工業網絡安全周報(2025年第16期)
本期摘要
政策法規方面,工業和信息化部發布引發《國家智能制造標準體系建設指南(2024
版)》、《醫藥工業數智化轉型實施方案(2025—2030年)》的通知。
漏洞預警方面����,CISA警告Siemens、Schneider
Electric和ABB的ICS設備存在關鍵漏洞,可能影響工業控制系統;SAP零日漏洞或被初始訪問中介利用,加劇攻擊風險����;思科部分產品受Erlang/OTP漏洞影響����。2025年第一季度數據顯示,28.3%的CVE在披露后24小時內即被利用����,凸顯漏洞響應緊迫性����。此外����,Brocade
Fabric OS的CVE-2025-1976漏洞已被積極利用,Yokogawa
Recorder漏洞也可能導致工業系統被劫持����。工業領域需加強漏洞監測與修復����。
安全事件方面,跨國"電力寄生蟲"網絡釣魚攻擊瞄準全球能源巨頭及消費品牌����,韓國電信巨頭SK
Telecom遭黑客攻擊����,凸顯關鍵基礎設施的威脅����。德克薩斯城市系統癱瘓����、Ahold
Delhaize數據泄露及西班牙飲用水供應商遭攻擊。此外����,ToyMaker黑客通過SSH和文件傳輸工具入侵主機����,Lazarus
APT組織利用1day漏洞攻擊目標����,偽裝成Alpine Quest的Android間諜軟件針對俄羅斯軍事設備,反映攻擊者技術日益隱蔽和復雜����。
風險預警方面����,云服務安全威脅加劇,2024年針對Cloud Single
Sign-On(SSO)的攻擊顯著增加����,威脅企業身份認證體系����。黑客采用更隱蔽的欺騙手段,如偽裝成合法軟件更新的惡意程序誘導用戶安裝����。Verizon最新DBIR報告指出����,勒索軟件攻擊者正將矛頭轉向防御較弱的中小企業����。此外,Linux系統安全面臨新挑戰����,io_uring
PoC Rootkit可繞過基于系統調用的檢測工具。
產業發展方面,FBI《2024年互聯網犯罪報告》顯示����,網絡犯罪造成的損失高達166億美元����,其中勒索軟件攻擊持續增長。
政策法規
01、兩部門聯合印發《國家智能制造標準體系建設指南(2024 版)》
2025年4月22日,為落實《“十四五”智能制造發展規劃》����,深入實施智能制造工程����,打造智能制造“升級版”����,工業和信息化部、國家標準化管理委員會近日聯合印發《國家智能制造標準體系建設指南(2024版)》。指南提出到2026年,制修訂100項以上國家標準與行業標準的目標����。在前三版基礎上����,新版《指南》優化了標準體系框架和標準布局,進一步聚焦人工智能等新技術與制造業的融合應用����,新增了工業軟件����、智能裝備、制造模式等標準方向����,以及輕工����、化工等細分行業標準體系建設內容����。
資料來源:http://vd1.9dw9.sbs/FgVz9My
02、工業和信息化部等七部門印發《醫藥工業數智化轉型實施方案(2025—2030年)》
2025年4月24日����,工業和信息化部����、商務部����、國家衛生健康委等七部門近日聯合印發《醫藥工業數智化轉型實施方案(2025—2030年)》(以下簡稱《實施方案》)����,提出到2030年,規上醫藥工業企業基本實現數智化轉型全覆蓋,并聚焦數智技術賦能行動����、數智轉型推廣行動����、數智服務體系建設行動����、數智監管提升行動等四個方面系統提出14項具體工作任務,以場景化����、圖譜化方式推進醫藥工業高端化����、智能化����、綠色化����、融合化發展。
資料來源:http://on1.9dw9.sbs/Vt4aMTi
漏洞預警
03����、CISA 標記了 Siemens����、Schneider Electric����、ABB 設備中的關鍵 ICS 漏洞
2025年4月23日,美國網絡安全和基礎設施安全局 (CISA) 周二發布了五項
ICS(工業控制系統)公告����,及時提供有關當前安全問題、漏洞和圍繞關鍵硬件的漏洞利用的信息。該機構警告稱,西門子����、施耐德電氣和 ABB
硬件部署在關鍵基礎設施安裝中存在安全漏洞����。CISA 警告稱,西門子 TeleControl Server Basic V3.1.2.2 之前的版本存在“SQL
