工业网络安全周报（2025年第17期）

本期摘要

政策法规方面，《数据安全技术 数据安全风险评估方法》等6项网络安全国家标准发布，进一步规范数据安全风险评估工作。公安部就网络安全等级保护有关关工作事项发布说明函，以加强网络安全监管，提升防护能力。

漏洞预警方面，CISA警告Langflow漏洞可能遭恶意利用;Planet Technology工业网络产品中发现严重漏洞;思科修复了IOS XE无线控制器的严重缺陷。此外，PLAY勒索软件联盟利用零日漏洞部署恶意软件， Radware云Web应用防火墙漏洞可使攻击者绕过安全过滤器。

安全事件方面，南非航空运营系统遭破坏，荷兰因俄罗斯黑客DDoS攻击服务中断，马来西亚吉隆坡国际机场、秘鲁政府及Hitachi Vantara均遭勒索软件攻击。俄罗斯相关组织Nebulous Mantis利用RomCom RAT攻击北约设施，伊朗APT组织渗透中东关键基础设施，DarkWatchman和Sheriff恶意软件针对俄乌展开隐蔽攻击。同时，Nova Scotia电力公司客户数据泄露。各国需加强防御，及时修补漏洞以应对持续威胁

风险预警方面，美国CISA、FBI、EPA和DOE联合警告，关键基础设施OT系统面临的网络威胁持续升级。同时，AI驱动的DDoS攻击加剧了对关键设施的网络安全风险，攻击规模和复杂性显著提升。此外，卡巴斯基发现新型AI供应链威胁——“slopsquatting”。

政策法规

01、《数据安全技术 数据安全风险评估方法》等6项网络安全国家标准获批发布

2025年4月30日报道，国家市场监督管理总局、国家标准化管理委员会发布的2025年第10号《中华人民共和国国家标准公告》，由全国网络安全标准化技术委员会归口的6项国家标准正式发布，标准将于2025年11月1日起正式实施。本次发布的标准聚焦于数据安全、生成式人工智能安全等关键领域，进一步丰富了大网络安全工作格局下的网络安全标准体系建设，为国家数据安全和人工智能安全的管理工作及产业发展提供标准支撑。

资料来源：https://www.secrss.com/articles/78325

02、公安部关于对网络安全等级保护有关工作事项进一步说明的函

2025年3月8日，公安部网安局发布了《关于进一步做好网络安全等级保护有关工作的函》(公网安〔2025〕1001号)，对网络安全等级保护工作提成了新要求。2025年4月27日，公安部发布公网安〔2025〕1846号文件，对3月8日部署的网络安全等级保护工作进一步说明，要求各级单位深化系统备案更新、数据资源摸底及风险整改，并对部分关键问题进行了指导说明。

资料来源：https://www.secrss.com/articles/78412

漏洞预警

03、CISA发布警告：Langflow漏洞可能被恶意利用

2025年5月6日，网络安全和基础设施安全局 (CISA) 发布了紧急警报，指出Langflow中存在一个被积极利用的漏洞，Langflow是一个用于构建语言模型应用程序的流行开源框架。该漏洞编号为 CVE-2025-3248，允许未经身份验证的攻击者远程执行恶意代码，对使用该平台的组织构成重大风险。攻击者可以通过发送特制的 HTTP 请求来利用此漏洞，在易受攻击的系统上运行任意代码。成功利用此漏洞可能导致整个系统被入侵、数据被窃取或网络内部横向移动。CISA确认该漏洞已在现实世界的攻击中被利用，尽管其是否参与勒索软件活动仍未得到证实。

资料来源：http://kh1.9dw8.sbs/NZElXGU

04、Planet Technology工业网络产品中发现严重漏洞

2025年4月28日，CISA 发布了一份公告中描述了在Planet Technology的UNI-NMS-Lite、NMS-500和NMS-1000V网络管理系统以及WGS-804HPT-V2和WGS-4215-8T2S交换机中发现的五个漏洞。这些安全漏洞均被评为“严重”级别。未经身份验证的远程攻击者可利用这些漏洞获取受影响产品的管理员权限(通过硬编码凭证)，利用缺少身份验证创建管理员账户，并进行命令注入以执行操作系统命令或读取/操控设备数据。CISA指出，受影响的设备遍布全球，包括关键制造业。

