工业网络安全周报-2025年第4期

工业网络安全周报-2025年第4期

时间:2025-01-25 作者:安帝科技


本期摘要


政策法规方面,本周观察到国外网络安全相关政策法规10项,值得关注的有国家发改革委等部门印发《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》的通知。

漏洞态势方面,本周监测到漏洞动态17条,值得关注的有施耐德电气Easergy Studio被曝存在权限管理漏洞。

安全事件方面,本周监测到重大网络安全事件18起,其中典型的事件有威胁行为者声称泄露了菲律宾武装部队的数据、政府供应商Conduent遭网络攻击致多州政府服务中断。

风险预警方面,DeNexus对北美、欧洲和澳大利亚的254个工业站点进行分析后发现,92%的站点因远程服务存在重大网络风险,潜在损失高达150万美元。

安全技术方面,Xona Systems发布了新的Xona平台,旨在为关键基础设施和运营技术(OT)环境提供安全访问管理解决方案。

融资并购方面,云安全公司Mitiga完成3000万美元B轮融资,用于加速其在美国和欧洲的市场扩张,增强AI驱动的平台,并深化与云和SaaS解决方案的集成。

政策法规

1.《网络安全标准实践指南——人工智能生成合成内容标识 服务提供者编码规则》公开征求意见
1月22日,据媒体报道,全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南——人工智能生成合成内容标识 服务提供者编码规则(征求意见稿)》。该指南旨在为生成合成服务提供者和内容传播服务提供者提供编码规则,规范人工智能生成合成内容的文件元数据隐式标识工作。目前,该文件面向社会公开征求意见,意见反馈截止日期为2025年2月5日。
资料来源:https://www.secrss.com/articles/75051

2.美国国土安全部批准TSA安全指令以增强铁路网络安全
1月22日,美国国土安全部(DHS)宣布,运输安全监督委员会(TSOB)已批准针对关键铁路实体的安全指令,以应对网络威胁。这些指令包括对2023年和2024年批准的指令的延长和修订,旨在增强铁路系统的网络安全性和威胁响应能力。
资料来源:http://u9aym.dz114.sbs/1NyNszj

安全漏洞

3.施耐德电气Easergy Studio被曝存在权限管理漏洞(CVE-2024-9002)
1月23日,据CISA通报,施耐德电气Easergy Studio软件存在权限管理漏洞(CVE-2024-9002),CVSS评分7.8,攻击复杂度低。受影响版本为9.3.1及更早版本。攻击者可通过篡改二进制文件提升权限,未经授权访问安装目录,威胁系统机密性、完整性和可用性。该漏洞影响全球部署的商业、能源、医疗等关键基础设施行业。研究人员Charit Misra(Applied Risk B.V.)已报告此漏洞。建议用户升级至9.3.4及以上版本以缓解风险。
资料来源:https://www.cisa.gov/news-events/ics-advisories/icsa-25-023-04

4.日立能源RTU500系列固件安全漏洞(CVE-2024-2617)风险通告
1月23日,据CISA通报,日立能源RTU500系列产品存在安全检查实施不当漏洞(CVE-2024-2617),CVSS v3评分为7.2,可远程利用且攻击复杂度低。受影响固件版本包括13.5.1至13.5.3、13.4.1至13.4.4和13.2.1至13.2.7。攻击者可绕过安全更新,使用未签名固件更新设备。该漏洞影响全球能源行业的关键基础设施。日立能源已通过负责任的披露收到相关信息并采取缓解措施。
资料来源:http://rw5on.dz115.sbs/Oa4MLrk

5.施耐德电气EVlink Home Smart和Schneider Charge固件漏洞(CVE-2024-8070)风险通告
1月23日,据CISA通报,施耐德电气EVlink Home Smart和Schneider Charge充电站存在敏感信息明文存储漏洞(CVE-2024-8070),CVSS v3评分为8.5,攻击复杂度低。受影响版本包括EVlink Home Smart 2.0.6.0.0之前版本和Schneider Charge 1.13.4之前版本。漏洞会导致固件二进制文件中的测试凭据暴露,影响运输系统行业的关键基础设施。漏洞由Simon Petitjean报告,施耐德电气已发布修复版本2.0.6.0.0,建议用户尽快更新以降低风险。
资料来源:https://www.cisa.gov/news-events/ics-advisories/icsa-25-023-03

