工業(yè)網(wǎng)絡(luò)安全周報(bào)（2025年第14期）

本期摘要

政策法規(guī)方面，中國《2025年工業(yè)和信息化標(biāo)準(zhǔn)工作要點(diǎn)》聚焦智能制造標(biāo)準(zhǔn)體系，強(qiáng)調(diào)工業(yè)互聯(lián)網(wǎng)安全與自主可控;歐盟則通過《數(shù)字歐洲計(jì)劃2025-2027》和《人工智能大陸行動(dòng)計(jì)劃》雙軌布局，人工智能的發(fā)展與安全將成為工業(yè)數(shù)字化轉(zhuǎn)型的重點(diǎn)議題。

漏洞預(yù)警方面，CISA發(fā)布10項(xiàng)工業(yè)控制系統(tǒng)安全警報(bào)；Ivanti VPN設(shè)備曝出高危漏洞(CVE-2025-22457，CVSS 9.0)，影響全球5000多臺(tái)未打補(bǔ)丁的舊版設(shè)備，可能引發(fā)大規(guī)模遠(yuǎn)程代碼執(zhí)行攻擊。Python JSON Logger組件因依賴鏈缺陷(CVE-2025-27607)暴露供應(yīng)鏈風(fēng)險(xiǎn)。

安全事件方面，美國傳感器巨頭Sensata、西雅圖港(影響9萬人)、WK Kellogg等企業(yè)相繼遭襲，Rhysida和Clop等勒索組織活動(dòng)猖獗。攻擊范圍從關(guān)鍵基礎(chǔ)設(shè)施(如南非電信供應(yīng)商致770萬人數(shù)據(jù)泄露)延伸至工業(yè)終端(日產(chǎn)聆風(fēng)遭車輛遠(yuǎn)程操控)。

風(fēng)險(xiǎn)預(yù)警方面，俄羅斯APT組織UNC5837創(chuàng)新性地利用Windows RDP協(xié)議的隱蔽功能(如驅(qū)動(dòng)器訪問和剪貼板監(jiān)控)實(shí)施精準(zhǔn)間諜活；思科2018年披露的Smart Install漏洞(CVE-2018-0171)至今仍有1200多臺(tái)設(shè)備未修復(fù)，形成持續(xù)七年的攻擊面；Sensata Technologies 上周末遭勒索攻擊，生產(chǎn)運(yùn)營(yíng)被迫中斷。

政策法規(guī)

01、《2025年工業(yè)和信息化標(biāo)準(zhǔn)工作要點(diǎn)》印發(fā)

2025年4月8日，工業(yè)和信息化部近日印發(fā)2025年工業(yè)和信息化標(biāo)準(zhǔn)工作要點(diǎn)，提出今年將圍繞健全構(gòu)建現(xiàn)代化產(chǎn)業(yè)體系，實(shí)施《新產(chǎn)業(yè)標(biāo)準(zhǔn)化領(lǐng)航工程實(shí)施方案(2023—2035年)》，持續(xù)完善新興產(chǎn)業(yè)標(biāo)準(zhǔn)體系建設(shè)，前瞻布局未來產(chǎn)業(yè)標(biāo)準(zhǔn)研究，制定行業(yè)標(biāo)準(zhǔn)1800項(xiàng)以上，組建5個(gè)以上新興產(chǎn)業(yè)和未來產(chǎn)業(yè)標(biāo)準(zhǔn)化技術(shù)組織。圍繞筑牢產(chǎn)業(yè)發(fā)展安全底線，編制工業(yè)和信息化強(qiáng)制性國家標(biāo)準(zhǔn)體系建設(shè)指南，組織編制強(qiáng)制性國家標(biāo)準(zhǔn)100項(xiàng)以上。圍繞推動(dòng)產(chǎn)業(yè)全球化發(fā)展，支持100項(xiàng)以上由我國企事業(yè)單位牽頭制定的國際標(biāo)準(zhǔn)，全行業(yè)國際標(biāo)準(zhǔn)轉(zhuǎn)化率達(dá)到88%。提升行業(yè)治理能力現(xiàn)代化水平，為推進(jìn)新型工業(yè)化，加快建設(shè)制造強(qiáng)國和網(wǎng)絡(luò)強(qiáng)國提供堅(jiān)強(qiáng)保障。

