工业网络安全周报（2025年第9期）

本期摘要

政策法规方面，本周观察到国外网络安全相关政策法规3项，值得关注的有美国众议院通过《联邦承包商网络安全漏洞削减法案》，要求联邦承包商实施符合NIST标准的漏洞披露政策(VDP)，以防范恶意攻击者利用其系统漏洞。

漏洞预警方面，本周监测到ICS漏洞10条，值得关注的有日立能源Relion系列设备被爆存在权限漏洞。

安全事件方面，本周监测到重大网络安全事件12起，其中典型的事件有德国制造业巨头机密项目数据遭非法兜售、泰国国家级水利设施遭黑客兜售后台权限。

风险预警方面，六个关键基础设施部门未能达到NIS2合规性;TXOne Networks调查报告显示OT系统补丁管理存在困境。

政策法规

01、美国众议院通过《联邦承包商网络安全漏洞削减法案》立法

2025年3月3日，美国众议院通过《联邦承包商网络安全漏洞削减法案》，要求联邦承包商实施符合NIST标准的漏洞披露政策(VDP)，以防范恶意攻击者利用其系统漏洞。法案提出者指出，联邦每年签订超1100万份合同，承包商接触大量敏感数据(包括公民个人信息)，强制遵循NIST规范将增强国家安全。法案获微软、Tenable等科技公司及众议院监督委员会支持，后续需参议院表决通过。

资料来源：https://www.cisa.gov/news-events/ics-advisories/icsa-25-058-01

02、日本内阁通过《人工智能相关技术的研发及应用促进法》

2025年2月28日，日本内阁通过《人工智能相关技术的研发及应用促进法》草案。该法案旨在推动人工智能技术的研发和应用，确保技术正当性和透明性，提升国际竞争力。法案未设惩罚性条款，而是通过公布侵权企业名单等方式增强威慑力。法案还明确了国家、地方政府、研究机构、企业和国民的职责分工，提出研发、人才培养、普及教育及国际合作等多项基本施策。此外，法案计划在内阁设立人工智能战略本部，负责综合管理相关技术研发及应用推进措施。

资料来源：https://www.cao.go.jp/houan/pdf/217/217anbun_2.pdf

漏洞预警

03、日立能源Relion系列设备权限漏洞预警

2025年3月6日，据CISA通报，日立能源Relion 670/650/SAM600-IO系列设备存在权限不足处理漏洞(CVE-2021-35534)，CVSS v4评分8.6，攻击复杂度低，可远程利用。攻击者可通过用户凭证或会话票据访问ODBC协议(TCP 2102)，操控数据库表，绕过安全控制，修改或禁用设备。受影响版本包括Relion 670/650系列2.2.0至2.2.4版(部分除外)，2.2.5版及以下，以及SAM600-IO系列2.2.1版。日立能源建议用户升级至安全版本，并采取防火墙隔离、限制ODBC协议使用等措施。

资料来源：https://www.cisa.gov/news-events/ics-advisories/icsa-25-065-02

04、Keysight Ixia Vision产品系列漏洞警报

2025年3月4日，据CISA通报，Keysight Ixia Vision产品系列存在多个漏洞，包括路径遍历(CVE-2025-24494、CVE-2025-21095、CVE-2025-23416)和XML外部实体引用不当(CVE-2025-24521)，CVSS v4评分最高达8.6。攻击者可利用这些漏洞远程执行代码、下载或删除文件，导致设备崩溃。受影响版本为6.3.1，修复版本为6.7.0和6.8.0。Keysight建议用户尽快升级至最新版本，并采取网络隔离、防火墙保护等措施。CISA提醒用户实施网络安全策略，避免社会工程攻击。

资料来源：https://www.cisa.gov/news-events/ics-advisories/icsa-25-063-02

05、台达电子CNCSoft-G2缓冲区溢出漏洞警报

2025年3月4日，据CISA通报，台达电子CNCSoft-G2(人机界面)版本V2.1.0.10及更早版本存在基于堆的缓冲区溢出漏洞(CVE-2025-22881)，CVSS v4评分8.5，攻击复杂度低。攻击者可通过诱导用户访问恶意页面或文件，远程执行代码。台达建议用户更新至v2.1.0.20或更高版本，并采取网络安全措施，如避免点击可疑链接、隔离控制系统、使用VPN等。CISA提醒用户采取防御措施，目前尚未发现针对该漏洞的公开利用。