命令中使用的特殊元素的不當SQL
注入”漏洞,該漏洞已在全球范圍內部署在能源����、水和廢水以及運輸部門。并補充“成功利用這些漏洞可能允許攻擊者讀取和寫入應用程序的數據庫,導致拒絕服務條件,并在作系統
shell 中執行代碼?���!盋ISA 還披露了施耐德電氣的 Wiser Home Controller WHC-5918A
中存在“將敏感信息暴露給未經授權的行為者”漏洞����,并提到“成功利用此漏洞可能允許攻擊者泄露敏感憑據”。CISA 披露 ABB MV Drives
設備包含“內存緩沖區范圍內的作限制不當”和“輸入驗證不當,越界寫入”漏洞����,用于關鍵制造部門����,并提到“成功利用這些漏洞可能允許攻擊者獲得對驅動器的完全訪問權限或導致拒絕服務情況”����。
資料來源:http://oa1.9dw9.sbs/8kgmqKS
04����、SAP零日漏洞可能被Initial Access Broker利用
2025年4月25日����,超過10,000個SAP應用程序可能受到一個關鍵的零日漏洞的影響����,該漏洞已在代碼執行攻擊中被利用����。該安全缺陷被跟蹤為CVE-2025-31324(CVSS
評分為 10/10),被描述為SAP NetWeaver的Visual Composer元數據上傳器組件中缺乏適當的授權(缺少授權檢查)����。據NIST
公告中提到����,該漏洞允許“未經身份驗證的代理上傳可能嚴重損害主機系統的潛在惡意可執行二進制文件”����。SAP 更新了其 2025 年 4 月安全補丁日公告����,包括針對
NetWeaver 漏洞的安全說明����。
資料來源:https://www.securityweek.com/sap-zero-day-possibly-exploited-by-initial-access-broker/
05����、思科確認部分產品受嚴重Erlang/OTP漏洞影響
2025年4月24日����,思科正在調查最近披露的Erlang/OTP漏洞的影響,并已確認其多款產品受到嚴重遠程代碼執行漏洞的影響����。Erlang/OTP的SSH實現中發現了一個允許設備接管的嚴重漏洞����。該漏洞由德國波鴻魯爾大學的一組研究人員發現,編號為
CVE-2025-32433����,它被描述為SSH協議消息處理問題����,可允許未經身份驗證的攻擊者訪問受影響的系統并執行任意代碼。研究人員警告稱����,漏洞利用可能導致“主機完全被攻陷����,允許第三方未經授權訪問和操縱敏感數據����,或發起拒絕服務攻擊”����。Qualys研究員Mayuresh
Dani警告說:“任何使用 Erlang/OTP 的 SSH 庫進行遠程訪問的服務(例如在 OT/IoT
設備����、邊緣計算設備中使用的服務)都容易受到攻擊?���!?/p>
資料來源:http:://re2.9dw7.sbs/NgYU0Zh
06����、2025年第1季度有159個CVE被利用—披露后24小時內利用了28.3%
2025年4月25日,2025年第一季度����,多達159個CVE標識符被標記為在野外被利用����,高于
2024年第四季度的151個����。“我們繼續看到漏洞被快速利用����,28.3%的漏洞在CVE披露后的1天內被利用����,”VulnCheck在與The Hacker
News分享的一份報告中說����。這意味著在披露后的一天內����,有45個安全漏洞在實際攻擊中被武器化����。其他14個漏洞在一個月內被利用����,另有45個漏洞在一年內被濫用����。這家網絡安全公司表示,大多數被利用的漏洞已在內容管理系統(CMS)中被發現,其次是網絡邊緣設備、作系統����、開源軟件和服務器軟件����。
資料來源:https://thehackernews.com/2025/04/159-cves-exploited-in-q1-2025-283.html
07����、Brocade Fabric OS中的關鍵CVE-2025-1976漏洞被積極利用
2025年4月22日����,已在Brocade Fabric
OS中發現一個嚴重安全漏洞,該漏洞對受影響的系統構成重大風險����。該漏洞被跟蹤為CVE-2025-1976,允許具有管理員權限的本地用戶可能以完全root