資料來源：https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2025/art_02f418da5c244531b408b1eac63f1cf8.html

02、歐盟發(fā)布《數(shù)字歐洲計(jì)劃2025~2027年工作規(guī)劃》，重點(diǎn)推進(jìn)人工智能發(fā)展

2025年3月25日，英國國家網(wǎng)絡(luò)安全中心(NCSC)近日提出特權(quán)訪問工作站(PAW)八項(xiàng)原則，旨在提升高權(quán)限賬戶安全管理。該框架要求組織建立專用安全策略、構(gòu)建可信環(huán)境、縮減攻擊面、隔離高風(fēng)險(xiǎn)活動(dòng)、實(shí)施實(shí)時(shí)監(jiān)控及數(shù)據(jù)管控，并評(píng)估第三方高風(fēng)險(xiǎn)設(shè)備安全性。核心目標(biāo)是通過物理隔離與最小權(quán)限機(jī)制，防止攻擊者利用高權(quán)限賬戶橫向滲透，降低勒索軟件等網(wǎng)絡(luò)攻擊影響。NCSC強(qiáng)調(diào)，PAW需結(jié)合組織威脅環(huán)境定制，作為整體安全策略的一部分，同時(shí)需動(dòng)態(tài)調(diào)整以應(yīng)對(duì)業(yè)務(wù)變化。此舉針對(duì)特權(quán)賬戶濫用風(fēng)險(xiǎn)激增的現(xiàn)狀，為航空、公共部門等關(guān)鍵領(lǐng)域提供標(biāo)準(zhǔn)化防護(hù)方案。

資料來源：https://www.ncsc.gov.uk/collection/principles-for-secure-paws

03、歐盟委員會(huì)發(fā)布《人工智能大陸行動(dòng)計(jì)劃》

2025年4月9日，歐盟委員會(huì)發(fā)布了“人工智能大陸行動(dòng)計(jì)劃”，其中明確提到將簡(jiǎn)化人工智能相關(guān)法規(guī)，并通過建設(shè)“人工智能工廠”網(wǎng)絡(luò)等措施，全面提升歐盟在人工智能領(lǐng)域的競(jìng)爭(zhēng)力。據(jù)悉，歐盟將把重點(diǎn)放在建設(shè)人工智能數(shù)據(jù)和計(jì)算基礎(chǔ)設(shè)施上。在建設(shè)“人工智能工廠”網(wǎng)絡(luò)方面，歐盟委員會(huì)希望通過開發(fā)所謂的“人工智能超級(jí)工廠網(wǎng)絡(luò)”，幫助企業(yè)訓(xùn)練最復(fù)雜的模型。這些工廠將配備約10萬個(gè)最新的人工智能芯片，是目前在建的人工智能工廠數(shù)量的四倍。這一舉措旨在增強(qiáng)歐盟在全球人工智能領(lǐng)域的競(jìng)爭(zhēng)力，尤其是在與美國和中國的競(jìng)爭(zhēng)中保持領(lǐng)先地位。

