy Studio被曝存在權限管理漏洞(CVE-2024-9002)

1月23日，據CISA通報，施耐德電氣Easergy Studio軟件存在權限管理漏洞(CVE-2024-9002)，CVSS評分7.8，攻擊復雜度低。受影響版本為9.3.1及更早版本。攻擊者可通過篡改二進制文件提升權限，未經授權訪問安裝目錄，威脅系統機密性、完整性和可用性。該漏洞影響全球部署的商業、能源、醫療等關鍵基礎設施行業。研究人員Charit Misra(Applied Risk B.V.)已報告此漏洞。建議用戶升級至9.3.4及以上版本以緩解風險。

資料來源：https://www.cisa.gov/news-events/ics-advisories/icsa-25-023-04

04.日立能源RTU500系列固件安全漏洞(CVE-2024-2617)風險通告

1月23日，據CISA通報，日立能源RTU500系列產品存在安全檢查實施不當漏洞(CVE-2024-2617)，CVSS v3評分為7.2，可遠程利用且攻擊復雜度低。受影響固件版本包括13.5.1至13.5.3、13.4.1至13.4.4和13.2.1至13.2.7。攻擊者可繞過安全更新，使用未簽名固件更新設備。該漏洞影響全球能源行業的關鍵基礎設施。日立能源已通過負責任的披露收到相關信息并采取緩解措施。

資料來源：http://rw5on.dz115.sbs/Oa4MLrk

05.施耐德電氣EVlink Home Smart和Schneider Charge固件漏洞(CVE-2024-8070)風險通告

1月23日，據CISA通報，施耐德電氣EVlink Home Smart和Schneider Charge充電站存在敏感信息明文存儲漏洞(CVE-2024-8070)，CVSS v3評分為8.5，攻擊復雜度低。受影響版本包括EVlink Home Smart 2.0.6.0.0之前版本和Schneider Charge 1.13.4之前版本。漏洞會導致固件二進制文件中的測試憑據暴露，影響運輸系統行業的關鍵基礎設施。漏洞由Simon Petitjean報告，施耐德電氣已發布修復版本2.0.6.0.0，建議用戶盡快更新以降低風險。

資料來源：https://www.cisa.gov/news-events/ics-advisories/icsa-25-023-03

06.mySCADA myPRO管理器遠程代碼執行漏洞(CVE-2025-20061)

1月23日，據CISA通報，mySCADA myPRO管理器存在操作系統命令注入漏洞(CVE-2025-20061)，CVSS v3.1基本分數為9.8，CVSS v4基本分數為9.3，攻擊復雜度低且可遠程利用。受影響產品包括myPRO Manager 1.3之前的版本和myPRO Runtime 9.2.1之前的版本。攻擊者可通過向特定端口發送POST請求注入惡意命令，導致任意命令執行或敏感信息泄露。

資料來源：https://www.cisa.gov/news-events/ics-advisories/icsa-25-023-01

07.CISA披露飛機防撞系統、西門子工業設備中的安全漏洞

1月22日，CISA發布了三份公告，詳細說明了飛機防撞系統、西門子工業設備中的安全漏洞。其中，交通警報和防撞系統(TCAS)II 7.1及更早版本存在漏洞(CVE-2024-9310和CVE-2024-11166)，可能被攻擊者利用操縱安全系統或導致拒絕服務。西門子的SIMATIC S7-1200 CPU設備存在跨站請求偽造(CSRF)漏洞(CVE-2024-47100)，攻擊者可通過誘騙用戶點擊惡意鏈接更改CPU模式。此外，ZF的RSSPlus設備存在身份驗證繞過漏洞(CVE-2024-12054)，攻擊者可遠程調用診斷功能，影響系統可用性。CISA建議相關用戶盡快采取措施進行修復和緩解。

資料來源：http://niwbm.dz114.sbs/kT1eJzr

08.Claroty Team82發現Hunting Planet WGS-804HPT 工業交換機的三個漏洞

Claroty Team82研究部門發現Hunting Planet WGS-804HPT工業交換機存在三個漏洞，攻擊者可利用這些漏洞實現遠程代碼執行。這些漏洞包括緩沖區溢出、整數溢出和操作系統命令注入缺陷。受影響設備廣泛應用于樓宇和家庭自動化網絡，連接物聯網設備和IP監控攝像頭。研究人員通過QEMU 仿真平臺對設備固件進行分析，開發了利用這些漏洞的PoC，成功實現了遠程代碼執行。Planet Technology已發布固件版本1.305b241111，建議用戶盡快升級以修復這些漏洞。

資料來源：http://bpfxn.dz114.sbs/uATpsM1

09.威脅行為者聲稱泄露了菲律賓武裝部隊的數據

1月23日，據暗網論壇報道，菲律賓武裝部隊(AFP)被曝數據泄露。威脅者ikaruzrt聲稱對此次事件負責，泄露信息包括用戶名、密碼、日志ID等，涉及380臺設備、863名客戶和47名員工。泄露數據可能關聯軍事系統，引發安全擔憂。對AFP而言，未經授權的訪問可能危及國家安全，削弱公眾對其網絡安全的信心。菲律賓也面臨被惡意利用的風險，影響國際關系。建議AFP調查事件、加強網絡安全，菲律賓政府需協調盟友、強化國家網絡安全政策。