6.mySCADA myPRO管理器远程代码执行漏洞(CVE-2025-20061)
1月23日,据CISA通报,mySCADA myPRO管理器存在操作系统命令注入漏洞(CVE-2025-20061),CVSS v3.1基本分数为9.8,CVSS v4基本分数为9.3,攻击复杂度低且可远程利用。受影响产品包括myPRO Manager 1.3之前的版本和myPRO Runtime 9.2.1之前的版本。攻击者可通过向特定端口发送POST请求注入恶意命令,导致任意命令执行或敏感信息泄露。
资料来源:https://www.cisa.gov/news-events/ics-advisories/icsa-25-023-01

7.CISA披露飞机防撞系统、西门子工业设备中的安全漏洞
1月22日,CISA发布了三份公告,详细说明了飞机防撞系统、西门子工业设备中的安全漏洞。其中,交通警报和防撞系统(TCAS)II 7.1及更早版本存在漏洞(CVE-2024-9310和CVE-2024-11166),可能被攻击者利用操纵安全系统或导致拒绝服务。西门子的SIMATIC S7-1200 CPU设备存在跨站请求伪造(CSRF)漏洞(CVE-2024-47100),攻击者可通过诱骗用户点击恶意链接更改CPU模式。此外,ZF的RSSPlus设备存在身份验证绕过漏洞(CVE-2024-12054),攻击者可远程调用诊断功能,影响系统可用性。CISA建议相关用户尽快采取措施进行修复和缓解。
资料来源:http://niwbm.dz114.sbs/kT1eJzr

8.Claroty Team82发现Hunting Planet WGS-804HPT 工业交换机的三个漏洞
Claroty Team82研究部门发现Hunting Planet WGS-804HPT工业交换机存在三个漏洞,攻击者可利用这些漏洞实现远程代码执行。这些漏洞包括缓冲区溢出、整数溢出和操作系统命令注入缺陷。受影响设备广泛应用于楼宇和家庭自动化网络,连接物联网设备和IP监控摄像头。研究人员通过QEMU 仿真平台对设备固件进行分析,开发了利用这些漏洞的PoC,成功实现了远程代码执行。Planet Technology已发布固件版本1.305b241111,建议用户尽快升级以修复这些漏洞。
资料来源:http://bpfxn.dz114.sbs/uATpsM1

安全事件

9.威胁行为者声称泄露了菲律宾武装部队的数据
1月23日,据暗网论坛报道,菲律宾武装部队(AFP)被曝数据泄露。威胁者ikaruzrt声称对此次事件负责,泄露信息包括用户名、密码、日志ID等,涉及380台设备、863名客户和47名员工。泄露数据可能关联军事系统,引发安全担忧。对AFP而言,未经授权的访问可能危及国家安全,削弱公众对其网络安全的信心。菲律宾也面临被恶意利用的风险,影响国际关系。建议AFP调查事件、加强网络安全,菲律宾政府需协调盟友、强化国家网络安全政策。
资料来源:http://6zhxn.dz115.sbs/4UZtYko

10.Conduent遭网络攻击致多州政府服务中断
1月22日,据媒体报道,政府技术承包商Conduent近日因网络攻击导致其操作系统中断,影响了多个州的政府服务。Conduent发言人表示,此次中断是由于“第三方入侵”造成的,虽然入侵已被控制,但恢复过程导致部分运营中断数天。受影响的服务包括威斯康星州的儿童抚养费支付和食品援助计划,导致居民无法按时收到款项。Conduent为美国多个州提供技术解决方案,支持Medicaid、儿童抚养和食品援助等关键项目。此次事件未透露是否涉及勒索软件或数据被盗。
资料来源:https://therecord.media/government-contractor-conduent-outage-compromise