资料来源：http://xh1.9dw9.sbs/jpFnXZb

05、思科修复了其 IOS XE 无线控制器中的一个严重缺陷

2025年5月8日，思科解决了其IOS XE无线控制器中的一个漏洞，该漏洞可能使未经身份验证的远程攻击者能够上传任意文件。思科发布了软件更新，以修复IOS XE无线控制器中编号为CVE-2025-20188(CVSS 评分 10)的漏洞。未经身份验证的远程攻击者可利用此漏洞将任意文件加载到易受攻击的系统。攻击者可以通过向AP图像下载接口发送精心设计的HTTPS请求来利用此漏洞，从而可能获得root访问权限并执行任意命令。

资料来源：http://va1.9dw7.sbs/QKzy9JR

06、PLAY勒索软件联盟利用0day漏洞部署恶意软件

2025年5月7日，Play勒索软件团伙利用Windows通用日志文件系统漏洞(CVE-2025-29824)进行0day攻击，获取系统权限并在受感染系统上部署恶意软件。漏洞CVE-2025-29824(CVSS 评分为 7.8)是Windows通用日志文件系统驱动程序中的一个释放后使用漏洞，允许授权攻击者在本地提升权限。成功利用此漏洞的攻击者可以获得SYSTEM权限。微软已确认该漏洞已被利用于野外攻击中。赛门铁克威胁猎人团队的研究人员报告称，Play勒索软件团伙在针对美国组织的攻击中使用了CVE-2025-29824 0day漏洞。

资料来源：http://oz1.9dw7.sbs/IF9ogUy

07、Radware云Web应用防火墙漏洞可使攻击者绕过安全过滤器

2025年5月8日，安全研究人员发现Radware云Web应用程序防火墙 (WAF) 中存在两个严重漏洞，攻击者可以利用这些漏洞绕过安全过滤器并向受保护的Web应用程序传递恶意负载。这些缺陷被编号为CVE-2024-56523和CVE-2024-56524，凸显了WAF在处理非标准HTTP 请求和用户提供的包含特殊字符的输入时存在的系统性弱点。发现这些缺陷的研究员Oriol Gegundez强调，“WAF不能被视为整体盾牌——它们的有效性取决于持续的调整和对抗性测试。随着云原生架构的激增，这些发现强调了将自动保护与人类专业知识相结合的纵深防御策略的迫切需求。

资料来源：https://gbhackers.com/radware-cloud-web-app-firewall-flaw/

安全事件

08、网络攻击破坏了南非航空公司的运营系统

2025年5月8日，南非航空公司 (SAA) 宣布受到一起重大网络事件的影响，导致其网站、移动应用程序和多个内部运营系统的访问暂时中断，并迅速采取应对措施以减轻其影响。在发现该事件后，该航空公司立即启动了其强大的灾难管理和业务连续性协议。关于数据的潜在影响，初步调查目前正在评估事件的全面范围，并积极确定是否有任何数据被访问或泄露。如果调查确认存在数据泄露，SAA 将根据监管要求直接通知任何受影响方。

资料来源：http://rj1.9dw9.sbs/lgfkqSB

09、与俄罗斯相关的Nebulous Mantis利用RomCom RAT攻击北约和关键基础设施

2025年5月5日，网络威胁情报公司PRODAFT详细介绍了Nebulous Mantis(又名Cuba、STORM-0978、Tropical Scorpius、UNC2596)这一俄语网络间谍组织，该组织自 2019 年年中以来，一直在针对性攻击活动中积极部署 RomCom 远程访问木马 (RAT)和Hancitor加载程序。该组织出于地缘政治动机，主要攻击关键基础设施、政府机构、政治领导人以及与北约相关的国防组织。他们使用带有武器化文档链接的鱼叉式网络钓鱼电子邮件，发送RomCom文件进行间谍活动、横向移动和数据窃取。

