工業網絡安全周報（2025年第9期）

本期摘要

政策法規方面，本周觀察到國外網絡安全相關政策法規3項，值得關注的有美國眾議院通過《聯邦承包商網絡安全漏洞削減法案》，要求聯邦承包商實施符合NIST標準的漏洞披露政策(VDP)，以防范惡意攻擊者利用其系統漏洞。

漏洞預警方面，本周監測到ICS漏洞10條，值得關注的有日立能源Relion系列設備被爆存在權限漏洞。

安全事件方面，本周監測到重大網絡安全事件12起，其中典型的事件有德國制造業巨頭機密項目數據遭非法兜售、泰國國家級水利設施遭黑客兜售后臺權限。

風險預警方面，六個關鍵基礎設施部門未能達到NIS2合規性;TXOne Networks調查報告顯示OT系統補丁管理存在困境。

政策法規

01、美國眾議院通過《聯邦承包商網絡安全漏洞削減法案》立法

2025年3月3日，美國眾議院通過《聯邦承包商網絡安全漏洞削減法案》，要求聯邦承包商實施符合NIST標準的漏洞披露政策(VDP)，以防范惡意攻擊者利用其系統漏洞。法案提出者指出，聯邦每年簽訂超1100萬份合同，承包商接觸大量敏感數據(包括公民個人信息)，強制遵循NIST規范將增強國家安全。法案獲微軟、Tenable等科技公司及眾議院監督委員會支持，后續需參議院表決通過。

資料來源：https://www.cisa.gov/news-events/ics-advisories/icsa-25-058-01

02、日本內閣通過《人工智能相關技術的研發及應用促進法》

2025年2月28日，日本內閣通過《人工智能相關技術的研發及應用促進法》草案。該法案旨在推動人工智能技術的研發和應用，確保技術正當性和透明性，提升國際競爭力。法案未設懲罰性條款，而是通過公布侵權企業名單等方式增強威懾力。法案還明確了國家、地方政府、研究機構、企業和國民的職責分工，提出研發、人才培養、普及教育及國際合作等多項基本施策。此外，法案計劃在內閣設立人工智能戰略本部，負責綜合管理相關技術研發及應用推進措施。

資料來源：https://www.cao.go.jp/houan/pdf/217/217anbun_2.pdf

漏洞預警

03、日立能源Relion系列設備權限漏洞預警

2025年3月6日，據CISA通報，日立能源Relion 670/650/SAM600-IO系列設備存在權限不足處理漏洞(CVE-2021-35534)，CVSS v4評分8.6，攻擊復雜度低，可遠程利用。攻擊者可通過用戶憑證或會話票據訪問ODBC協議(TCP 2102)，操控數據庫表，繞過安全控制，修改或禁用設備。受影響版本包括Relion 670/650系列2.2.0至2.2.4版(部分除外)，2.2.5版及以下，以及SAM600-IO系列2.2.1版。日立能源建議用戶升級至安全版本，并采取防火墻隔離、限制ODBC協議使用等措施。

資料來源：https://www.cisa.gov/news-events/ics-advisories/icsa-25-065-02

04、Keysight Ixia Vision產品系列漏洞警報

2025年3月4日，據CISA通報，Keysight Ixia Vision產品系列存在多個漏洞，包括路徑遍歷(CVE-2025-24494、CVE-2025-21095、CVE-2025-23416)和XML外部實體引用不當(CVE-2025-24521)，CVSS v4評分最高達8.6。攻擊者可利用這些漏洞遠程執行代碼、下載或刪除文件，導致設備崩潰。受影響版本為6.3.1，修復版本為6.7.0和6.8.0。Keysight建議用戶盡快升級至最新版本，并采取網絡隔離、防火墻保護等措施。CISA提醒用戶實施網絡安全策略，避免社會工程攻擊。

資料來源：https://www.cisa.gov/news-events/ics-advisories/icsa-25-063-02

05、臺達電子CNCSoft-G2緩沖區溢出漏洞警報

2025年3月4日，據CISA通報，臺達電子CNCSoft-G2(人機界面)版本V2.1.0.10及更早版本存在基于堆的緩沖區溢出漏洞(CVE-2025-22881)，CVSS v4評分8.5，攻擊復雜度低。攻擊者可通過誘導用戶訪問惡意頁面或文件，遠程執行代碼。臺達建議用戶更新至v2.1.0.20或更高版本，并采取網絡安全措施，如避免點擊可疑鏈接、隔離控制系統、使用VPN等。CISA提醒用戶采取防御措施，目前尚未發現針對該漏洞的公開利用。

