工業網絡安全周報（2025年第8期）

本期摘要

政策法規方面，本周觀察到國外網絡安全相關政策法規4項，值得關注的有1.中共中央、國務院印發《國家突發事件總體應急預案》。

漏洞態勢方面，本周監測到漏洞動態4條，值得關注的有Team82發現廣泛應用于工業HMI嵌入式場景的Windows CE存在高危漏洞，可導致未授權的遠程代碼執行漏洞。

安全事件方面，本周監測到重大網絡安全事件20起，其中典型的事件有本瑞薩電子疑遭數據泄露，超1.1萬份機密文件被竊;英國供水商遭Black Basta勒索攻擊損失450萬英鎊;Z-PENTEST ALLIANCE黑客組織攻擊意大利熱電廠、養殖場、陶瓷廠的工控系統。

安全技術方面，MITRE推出OCCULT框架，量化LLM在網絡攻擊中的風險。

風險預警方面，據Dragos報告稱，2024年針對工業組織的勒索軟件攻擊激增。

01、中共中央、國務院印發《國家突發事件總體應急預案》

2月25日，據媒體報道，中共中央、國務院印發《國家突發事件總體應急預案》，廢止2005年版本。新預案涵蓋自然災害、事故災難、公共衛生事件和社會安全事件，強調統一指揮、分級負責的應急管理體制。在網絡安全領域，預案要求加強網絡數據安全監測與預警，提升應急處置能力，完善應急預案體系，確保突發事件應對科學高效。

資料來源：https://www.secrss.com/articles/76023

02、Siemens Teamcenter漏洞CVE-2025-23363可致會話數據泄露

2月27日，據媒體通報，Siemens Teamcenter存在高危漏洞CVE-2025-23363，該漏洞為開放重定向問題，位于單點登錄(SSO)服務中，允許攻擊者通過惡意鏈接將用戶重定向至外部站點，從而竊取有效會話數據。受影響版本為Teamcenter所有低于V14.3.0.0的版本。西門子已發布修復建議，用戶需避免點擊不可信鏈接，并盡快更新至V14.3.0.0或更高版本。

資料來源：http://3f2.9dw1.sbs/5p8tSCZ

03、Schneider Electric通信模塊被爆高危漏洞

2月27日，據CISA通報，Schneider Electric的Modicon M580和Quantum控制器通信模塊存在越界寫入漏洞(CVE-2021-29999)，CVSS v3評分為9.8，可遠程利用。受影響產品包括BMENOC0321、BMECRA31210、BMXCRA31200等。攻擊可能導致堆棧溢出，影響設備的機密性、完整性和可用性。Schneider Electric已發布BMENOC0321的修復版本SV1.10，并建議用戶實施防火墻限制UDP端口流量。其他模塊的修復計劃正在制定中。

資料來源：https://www.cisa.gov/news-events/ics-advisories/icsa-25-058-01

04、Team82發現Windows CE存在高危漏洞

2月26日，據Claroty通報，Team82發現Windows CE系統存在安全風險，該系統廣泛用于工業HMI、自動售貨機和車輛信息娛樂系統等嵌入式場景。研究人員在博客中分析了其在ICS和SCADA玎境中的作用，揭示了重大安全挑戰和攻擊媒介，包括未經授權的訪問與遠程代碼執行漏洞。他們還介紹了基于Windows CE的本機應用開發流程，通過Visual Studio 2005 IDE構建、調試和部署應用，并在Pocket PC 2003仿真器上測試，最終實現跨平臺部署。

資料來源：http://np1.dz911.top/qb5MTf1

05、羅克韋爾自動化電機控制驅動軟件存在敏感信息明文傳輸漏洞(CVE-2025-0631)

2月25日，據CISA通報，羅克韋爾自動化的PowerFlex 755(電機控制驅動軟件)存在敏感信息明文傳輸漏洞(CVE-2025-0631)，CVSS v4評分為8.7，可遠程利用，攻擊復雜度低。受影響版本為16.002.279及更早版本。該漏洞因使用HTTP協議，導致憑據以明文形式發送，可能被攻擊者捕獲。羅克韋爾已發布v20.3.407修復版本，并建議用戶實施網絡安全最佳實踐，如限制網絡暴露、使用VPN等。CISA提醒用戶采取防御措施，保護ICS資產。

資料來源：https://www.cisa.gov/news-events/ics-advisories/icsa-25-056-01

06、日本瑞薩電子疑遭數據泄露，超1.1萬份機密文件被竊

2月27日，日本半導體巨頭瑞薩電子株式會社疑似發生重大數據泄露事件。黑客“雷伊”宣稱竊取了超過11,000份機密文件，包括內部文檔、產品路線圖、工程文件、軟件開發資源、硬件規格、財務記錄及內部通信等敏感信息。相關聲明已在暗網論壇發布，瑞薩電子尚未對此作出回應。

資料來源：http://i12.dz911.top/uXjlzDm

07、威脅行為者聲稱正在出售國內某車企印度公司的管理員級訪問權限

2月27日，Dark Web Informer報道稱，用戶sentap正在出售某車企印度公司CRM和物流系統的管理員訪問權限。該系統缺乏雙因素認證，導致敏感數據(包括潛在客戶信息、保修索賠記錄和聯系人信息)暴露，極易成為網絡釣魚、身份偽造等攻擊的目標。建議企業立即修改口令，加強安全防護措施，避免類似事件再次發生。

資料來源：http://xv2.9dw1.sbs/u0OCerh

08、巴西電信JVK TELECOM初始訪問權限遭黑客出售，網絡安全受威脅

2月27日，巴西電信企業JVK TELECOM Brazil的初始訪問權限疑似被黑客“sentap”獲取并出售。該黑客聲稱已控制公司SGP系統，并在暗網論壇上提供管理員權限，可能用于數據挖掘等惡意活動。JVK TELECOM尚未對此事件發表聲明，表明其面臨嚴重網絡安全威脅。

