工業(yè)網(wǎng)絡(luò)安全周報(bào)（2025年第2期）

本期摘要

政策法規(guī)方面，本周觀察到國外網(wǎng)絡(luò)安全相關(guān)政策法規(guī)6項(xiàng)，值得關(guān)注的有1.美國土安全部發(fā)布《公共部門生成式人工智能部署手冊(cè)》。

漏洞態(tài)勢(shì)方面，本周監(jiān)測(cè)到漏洞動(dòng)態(tài)10條，值得關(guān)注的有東北大學(xué)發(fā)現(xiàn)Wi-Fi MU-MIMO技術(shù)存在重大安全漏洞，攻擊者可利用該技術(shù)秘密注入惡意信息。

安全事件方面，本周監(jiān)測(cè)到重大網(wǎng)絡(luò)安全事件12起，其中典型的事件有國際民用航空組織(ICAO)數(shù)據(jù)泄露。

風(fēng)險(xiǎn)預(yù)警方面，俄羅斯SORM監(jiān)控系統(tǒng)正在擴(kuò)大其跨境范圍，追蹤個(gè)人，并限制全球多個(gè)國家的自由。

安全技術(shù)方面，Criminal IP在Microsoft Marketplace上推出實(shí)時(shí)網(wǎng)絡(luò)釣魚檢測(cè)工具。

01、美國土安全部發(fā)布《公共部門生成式人工智能部署手冊(cè)》

1月9日，美國國土安全部發(fā)布《公共部門生成人工智能部署手冊(cè)》，基于試點(diǎn)項(xiàng)目經(jīng)驗(yàn)，提供七步指導(dǎo)公共部門使用GenAI技術(shù)。包括開發(fā)任務(wù)增強(qiáng)用例、建立聯(lián)盟和治理、評(píng)估工具和基礎(chǔ)設(shè)施、負(fù)責(zé)任使用AI、測(cè)量進(jìn)度、培訓(xùn)員工和技術(shù)招聘、以及收集用戶反饋。手冊(cè)旨在促進(jìn)GenAI在保護(hù)隱私和公民權(quán)利的同時(shí)，提升公共服務(wù)效率。

資料來源：http://enjqm.dz115.sbs/ws6aCWK

02、印度發(fā)布《數(shù)字個(gè)人數(shù)據(jù)保護(hù)法》草案規(guī)則

1月3日，印度政府發(fā)布《數(shù)字個(gè)人數(shù)據(jù)保護(hù)法》草案規(guī)則，開放公眾咨詢至2月18日。規(guī)則旨在確保數(shù)據(jù)收集和使用的透明度，要求數(shù)據(jù)受托人向用戶提供清晰通知并獲得知情同意。引入“同意管理人”機(jī)制，數(shù)據(jù)受托人需在數(shù)據(jù)泄露后72小時(shí)內(nèi)通知印度數(shù)據(jù)保護(hù)委員會(huì)，并采取加密等技術(shù)措施保護(hù)數(shù)據(jù)。規(guī)則還要求重要數(shù)據(jù)受托人定期進(jìn)行數(shù)據(jù)保護(hù)影響評(píng)估和審計(jì)。

資料來源：https://innovateindia.mygov.in/dpdp-rules-2025/

03、美國土安全部

1月9日，據(jù)媒體報(bào)道，東北大學(xué)研究團(tuán)隊(duì)發(fā)現(xiàn)現(xiàn)代Wi-Fi網(wǎng)絡(luò)中的MU-MIMO技術(shù)存在重大安全漏洞，攻擊者可利用該技術(shù)秘密注入惡意信息，降低其他用戶的互聯(lián)網(wǎng)速度。修復(fù)漏洞需更新Wi-Fi標(biāo)準(zhǔn)，涉及IEEE等標(biāo)準(zhǔn)組織的復(fù)雜流程，可能需等到Wi-Fi 8標(biāo)準(zhǔn)更新。研究團(tuán)隊(duì)建議加密Wi-Fi控制數(shù)據(jù)以緩解問題，但可能影響網(wǎng)絡(luò)性能。