資料來源：https://baijiahao.baidu.com/s?id=1829025953954173130&wfr=spider&for=pc

漏洞預(yù)警

04、CISA發(fā)布10項(xiàng)工業(yè)控制系統(tǒng)安全警報(bào)，涉及西門子等多家廠商高危漏洞

2025年4月11日，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)緊急發(fā)布10項(xiàng)工業(yè)控制系統(tǒng)(ICS)安全公告，披露西門子、羅克韋爾自動(dòng)化等廠商產(chǎn)品中存在的嚴(yán)重安全風(fēng)險(xiǎn)。這些漏洞影響制造業(yè)、能源、醫(yī)療等關(guān)鍵領(lǐng)域，其中西門子SIDIS Prime系統(tǒng)的13個(gè)漏洞(最高CVSS v4評(píng)分9.1)可導(dǎo)致遠(yuǎn)程代碼執(zhí)行，ABB北極無線網(wǎng)關(guān)的固件漏洞(CVSS 9.2)允許本地權(quán)限提升。最危險(xiǎn)的漏洞包括：西門子工業(yè)邊緣設(shè)備認(rèn)證繞過漏洞(CVE-2024-54092，CVSS 9.3)、INFINITT醫(yī)療PACS系統(tǒng)任意文件上傳漏洞(CVE-2025-27714，CVSS 8.7)等，攻擊者可利用這些漏洞破壞關(guān)鍵基礎(chǔ)設(shè)施運(yùn)行。CISA建議受影響單位立即更新系統(tǒng)固件，通過防火墻限制ICS設(shè)備網(wǎng)絡(luò)暴露面，并使用安全配置的VPN進(jìn)行遠(yuǎn)程訪問。此次集中披露反映了工業(yè)控制系統(tǒng)面臨的網(wǎng)絡(luò)安全威脅持續(xù)升級(jí)，特別是能源和醫(yī)療等關(guān)鍵行業(yè)需提高警惕。

資料來源：https://cybersecuritynews.com/cisa-releases-10-ics-advisories/

05、漏洞利用導(dǎo)致 5,000 臺(tái) Ivanti VPN 設(shè)備面臨風(fēng)險(xiǎn)

2025年4月8日，非營(yíng)利性網(wǎng)絡(luò)安全組織 Shadowserver Foundation 警告稱，有超過 5,000 臺(tái)可訪問互聯(lián)網(wǎng)的 Ivanti Connect Secure 設(shè)備容易受到利用最近披露的漏洞的攻擊。該問題被標(biāo)記為 CVE-2025-22457(CVSS 評(píng)分為 9)，被描述為基于堆棧的緩沖區(qū)溢出，可被遠(yuǎn)程、未經(jīng)身份驗(yàn)證的攻擊者利用在易受攻擊的設(shè)備上執(zhí)行任意代碼。據(jù) Shadowserver 稱，大多數(shù)觀察到的實(shí)例都是較舊的 Pulse Connect Secure 9.x 設(shè)備，它們不會(huì)收到補(bǔ)丁，因?yàn)閷?duì)它們的支持已于 12 月停止。

資料來源：http://ni1.9dw5.sbs/p9N8vyk

06、Python JSON 日志記錄器漏洞使遠(yuǎn)程代碼執(zhí)行成為可能–PoC 發(fā)布

2025年4月7日，最近的安全披露揭示了一個(gè)遠(yuǎn)程代碼執(zhí)行(RCE)漏洞，CVE-2025-27607，存在于Python JSON Logger軟件包中，影響版本在3.2.0到3.2.1之間。該漏洞源于缺失的依賴關(guān)系，“msgspec-python313-pre”，如果惡意行為者發(fā)布了同名的軟件包，這個(gè)依賴就可能被利用。盡管嚴(yán)重性已降級(jí)為“低”，但此問題突顯了開源生態(tài)系統(tǒng)中供應(yīng)鏈安全的風(fēng)險(xiǎn)。這一事件突顯了開源項(xiàng)目中關(guān)鍵的供應(yīng)鏈安全問題。維護(hù)軟件包的開發(fā)人員應(yīng)定期審核依賴項(xiàng)，并在刪除過時(shí)元素時(shí)推送更新。雖然緊迫的威脅已經(jīng)消除，但此披露再次強(qiáng)調(diào)在軟件包管理生態(tài)系統(tǒng)中保持警惕的重要性。

資料來源：https://gbhackers.com/python-json-logger-vulnerability/?web_view=true

安全事件

07、勒索軟件激增：Sensata Technologies 和美國政府機(jī)構(gòu)成為大規(guī)模網(wǎng)絡(luò)攻擊的目標(biāo)

