工业网络安全周报-2025年第3期
时间:2025-01-18 作者:安帝科技

本期摘要
政策法规方面,本周观察到国外网络安全相关政策法规13项,值得关注的有国家发改革委等部门印发《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》的通知。
漏洞态势方面,本周监测到漏洞动态15条,值得关注的有Ivanti多款产品存在缓冲区溢出漏洞(CVE-2025-0282)。
安全事件方面,本周监测到重大网络安全事件14起,其中典型的事件有惠普企业遭遇重大数据泄露、疑似乌克兰黑客组织攻击俄罗斯工业企业。
风险预警方面,Pumakit Linux Rootkit威胁关键基础设施、数百万VPN服务器和路由器暴露于新的隧道协议漏洞。
安全技术方面,Stratejm集成了Nozomi Vantage以增强云安全性。
融资并购方面,全球领先的烘焙公司Grupo Bimbo的风险投资部门宣布投资工业制造和关键基础设施提供OT网络安全和管理解决方案的供应商NanoLock Security。
政策法规
1.国家发改革委等部门印发《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》的通知
1月15日,据媒体报道,国家发展改革委等部门印发《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》的通知,旨在建立健全数据流通安全治理机制,提升数据安全治理能力,促进数据要素合规高效流通利用,释放数据价值。方案提出到2027年底,基本构建规则明晰、产业繁荣、多方协同的数据流通安全治理体系。主要任务包括明晰企业数据流通安全规则、加强公共数据流通安全管理、强化个人数据流通保障等七方面,以推动数据高质量发展和高水平安全良性互动。
资料来源:https://www.secrss.com/articles/74717
2.四部门发布《涉及国家安全事项的建设项目许可管理规定》
1月15日,国家安全部部长陈一新签署第5号部令,公布《涉及国家安全事项的建设项目许可管理规定》,自2025年3月1日起施行。该规定由国家安全部等四部门联合制定,是落实党的二十大和二十届三中全会精神的重要举措,也是细化完善《反间谍法》配套制度的重要成果。规定共6章38条,严格细化建审许可工作程序,注重与建设项目领域法律法规对接。国家安全机关将依法依规开展工作,加强协作,保护公民和组织合法权益。
资料来源:https://www.secrss.com/articles/74682
3.美国总统拜登签署《关于加强和促进国家网络安全的行政命令》
1月16日,美国总统拜登签署《关于加强和促进国家网络安全的行政命令》,旨在应对网络威胁,特别是东方大国的攻击。命令提出多项措施,包括加强软件供应链安全、提升联邦系统网络安全、保障联邦通信安全、推动量子计算与后量子密码学发展、打击网络犯罪与身份欺诈、应用人工智能于网络安全、保护国家安全系统等,为联邦政府网络安全设定了明确目标和框架。
资料来源:http://9t5vm.dz115.sbs/4w71wif
4.美国海岸警卫队发布关于海事安全和网络安全标准的最终规则
1月16日,据媒体报道,美国海岸警卫队将于本周发布涵盖海上安全法规的最终规则,为悬挂美国国旗的船只、外大陆架设施和受2002年《海上运输安全法》法规约束的设施制定最低网络安全要求。该规则旨在通过增加最低网络安全要求来帮助检测风险并响应网络安全事件并从中恢复,从而解决海上运输系统中当前和新出现的网络安全威胁。最终规则包括制定和维护网络安全计划、任命网络安全官以及实施各种策略以确保维护网络安全的任务。此外,海岸警卫队正在就可能延长悬挂美国国旗的船只的实施时间表征求反馈意见。
资料来源:http://d6fjn.dz115.sbs/GKzgquM
5.美国NIST就反映CSF 2.0增强功能的勒索软件社区概况草案征求意见
1月16日,据媒体报道,美国国家科学技术研究所(NIST)通过其国家网络安全卓越中心(NCCoE)部门发布了勒索软件社区概况草案,反映了从CSF 1.1到CSF 2.0的更改,旨在管理、检测、响应勒索软件事件并从中恢复。NIST正在征求对风险管理框架修订草案的反馈,以指导未来的勒索软件预防指南。该草案适用于任何可能受勒索软件攻击的组织,无论其行业或规模如何。
资料来源:http://oarim.dz115.sbs/gjSXPRQ
安全漏洞
6.Ivanti多款产品存在缓冲区溢出漏洞(CVE-2025-0282)
