工業網絡安全周報（2025年第5期）

本期摘要

政策法規方面，本周觀察到國外網絡安全相關政策法規6項，值得關注的有美國重新提出“網絡PIVOTT法案”以應對網絡安全勞動力短缺。

漏洞態勢方面，本周監測到漏洞動態10條，值得關注的有施耐德電氣EcoStruxure PME存在高危反序列化漏洞。

安全事件方面，本周監測到重大網絡安全事件12起，其中典型的事件有英國工程公司IMI plc披露其系統遭到不明攻擊者的入侵、印度尼西亞地區飲用水供應商SCADA系統疑似被攻擊。

風險預警方面，據Claroty報告稱2025年OT設備面臨嚴重網絡威脅，需強化風險暴露管理。

安全技術方面，Ontinue宣布將其托管擴展檢測與響應(MXDR)服務擴展至IoT/OT環境，推出ION for IoT Security。

01、美國重新提出“網絡PIVOTT法案”以應對網絡安全勞動力短缺

2月6日，據媒體報道，美國眾議院國土安全委員會主席、田納西州共和黨眾議員Mark E. Green重新提出“網絡PIVOTT法案”，旨在解決美國網絡安全勞動力短缺問題。該法案由Green在第118屆國會首次提出，計劃通過類似預備役軍官訓練團(ROTC)的全額獎學金計劃，為社區學院和技術學校提供兩年制學位獎學金，以換取政府服務承諾。法案由網絡安全和基礎設施安全局(CISA)管理，目標是每年培訓10,000名網絡安全專業人員，填補約50萬個空缺崗位。

資料來源：http://bdein.dz115.sbs/Y1Y9daU

02、五眼聯盟發布網絡邊緣設備安全指南

2月4日，英國、澳大利亞、加拿大、新西蘭和美國的“五眼”網絡安全機構聯合發布指導文件，呼吁網絡邊緣設備制造商提高取證可視性，以幫助防御者檢測攻擊并調查違規行為。相關文件包括《網絡設備和器具生產商的數字取證與保護監測規范指南》和《邊緣設備的安全注意事項(ITSM.80.101)》。文件指出，邊緣設備因缺乏端點檢測和響應(EDR)解決方案、定期固件更新及強身份驗證，成為攻擊者的主要目標。CISA強調，外國對手常利用邊緣設備漏洞滲透關鍵基礎設施，造成巨大損失。NCSC建議制造商默認啟用強大的日志記錄和取證功能。

資料來源：http://qss6n.dz114.sbs/Cil20Aa

03、歐盟發布《人工智能法》禁止的人工智能行為指南

2月4日，歐盟委員會發布140頁指南，詳細說明被禁AI類型，但該指南目前為草案形式，需多語言翻譯。荷蘭數據保護局和德國漢堡數據保護專員也發布相關指南和新聞稿，強調AI素養和合規義務。法案將于2025年2月2日起生效，明確禁止存在“不可接受風險”的AI系統，如操縱技術、社交評分、未經授權的面部識別等。違反禁令的提供商和部署方可能面臨最高3500萬歐元或全球年營業額7%的罰款。

資料來源：http://cgakn.dz115.sbs/OBOoTlx

04、施耐德電氣EcoStruxure PME存在高危反序列化漏洞

2月6日，據CISA通報，施耐德電氣(Schneider Electric)EcoStruxure Power Monitoring Expert(PME)2022及更早版本存在不受信任數據反序列化漏洞(CVE-2024-9005)，CVSS v3評分7.1，可遠程利用。該漏洞允許攻擊者通過Web服務器遠程執行代碼，影響商業設施、關鍵制造和能源等關鍵基礎設施行業。施耐德電氣建議用戶升級到最新版本或應用熱修復，并采取網絡安全最佳實踐，如網絡分段、限制物理訪問和安全遠程訪問