資料來源：http://a6xan.dz115.sbs/AnE7pUE

04、CVE-2024-52875提供對(duì)數(shù)千個(gè)企業(yè)防火墻的root訪問權(quán)限

1月9日，據(jù)媒體報(bào)道，黑客正在利用GFI KerioControl防火墻中的CVE-2024-52875漏洞，這是一個(gè)CRLF注入漏洞，允許通過單擊執(zhí)行遠(yuǎn)程代碼。受影響版本為9.2.5-9.4.5。攻擊者可利用該漏洞操縱HTTP標(biāo)頭和響應(yīng)，竊取Cookie和CSRF令牌，上傳惡意IMG文件，激活反向shell。據(jù)Censys數(shù)據(jù)，網(wǎng)絡(luò)上有23,862個(gè)KerioControl實(shí)例，但不清楚具體多少易受攻擊。GFI Software已發(fā)布9.4.5補(bǔ)丁1修復(fù)此問題，建議用戶立即安裝補(bǔ)丁，并采取臨時(shí)措施提高安全性。

資料來源：https://www.securitylab.ru/news/555294.php

05、云網(wǎng)絡(luò)管理平臺(tái)Aviatrix Controller被爆嚴(yán)重漏洞

1月8日，據(jù)媒體報(bào)道，云網(wǎng)絡(luò)管理平臺(tái)Aviatrix Controller中被爆存在嚴(yán)重漏洞，漏洞編號(hào)CVE-2024-50603，CVSS評(píng)分為10，允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者執(zhí)行任意命令。受影響版本為7.x到7.2.4820。補(bǔ)丁已發(fā)布。FOFA顯示約3,680個(gè)控制器暴露在互聯(lián)網(wǎng)上，增加了被利用的風(fēng)險(xiǎn)。建議立即更新軟件，限制訪問，并實(shí)施嚴(yán)格的安全控制。

資料來源：http://q9dgm.dz115.sbs/DvkwIt3

06、Moxa路由器存在嚴(yán)重漏洞，可導(dǎo)致權(quán)限提升

1月7日，據(jù)媒體報(bào)道，工業(yè)網(wǎng)絡(luò)和通信提供商Moxa在其蜂窩路由器、安全路由器和網(wǎng)絡(luò)安全設(shè)備中發(fā)現(xiàn)兩個(gè)嚴(yán)重漏洞：CVE-2024-9138和CVE-2024-9140。這些漏洞分別允許權(quán)限提升和OS命令注入，存在重大安全風(fēng)險(xiǎn)。受影響的產(chǎn)品包括EDR-8010、EDR-G9004、EDR-G9010、EDF-G1002-BP、NAT-102、OnCell G4302-LTE4和TN-4900等系列。Moxa已發(fā)布固件更新，建議立即采取行動(dòng)。對(duì)于NAT-102系列，需采取緩解措施。專家建議管理員盡快應(yīng)用固件更新，以防止?jié)撛诘穆┒蠢谩?/p>

資料來源：http://wlgnn.dz114.sbs/FOE9H6W

07、國際民用航空組織(ICAO)數(shù)據(jù)泄露

1月10日，國際民用航空組織(ICAO)報(bào)告了一起重大信息安全事件，導(dǎo)致約42,000名申請(qǐng)人的個(gè)人數(shù)據(jù)被泄露。該事件歸因于一個(gè)以針對(duì)國際組織而聞名的惡意威脅行為者。受損的招聘申請(qǐng)數(shù)據(jù)涵蓋了2016年4月到2024年7月期間的信息，包括姓名、電子郵件地址、出生日期和工作經(jīng)歷等。重要的是，受影響的數(shù)據(jù)不包含敏感的財(cái)務(wù)信息、密碼、護(hù)照詳細(xì)信息或申請(qǐng)人上傳的任何文件。ICAO強(qiáng)調(diào)，此次事件僅限于其招聘數(shù)據(jù)庫，不影響與航空安全或安保運(yùn)營相關(guān)的任何系統(tǒng)。ICAO已加強(qiáng)其安保措施，并正在努力識(shí)別并通知那些信息可能已被泄露的個(gè)人。