1月17日,据媒体报道,研究人员在Ivanti Connect Secure、Policy Secure和Neurons for ZTA网关存在关键远程代码执行漏洞CVE-2025-0282,CVSS评分9.0,影响22.7R2.5前的Connect Secure版本、22.7R1.2前的Policy Secure版本及22.7R2.3前的ZTA网关的Neurons。未经身份验证的远程攻击者可利用该漏洞实现远程代码执行,且已有在野利用。MITRE ATT&CK技术显示,攻击者可借此实现初始访问、执行任意代码及权限提升。Ivanti已发布安全更新,建议用户立即升级。
资料来源:http://kju6n.dz114.sbs/Ht2XHyn
7.SimpleHelp远程访问软件中被曝存在多个严重漏洞
1月15日,据媒体报道,网络安全研究人员在SimpleHelp远程访问软件中发现多个安全漏洞,包括路径遍历(CVE-2024-57727)、任意文件上传(CVE-2024-57728)和权限提升(CVE-2024-57726)漏洞。这些漏洞可导致信息泄露、权限提升和远程代码执行。攻击者可利用这些漏洞下载任意文件、上传恶意文件并提升权限。这些漏洞已在SimpleHelp 5.3.9、5.4.10和5.5.8版本中修复。用户需迅速应用补丁,并更改管理员密码,轮换技术员账户密码,限制登录IP地址。
资料来源:http://cwpbm.dz115.sbs/fwr64rA
安全事件
8.惠普企业遭遇重大数据泄露
1月16日,据暗网论坛报道,惠普企业(HPE)遭遇重大数据泄露,攻击者IntelBroker、zjj和EnergyWeaponUser声称负责。泄露数据包括私有GitHub存储库、Docker构建、SAP Hybris文档、证书、产品源代码、API访问凭据、WePay集成、自托管GitHub存储库及用户个人身份信息(PII)。攻击者在暗网论坛BreachForums公开部分数据并提供证据。此次事件可能严重影响HPE的运营和声誉,导致知识产权盗窃、客户信任受损、运营中断风险及潜在后续攻击。
资料来源:http://mcsnn.dz114.sbs/zcI1ltw
9.疑似乌克兰黑客组织攻击俄罗斯工业企业
1月16日,据媒体报道,疑似与乌克兰有关的黑客组织Sticky Werewolf正在对俄罗斯科学和工业企业进行网络间谍活动。该组织通过伪装成俄罗斯工业和贸易部的欺诈电子邮件,向当地国防工业公司发送带有恶意档案的邮件,一旦打开,就会传递名为Ozone的远程访问恶意软件。Sticky Werewolf主要针对俄罗斯、波兰和白俄罗斯的政府机构、研究机构和工业企业,其工具包包括Darktrack和Ozone远程访问木马,以及Glory Stealer和MetaStealer恶意软件。该组织是攻击俄罗斯最活跃的民族国家威胁行为者之一,尽管基辅从未公开承认与其有联系。目前尚不清楚Sticky Werewolf的最新活动有多成功,但F.A.C.C.T.表示攻击始于“新年假期之后”。
资料来源:https://therecord.media/suspected-ukraine-hackers-russian-phishing
10.15,000台Fortinet防火墙数据被黑客泄露
1月15日,名为“Belsen Group”的威胁行为者公开了超过15,000台Fortinet FortiGate防火墙的配置文件和VPN凭据。泄露的数据包括IP地址、用户名、密码(部分为明文)、设备管理证书和完整的防火墙规则。这些数据据信是通过2022年的一个零日漏洞(CVE-2022-40684)获取的,该漏洞影响Fortinet的FortiOS、FortiProxy和FortiSwitchManager产品。安全研究员Kevin Beaumont确认了数据的真实性,并指出即使组织在2022年应用了补丁,其配置文件和凭据可能早在几年前就被窃取,因此仍面临风险。受影响的设备主要位于墨西哥、美国和德国。
资料来源:https://cybersecuritynews.com/fortigate-firewall-configs-leaked/
11.美国西黑文市遭网络攻击,麒麟勒索软件组织声称负责
1月14日,据媒体报道,康涅狄格州西黑文市遭网络攻击,迫使暂时关闭所有IT系统。市政府正在调查,未明确具体日期。市长Dorinda Borer称,仍在评估受影响数据。此次攻击发生在美国多个城市报告假期网络事件期间,马萨诸塞州伯恩镇也报告IT网络遭入侵。麒麟勒索软件组织声称负责,该组织去年攻击血液检测巨头Synnovis,导致伦敦近100万人医疗数据泄露,1,100多例手术被推迟。