2025年4月11日，工業(yè)技術(shù)公司森薩塔科技(Sensata Technologies)披露，該公司遭受勒索軟件攻擊，部分網(wǎng)絡(luò)被加密。該公司已關(guān)閉系統(tǒng)，啟動(dòng)響應(yīng)協(xié)議，并與第三方網(wǎng)絡(luò)安全專家展開調(diào)查。執(zhí)法部門已收到通知并已介入調(diào)查。與此同時(shí)，美國多個(gè)州(包括亞利桑那州、阿肯色州、愛達(dá)荷州、內(nèi)布拉斯加州和俄勒岡州)最近披露了影響關(guān)鍵政府服務(wù)的網(wǎng)絡(luò)事件。

資料來源：http://u31.9dw2.sbs/LQRNT1x

08、英國勒索軟件事件增多

2025年4月10日，政府于周四公布了年度調(diào)查結(jié)果，對(duì) 2,180 家企業(yè)、1,081 家慈善機(jī)構(gòu)和 574 家教育機(jī)構(gòu)進(jìn)行了調(diào)查。過去 12 個(gè)月，針對(duì)英國組織的黑客攻擊總體有所減少，但 2024 年至 2025 年間勒索軟件攻擊“顯著增加”。報(bào)告稱：“勒索軟件犯罪的估計(jì)比例將從 2024 年的不到 0.5% 上升到 2025 年的 1%，這相當(dāng)于 2025 年約有 19,000 家企業(yè)受到影響。”英國政府得出結(jié)論，盡管受害者的舉報(bào)率較低，但去年針對(duì)英國機(jī)構(gòu)的勒索軟件攻擊持續(xù)增加。該調(diào)查結(jié)果發(fā)布之際，英國政府正在考慮禁止公共部門機(jī)構(gòu)支付贖金，并強(qiáng)制要求報(bào)告事件。

資料來源：https://www.bankinfosecurity.com/ransomware-incidents-on-rise-in-uk-a-27971/

09、西雅圖港通知9萬名Rhysida勒索軟件攻擊受害者

2025年4月10日，西雅圖港表示，近9萬人受到2024年8月Rhysida組織發(fā)起的勒索軟件攻擊的影響。港務(wù)局向受影響人員發(fā)出了通知信，其中大部分是現(xiàn)任和前任員工、承包商和停車場(chǎng)顧客。泄露的數(shù)據(jù)包括姓名、出生日期、社保號(hào)碼、駕照和有限的醫(yī)療信息。支付和乘客系統(tǒng)并未受到影響。港口拒絕支付贖金。約7.1萬名受影響人員是華盛頓州居民。

資料來源：http://kw2.9dw2.sbs/7J2lCG0

10、WK Kellogg 數(shù)據(jù)遭泄露，與 Clop 勒索軟件有關(guān)

2025年4月10日，早餐谷物巨頭WK家樂氏公司(WK Kellogg Co.)披露了一起數(shù)據(jù)泄露事件，攻擊者利用了其Cleo文件傳輸軟件實(shí)例中的漏洞，導(dǎo)致敏感員工信息泄露。該公司披露，此次數(shù)據(jù)泄露發(fā)生在2024年12月7日，涉及未經(jīng)授權(quán)訪問通過Cleo服務(wù)器發(fā)送的人力資源文件。黑客利用了兩個(gè)Cleo 漏洞：CVE-2024-50623(盡管 10 月份發(fā)布了補(bǔ)丁，但仍無法限制上傳和下載)和 CVE-2024-55956(允許遠(yuǎn)程代碼執(zhí)行)。

資料來源：https://www.bankinfosecurity.com/breach-roundup-port-seattle-notifies-90000-victims-a-27969