资料来源：https://www.cisa.gov/news-events/ics-advisories/icsa-25-063-06

安全事件

06、德国制造业巨头机密项目数据遭非法兜售

2025年2月28日，黑客论坛用户Rey声称出售某德国顶级工业集团(年营收超900亿美元)内部项目管理系统的访问权限，权限可获取生产排期、研发文档及供应链细节等核心商业机密。卖家未公开企业名称，但暗示其为“欧洲工业自动化领导者”。交易支持议价，权限或致技术泄露与竞争失衡。事件暴露工业领域关键数据防护漏洞。

资料来源：http://rn1.9dw1.sbs/i9bMIA6

07、泰国国家级水利设施遭黑客兜售后台权限

2025年2月28日，黑客论坛用户sentap公开出售泰国水利部SCADA系统的超级管理员权限(售价15,000美元)，该系统负责全国水文监测及灾害预警。泄露权限可篡改实时数据、硬件控制等，恐引发洪旱灾害误判，威胁公共安全。

资料来源：http://db1.dz911.top/havjpx3

08、法国电力公司核电站维护数据遭公开泄露

2025年2月28日，用户Arkeliaad免费公开法电(EDF)DPIH部门数据库，含核/水电站维护日志、访问凭证等敏感信息。泄露数据或暴露设施安全漏洞，增加恐怖袭击风险。

资料来源：https://x.com/zataz/status/1895825693742596412

09、塞尔维亚首都基建数据遭黑客组织大规模窃取

2025年2月28日，黑客组织“敢死队”(EL_FEDAYEEN)宣称入侵贝尔格莱德市政系统，窃取4万份敏感文件，含基础设施蓝图及政府机密数据。其宣称此举为针对“亲犹政权”网络战的一部分，并通过Telegram发布165MB样本数据。

资料来源：http://pa1.9dw1.sbs/jPL9Mre

10、波兰航天局遭遇网络攻击

2025年3月3日，波兰航天局(POLSA)因检测到网络攻击，紧急切断网络连接以保护数据安全。波兰数字事务部长称，黑客通过未授权访问入侵其IT系统，推测可能为勒索软件或与俄乌冲突相关的国家级攻击(波兰长期支持乌克兰)。事件导致POLSA官网及内部邮件系统瘫痪，社交媒体自周日未更新。国家网络安全机构及军方团队已介入恢复系统并溯源，承诺后续公布进展。目前尚无数据泄露证据，调查持续进行中。

资料来源：https://x.com/POLSA_GOV_PL/status/1896247268069765211

11、印度塔塔科技遭勒索组织威胁泄露1.4TB数据

2025年3月5日，印度塔塔科技公司(塔塔汽车子公司)于2025年1月31日遭勒索组织Hunters International攻击，致部分IT服务暂停后再遭该组织攻击，Hunters International声称窃取1.4TB数据(约73万份文件)，威胁六天内公开。目前，公司正调查数据是否被盗，安全专家已介入。

资料来源：https://www.securityweek.com/ransomware-group-claims-attack-on-tata-technologies/

风险预警

12、六个关键基础设施部门未能达到NIS2合规性

2025年3月6日，据Enisa的NIS360报告指出，IT服务管理、太空领域、公共管理部门、海事、健康和天然气行业六个关键基础设施部门未能达到NIS2合规性面临诸多风险，如网络安全知识不足、依赖商用组件、遗留系统和OT相关挑战。此外，数字基础设施行业成熟度较低。Enisa正与成员国合作提供指导，推动合规。报告还指出，电力、电信和银行业相对成熟，但IT和OT安全技能短缺仍是合规阻碍。

资料来源：https://www.enisa.europa.eu/news/enisa-nis360-2024-report

13、思科Talos揭露了针对政府、电信和媒体的Lotus Blossom网络间谍活动

2025年3月6日，思科Talos揭露了Lotus Blossom组织的网络间谍活动，该组织自2012年起活跃，针对政府、制造、电信和媒体部门。利用Sagerunex等后门工具进行攻击，通过第三方云服务如Dropbox和Twitter进行C2通信，影响菲律宾、越南、香港和台湾等地区。

资料来源：http://bh1.dz911.top/8AhU34Q

14、TXOne Networks调查报告：OT系统补丁管理困境凸显网络安全风险

2025年3月5日，网络物理安全公司TXOne Networks发布《2024年度OT/ICS网络安全报告》显示，85%的受访企业(覆盖北美、欧洲、中东及亚洲150家机构)因担忧设备停机(47%)及缺乏人员(48%)、供应商支持(43%)，未定期修补运营技术(OT)系统，致长期暴露于攻击风险。37%的OT安全事件涉及漏洞利用，近六成组织选择在计划停机时修补，55%通过受控环境测试补丁。

资料来源：https://www.txone.com/security-reports/ot-ics-cybersecurity-2024/