资料来源:https://therecord.media/west-haven-connecticut-city-government-cyberattack
风险预警
12.Pumakit Linux Rootkit威胁关键基础设施
1月17日,据媒体报道,Elastic Security Labs发现了一种名为Pumakit的隐蔽且复杂的Linux Rootkit,针对电信、金融和国家安全等关键基础设施部门。Pumakit采用复杂规避技术在内核级别运行,通过多阶段感染过程,包括投放器、内存驻留可执行文件、内核模块rootkit和用户空间rootkit等组件,可隐藏文件和网络活动、篡改系统日志、禁用安全工具等,实现长期控制和数据盗窃。其仅在满足特定条件时激活,检测难度大。Elastic Security Labs发布了YARA规则帮助检测,建议组织积极监控入侵指标并实施防御措施。
资料来源:https://cybersecuritynews.com/pumakit-linux-rootkit/
13.数百万VPN服务器和路由器暴露于新的隧道协议漏洞
1月16日,研究人员Simon Migliano和Mathy Vanhoef发布报告称,超过400万台互联网主机,包括VPN服务器和私人家庭宽带路由器,因隧道协议中的新漏洞(CVE-2024-7595、CVE-2025-23018/23019和CVE-2024-7596)易被劫持,以执行匿名攻击并提供对其私有网络的访问。这些漏洞影响多种隧道协议,如IPIP/IP6IP6、GRE/GRE6、4in6和6in4,使主机可被滥用为单向代理,执行包括DNS欺骗、传统放大DoS攻击等在内的多种攻击。受影响最严重的国家包括中国、法国、日本、美国和巴西。专家建议使用IPsec或WireGuard等更安全的协议来提供身份验证和加密,以防止此类攻击。
资料来源:http://pbvpn.dz114.sbs/drCTXIy
14.黑客利用Aviatrix控制器漏洞部署后门和加密矿工
1月13日,据媒体报道,黑客正利用Aviatrix Controller的CVE-2024-50603漏洞部署后门和加密货币矿工。该漏洞CVSS评分10分,影响所有低于7.2.4996或7.1.4191版本的Aviatrix Controller,允许未经身份验证的远程代码执行。Aviatrix已发布补丁,建议用户尽快升级。
资料来源:https://thehackernews.com/2025/01/hackers-exploit-aviatrix-controller.html
安全技术
15.Stratejm集成了Nozomi Vantage以增强云安全性
1月14日,据媒体报道,Nozomi Networks与加拿大托管安全服务提供商Stratejm达成合作,Stratejm成为加拿大首家集成Nozomi Vantage云平台的MSSP。该平台可实现跨OT、IoT、IT、边缘和云资产的全面安全监控和风险管理,通过单一管理平台进行统一。Stratejm的安全即服务将为客户提供Nozomi Vantage平台,扩展安全可见性、资产管理和风险评估,助力加拿大企业实现高级漏洞评估、威胁检测和响应。
资料来源:http://qau7m.dz115.sbs/GQqvXwR
融资并购
16.Grupo Bimbo Ventures投资NanoLock Security以增强工业网络解决方案
1月15日,据媒体报道,Grupo Bimbo Ventures,作为全球领先的烘焙公司Grupo Bimbo的风险投资部门,宣布对NanoLock Security进行战略投资。NanoLock Security是一家为工业制造和关键基础设施提供OT网络安全和管理解决方案的供应商。此次投资突显了Grupo Bimbo致力于拥抱创新,使全球市场和需求受益。食品行业在国家复原力方面发挥着关键作用,但日益成为网络威胁行为者的目标。NanoLock Security的解决方案旨在保护工业系统,确保关键操作的完整性和安全性。Grupo Bimbo Ventures是NanoLock Security的少数股东,与Awz Ventures一起投资。
资料来源:http://uzjqm.dz115.sbs/yfVLlhet