11、日產(chǎn)聆風(fēng)遭黑客攻擊，實(shí)施遠(yuǎn)程監(jiān)控和物理控制

2025年4月10日，研究人員已經(jīng)證明，影響日產(chǎn)聆風(fēng)電動(dòng)汽車的一系列漏洞可被利用來遠(yuǎn)程入侵汽車，包括進(jìn)行監(jiān)視和物理接管各種功能。攻擊者可以利用這些漏洞，通過追蹤汽車位置、截取信息娛樂系統(tǒng)的屏幕截圖以及記錄車內(nèi)人們的談話來監(jiān)視車主。他們還能夠遠(yuǎn)程控制各種物理功能，包括車門、雨刷、喇叭、后視鏡、車窗、車燈，甚至方向盤，包括汽車行駛時(shí)。這些漏洞已被分配了八個(gè) CVE 標(biāo)識(shí)符：CVE-2025-32056 至 CVE-2025-32063。研究人員表示，漏洞披露流程于 2023 年 8 月啟動(dòng)，日產(chǎn)汽車于 2024 年 1 月確認(rèn)了漏洞發(fā)現(xiàn)，但直到最近才分配了 CVE。

資料來源：https://www.securityweek.com/nissan-leaf-hacked-for-remote-spying-physical-takeover/

12、工業(yè)傳感器巨頭Sensata遭勒索軟件攻擊，全球運(yùn)營(yíng)系統(tǒng)中斷

2025年4月10日?qǐng)?bào)道，全球領(lǐng)先的工業(yè)傳感器制造商Sensata Technologies(2023年?duì)I收40億美元)于4月6日遭受復(fù)雜勒索軟件攻擊，導(dǎo)致其全球網(wǎng)絡(luò)關(guān)鍵設(shè)備被加密，部分敏感數(shù)據(jù)遭竊。該公司在提交給美國證券交易委員會(huì)的8-K表格中披露，攻擊已嚴(yán)重影響包括產(chǎn)品運(yùn)輸、制造生產(chǎn)在內(nèi)的核心業(yè)務(wù)系統(tǒng)，目前雖已啟動(dòng)應(yīng)急響應(yīng)并切斷網(wǎng)絡(luò)連接，但全面恢復(fù)仍需時(shí)間。此次攻擊采用雙重勒索策略，攻擊者不僅加密設(shè)備還竊取數(shù)據(jù)，但Sensata明確表示不會(huì)支付贖金。作為航空航天、汽車制造等行業(yè)的關(guān)鍵零部件供應(yīng)商，此次事件可能引發(fā)跨行業(yè)供應(yīng)鏈波動(dòng)。安全專家推測(cè)Clop或LockBit等知名勒索軟件組織可能參與其中，但尚未有組織公開宣稱負(fù)責(zé)。該事件再次凸顯工業(yè)領(lǐng)域面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)升級(jí)，特別是采用零信任架構(gòu)和網(wǎng)絡(luò)分段的必要性。

資料來源：https://cybersecuritynews.com/sensata-technologies-hacked-ransomware-attack/

13、VT DVR 遭受攻擊：大規(guī)模攻擊暴露關(guān)鍵缺陷

2025年4月8日，檢測(cè)到惡意網(wǎng)絡(luò)活動(dòng)大幅增加，這給使用 TVT NVMS9000 DVR 的組織敲響了警鐘。GreyNoise 情報(bào)報(bào)告稱，“針對(duì) TVT NVMS9000 DVR 的攻擊嘗試激增，是正常活動(dòng)的三倍”，峰值出現(xiàn)在 4 月 3 日，記錄了超過 2,500 個(gè)獨(dú)立攻擊 IP 地址。GreyNoise指出，“此信息泄露漏洞可用于獲取受影響系統(tǒng)的管理控制權(quán)”。這種訪問權(quán)限可能使惡意攻擊者能夠操縱視頻片段、禁用監(jiān)控，或?qū)⑹芨腥镜?DVR 用作更大規(guī)模攻擊基礎(chǔ)設(shè)施的一部分。受影響的DVR由TVT數(shù)字技術(shù)有限公司生產(chǎn)，用于安全和監(jiān)控系統(tǒng)的錄像、存儲(chǔ)和管理。TVT的業(yè)務(wù)遍布全球，其報(bào)告稱其“已為120多個(gè)國家的客戶提供服務(wù)”。