資料來源：http://ntepn.dz114.sbs/JPWaTTz

08、智能手機(jī)位置情報(bào)Gravy Analytics遭到網(wǎng)絡(luò)攻擊

1月9日，位置情報(bào)公司Gravy Analytics遭受重大網(wǎng)絡(luò)攻擊，黑客聲稱竊取了約17TB的敏感數(shù)據(jù)，包括客戶信息、行業(yè)洞察以及用戶的精確地理位置數(shù)據(jù)。黑客在論壇上發(fā)布了部分?jǐn)?shù)據(jù)樣本，并威脅如果公司不在24小時(shí)內(nèi)回應(yīng)，將公開更多信息。Gravy Analytics的客戶包括蘋果、Uber、康卡斯特等知名企業(yè)，以及美國國防部、國土安全部等政府機(jī)構(gòu)。此次事件暴露了Gravy Analytics在數(shù)據(jù)安全方面的嚴(yán)重漏洞，并引發(fā)了對(duì)位置數(shù)據(jù)交易行業(yè)隱私保護(hù)的廣泛關(guān)注。

資料來源：https://gbhackers.com/gravy-analytics-hit-by-cyberattack/

09、希臘制造公司未經(jīng)授權(quán)訪問權(quán)限在暗網(wǎng)出售

1月8日，威脅行為者Kornnu在暗網(wǎng)論壇上聲稱出售希臘一家未指明制造公司的未經(jīng)授權(quán)訪問權(quán)限，標(biāo)價(jià)600美元。訪問類型包括Anydesk +本地管理員訪問權(quán)限，年收入少于500萬美元。此次出售表明遠(yuǎn)程訪問工具和管理憑證可能被濫用，用于財(cái)務(wù)盜竊、數(shù)據(jù)泄露或破壞。建議制造公司審核遠(yuǎn)程訪問工具，限制管理訪問，實(shí)施多重身份驗(yàn)證(MFA)。安全團(tuán)隊(duì)?wèi)?yīng)定期監(jiān)控網(wǎng)絡(luò)和端點(diǎn)，培訓(xùn)員工識(shí)別網(wǎng)絡(luò)釣魚和社會(huì)工程策略，審查訪問日志。執(zhí)法部門應(yīng)調(diào)查Kornnu的活動(dòng)，跟蹤交易，與國際合作伙伴合作拆除相關(guān)論壇。

資料來源：http://gvamm.dz114.sbs/XfKJEWM

10、卡西歐確認(rèn)數(shù)據(jù)泄露

1月8日，卡西歐確認(rèn)在2024年10月遭受勒索軟件攻擊中近8500人的個(gè)人數(shù)據(jù)被盜，包括員工、業(yè)務(wù)合作伙伴和客戶的信息。攻擊由Underground勒索軟件團(tuán)伙發(fā)起，該團(tuán)伙與俄羅斯網(wǎng)絡(luò)犯罪組織RomCom(或Storm-0978)有關(guān)。卡西歐未支付贖金，強(qiáng)調(diào)未泄露信用卡信息。公司承認(rèn)安全措施不足，正加強(qiáng)網(wǎng)絡(luò)安全。

資料來源：http://j8lom.dz115.sbs/3Ncvhtj

11、烏克蘭網(wǎng)絡(luò)聯(lián)盟攻破俄羅斯ISP Nodex的網(wǎng)絡(luò)

