安帝速递|【工业网络安全月报2025年-3月】
时间:2025-04-01 作者:安帝科技
一、政策扫描
本月观察到国内外网络安全相关政策法规33项,中国8项、涉及美国17项、英国2项、瑞典2项、欧盟3项。值得关注的有国内方面工信部等三部门联合印发《轻工业数字化转型实施方案》;国际方面英国国家网络安全中心(NCSC)近日提出特权访问工作站(PAW)八项原则,旨在提升高权限账户安全管理。
1、工信部等三部门联合印发《轻工业数字化转型实施方案》
2025年3月27日,工业和信息化部联合教育部、市场监管总局发布《轻工业数字化转型实施方案》。该方案旨在贯彻落实国务院制造业数字化转型部署,推动数字技术全面赋能轻工业发展,促进产业升级。方案提出到2027年和2030年的两步走目标,部署新一代信息技术赋能、新模式新业态创新应用等四大行动,强调网络安全分级分类防护,为轻工业数字化转型提供支撑。
资料来源:http://oy2.9dw2.sbs/2ILFsfq
2、英国NCSC发布特权访问工作站八项原则强化高权限账户安全
2025年3月25日,英国国家网络安全中心(NCSC)近日提出特权访问工作站(PAW)八项原则,旨在提升高权限账户安全管理。该框架要求组织建立专用安全策略、构建可信环境、缩减攻击面、隔离高风险活动、实施实时监控及数据管控,并评估第三方高风险设备安全性。核心目标是通过物理隔离与最小权限机制,防止攻击者利用高权限账户横向渗透,降低勒索软件等网络攻击影响。NCSC强调,PAW需结合组织威胁环境定制,作为整体安全策略的一部分,同时需动态调整以应对业务变化。此举针对特权账户滥用风险激增的现状,为航空、公共部门等关键领域提供标准化防护方案。
资料来源:https://www.ncsc.gov.uk/collection/principles-for-secure-paws
3、国家网信办、公安部联合公布《人脸识别技术应用安全管理办法》
2025年3月21日,国家互联网信息办公室、公安部联合发布《人脸识别技术应用安全管理办法》,2025年6月1日起施行。办法规范人脸识别技术应用,明确处理人脸信息需遵循合法、必要原则,履行告知义务,确保信息安全。公共场所安装设备需为公共安全所必需,存储数量达10万人的处理者需备案。
资料来源:https://www.chinacourt.org/article/detail/2025/03/id/8757004.shtml
4、香港立法会通过关键基础设施网络安全法案
2025年3月19日,香港立法会通过《保护关键基础设施(电脑系统)条例草案》,这是香港首部专门针对关键基础设施计算机系统网络安全的法案。该法案涵盖能源、信息技术、金融服务、海运、陆运、空运、医疗和通信等八大关键行业,以及管理大型体育场馆、科研园区等机构。法案要求运营者确保系统安全更新,设立香港办事处,每年进行风险评估并提交报告,数据泄露需在12小时内上报。违反者最高可被罚款500万港元。法案计划于2026年1月1日生效,不具域外效力,主要针对大型机构。
资料来源:http://j41.9dw2.sbs/Z243A6O
5、美国参议院推出双法案以强化农村供水网络安全
2025年3月18日,美国参议院提出两项法案以加强农村供水系统的网络安全。《农村水系统网络安全法》旨在通过更新网络防御和技术支持,解决农村水系统中的漏洞问题,目前美国仅有20%的水务和废水系统达到了最基本的网络保护水平。另一项《农村水系统备灾和援助法案》则旨在帮助农村供水和废水公用事业公司做好准备,并在面对自然灾害和其他极端天气事件时增强弹性。
资料来源:http://al2.9dw2.sbs/tRdRwuS
6、工信部等15部门联合印发《关于促进中小企业提升合规意识加强合规管理的指导意见》
2025年3月13日,工业和信息化部等15部门联合发布指导意见,推动中小企业加强合规管理,明确劳动用工、财税、质量、安全生产、节能环保、知识产权、网络和数据安全、公司治理、国际化经营、供应链等十大合规重点领域。其中,网络和数据安全合规要求中小企业加强信息系统安全防护,制定数据安全管理制度,防范数据泄露等风险。
资料来源:http://pg1.9dw5.sbs/yhYKfDl
二、安全事件
