工业网络安全周报（2025年第2期）

本期摘要

政策法规方面，本周观察到国外网络安全相关政策法规6项，值得关注的有1.美国土安全部发布《公共部门生成式人工智能部署手册》。

漏洞态势方面，本周监测到漏洞动态10条，值得关注的有东北大学发现Wi-Fi MU-MIMO技术存在重大安全漏洞，攻击者可利用该技术秘密注入恶意信息。

安全事件方面，本周监测到重大网络安全事件12起，其中典型的事件有国际民用航空组织(ICAO)数据泄露。

风险预警方面，俄罗斯SORM监控系统正在扩大其跨境范围，追踪个人，并限制全球多个国家的自由。

安全技术方面，Criminal IP在Microsoft Marketplace上推出实时网络钓鱼检测工具。

01、美国土安全部发布《公共部门生成式人工智能部署手册》

1月9日，美国国土安全部发布《公共部门生成人工智能部署手册》，基于试点项目经验，提供七步指导公共部门使用GenAI技术。包括开发任务增强用例、建立联盟和治理、评估工具和基础设施、负责任使用AI、测量进度、培训员工和技术招聘、以及收集用户反馈。手册旨在促进GenAI在保护隐私和公民权利的同时，提升公共服务效率。

资料来源：http://enjqm.dz115.sbs/ws6aCWK

02、印度发布《数字个人数据保护法》草案规则

1月3日，印度政府发布《数字个人数据保护法》草案规则，开放公众咨询至2月18日。规则旨在确保数据收集和使用的透明度，要求数据受托人向用户提供清晰通知并获得知情同意。引入“同意管理人”机制，数据受托人需在数据泄露后72小时内通知印度数据保护委员会，并采取加密等技术措施保护数据。规则还要求重要数据受托人定期进行数据保护影响评估和审计。

资料来源：https://innovateindia.mygov.in/dpdp-rules-2025/

03、美国土安全部

1月9日，据媒体报道，东北大学研究团队发现现代Wi-Fi网络中的MU-MIMO技术存在重大安全漏洞，攻击者可利用该技术秘密注入恶意信息，降低其他用户的互联网速度。修复漏洞需更新Wi-Fi标准，涉及IEEE等标准组织的复杂流程，可能需等到Wi-Fi 8标准更新。研究团队建议加密Wi-Fi控制数据以缓解问题，但可能影响网络性能。

资料来源：http://a6xan.dz115.sbs/AnE7pUE

04、CVE-2024-52875提供对数千个企业防火墙的root访问权限

1月9日，据媒体报道，黑客正在利用GFI KerioControl防火墙中的CVE-2024-52875漏洞，这是一个CRLF注入漏洞，允许通过单击执行远程代码。受影响版本为9.2.5-9.4.5。攻击者可利用该漏洞操纵HTTP标头和响应，窃取Cookie和CSRF令牌，上传恶意IMG文件，激活反向shell。据Censys数据，网络上有23,862个KerioControl实例，但不清楚具体多少易受攻击。GFI Software已发布9.4.5补丁1修复此问题，建议用户立即安装补丁，并采取临时措施提高安全性。

资料来源：https://www.securitylab.ru/news/555294.php

05、云网络管理平台Aviatrix Controller被爆严重漏洞

1月8日，据媒体报道，云网络管理平台Aviatrix Controller中被爆存在严重漏洞，漏洞编号CVE-2024-50603，CVSS评分为10，允许未经身份验证的远程攻击者执行任意命令。受影响版本为7.x到7.2.4820。补丁已发布。FOFA显示约3,680个控制器暴露在互联网上，增加了被利用的风险。建议立即更新软件，限制访问，并实施严格的安全控制。

资料来源：http://q9dgm.dz115.sbs/DvkwIt3

06、Moxa路由器存在严重漏洞，可导致权限提升

1月7日，据媒体报道，工业网络和通信提供商Moxa在其蜂窝路由器、安全路由器和网络安全设备中发现两个严重漏洞：CVE-2024-9138和CVE-2024-9140。这些漏洞分别允许权限提升和OS命令注入，存在重大安全风险。受影响的产品包括EDR-8010、EDR-G9004、EDR-G9010、EDF-G1002-BP、NAT-102、OnCell G4302-LTE4和TN-4900等系列。Moxa已发布固件更新，建议立即采取行动。对于NAT-102系列，需采取缓解措施。专家建议管理员尽快应用固件更新，以防止潜在的漏洞利用。

资料来源：http://wlgnn.dz114.sbs/FOE9H6W

07、国际民用航空组织(ICAO)数据泄露

1月10日，国际民用航空组织(ICAO)报告了一起重大信息安全事件，导致约42,000名申请人的个人数据被泄露。该事件归因于一个以针对国际组织而闻名的恶意威胁行为者。受损的招聘申请数据涵盖了2016年4月到2024年7月期间的信息，包括姓名、电子邮件地址、出生日期和工作经历等。重要的是，受影响的数据不包含敏感的财务信息、密码、护照详细信息或申请人上传的任何文件。ICAO强调，此次事件仅限于其招聘数据库，不影响与航空安全或安保运营相关的任何系统。ICAO已加强其安保措施，并正在努力识别并通知那些信息可能已被泄露的个人。