資料來源：http://6zhxn.dz115.sbs/4UZtYko

10.Conduent遭網絡攻擊致多州政府服務中斷

1月22日，據媒體報道，政府技術承包商Conduent近日因網絡攻擊導致其操作系統中斷，影響了多個州的政府服務。Conduent發言人表示，此次中斷是由于“第三方入侵”造成的，雖然入侵已被控制，但恢復過程導致部分運營中斷數天。受影響的服務包括威斯康星州的兒童撫養費支付和食品援助計劃，導致居民無法按時收到款項。Conduent為美國多個州提供技術解決方案，支持Medicaid、兒童撫養和食品援助等關鍵項目。此次事件未透露是否涉及勒索軟件或數據被盜。

資料來源：https://therecord.media/government-contractor-conduent-outage-compromise

11.GamaCopy模仿Gamaredon攻擊俄羅斯

1月20日，根據中國網絡安全公司Knownsec的報告，一個名為GamaCopy的黑客組織正在模仿與克里姆林宮相關的Gamaredon組織的攻擊策略，針對俄語用戶發起網絡攻擊。GamaCopy使用偽裝成俄羅斯武裝部隊在烏克蘭設施位置的報告的網絡釣魚文件，并部署開源軟件UltraVNC進行遠程訪問。盡管其攻擊方式與Gamaredon相似，但GamaCopy主要使用俄語誘餌，且攻擊鏈有所不同。研究人員推測，GamaCopy可能與另一個國家支持的黑客組織Core Werewolf有關。

資料來源：https://therecord.media/hacker-imitates-gamaredon-to-target-russia

12.Handala入侵Zuk集團，揭露摩薩德秘密洗錢和間諜網絡

1月20日，國際黑客組織Handala宣布成功入侵Zuk集團公司，揭露其實際上是為以色列摩薩德(Mossad)服務的洗錢和間諜活動前線。Handala聲稱已獲取超過3TB的機密數據，并摧毀了Zuk集團上千名員工的系統，導致其在羅馬尼亞、哈薩克斯坦、格魯吉亞和佛羅里達的摩薩德辦公室關閉。此次事件揭示了Zuk集團通過合法業務掩蓋摩薩德的資金流動和間諜活動，其創始人Moshe Zuk也被曝光為摩薩德高級官員。Handala的行動進一步削弱了摩薩德的全球運營能力，同時也暴露了跨國公司與情報機構之間復雜且危險的關系。

資料來源：http://dpuyn.dz115.sbs/4UZtYko

13.DeNexus研究顯示工業站點遠程服務面臨重大網絡風險

1月21日，據媒體報道，DeNexus對北美、歐洲和澳大利亞的254個工業站點進行分析后發現，92%的站點因遠程服務存在重大網絡風險，潛在損失高達150萬美元。研究顯示，88%的站點將遠程服務視為最大網絡安全風險，制造業風險最高，平均預期損失達87.5萬美元。DeNexus建議采取頻繁漏洞掃描、多因素身份驗證和網絡分段等措施緩解風險。

資料來源：http://y8lln.dz115.sbs/dKkEtiY

14.Specops2025年報告：惡意軟件竊取超10億密碼，揭示用戶安全風險

1月21日，據媒體報道，Specops Software 2025年泄露密碼報告顯示，過去一年中惡意軟件竊取了超過10億個密碼，揭示了用戶在密碼管理上的薄弱環節。盡管許多密碼滿足復雜性要求，但仍有大量弱密碼被泄露，如“123456”和“admin”。Redline、Vidar和Raccoon Stealer成為主要的憑據竊取惡意軟件，攻擊范圍涵蓋瀏覽器、郵件客戶端甚至VPN。報告指出，用戶在多個賬戶中重復使用密碼的做法增加了泄露風險，而被盜憑據可能被用于進一步攻擊。安全專家建議實施更強密碼策略、定期掃描泄露密碼，并啟用多重身份驗證(MFA)以增強安全性。

資料來源：https://specopssoft.com/our-resources/most-common-passwords/

15.Xona Systems推出新平臺，重新定義關鍵基礎設施安全訪問管理

1月21日，Xona Systems發布了新的Xona平臺，旨在為關鍵基礎設施和運營技術(OT)環境提供安全訪問管理解決方案。該平臺通過基于身份的訪問管理、斷開不安全端點連接、零占用空間設計和實時審計功能，簡化了用戶訪問管理，同時顯著降低關鍵系統的攻擊面。Xona平臺支持多種行業標準(如IEC 62443和NERC CIP)，并可快速部署(20分鐘內)，無需復雜配置。全球領先企業如GE和Baker Hughes已采用該平臺以保護其關鍵基礎設施。

資料來源：http://xvdjm.dz114.sbs/9fArPJa