本月监测到勒索事件26起、数据泄露事件14起、网络攻击28起。其中典型的勒索事件为以色列关键基础设施情报信息遭Babuk2攻击;典型的数据泄露事件为西班牙能源巨头Endesa数据泄露事件,近4000万客户信息受影响;典型的网络攻击事件为波兰航天局遭遇网络攻击。
1、以色列关键基础设施情报信息遭Babuk2攻击
2025年3月26日,以色列的关键基础设施和秘密文件情报信息遭Babuk2勒索软件组织攻击。攻击者窃取了大量涉及国家安全运营和基础设施系统的重要文件,威胁泄露敏感数据,可能被恶意利用。此次事件凸显了网络犯罪组织攻击手段的复杂性,以及加强网络安全防护、保护关键资产和敏感信息的紧迫性。
资料来源:http://tn1.9dw5.sbs/NeL9VUK
2、西班牙能源巨头Endesa数据泄露事件:近4000万客户信息受影响
2025年3月25日,西班牙能源巨头Endesa被曝光涉嫌数据泄露事件。攻击者“AgencyInt”声称成功入侵Endesa,导致3060万电力客户和860万天然气客户的数据泄露。泄露信息包括姓名、身份证号、电话号码、地址、邮箱、银行账号等。Endesa表示暂未发现系统被攻击的证据,但此次事件引发对数据安全的高度关注。
资料来源:http://si1.9dw2.sbs/kMld1es
3、加拿大钢铁生产和回收公司Kimco Steel遭Play勒索软件攻击
2025年3月25日,加拿大钢铁生产和回收公司Kimco Steel成为Play网络犯罪组织策划的勒索软件攻击的受害者。此次攻击扰乱了公司运营,引发了数据安全和敏感信息泄露的担忧。事件凸显了工业部门面临复杂网络威胁的脆弱性,也凸显了加强网络安全措施、提升防御能力的紧迫性。
资料来源:https://www.hendryadrian.com/ransom-kimco-steel/
4、白俄罗斯多家能源及电商企业遭Babuk勒索软件攻击
2025年3月15日,勒索组织Babuk宣称攻破白俄罗斯G-Energy、Auto-Energy等多家能源及电商企业,窃取114GB未加密数据,包括3D模型与技术设计、财务记录、客户数据库等核心商业机密与隐私信息。攻击者已公开部分文件样本及目录结构,免费提供下载。此次泄露暴露出企业网络安全防护薄弱,可能导致重大经营风险与用户信息滥用。目前涉事企业尚未就事件原因及应对措施作出官方回应。
资料来源:http://kf2.9dw2.sbs/mQMKvEh
5、美国电焊碳钢管主要生产商Vest LLC遭到攻击
2025年3月19日,美国电焊碳钢管主要生产商Vest LLC遭到攻击,攻击者为“akira”。攻击者获取了公司125 GB重要文档,包括财务数据、NDA、HR文档、员工和客户联系信息及社会安全号码等,对隐私和运营造成严重威胁。
资料来源: https://www.hendryadrian.com/ransom-vest-llc/
6、英国汽车制造商捷豹路虎数据被盗
2025年3月10日,黑客“Rey”于暗网论坛公开约700份捷豹路虎(JLR)机密文件及135名员工数据集,含开发日志、专有源码、技术追踪数据及员工账号信息。泄露内容通过breachforums.st平台发布,关联WhiteIntel.io统计的145台设备、424名客户及英、美、中多国客户凭证。
资料来源:http://gs2.9dw5.sbs/VPoNtCN
7、日本电信巨头NTT数据泄露波及近1.8万家企业客户
2025年3月7日,日本电信服务提供商NTT Communications Corporation(NTT)近日警告称,其近1.8万家企业客户的信息在2025年2月的网络安全事件中遭到泄露。NTT于2月5日发现未经授权的访问,次日确认数据泄露。泄露信息包括客户名称、代表姓名、合同编号、电话号码、电子邮件地址、物理地址和服务使用信息。尽管NTT迅速采取措施阻止攻击并封锁受影响设备,但仍有大量企业数据暴露。
资料来源:http://fr1.9dw2.sbs/CtarNZP
8、波兰航天局遭遇网络攻击
2025年3月3日,波兰航天局(POLSA)因检测到网络攻击,紧急切断网络连接以保护数据安全。波兰数字事务部长称,黑客通过未授权访问入侵其IT系统,推测可能为勒索软件或与俄乌冲突相关的国家级攻击(波兰长期支持乌克兰)。事件导致POLSA官网及内部邮件系统瘫痪,社交媒体自周日未更新。国家网络安全机构及军方团队已介入恢复系统并溯源,承诺后续公布进展。目前尚无数据泄露证据,调查持续进行中。