資料來源：http://121.9dw2.sbs/dglJ1EN

14、服務(wù) 770 萬人的南非電信供應(yīng)商確認(rèn)在網(wǎng)絡(luò)攻擊后數(shù)據(jù)泄露

2025年4月10日，美國國務(wù)院表示，美國計(jì)劃簽署一項(xiàng)旨在管理商業(yè)間諜軟件使用的國際協(xié)議。發(fā)起此次攻擊的黑客組織 RansomHouse 聲稱竊取了該公司 2TB 的數(shù)據(jù)。南非電信供應(yīng)商Cell C 表示，黑客未經(jīng)授權(quán)訪問了其 IT 系統(tǒng)的某些部分。雖然受黑客攻擊影響的具體人數(shù)尚不清楚，但該公司已承認(rèn)敏感客戶信息遭到泄露。泄露的數(shù)據(jù)類型包括全名、聯(lián)系方式、身份證號(hào)碼、銀行信息、駕照號(hào)碼、醫(yī)療記錄和護(hù)照信息。鑒于攻擊者已將這些數(shù)據(jù)公開，該公司敦促受影響的個(gè)人采取預(yù)防措施，防范網(wǎng)絡(luò)釣魚和潛在的身份盜竊。

資料來源：https://therecord.media/south-african-telecom-provider-discloses-data-breach-ransomware

風(fēng)險(xiǎn)預(yù)警

15、俄羅斯 APT 黑客部署了不尋常的 RDP 策略

2025年4月8日，俄羅斯民族國家威脅行為者利用 Microsoft Windows 遠(yuǎn)程桌面協(xié)議的“鮮為人知”的功能針對(duì)歐洲組織進(jìn)行間諜活動(dòng)。谷歌威脅情報(bào)小組表示，其追蹤的俄羅斯民族國家組織 UNC5837 被發(fā)現(xiàn)使用該功能讀取受害者驅(qū)動(dòng)器、竊取文件和捕獲剪貼板數(shù)據(jù)。為了防止使用 RDP 進(jìn)行進(jìn)一步的攻擊，Google 建議限制 Windows 設(shè)備上的文件讀取活動(dòng)，在網(wǎng)絡(luò)級(jí)別阻止到公共 IP 地址的傳出 RDP 流量，以及阻止電子郵件附件中的 .rdp 文件擴(kuò)展名。

資料來源：http://qu1.9dw2.sbs/yT6FCcN

16、七年之后：思科CVE-2018-0171仍然使數(shù)千人暴露在RCE風(fēng)險(xiǎn)中

2025年4月10日，在一次深入研究中發(fā)布，作者是高級(jí)安全顧問兼前網(wǎng)絡(luò)工程師Guy Bruneau，揭示了多年存在的思科漏洞(CVE-2018-0171)的持續(xù)危險(xiǎn)，帶來了新的見解和現(xiàn)實(shí)世界的測(cè)試。盡管在七年前披露，Smart Install 遠(yuǎn)程代碼執(zhí)行(RCE)漏洞仍然在野外活躍，超過1200臺(tái)思科設(shè)備仍然向互聯(lián)網(wǎng)暴露了易受攻擊的服務(wù)。

資料來源：http://k52.9dw2.sbs/53aHE5U

17、Sensata Technologies 上周末遭勒索攻擊，生產(chǎn)運(yùn)營(yíng)被迫中斷

4月11日消息，美國上市公司森薩塔科技(Sensata Technologies)上周末遭遇勒索軟件攻擊，公司網(wǎng)絡(luò)內(nèi)的部分設(shè)備遭到加密，致使業(yè)務(wù)運(yùn)營(yíng)中斷。森薩塔科技是一家工業(yè)技術(shù)公司，致力于開發(fā)、制造并銷售各類傳感器、集成傳感器解決方案，以及電氣保護(hù)組件和系統(tǒng)。該公司產(chǎn)品廣泛應(yīng)用于汽車、航空航天和工業(yè)等領(lǐng)域。2023年，森薩塔的年收入為40億美元。

資料來源：https://mp.weixin.qq.com/s/LIQs2FpmpLWS_2wsOOlXvQ