资料来源：http://3n1.9dw8.sbs/I0Qc2ve

10、Nova Scotia电力公司称黑客窃取了客户信息

2025年5月2日，加拿大Nova Scotia电力公司透露最近发生的网络攻击导致部分客户信息被盗。4月25日，他们检测到其加拿大网络部分区域和用于商业应用的服务器遭到未经授权的访问。受黑客攻击影响的服务器已被关闭并隔离，导致客户电话线路和在线服务中断。不过，电力公司表示，物理运营并未受到影响。调查仍在进行中，该公司正在确定有多少人受到数据泄露的影响，以及究竟哪些类型的数据遭到泄露。目前尚不清楚Nova Scotia电力公司是否已成为勒索软件攻击的目标。

资料来源：http://d61.9dw8.sbs/SX03eIp

11、俄罗斯黑客发起DDoS攻击，荷兰服务中断

2025年5月2日，由于一系列协同分布式拒绝服务 (DDoS)攻击，多家荷兰组织遭遇了严重的服务中断。根据官方声明和国家网络安全中心 (NCSC)正在进行的调查，这些攻击还针对其他欧洲组织，据信是亲俄黑客组织NoName057(16) 所为。DDoS攻击的主要目的是通过过大的流量使在线服务、服务器或关键网络设备超载。

资料来源：http://hv1.9dw9.sbs/WBR6CvH

12、勒索软件团伙称其入侵了马来西亚吉隆坡国际机场

2025年4月28日，勒索软件组织Qilin(又名Agenda)声称对2025年3月针对马来西亚吉隆坡国际机场的网络攻击负责。机场尚未证实这个组织的说法。机场宣布，自2025年3月23日起，一次网络攻击扰乱了航班信息显示屏、值机柜台和行李处理系统，迫使工作人员在白板上书写出发时间。机场官员表示，他们拒绝了1000万美元的赎金要求，但没有透露攻击者的姓名。该组织声称在2025年又发动了156起未经证实的袭击，但这些袭击尚未得到目标组织的承认。其中六起袭击针对的是交通运输行业的组织。

资料来源：http://ml2.9dw7.sbs/sXXwm1S

13、Akira勒索软件攻击后，Hitachi Vantara服务器下线

2025年4月28日，日立Vantara是日本跨国集团日立的子公司，该公司上周末被迫关闭服务器以遏制Akira勒索软件攻击。该公司为政府实体和一些全球最大的品牌(包括宝马、西班牙电信、T-Mobile 和中国电信)提供数据存储、基础设施系统、云管理和勒索软件恢复服务。日立Vantara在与BleepingComputer分享的一份声明中证实了此次勒索软件攻击，并表示已聘请外部网络安全专家调查该事件的影响，目前正在努力让所有受影响的系统上线。据联邦调查局称，截至2024年4月，Akira勒索软件在入侵250多个组织后，已收取约4200万美元的赎金。

资料来源：http://2g2.9dw7.sbs/pWp7li7

14、RHYSIDA勒索软件团伙声称对秘鲁政府发动了黑客攻击

2025年5月3日，Rhysida勒索软件团伙声称对入侵秘鲁政府、破坏该国官方数字平台Gob.pe的行为负责。该组织公布了据称从秘鲁政府平台窃取的多份文件的图像，要求受害者支付5比特币的赎金，并给予七天时间支付。Rhysida 勒索软件组织自2023年5月起活跃。根据该团伙的Tor泄漏网站，至少有182家公司成为此次行动的受害者。该勒索软件团伙攻击了多个行业的组织，包括教育、医疗保健、制造业、信息技术和政府部门。

