工業(yè)網絡安全周報（2025年第2期）

本期摘要

政策法規(guī)方面，本周觀察到國外網絡安全相關政策法規(guī)6項，值得關注的有1.美國土安全部發(fā)布《公共部門生成式人工智能部署手冊》。

漏洞態(tài)勢方面，本周監(jiān)測到漏洞動態(tài)10條，值得關注的有東北大學發(fā)現Wi-Fi MU-MIMO技術存在重大安全漏洞，攻擊者可利用該技術秘密注入惡意信息。

安全事件方面，本周監(jiān)測到重大網絡安全事件12起，其中典型的事件有國際民用航空組織(ICAO)數據泄露。

風險預警方面，俄羅斯SORM監(jiān)控系統正在擴大其跨境范圍，追蹤個人，并限制全球多個國家的自由。

安全技術方面，Criminal IP在Microsoft Marketplace上推出實時網絡釣魚檢測工具。

01、美國土安全部發(fā)布《公共部門生成式人工智能部署手冊》

1月9日，美國國土安全部發(fā)布《公共部門生成人工智能部署手冊》，基于試點項目經驗，提供七步指導公共部門使用GenAI技術。包括開發(fā)任務增強用例、建立聯盟和治理、評估工具和基礎設施、負責任使用AI、測量進度、培訓員工和技術招聘、以及收集用戶反饋。手冊旨在促進GenAI在保護隱私和公民權利的同時，提升公共服務效率。

資料來源：http://enjqm.dz115.sbs/ws6aCWK

02、印度發(fā)布《數字個人數據保護法》草案規(guī)則

1月3日，印度政府發(fā)布《數字個人數據保護法》草案規(guī)則，開放公眾咨詢至2月18日。規(guī)則旨在確保數據收集和使用的透明度，要求數據受托人向用戶提供清晰通知并獲得知情同意。引入“同意管理人”機制，數據受托人需在數據泄露后72小時內通知印度數據保護委員會，并采取加密等技術措施保護數據。規(guī)則還要求重要數據受托人定期進行數據保護影響評估和審計。

資料來源：https://innovateindia.mygov.in/dpdp-rules-2025/

03、美國土安全部

1月9日，據媒體報道，東北大學研究團隊發(fā)現現代Wi-Fi網絡中的MU-MIMO技術存在重大安全漏洞，攻擊者可利用該技術秘密注入惡意信息，降低其他用戶的互聯網速度。修復漏洞需更新Wi-Fi標準，涉及IEEE等標準組織的復雜流程，可能需等到Wi-Fi 8標準更新。研究團隊建議加密Wi-Fi控制數據以緩解問題，但可能影響網絡性能。

資料來源：http://a6xan.dz115.sbs/AnE7pUE

04、CVE-2024-52875提供對數千個企業(yè)防火墻的root訪問權限

1月9日，據媒體報道，黑客正在利用GFI KerioControl防火墻中的CVE-2024-52875漏洞，這是一個CRLF注入漏洞，允許通過單擊執(zhí)行遠程代碼。受影響版本為9.2.5-9.4.5。攻擊者可利用該漏洞操縱HTTP標頭和響應，竊取Cookie和CSRF令牌，上傳惡意IMG文件，激活反向shell。據Censys數據，網絡上有23,862個KerioControl實例，但不清楚具體多少易受攻擊。GFI Software已發(fā)布9.4.5補丁1修復此問題，建議用戶立即安裝補丁，并采取臨時措施提高安全性。

資料來源：https://www.securitylab.ru/news/555294.php

05、云網絡管理平臺Aviatrix Controller被爆嚴重漏洞

1月8日，據媒體報道，云網絡管理平臺Aviatrix Controller中被爆存在嚴重漏洞，漏洞編號CVE-2024-50603，CVSS評分為10，允許未經身份驗證的遠程攻擊者執(zhí)行任意命令。受影響版本為7.x到7.2.4820。補丁已發(fā)布。FOFA顯示約3,680個控制器暴露在互聯網上，增加了被利用的風險。建議立即更新軟件，限制訪問，并實施嚴格的安全控制。

資料來源：http://q9dgm.dz115.sbs/DvkwIt3

06、Moxa路由器存在嚴重漏洞，可導致權限提升

1月7日，據媒體報道，工業(yè)網絡和通信提供商Moxa在其蜂窩路由器、安全路由器和網絡安全設備中發(fā)現兩個嚴重漏洞：CVE-2024-9138和CVE-2024-9140。這些漏洞分別允許權限提升和OS命令注入，存在重大安全風險。受影響的產品包括EDR-8010、EDR-G9004、EDR-G9010、EDF-G1002-BP、NAT-102、OnCell G4302-LTE4和TN-4900等系列。Moxa已發(fā)布固件更新，建議立即采取行動。對于NAT-102系列，需采取緩解措施。專家建議管理員盡快應用固件更新，以防止?jié)撛诘穆┒蠢谩?/p>

資料來源：http://wlgnn.dz114.sbs/FOE9H6W

07、國際民用航空組織(ICAO)數據泄露

1月10日，國際民用航空組織(ICAO)報告了一起重大信息安全事件，導致約42,000名申請人的個人數據被泄露。該事件歸因于一個以針對國際組織而聞名的惡意威脅行為者。受損的招聘申請數據涵蓋了2016年4月到2024年7月期間的信息，包括姓名、電子郵件地址、出生日期和工作經歷等。重要的是，受影響的數據不包含敏感的財務信息、密碼、護照詳細信息或申請人上傳的任何文件。ICAO強調，此次事件僅限于其招聘數據庫，不影響與航空安全或安保運營相關的任何系統。ICAO已加強其安保措施，并正在努力識別并通知那些信息可能已被泄露的個人。