11.GamaCopy模仿Gamaredon攻击俄罗斯
1月20日,根据中国网络安全公司Knownsec的报告,一个名为GamaCopy的黑客组织正在模仿与克里姆林宫相关的Gamaredon组织的攻击策略,针对俄语用户发起网络攻击。GamaCopy使用伪装成俄罗斯武装部队在乌克兰设施位置的报告的网络钓鱼文件,并部署开源软件UltraVNC进行远程访问。尽管其攻击方式与Gamaredon相似,但GamaCopy主要使用俄语诱饵,且攻击链有所不同。研究人员推测,GamaCopy可能与另一个国家支持的黑客组织Core Werewolf有关。
资料来源:https://therecord.media/hacker-imitates-gamaredon-to-target-russia

12.Handala入侵Zuk集团,揭露摩萨德秘密洗钱和间谍网络
1月20日,国际黑客组织Handala宣布成功入侵Zuk集团公司,揭露其实际上是为以色列摩萨德(Mossad)服务的洗钱和间谍活动前线。Handala声称已获取超过3TB的机密数据,并摧毁了Zuk集团上千名员工的系统,导致其在罗马尼亚、哈萨克斯坦、格鲁吉亚和佛罗里达的摩萨德办公室关闭。此次事件揭示了Zuk集团通过合法业务掩盖摩萨德的资金流动和间谍活动,其创始人Moshe Zuk也被曝光为摩萨德高级官员。Handala的行动进一步削弱了摩萨德的全球运营能力,同时也暴露了跨国公司与情报机构之间复杂且危险的关系。
资料来源:http://dpuyn.dz115.sbs/4UZtYko

风险预警

13.DeNexus研究显示工业站点远程服务面临重大网络风险
1月21日,据媒体报道,DeNexus对北美、欧洲和澳大利亚的254个工业站点进行分析后发现,92%的站点因远程服务存在重大网络风险,潜在损失高达150万美元。研究显示,88%的站点将远程服务视为最大网络安全风险,制造业风险最高,平均预期损失达87.5万美元。DeNexus建议采取频繁漏洞扫描、多因素身份验证和网络分段等措施缓解风险。
资料来源:http://y8lln.dz115.sbs/dKkEtiY

14.Specops2025年报告:恶意软件窃取超10亿密码,揭示用户安全风险
1月21日,据媒体报道,Specops Software 2025年泄露密码报告显示,过去一年中恶意软件窃取了超过10亿个密码,揭示了用户在密码管理上的薄弱环节。尽管许多密码满足复杂性要求,但仍有大量弱密码被泄露,如“123456”和“admin”。Redline、Vidar和Raccoon Stealer成为主要的凭据窃取恶意软件,攻击范围涵盖浏览器、邮件客户端甚至VPN。报告指出,用户在多个账户中重复使用密码的做法增加了泄露风险,而被盗凭据可能被用于进一步攻击。安全专家建议实施更强密码策略、定期扫描泄露密码,并启用多重身份验证(MFA)以增强安全性。
资料来源:https://specopssoft.com/our-resources/most-common-passwords/

安全技术

15.Xona Systems推出新平台,重新定义关键基础设施安全访问管理
1月21日,Xona Systems发布了新的Xona平台,旨在为关键基础设施和运营技术(OT)环境提供安全访问管理解决方案。该平台通过基于身份的访问管理、断开不安全端点连接、零占用空间设计和实时审计功能,简化了用户访问管理,同时显著降低关键系统的攻击面。Xona平台支持多种行业标准(如IEC 62443和NERC CIP),并可快速部署(20分钟内),无需复杂配置。全球领先企业如GE和Baker Hughes已采用该平台以保护其关键基础设施。
资料来源:http://xvdjm.dz114.sbs/9fArPJa

融资并购

16.Grupo Bimbo Ventures投资NanoLock Security以增强工业网络解决方案
1月21日,据媒体报道,云安全公司Mitiga完成3000万美元B轮融资,由SYN Ventures领投,ClearSky、Atlantic Bridge、Flint Capital、DNX Ventures和Glilot Capital Partners参与。资金将用于加速其在美国和欧洲的市场扩张,增强AI驱动的平台,并深化与云和SaaS解决方案的集成。Mitiga的平台专注于云和SaaS环境中的威胁检测、调查和响应(TDIR),能将事件检测和响应速度提升90%。公司已获得Blackstone、ZoomInfo和New American Funding等蓝筹客户。
资料来源:http://kaxnm.dz115.sbs/qHf3DpZ