權限執行任意代碼����。該安全漏洞存在于Brocade Fabric OS的IP地址驗證過程中����。此漏洞特別嚴重����,因為它使攻擊者能夠執行任何現有的Fabric
OS命令,甚至修改Fabric OS本身,包括添加自己的子例程����。該公告將此漏洞歸類為“嚴重”漏洞����,CVSSv4 評分為
8.6����。盡管利用此漏洞需要用戶已經擁有對管理員角色的有效訪問權限,但該公告強調它“已在現場被積極利用”����,強調了解決此問題的緊迫性����。
資料來源:http://re2.9dw7.sbs/NgYU0Zh
08、Yokogawa Recorder漏洞可能讓攻擊者劫持關鍵工業系統
2025年4月21日����,在日本自動化和測量設備制造商橫河電機公司生產的一系列工業記錄儀和數據采集系統中發現了一個高嚴重性漏洞。此缺陷已被確定為CVE-2025-1863����,并被歸類為CWE-306:缺少關鍵功能的身份驗證����。該問題的CVSS
v4基本分數為9.3����,CVSS
v3.1分數為9.8,凸顯了它對受影響系統構成的極端風險����。該漏洞影響了橫河電機的各種無紙記錄儀和數據采集單元����。根據技術評估����,橫河電機漏洞可以被遠程利用,并且攻擊復雜度低����。不需要身份驗證或用戶交互����,使其成為網絡攻擊者的誘人目標����。橫河電機已為受影響產品的所有用戶發布了指南。
資料來源:http://thecyberexpress.com/yokogawa-flaw-exposes-industrial-systems/
安全事件
09����、跨國"電力寄生蟲"網絡釣魚攻擊瞄準全球能源巨頭及消費品牌
2025年4月25日,安全公司Silent Push披露名為"Power
Parasites"的大規模網絡釣魚行動正針對西門子能源����、施耐德電氣等能源企業及星鏈����、Netflix等消費品牌����。攻擊者通過150余個仿冒域名搭建虛假招聘及投資平臺����,主要針對孟加拉國、尼泊爾等亞洲地區受害者實施金融詐騙����。該行動采用多維度攻擊策略:1)利用能源行業術語注冊偽裝域名(如repsolhub[.]buzz)����;2)在YouTube等平臺投放當地語言誘餌內容����;3)偽造包含銀行信息收集功能的"雇傭協議"。盡管受害企業多次發布警告����,攻擊仍持續升級����,最新變種甚至采用邀請碼機制規避安全檢測����。分析師指出,此類攻擊正與AI偽造技術結合,通過非官方渠道精準模仿企業通信����,形成跨平臺聯動的欺詐生態����。
資料來源:http://cyberpress.org/power-parasites-phishing-attack-hits-energy-sector/
10����、韓國電信巨頭SK Telecom遭黑客攻擊
2025年4月23日,韓國電信巨頭SK電訊的系統最近遭到黑客攻擊,該公司的調查確定客戶數據已被泄露。SK
Telecom是韓國最大的無線運營商,擁有數千萬用戶����,占據韓國大約一半的市場份額����。該公司周二在其網站上發布的聲明中透露,它于4月19日檢測到了一次入侵事件����。調查顯示����,攻擊者部署了惡意軟件并成功獲取了客戶的個人信息����。目前尚不清楚SK電信是否遭遇勒索軟件攻擊。截至本文撰寫時,尚無任何已知的勒索軟件組織承認對此次攻擊負責����。
資料來源:http://www.securityweek.com/korean-telco-giant-sk-telecom-hacked/
11、網絡攻擊導致德克薩斯城系統癱瘓
2025年4月22日����,此次攻擊始于4月18日����,當時報告稱該市內部網絡中的一些系統沒有響應����,并促使立即啟動事件響應計劃����。德克薩斯州阿比林市表示����,為了確保網絡安全,已斷開受攻擊影響的關鍵資產和系統����。截至目前的信息表明����,阿比林可能已成為勒索軟件攻擊的目標����,目前還沒有任何勒索軟件組織對此表示承認。
資料來源:http://www.securityweek.com/cyberattack-knocks-texas-citys-systems-offline/