资料来源:https://x.com/POLSA_GOV_PL/status/1896247268069765211
三、漏洞态势
本月监测到操作技术(OT)漏洞共97个。其中越界写15个,基于栈的缓冲区溢出13个,越界读10个,内存缓冲区边界内操作限制不当7个,基于堆的缓冲区溢出4个,缓冲区大小计算错误3个,输入验证不当3个,未检查输入大小的缓冲区复制2个,整数下溢2个,路径名限制不当导致目录遍历2个,释放后使用2个,不受控的搜索路径元素2个,空指针解引用2个,反序列化不受信任的数据2个,XML外部实体引用限制不当2个,操作系统命令中特殊元素的不当中和2个等。
1、Forescout揭露Sungrow等太阳能系统46个漏洞,威胁电网安全
2025年3月27日,据.securityweek报道,网络安全公司Forescout近期在太阳能供应商Sungrow、Growatt和SMA的产品中发现46个漏洞,其中SMA的漏洞允许云端恶意代码执行,Growatt的30个漏洞可引发XSS攻击及设备物理损坏,Sungrow存在敏感信息泄露和远程代码执行风险。部分漏洞可能使攻击者劫持逆变器,导致电网长时间故障或价格操控。SMA和Sungrow已修补漏洞并获CISA全球安全警示,但截至2024年2月底,Growatt多数漏洞仍未修复。Forescout建议加强设备安全隔离、监控及采购环节安全审查,以降低电网和用户数据风险。
资料来源:http://ze1.9dw2.sbs/9ma1ccb
2、PRODAFT发现mySCADA系统两个严重漏洞
2025年3月18日,网络安全公司PRODAFT在mySCADA myPRO Manager中发现了两个关键的OS命令注入漏洞(CVE-2025-20014和CVE-2025-20061),攻击者可通过特制POST请求执行任意命令,影响myPRO Manager 1.3之前版本和myPRO Runtime 9.2.1之前版本,可能导致工业控制网络未经授权访问、运营中断和经济损失。
资料来源:http://uq1.9dw5.sbs/z8ojTex
3、Schneider Electric Uni-Telway驱动程序存在输入验证漏洞
2025年3月13日,据CISA通报,Schneider Electric Uni-Telway驱动程序(所有版本)存在不正确的输入验证漏洞(CWE-20),攻击者可通过精心设计的输入导致工程工作站拒绝服务。该漏洞的CVSS v4基本分数为6.8。受影响的产品包括安装在Control Expert、Process Expert、AVEVA System Platform和OPC Factory Server上的Uni-Telway驱动程序。Schneider Electric建议使用McAfee Application and Change Control软件进行缓解,并遵循网络安全最佳实践。对于不需要该驱动程序的用户,建议卸载。
资料来源:https://www.cisa.gov/news-events/ics-advisories/icsa-25-070-01
4、ICONICS工业SCADA软件中被爆存在多个漏洞
2025年3月7日,据媒体报道,Palo Alto Networks研究人员发现ICONICS SCADA软件存在多个漏洞,影响版本10.97.2和10.97.3及更早版本。这些漏洞包括DLL劫持(CVE-2024-1182、CVE-2024-8299、CVE-2024-9852)、权限提升(CVE-2024-7587)和文件篡改等,可能导致权限升级、拒绝服务甚至系统受损。该软件广泛应用于全球关键基础设施,如政府、军事、制造和能源等领域。
资料来源:https://cyberscoop.com/iconics-scada-vulnerabilities-2025-palo-alto/
5、日立能源Relion系列设备权限漏洞预警