1月7日，烏克蘭網(wǎng)絡(luò)聯(lián)盟旗下的黑客組織宣布攻破俄羅斯ISP Nodex的網(wǎng)絡(luò)，竊取敏感文件后擦除系統(tǒng)。Nodex確認(rèn)攻擊，稱網(wǎng)絡(luò)被摧毀，正在恢復(fù)。NetBlocks證實(shí)Nodex網(wǎng)絡(luò)連接崩潰。Nodex表示網(wǎng)絡(luò)核心已恢復(fù)，DHCP服務(wù)器上線，客戶可重新使用互聯(lián)網(wǎng)。烏克蘭網(wǎng)絡(luò)聯(lián)盟自2016年以來一直活躍，多次攻擊俄羅斯實(shí)體。

資料來源：http://jobvm.dz115.sbs/FNVUfjH

12、俄羅斯SORM監(jiān)控系統(tǒng)：全球隱私威脅與挑戰(zhàn)

1月8日，據(jù)Recorded Future報(bào)告稱，俄羅斯SORM監(jiān)控系統(tǒng)正在擴(kuò)大其跨境范圍，追蹤個(gè)人，并限制全球多個(gè)國家的自由。SORM監(jiān)控系統(tǒng)自1990年代起要求電信提供商安裝設(shè)備，讓當(dāng)局可直接訪問電信流量，歷經(jīng)SORM-1、SORM-2、SORM-3三代，監(jiān)控范圍不斷擴(kuò)大。該系統(tǒng)在多國擴(kuò)散，如白俄羅斯、哈薩克斯坦等，SORM技術(shù)在國外部署使俄情報(bào)部門可能訪問大量截獲數(shù)據(jù)，專家建議使用加密通信等方法降低隱私風(fēng)險(xiǎn)。

資料來源：https://gbhackers.com/silent-spies/

13、Web Shell使用過期域引發(fā)安全風(fēng)險(xiǎn)

1月8日，據(jù)媒體報(bào)道，watchTowr Labs 團(tuán)隊(duì)發(fā)現(xiàn)超過4,000個(gè)獨(dú)特的Web Shell使用過期的域和廢棄的基礎(chǔ)設(shè)施，許多與政府機(jī)構(gòu)和大學(xué)服務(wù)器相關(guān)。這些系統(tǒng)容易被網(wǎng)絡(luò)犯罪分子劫持。攻擊者利用這些后門訪問系統(tǒng)，成本僅20美元/域。watchTowr注冊(cè)了40多個(gè)廢棄域，發(fā)現(xiàn)許多易受攻擊的系統(tǒng)，包括孟加拉國、中國和尼日利亞政府服務(wù)器，以及泰國、中國和韓國的大學(xué)。重要案例是尼日利亞聯(lián)邦高等法院的服務(wù)器，鏈接到四個(gè)Web shell。watchTowr將這些域轉(zhuǎn)移給ShadowServer Foundation，確保僅用于安全活動(dòng)監(jiān)控。

資料來源：https://www.securitylab.ru/news/555288.php

14、Criminal IP在Microsoft Marketplace上推出實(shí)時(shí)網(wǎng)絡(luò)釣魚檢測(cè)工具

1月9日，AI SPERA提供的Criminal IP Malicious Link Detector插件現(xiàn)已在Microsoft Marketplace上線，為Microsoft Outlook用戶提供實(shí)時(shí)網(wǎng)絡(luò)釣魚電子郵件檢測(cè)和URL阻止功能。該工具通過實(shí)時(shí)分析電子郵件鏈接，檢測(cè)并阻止惡意URL和域，與Outlook完全集成且免費(fèi)使用。用戶只需注冊(cè)、安裝插件即可增強(qiáng)電子郵件安全性。Criminal IP在全球150多個(gè)國家和地區(qū)開展業(yè)務(wù)，并與Cisco、VirusTotal和Quad9等全球領(lǐng)導(dǎo)者合作，確保用戶郵件安全。

資料來源：http://ua5ln.dz115.sbs/FkvlZcd