12、Ahold Delhaize確認數據在勒索軟件攻擊中被盜
2025年4月18日����,黑客組織“匿名者”(Anonymous)宣布對俄羅斯發動的大規模網絡攻擊負責,并泄露了高達10TB的數據����,并稱此舉旨在“保衛烏克蘭”����。該組織稱����,此次泄露的數據泄露暴露了與俄羅斯政府、克里姆林宮相關個人和組織以及與親俄勢力網絡相關的外國資產相關的敏感內部文件����。令人震驚的是����,泄露文件還包括一份名為“唐納德·特朗普數據泄露”的文件����,暗示這位美國前總統可能與克里姆林宮的親俄關系存在關聯或情報。
資料來源:http://securityonline.info/anonymous-releases-10tb-of-leaked-data-targeting-russia/
13����、巴塞羅那附近西班牙小鎮的飲用水供應商遭到網絡攻擊
2025年4月24日����,負責飲用水和污水處理系統的西班牙供水商Aigües de Mataró
周三宣布����,其公司計算機系統和網站遭到網絡攻擊。位于巴塞羅那以北約19英里的加泰羅尼亞沿海城鎮馬塔羅(Mataró)的市政公司表示����,供水本身和質量控制系統沒有受到影響。該公司持有一系列可能已經泄露的個人信息,包括財務和個人詳細信息��,并被鼓勵警惕利用這些泄露數據的網絡釣魚企圖��。Aigües
de Mataró補充說��,這次攻擊可能會給目前無法訪問企業服務的用戶帶來不便��,并且可能會出現計費和其他行政程序的延遲。
資料來源:http://therecord.media/cyberattack-water-supplier-barcelona-spain?&web_view=true
14、ToyMaker黑客通過SSH和文件傳輸工具入侵眾多主機
2025年4月24日,早在2023年,思科Talos發現了一起令人震驚的網絡安全漏洞��,一家關鍵基礎設施企業成為多名威脅行為者精心策劃的攻擊受害者��。最初的訪問代理被確定為“ToyMaker”��,并被確定為具有中等可信度的受經濟動機驅動的實體,利用面向互聯網的服務器中的漏洞滲透到網絡。針對關鍵基礎設施的復雜多方攻擊��。ToyMaker使用名為“LAGTOY”的自定義后門��,在一周內對眾多主機執行了快速偵察��、憑證收集和后門部署��。
資料來源:http://hc1.9dw9.sbs/HDJjvas
15、Lazarus APT通過利用1day漏洞來瞄準組織
2025年4月24日��,臭名昭著的Lazarus高級持續性威脅(APT)組織最近發起了一場網絡間諜活動��,被追蹤為“Operation
SyncHole”��,自2024年11月以來,已危害了至少六家韓國軟件��、IT、金融��、半導體和電信領域的組織��。根據詳細研究��,攻擊者采用了水坑攻擊和利用韓國廣泛使用的軟件(包括Cross
EX和 Innorix
Agent)中的漏洞的組合。該活動的復雜性在于它利用了1day漏洞��,這些漏洞在發現后不久就得到了修補��,但在短暫的暴露時間內被利用,展示了Lazarus在利用新發現的弱點進行攻擊方面的敏捷性。
資料來源:http://gbhackers.com/lazarus-apt-targets-organizations/
16��、偽裝成Alpine Quest應用程序的Android間諜軟件以俄羅斯軍事設備為目標
2025年4月23日��,網絡安全研究人員透露��,俄羅斯軍事人員是一場新的惡意活動的目標,該活動以Alpine
Quest地圖軟件為幌子分發Android間諜軟件��。Doctor We公司在一份分析報告中說:“攻擊者將此木馬隱藏在經過修改Alpine
Ques地圖軟件中��,并以各種方式分發��,包括通過俄羅斯Android應用程序目錄之一。一旦安裝在Android設備上,這個帶有惡意軟件的應用程序的外觀和功能與原始應用程序一樣,使其可以在很長一段時間內不被發現��,同時收集敏感數據��。
資料來源:http://thehackernews.com/2025/04/android-spyware-disguised-as-alpine.html
風險預警
17��、2024年針對Cloud Single Sign-On的黑客攻擊有所增加