資料來源：http://ntepn.dz114.sbs/JPWaTTz

08、智能手機位置情報Gravy Analytics遭到網絡攻擊

1月9日，位置情報公司Gravy Analytics遭受重大網絡攻擊，黑客聲稱竊取了約17TB的敏感數據，包括客戶信息、行業(yè)洞察以及用戶的精確地理位置數據。黑客在論壇上發(fā)布了部分數據樣本，并威脅如果公司不在24小時內回應，將公開更多信息。Gravy Analytics的客戶包括蘋果、Uber、康卡斯特等知名企業(yè)，以及美國國防部、國土安全部等政府機構。此次事件暴露了Gravy Analytics在數據安全方面的嚴重漏洞，并引發(fā)了對位置數據交易行業(yè)隱私保護的廣泛關注。

資料來源：https://gbhackers.com/gravy-analytics-hit-by-cyberattack/

09、希臘制造公司未經授權訪問權限在暗網出售

1月8日，威脅行為者Kornnu在暗網論壇上聲稱出售希臘一家未指明制造公司的未經授權訪問權限，標價600美元。訪問類型包括Anydesk +本地管理員訪問權限，年收入少于500萬美元。此次出售表明遠程訪問工具和管理憑證可能被濫用，用于財務盜竊、數據泄露或破壞。建議制造公司審核遠程訪問工具，限制管理訪問，實施多重身份驗證(MFA)。安全團隊應定期監(jiān)控網絡和端點，培訓員工識別網絡釣魚和社會工程策略，審查訪問日志。執(zhí)法部門應調查Kornnu的活動，跟蹤交易，與國際合作伙伴合作拆除相關論壇。

資料來源：http://gvamm.dz114.sbs/XfKJEWM

10、卡西歐確認數據泄露

1月8日，卡西歐確認在2024年10月遭受勒索軟件攻擊中近8500人的個人數據被盜，包括員工、業(yè)務合作伙伴和客戶的信息。攻擊由Underground勒索軟件團伙發(fā)起，該團伙與俄羅斯網絡犯罪組織RomCom(或Storm-0978)有關。卡西歐未支付贖金，強調未泄露信用卡信息。公司承認安全措施不足，正加強網絡安全。

資料來源：http://j8lom.dz115.sbs/3Ncvhtj

11、烏克蘭網絡聯盟攻破俄羅斯ISP Nodex的網絡

1月7日，烏克蘭網絡聯盟旗下的黑客組織宣布攻破俄羅斯ISP Nodex的網絡，竊取敏感文件后擦除系統。Nodex確認攻擊，稱網絡被摧毀，正在恢復。NetBlocks證實Nodex網絡連接崩潰。Nodex表示網絡核心已恢復，DHCP服務器上線，客戶可重新使用互聯網。烏克蘭網絡聯盟自2016年以來一直活躍，多次攻擊俄羅斯實體。

資料來源：http://jobvm.dz115.sbs/FNVUfjH

12、俄羅斯SORM監(jiān)控系統：全球隱私威脅與挑戰(zhàn)

1月8日，據Recorded Future報告稱，俄羅斯SORM監(jiān)控系統正在擴大其跨境范圍，追蹤個人，并限制全球多個國家的自由。SORM監(jiān)控系統自1990年代起要求電信提供商安裝設備，讓當局可直接訪問電信流量，歷經SORM-1、SORM-2、SORM-3三代，監(jiān)控范圍不斷擴大。該系統在多國擴散，如白俄羅斯、哈薩克斯坦等，SORM技術在國外部署使俄情報部門可能訪問大量截獲數據，專家建議使用加密通信等方法降低隱私風險。

資料來源：https://gbhackers.com/silent-spies/

13、Web Shell使用過期域引發(fā)安全風險

1月8日，據媒體報道，watchTowr Labs 團隊發(fā)現超過4,000個獨特的Web Shell使用過期的域和廢棄的基礎設施，許多與政府機構和大學服務器相關。這些系統容易被網絡犯罪分子劫持。攻擊者利用這些后門訪問系統，成本僅20美元/域。watchTowr注冊了40多個廢棄域，發(fā)現許多易受攻擊的系統，包括孟加拉國、中國和尼日利亞政府服務器，以及泰國、中國和韓國的大學。重要案例是尼日利亞聯邦高等法院的服務器，鏈接到四個Web shell。watchTowr將這些域轉移給ShadowServer Foundation，確保僅用于安全活動監(jiān)控。

資料來源：https://www.securitylab.ru/news/555288.php

14、Criminal IP在Microsoft Marketplace上推出實時網絡釣魚檢測工具

1月9日，AI SPERA提供的Criminal IP Malicious Link Detector插件現已在Microsoft Marketplace上線，為Microsoft Outlook用戶提供實時網絡釣魚電子郵件檢測和URL阻止功能。該工具通過實時分析電子郵件鏈接，檢測并阻止惡意URL和域，與Outlook完全集成且免費使用。用戶只需注冊、安裝插件即可增強電子郵件安全性。Criminal IP在全球150多個國家和地區(qū)開展業(yè)務，并與Cisco、VirusTotal和Quad9等全球領導者合作，確保用戶郵件安全。

資料來源：http://ua5ln.dz115.sbs/FkvlZcd