2025年3月6日,据CISA通报,日立能源Relion 670/650/SAM600-IO系列设备存在权限不足处理漏洞(CVE-2021-35534),CVSS v4评分8.6,攻击复杂度低,可远程利用。攻击者可通过用户凭证或会话票据访问ODBC协议(TCP 2102),操控数据库表,绕过安全控制,修改或禁用设备。受影响版本包括Relion 670/650系列2.2.0至2.2.4版(部分除外),2.2.5版及以下,以及SAM600-IO系列2.2.1版。日立能源建议用户升级至安全版本,并采取防火墙隔离、限制ODBC协议使用等措施。
资料来源:https://www.cisa.gov/news-events/ics-advisories/icsa-25-065-02
6、Keysight Ixia Vision产品系列漏洞警报
2025年3月4日,据CISA通报,Keysight Ixia Vision产品系列存在多个漏洞,包括路径遍历(CVE-2025-24494、CVE-2025-21095、CVE-2025-23416)和XML外部实体引用不当(CVE-2025-24521),CVSS v4评分最高达8.6。攻击者可利用这些漏洞远程执行代码、下载或删除文件,导致设备崩溃。受影响版本为6.3.1,修复版本为6.7.0和6.8.0。Keysight建议用户尽快升级至最新版本,并采取网络隔离、防火墙保护等措施。CISA提醒用户实施网络安全策略,避免社会工程攻击。
资料来源:https://www.cisa.gov/news-events/ics-advisories/icsa-25-063-02
7、台达电子CNCSoft-G2缓冲区溢出漏洞警报
2025年3月4日,据CISA通报,台达电子CNCSoft-G2(人机界面)版本V2.1.0.10及更早版本存在基于堆的缓冲区溢出漏洞(CVE-2025-22881),CVSS v4评分8.5,攻击复杂度低。攻击者可通过诱导用户访问恶意页面或文件,远程执行代码。台达建议用户更新至v2.1.0.20或更高版本,并采取网络安全措施,如避免点击可疑链接、隔离控制系统、使用VPN等。CISA提醒用户采取防御措施,目前尚未发现针对该漏洞的公开利用。
资料来源:https://www.cisa.gov/news-events/ics-advisories/icsa-25-063-06
四、融资并购
风险管理和工业网络安全商RMC Global宣布收购工程与网络安全公司Shearer and Associates,旨在增强其在国防及关键基础设施领域的能力。谷歌将以320亿美元收购网络安全公司Wiz。Cyber Exposure管理和安全公司Armis宣布收购OT(运营技术)和CPS(网络物理系统)安全提供商OTORIO。
1、RMC Global收购Shearer and Associates强化国防及关键基础设施安全布局
2025年3月25日,风险管理和工业网络安全商RMC Global宣布收购工程与网络安全公司Shearer and Associates,旨在增强其在国防及关键基础设施领域的能力。Shearer专精国防部项目及工业控制系统(ICS)网络安全,拥有20余年军方客户(如美国陆军工程兵团、导弹防御局)合作经验。此次收购将整合双方工程、网络安全及风险管理资源,扩展RMC在国防领域的服务范围,巩固其作为政府和军方客户核心合作伙伴的地位,同时吸纳Shearer的资深团队及战略合同,提升关键资产防护与基础设施韧性。
资料来源:
http://ls1.9dw2.sbs/aF649Fw
2、谷歌将以320亿美元收购网络安全公司Wiz
2025年3月18日,谷歌宣布将以320亿美元收购网络安全公司Wiz,这将成为其历史上最大的一笔交易。此次收购是谷歌在人工智能和云计算领域扩张的一部分,旨在增强其与微软和亚马逊的竞争。Wiz是一家成立5年的初创公司,预计今年收入达10亿美元,专注于开发数据中心安全工具。
资料来源:
http://kp1.9dw2.sbs/adCEBDh
3、Armis收购OTORIO以加强其OT和网络物理安全地位
2025年3月6日,Cyber Exposure管理和安全公司Armis宣布收购OT(运营技术)和CPS(网络物理系统)安全提供商OTORIO。这是Armis在不到12个月的时间内进行的第三次收购。通过此次收购,Armis扩展了其OT/CPS套件,并为组织提供本地CPS解决方案,以满足关键基础设施环境的安全需求。
资料来源:
http://aa1.9dw2.sbs/Vdp0cLL