资料来源：http://ntepn.dz114.sbs/JPWaTTz

08、智能手机位置情报Gravy Analytics遭到网络攻击

1月9日，位置情报公司Gravy Analytics遭受重大网络攻击，黑客声称窃取了约17TB的敏感数据，包括客户信息、行业洞察以及用户的精确地理位置数据。黑客在论坛上发布了部分数据样本，并威胁如果公司不在24小时内回应，将公开更多信息。Gravy Analytics的客户包括苹果、Uber、康卡斯特等知名企业，以及美国国防部、国土安全部等政府机构。此次事件暴露了Gravy Analytics在数据安全方面的严重漏洞，并引发了对位置数据交易行业隐私保护的广泛关注。

资料来源：https://gbhackers.com/gravy-analytics-hit-by-cyberattack/

09、希腊制造公司未经授权访问权限在暗网出售

1月8日，威胁行为者Kornnu在暗网论坛上声称出售希腊一家未指明制造公司的未经授权访问权限，标价600美元。访问类型包括Anydesk +本地管理员访问权限，年收入少于500万美元。此次出售表明远程访问工具和管理凭证可能被滥用，用于财务盗窃、数据泄露或破坏。建议制造公司审核远程访问工具，限制管理访问，实施多重身份验证(MFA)。安全团队应定期监控网络和端点，培训员工识别网络钓鱼和社会工程策略，审查访问日志。执法部门应调查Kornnu的活动，跟踪交易，与国际合作伙伴合作拆除相关论坛。

资料来源：http://gvamm.dz114.sbs/XfKJEWM

10、卡西欧确认数据泄露

1月8日，卡西欧确认在2024年10月遭受勒索软件攻击中近8500人的个人数据被盗，包括员工、业务合作伙伴和客户的信息。攻击由Underground勒索软件团伙发起，该团伙与俄罗斯网络犯罪组织RomCom(或Storm-0978)有关。卡西欧未支付赎金，强调未泄露信用卡信息。公司承认安全措施不足，正加强网络安全。

资料来源：http://j8lom.dz115.sbs/3Ncvhtj

11、乌克兰网络联盟攻破俄罗斯ISP Nodex的网络

1月7日，乌克兰网络联盟旗下的黑客组织宣布攻破俄罗斯ISP Nodex的网络，窃取敏感文件后擦除系统。Nodex确认攻击，称网络被摧毁，正在恢复。NetBlocks证实Nodex网络连接崩溃。Nodex表示网络核心已恢复，DHCP服务器上线，客户可重新使用互联网。乌克兰网络联盟自2016年以来一直活跃，多次攻击俄罗斯实体。

资料来源：http://jobvm.dz115.sbs/FNVUfjH

12、俄罗斯SORM监控系统：全球隐私威胁与挑战

1月8日，据Recorded Future报告称，俄罗斯SORM监控系统正在扩大其跨境范围，追踪个人，并限制全球多个国家的自由。SORM监控系统自1990年代起要求电信提供商安装设备，让当局可直接访问电信流量，历经SORM-1、SORM-2、SORM-3三代，监控范围不断扩大。该系统在多国扩散，如白俄罗斯、哈萨克斯坦等，SORM技术在国外部署使俄情报部门可能访问大量截获数据，专家建议使用加密通信等方法降低隐私风险。

资料来源：https://gbhackers.com/silent-spies/

13、Web Shell使用过期域引发安全风险

1月8日，据媒体报道，watchTowr Labs 团队发现超过4,000个独特的Web Shell使用过期的域和废弃的基础设施，许多与政府机构和大学服务器相关。这些系统容易被网络犯罪分子劫持。攻击者利用这些后门访问系统，成本仅20美元/域。watchTowr注册了40多个废弃域，发现许多易受攻击的系统，包括孟加拉国、中国和尼日利亚政府服务器，以及泰国、中国和韩国的大学。重要案例是尼日利亚联邦高等法院的服务器，链接到四个Web shell。watchTowr将这些域转移给ShadowServer Foundation，确保仅用于安全活动监控。

资料来源：https://www.securitylab.ru/news/555288.php

14、Criminal IP在Microsoft Marketplace上推出实时网络钓鱼检测工具

1月9日，AI SPERA提供的Criminal IP Malicious Link Detector插件现已在Microsoft Marketplace上线，为Microsoft Outlook用户提供实时网络钓鱼电子邮件检测和URL阻止功能。该工具通过实时分析电子邮件链接，检测并阻止恶意URL和域，与Outlook完全集成且免费使用。用户只需注册、安装插件即可增强电子邮件安全性。Criminal IP在全球150多个国家和地区开展业务，并与Cisco、VirusTotal和Quad9等全球领导者合作，确保用户邮件安全。

资料来源：http://ua5ln.dz115.sbs/FkvlZcd