资料来源：http://ns1.9dw7.sbs/qcZsN4y

15、DarkWatchman和Sheriff恶意软件以隐身和国家级策略攻击俄罗斯和乌克兰

2025年5月1日，俄罗斯公司成为大规模网络钓鱼活动的目标，该活动旨在传播一种名为DarkWatchman的已知恶意软件。俄罗斯网络安全公司F6表示，攻击目标包括媒体、旅游、金融和保险、制造、零售、能源、电信、运输和生物技术领域的实体。此次活动被评估为一个名为Hive0117的组织所为，该组织出于经济动机，IBM X-Force认为该组织针对立陶宛、爱沙尼亚和俄罗斯的电信、电子和工业领域的用户发动了攻击。

资料来源：http://dq1.9dw7.sbs/rPh63Qt

16、伊朗APT组织秘密入侵中东关键基础设施

2025年5月5日，FortiGuard事件响应 (FGIR) 团队发布了一份深入分析报告，详细描述了中东地区一次由政府支持的针对关键基础设施(CNI)的长期入侵。报告揭露了一项据称由伊朗APT组织(疑似Lemon Sandstorm)发起的隐秘攻击活动，该活动近两年来一直未被发现。受害者网络的很大一部分包括本地服务器、Microsoft Exchange和分段式OT网络。FGIR确认攻击者已在受限的OT网络中建立了立足点，但未发现成功入侵OT系统的确凿证据。

资料来源：http://ja1.9dw7.sbs/J9G8pnh

风险预警

17、CISA、FBI、EPA、DOE 联合发布警报，警告关键基础设施OT系统面临的网络威胁日益增多

2025年5月7日，美国网络安全和基础设施安全局 (CISA)、联邦调查局 (FBI)、环境保护署 (EPA) 和能源部 (DOE) 已确认针对美国关键基础设施内运营技术 (OT) 和工业控制系统 (ICS) 的网络事件。他们敦促这些机构立即审查并采取行动，改善其网络安全态势，以应对专门针对联网运营技术 (OT) 和工业控制系统 (ICS) 的网络威胁活动。这些机构强烈敦促关键基础设施资产所有者和运营商仔细阅读本情况说明，以获取有关降低潜在入侵风险的详细指南。尽管这些活动通常包含基本的入侵技术，但不良的网络卫生状况和暴露的资产可能会加剧这些威胁，导致严重后果，例如数据损坏、配置更改、运营中断，甚至在严重的情况下造成物理损坏。

资料来源：http://6o1.9dw9.sbs/RbfGE1y

18、人工智能驱动的DDoS攻击威胁关键基础设施并加剧网络安全风险

2025年5月7日，NETSCOUT Systems概述了分布式拒绝服务(DDoS)攻击及其防御策略的快速发展态势。该报告旨在提供可操作的情报，为维持安全的网络运营和指导长期战略规划提供关键见解。DDoS攻击正越来越多地超越传统网络威胁，转变为能够在关键时刻扰乱关键基础设施的精确数字武器。黑客如今正利用高性能企业服务器和路由器来增强低功耗物联网僵尸网络，显著提升攻击规模和影响力。人工智能驱动的自动化、基于代理的应用层泛洪攻击以及广泛使用的DDoS租赁服务(配备侦察和编排工具)的整合，使得这些攻击活动比以往任何时候都更加持久、可扩展且易于访问。

资料来源：http://l51.9dw9.sbs/f7bgTjG

19、卡巴斯基警告：人工智能驱动的“slopsquatting”将成为新兴的供应链威胁

2025年5月9日，卡巴斯基的网络安全研究人员发现了因广泛采用人工智能生成的代码而出现的新的供应链漏洞。随着人工智能助手越来越多地参与软件开发——微软首席技术官凯文·斯科特预测人工智能将在五年内编写95%的代码——一种被称为“slopsquatting”的现象带来了重大的安全威胁。这种风险源于人工智能系统会产生幻觉，认为不存在软件依赖关系，而攻击者可以利用这些幻影名称创建恶意程序包来利用这些依赖关系。卡巴斯基建议采取五项基本措施来减轻违规抢注的风险。随着组织将人工智能助手集成到软件开发工作流程中，这些预防措施变得越来越重要，可能会使自己暴露于这种新兴的威胁载体。

资料来源：https://gbhackers.com/kaspersky-alerts-on-ai-driven-slopsquatting/