資料來源：https://www.cisa.gov/news-events/ics-advisories/icsa-25-063-06

安全事件

06、德國制造業巨頭機密項目數據遭非法兜售

2025年2月28日，黑客論壇用戶Rey聲稱出售某德國頂級工業集團(年營收超900億美元)內部項目管理系統的訪問權限，權限可獲取生產排期、研發文檔及供應鏈細節等核心商業機密。賣家未公開企業名稱，但暗示其為“歐洲工業自動化領導者”。交易支持議價，權限或致技術泄露與競爭失衡。事件暴露工業領域關鍵數據防護漏洞。

資料來源：http://rn1.9dw1.sbs/i9bMIA6

07、泰國國家級水利設施遭黑客兜售后臺權限

2025年2月28日，黑客論壇用戶sentap公開出售泰國水利部SCADA系統的超級管理員權限(售價15,000美元)，該系統負責全國水文監測及災害預警。泄露權限可篡改實時數據、硬件控制等，恐引發洪旱災害誤判，威脅公共安全。

資料來源：http://db1.dz911.top/havjpx3

08、法國電力公司核電站維護數據遭公開泄露

2025年2月28日，用戶Arkeliaad免費公開法電(EDF)DPIH部門數據庫，含核/水電站維護日志、訪問憑證等敏感信息。泄露數據或暴露設施安全漏洞，增加恐怖襲擊風險。

資料來源：https://x.com/zataz/status/1895825693742596412

09、塞爾維亞首都基建數據遭黑客組織大規模竊取

2025年2月28日，黑客組織“敢死隊”(EL_FEDAYEEN)宣稱入侵貝爾格萊德市政系統，竊取4萬份敏感文件，含基礎設施藍圖及政府機密數據。其宣稱此舉為針對“親猶政權”網絡戰的一部分，并通過Telegram發布165MB樣本數據。

資料來源：http://pa1.9dw1.sbs/jPL9Mre

10、波蘭航天局遭遇網絡攻擊

2025年3月3日，波蘭航天局(POLSA)因檢測到網絡攻擊，緊急切斷網絡連接以保護數據安全。波蘭數字事務部長稱，黑客通過未授權訪問入侵其IT系統，推測可能為勒索軟件或與俄烏沖突相關的國家級攻擊(波蘭長期支持烏克蘭)。事件導致POLSA官網及內部郵件系統癱瘓，社交媒體自周日未更新。國家網絡安全機構及軍方團隊已介入恢復系統并溯源，承諾后續公布進展。目前尚無數據泄露證據，調查持續進行中。

資料來源：https://x.com/POLSA_GOV_PL/status/1896247268069765211

11、印度塔塔科技遭勒索組織威脅泄露1.4TB數據

2025年3月5日，印度塔塔科技公司(塔塔汽車子公司)于2025年1月31日遭勒索組織Hunters International攻擊，致部分IT服務暫停后再遭該組織攻擊，Hunters International聲稱竊取1.4TB數據(約73萬份文件)，威脅六天內公開。目前，公司正調查數據是否被盜，安全專家已介入。

資料來源：https://www.securityweek.com/ransomware-group-claims-attack-on-tata-technologies/

風險預警

12、六個關鍵基礎設施部門未能達到NIS2合規性

2025年3月6日，據Enisa的NIS360報告指出，IT服務管理、太空領域、公共管理部門、海事、健康和天然氣行業六個關鍵基礎設施部門未能達到NIS2合規性面臨諸多風險，如網絡安全知識不足、依賴商用組件、遺留系統和OT相關挑戰。此外，數字基礎設施行業成熟度較低。Enisa正與成員國合作提供指導，推動合規。報告還指出，電力、電信和銀行業相對成熟，但IT和OT安全技能短缺仍是合規阻礙。

資料來源：https://www.enisa.europa.eu/news/enisa-nis360-2024-report

13、思科Talos揭露了針對政府、電信和媒體的Lotus Blossom網絡間諜活動

2025年3月6日，思科Talos揭露了Lotus Blossom組織的網絡間諜活動，該組織自2012年起活躍，針對政府、制造、電信和媒體部門。利用Sagerunex等后門工具進行攻擊，通過第三方云服務如Dropbox和Twitter進行C2通信，影響菲律賓、越南、香港和臺灣等地區。

資料來源：http://bh1.dz911.top/8AhU34Q

14、TXOne Networks調查報告：OT系統補丁管理困境凸顯網絡安全風險

2025年3月5日，網絡物理安全公司TXOne Networks發布《2024年度OT/ICS網絡安全報告》顯示，85%的受訪企業(覆蓋北美、歐洲、中東及亞洲150家機構)因擔憂設備停機(47%)及缺乏人員(48%)、供應商支持(43%)，未定期修補運營技術(OT)系統，致長期暴露于攻擊風險。37%的OT安全事件涉及漏洞利用，近六成組織選擇在計劃停機時修補，55%通過受控環境測試補丁。

資料來源：https://www.txone.com/security-reports/ot-ics-cybersecurity-2024/