2025年4月24日,去年,針對云基礎設施的黑客攻擊顯著增加,攻擊者利用錯誤配置和單點登錄功能部署信息竊取程序來竊取數據和憑據��。在周三發布的年度安全報告中��,Google
Mandiant表示��,該公司在2024年“應對了比以往任何時候都多的涉及云組件的漏洞”。Mandiant將攻擊數量的增加歸因于公司從本地基礎設施遷移到混合云環境,而沒有確保足夠的安全措施到位��。為了保護云環境��,Mandiant建議公司使用多因素身份驗證��,例如硬件安全密鑰或移動身份驗證器應用程序,并實施Cookie過期和密碼輪換策略。
資料來源:http://xn1.9dw9.sbs/jcXTa6r
18、黑客部署偽裝成網絡軟件更新的新惡意軟件
2025年4月23日��,已發現一個針對俄羅斯主要組織的復雜后門��,包括政府機構��、金融機構和工業部門��。這種惡意軟件以
ViPNet的合法更新為幌子分發��,ViPNet是一種廣泛使用的用于創建安全網絡的軟件套件,對受影響的實體構成重大威脅��。該惡意軟件的分發方法��、技術執行和潛在影響揭示了高級持續威脅
(APT) 參與者精心策劃的行動��。Sophisticated
Backdoor以俄羅斯組織為目標。攻擊者巧妙地冒充了ViPNet更新��,將其惡意負載打包在LZH檔案中��,以模仿真實軟件更新的結構��。卡巴斯基解決方案已將此威脅識別為
HEUR:Trojan.Win32.Loader.gen��,ViPNet 開發人員已確認對某些用戶進行針對性攻擊��,并發布安全更新和建議作為回應��。
資料來源:http://o72.9dw7.sbs/V711qYx
19、Verizon DBIR報告:小型企業被確定為勒索軟件攻擊的主要目標
2025年4月24日��,Verizon Business發布的《2025 年數據泄露調查報告》(DBIR)通過對超過
22,000起安全事件(包括12,195起已確認的數據泄露)的分析��,描繪了網絡安全形勢的嚴峻性��。該報告指出��,憑證濫用(22%)和漏洞利用(20%)是主要的初始攻擊媒介,漏洞利用激增了34%��,特別是通過針對外圍設備和VPN的零日漏洞利用��。2025年DBIR的一項重要發現是勒索軟件攻擊同比增長37%��,現在存在于44%
的泄露事件中。中小型企業(SMB)首當其沖��,勒索軟件與影響這些組織的違規行為有關��,高達88%。其認為制造業和醫療保健等行業面臨著間諜活動驅動的攻擊急劇增加��,而教育��、金融和零售行業則要努力應對針對其運營環境的持續威脅��。
資料來源:https://gbhackers.com/verizon-dbir-report-small-businesses-identified-as-key-targets/
20、Linux io_uring PoC Rootkit繞過基于系統調用的威脅檢測工具
2025年4月24日��,網絡安全研究人員展示了一種名為Cure的概念驗證(PoC)Rootkit��,它利用一種稱為io_uring的Linux異步I/O機制來繞過傳統的系統調用監控��。ARMO表示,這導致“Linux
運行時安全工具出現重大盲點”��。該公司在與The Hacker News分享的一份報告中表示:
“這種機制允許用戶應用程序無需使用系統調用即可執行各種操作��。因此��,依賴系統調用監控的安全工具無法發現僅依靠io_uring運行的rootkit?�!边@個問題不僅僅是理論上的��;這些是可被攻擊者利用的可操作漏洞��,而解決延遲使系統暴露在外。
資料來源:https://thehackernews.com/2025/04/linux-iouring-poc-rootkit-bypasses.html
產業發展
21��、FBI 的《2024 年互聯網犯罪報告》記錄了166億美元的網絡犯罪損失��,勒索軟件威脅不斷上升
2025年4月24日��,聯邦調查局(FBI)發布了《2024 年互聯網犯罪報告》,重點介紹了過去一年中向互聯網犯罪投訴中心
(IC3)報告的166億美元損失��。欺詐占這些損失的大部分��,而勒索軟件仍然是對關鍵基礎設施最普遍的威脅��,與2023年相比,投訴增加了9%��。在所有人口統計數據中��,60歲以上的個人遭受的經濟損失最高,投訴數量也最多。
資料來源:http://ct1.9dw9.sbs/myfGw3k