資料來源：http://eg1.9dw1.sbs/LBsxaE2

09、英國供水商遭Black Basta勒索攻擊損失450萬英鎊

2月26日，據bleepingcomputer報道，英國供水商Southern Water公司聲稱于2024年2月遭以攻擊基礎設施聞名的Black Basta勒索組織攻擊，損失450萬英鎊，該費用等同上年治污費用。攻擊雖未影響運營但導致泄露數據。

資料來源：http://ks2.dz911.top/ToXquQu

10、電信巨頭Orange羅馬尼亞遭HellCat成員入侵：泄露38萬數據

2月26日，據techmonitor報道，黑客Rey(自稱HellCat勒索組織成員)利用泄露憑證及Orange羅馬尼亞分公司Jira系統漏洞入侵，竊取38萬郵件地址、員工及客戶信息、合同等數據。Orange確認攻擊針對非關鍵后臺應用，稱客戶運營未受影響。攻擊者稱竊取超1.2萬份文件(約6.5GB)，因勒索未果泄露部分過期數據(含支付卡信息)。Orange已啟動調查，稱正評估泄露范圍并配合當局。HellCat組織曾攻擊施耐德電氣等企業，均以Jira系統為突破口。

資料來源：http://af1.dz911.top/jdI2dtO

11、黑客組織入侵意大利養殖場，精準農業系統“MASTER FARM”遭操控

2月23日，黑客組織Z-PENTEST ALLIANCE在暗網宣稱成功入侵意大利一家工業兔子養殖場的精準農業系統“MASTER FARM”，并發布相關操作視頻。攻擊者訪問了微氣候控制、自動喂食等核心模塊，涉及環境參數和農場管理數據，甚至可能遠程操控系統。此次事件暴露了農業物聯網系統的安全漏洞，可能對養殖場運營和動物健康造成嚴重威脅，凸顯了農業領域網絡安全的緊迫性。

資料來源：https://x.com/DarkWebInformer/status/1893348496599642126

12、意大利Busto Arsizio熱電廠遭黑客組織Z-PENTEST ALLIANCE入侵

2月22日，黑客組織Z-PENTEST ALLIANCE通過暗網Darkwebinformer的推特賬號發布聲明宣稱入侵意大利Busto Arsizio市熱電廠，已非法訪問系統，并發布短視頻證實可修改運行參數，但未泄露具體數據或攻擊細節。事件引發對能源基礎設施網絡安全的擔憂，專家呼吁意大利當局調查并強化防護。Z-PENTEST曾多次攻擊全球能源及制造業，動機或涉勒索或政治目的。目前電廠運營暫未報告實際影響，相關部門已加強監控。

資料來源：https://x.com/DarkWebInformer/status/1892988760586846633

13、黑客組織Z-PENTEST ALLIANCE入侵意大利陶瓷廠，暴露工業控制系統安全漏洞

2月22日，黑客組織Z-PENTEST ALLIANCE通過暗網Darkwebinformer的推特賬號發布聲明宣稱成功入侵意大利陶瓷制造廠PAGNOTTA TERMOMECCANICA SNC，并發布視頻展示其對工廠系統的操控能力。

資料來源：https://x.com/DarkWebInformer/status/1892709472117600287

14、MITRE推出OCCULT框架，量化LLM在網絡攻擊中的風險

2月26日，據CybersecurityNews報道，MITRE Corporation發布了OCCULT(人工智能網絡安全風險運營評估框架)，旨在量化大型語言模型(LLM)在進攻性網絡行動(OCO)中的風險。該框架通過三維評估理念——OCO能力、LLM使用場景和推理能力——測試LLM的網絡攻擊能力。MITRE通過TACTL基準測試發現，DeepSeek-R1在攻擊技術知識方面表現卓越，但開源模型如Llama3.1在多步驟規劃上仍有不足。研究人員警告，LLM的自動化能力可能降低高級持續性威脅(APT)的門檻，帶來切實風險。MITRE計劃開源OCCULT測試用例，推動社區貢獻，以應對AI帶來的網絡威脅。

資料來源：https://cybersecuritynews.com/mitre-details-occult-framework/

15、2024年工業勒索軟件攻擊激增，制造業成主要目標

2月24日，Dragos報告稱，2024年針對工業組織的勒索軟件攻擊激增87%，影響OT/ICS的團伙增加60%。制造業成為主要目標，占攻擊事件的50%以上。勒索軟件攻擊者利用遠程工具和服務，攻擊關鍵基礎設施，導致生產中斷和數據泄露。報告指出，勒索軟件攻擊集中在北美和歐洲，且攻擊頻率在2024年下半年翻倍。Dragos建議組織加強網絡分段、備份測試和漏洞管理，以應對日益復雜的威脅形勢。

資料來源：ttps://darktrace.com/blog/darktrace-releases-2024-half-year-threat-insights-2

16、Xona與OT connect合作，提供關鍵基礎設施安全訪問解決方案

2月26日，Xona與OT connect達成合作，將Xona的安全訪問管理平臺與OT connect的網絡安全專長相結合，為關鍵OT環境提供托管、可擴展的遠程訪問解決方案。該方案通過基于身份的訪問管理、零占用空間的瀏覽器體驗和精細審計功能，降低安全風險、確保合規性并優化運營效率。此次合作旨在解決傳統VPN和跳板服務器帶來的風險，幫助組織應對日益復雜的網絡安全威脅和監管挑戰，同時減輕內部運營和安全團隊的負擔。

資料來源：http://q91.9dw1.sbs/CTfTtiX