資料來源：https://www.cisa.gov/news-events/ics-advisories/icsa-25-037-01

05、ABB Drive Composer漏洞(CVE-2024-48510)：路徑遍歷風險

2月6日，據CISA通報，ABB的Drive Composer(入門級和專業版)2.9.0.1及更早版本存在路徑遍歷漏洞(CVE-2024-48510)，CVSS v4評分9.3，可遠程利用。攻擊者可未經授權訪問文件系統并運行惡意代碼。ABB已在2.9.1版本中修復此漏洞，建議用戶盡快更新。

資料來源：https://www.cisa.gov/news-events/ics-advisories/icsa-25-037-03

06、羅克韋爾自動化產品漏洞(CVE-2025-24478)：遠程拒絕服務風險

2月4日，據CISA通報，羅克韋爾自動化(Rockwell Automation)的1756-L8zS3和1756-L3zS3設備存在拒絕服務漏洞(CVE-2025-24478)，CVSS v4評分7.1，攻擊復雜度低且可遠程利用。該漏洞允許遠程非特權用戶發送惡意請求，導致不可恢復的重大故障和拒絕服務。受影響版本包括V33.017、V34.014、V35.013、V36.011之前的版本。建議用戶升級到最新版本，并通過CIP Security和Hard Run限制訪問。同時，建議采取網絡安全最佳實踐，如網絡分段、防火墻隔離、限制網絡暴露和使用安全的遠程訪問方法。

資料來源：https://www.cisa.gov/news-events/ics-advisories/icsa-25-035-02

07、施耐德電氣Modicon M580 PLC、BMENOR2200H和EVLink Pro AC存在高危漏洞

2月4日，據CISA通報，施耐德電氣的Modicon M580 PLC、BMENOR2200H和EVLink Pro AC設備存在緩沖區大小計算錯誤漏洞(CVE-2024-11425)，CVSS v4評分8.7，可遠程利用導致拒絕服務。受影響產品包括Modicon M580 CPU(SV4.30之前版本)、Modicon M580 CPU安全(SV4.21之前版本)、BMENOR2200H所有版本和EVLink Pro AC(v1.3.10之前版本)。施耐德電氣已發布固件更新修復漏洞，并建議用戶采取網絡分段、防火墻隔離等緩解措施。CISA建議組織部署防御措施前進行風險評估，遵循網絡安全最佳實踐，保護工業控制系統資產。

資料來源：https://www.cisa.gov/news-events/ics-advisories/icsa-25-035-04

08、英國工程公司IMI plc披露系統遭入侵

2月6日，英國工程公司IMI plc披露，其系統遭到不明攻擊者的入侵。IMI是一家全球工程集團，專注于精密流體工程，業務遍及18個國家，擁有約10,000名員工。在檢測到未經授權的訪問后，IMI已聘請網絡安全專家進行調查，并正在采取措施履行監管義務。目前尚不清楚攻擊的具體細節，包括是否影響運營或導致數據泄露。此前，倫敦工程巨頭Smiths Group也披露了類似的系統入侵事件。

資料來源：http://kiwan.dz114.sbs/VedZlL7

09、印度尼西亞地區飲用水供應商SCADA系統疑似被攻擊

2月5日，據網絡安全監測平臺ThreatMon發布消息稱，威脅行為者聲稱已獲得印度尼西亞地區飲用水供應商Perumda Air Minum Tirta Raharja的SCADA系統的訪問權限，該公司提供清潔和安全的飲用水。威脅行為者稱，該公司以1000美元的價格出售對其控制管道的SCADA系統的訪問權限。

資料來源：https://x.com/MonThreat/status/1887121231079452753?mx=2

10、日本可再生能源公司的服務器訪問權限在暗網上泄露斷

2月6日，用戶@nastya_miyako在暗網網站BreachForums上發布了一篇題為“日本可再生能源解決方案”的帖子，以價格400美元出售對該公司防火墻托管服務器的訪問權限。強調價格不可商議且僅限認真買家。此類信息表明網絡犯罪分子正在積極利用和出售關鍵基礎設施的訪問權限，提醒相關企業和機構加強網絡安全防護，特別是對關鍵服務器和防火墻的管理，防止未經授權的訪問和數據泄露。

資料來源：https://note.com/darkpedia/n/n16a4ea35f95c

11、臺灣某商業及住宅建筑公司網絡訪問權限在暗網售賣

2月6日，據網絡安全監測平臺ThreatMon發布消息稱，一名威脅行為者聲稱正在出售一家收入為9.771億美元、擁有4981名員工的臺灣某建筑公司的的訪問權限。被入侵的是他們的ERP系統，該系統可以對用戶、文件操作和所有公司服務進行全面管理。訪問權限的價格為1000美元。

資料來源：https://x.com/MonThreat/status/1887395682287312986

12、Cyble詳細介紹了俄羅斯黑客組織Sector 16以美國石油基礎設施為目標的令人震驚的數據泄露事件

2月4日，據Cyble研究顯示，1月暗網出現新俄羅斯黑客組織“Sector 16”，并與Z-Pentest合作攻擊德克薩斯州石油設施。同時，15個勒索軟件組織活躍，其中CL0P利用Cleo MFT漏洞攻擊115個目標。此外，親伊斯蘭黑客“哈姆扎先生”與Velvet Team合作，對美政府平臺發動DDoS攻擊。Cyble強調，暗網監控和網絡安全最佳實踐(如零信任、漏洞管理、分段)是降低風險的關鍵。

資料來源：http://63fvn.dz115.sbs/Pzoyuck

13、Claroty報告：2025年OT設備面臨嚴重網絡威脅，需強化風險暴露管理

2月4日，Claroty報告指出，關鍵基礎設施中的運營技術(OT)面臨嚴重威脅。全球多地黑客攻擊頻繁，OT設備漏洞多、連接不安全，制造業等關鍵行業受影響嚴重。報告強調，OT安全需從漏洞管理轉向風險暴露管理，通過盤點高風險資產、保護遠程訪問、實施網絡控制等措施降低風險。此外，OT安全還需識別關鍵資產、采用數據驅動方法、驗證攻擊路徑并簡化管理流程，以應對不斷升級的網絡威脅。

資料來源：http://edxon.dz114.sbs/O6i2kr4

14、Ontinue推出ION for IoT Security，擴展MXDR服務至IoT/OT環境

2月4日，Ontinue宣布將其托管擴展檢測與響應(MXDR)服務擴展至IoT/OT環境，推出ION for IoT Security。隨著IoT和OT設備的廣泛集成，組織面臨更大的攻擊面和復雜網絡威脅。Ontinue的ION for IoT Security利用Microsoft Defender for IoT，提供實時資產管理、24/7威脅檢測與事件管理，并通過ION SecOps平臺和24/7網絡防御中心提供集中托管安全服務。該服務還提供按需安全專業知識，加速Defender for IoT的價值實現時間，幫助組織提升IoT/OT環境的安全成熟度。

資料來源：http://ecnfm.dz115.sbs/SD4kYPv

15、ActiveState推出漏洞管理即服務(VMaaS)

2月6日，據媒體報道，ActiveState推出漏洞管理即服務(VMaaS)，結合應用程序安全態勢管理(ASPM)和智能修復功能，幫助DevSecOps團隊自動識別、優先級排序、修復開源軟件漏洞并部署到生產環境。該服務通過專家指導和全面漏洞視圖，減少手動工作量，優化修復流程。當前開源漏洞數量激增，修復周期長，而VMaaS可將平均解決時間從數百天縮短到數十小時，降低漏洞利用風險。ActiveState的開源軟件精選目錄包含超過400萬個組件，助力企業更好地管理開源使用，確保安全。

資料來源：http://afaon.dz115.sbs/jYJL0At