谛听 工控安全月报 | 7月

d

i

t

ec

t

i

n

g

7月11日，工业和信息化部发布《信息化和工业化融合2025工作要点》（以下简称《要点》），旨在以两化融合推进新型工业化，其中将工业安全与工控安全作为重要支撑，为信息化和工业化深度融合筑牢安全防线。《要点》提出夯实工业网络安全根基，加大5G演进和6G技术创新投入，通过专属网络架构降低公网风险，落实5G规模化应用“扬帆”行动升级方案，提升工业通信网络的抗干扰能力与稳定性。在数据安全方面，《要点》明确提出推动数据要素赋能新型工业化，完善工业数据全生命周期管理。针对工业互联网安全，《要点》强调完善标准体系，推动工业互联网高质量发展指导意见、平台高质量发展行动方案等政策落地。《要点》的实施，将推动工业领域网络安全、数据安全、工控安全防护能力全面提升，为信息化和工业化深度融合提供坚实安全保障，助力制造强国、网络强国建设。

参考链接：

https://www.miit.gov.cn/xwfb/gxdt/sjdt/art/2025/art_3bfc098efe044dd7ad56cc298c8d87c4.html

7月1日，工业和信息化部办公厅印发《2025年护航新型工业化网络安全专项行动方案》（以下简称《方案》），旨在通过专项行动强化网络安全保障，为新型工业化推进筑牢安全防线。《方案》聚焦新型工业化进程中的网络安全需求，提出以专项行动为抓手，统筹各方力量，提升工业领域网络安全防护能力。在行动部署上，《方案》明确将推动工业企业落实网络安全主体责任，强化工业互联网、工业控制系统等关键领域的安全防护，推广应用安全技术手段，提升安全事件监测预警和应急处置能力。安全措施方面，《方案》要求各地工业和信息化主管部门、通信管理局及相关企业协同配合，加强对工业网络设施、数据资源的安全管理，完善安全管理制度和技术标准，开展安全检查与隐患排查，及时整改薄弱环节。《方案》的实施，将进一步压实工业领域网络安全责任，提升新型工业化进程中的安全保障水平，为制造强国、网络强国建设提供坚实的网络安全支撑。

参考链接：

https://www.miit.gov.cn/jgsj/waj/wjfb/art/2025/art_62e699f6183e4e4fbac700a1a1f0bc86.html

7月3日，工业和信息化部人工智能标准化技术委员会第一次成员大会在北京召开，会上发布《工业和信息化领域人工智能安全治理标准体系建设指南（2025版）》（以下简称《指南》），旨在完善人工智能标准工作的顶层设计，强化全产业链标准工作的协同性，为推动我国人工智能产业高质量发展提供坚实技术支撑。《指南》以人工智能赋能新型工业化为主线，遵循统筹发展和安全的基本原则，构建了涵盖治理能力、基础安全、网络安全、数据安全、算法模型安全、应用安全、赋能安全等领域的人工智能安全治理标准体系。《指南》的实施，将为人工智能产业发展提供清晰的安全指引，推动企业在技术研发、应用落地等环节有章可循，减少安全隐患，提升全行业安全治理水平。同时，有助于增强我国在人工智能国际标准制定中的话语权，促进产业规范有序发展，为人工智能赋能新型工业化筑牢安全根基。

参考链接：

https://www.bigdata-expo.cn/uploads/websetting/file/2025/07/31/1753939390800758.pdf

7月14日，全国网络安全标准化技术委员会发布《网络安全技术 关键信息基础设施安全主动防御实施指南》《网络安全技术 关键信息基础设施安全监测预警实施指南》《网络安全技术 网络安全等级保护测评机构能力要求和评估规范》3项国家标准征求意见稿（以下简称《标准》），旨在完善工业领域网络安全标准体系，为关键基础设施主动防御、监测预警及测评机构能力建设提供规范指引。其中，《网络安全技术 关键信息基础设施安全主动防御实施指南》规定安全威胁狩猎、策略编排及防护技术要求；《网络安全技术 关键信息基础设施安全监测预警实施指南》明确实时监测、事件预警与溯源流程；《网络安全技术 网络安全等级保护测评机构能力要求和评估规范》给出测评机构人员、工具与流程的三维评估方法。《标准》的发布实施，将健全关键基础设施安全标准体系，提升工业企业风险防控与灾难应对能力，规范测评机构技术能力，为工业网络安全防护体系完善筑牢基础。

参考链接：

https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20250715141531084864&norm_id=20250213145322&recode_id=59432

https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20250715141531069820&norm_id=20250213140645&recode_id=59430

https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20250715141744&norm_id=20250214092223&recode_id=59438

7月29日，全国网络安全标准化技术委员会发布《网络安全技术 工业控制系统网络安全防护能力成熟度模型》国家标准征求意见稿（以下简称《标准》）。《标准》在2022版基础上首次将“信息安全”全面升级为“网络安全”，提出由“策略—组织—技术—运营—测评”五大维度、41个过程域构成的五级成熟度模型：一级基础建设、二级规范防护、三级集成管控、四级综合协同、五级智能优化。模型覆盖“工业设备、工业主机、工业网络、工业平台、工业控制软件、工业数据”六大核心保护对象及安全规划、人员管理、物理环境、监测预警、供应链五大通用安全域，为每一个过程域给出从制度流程、技术工具到人员能力的分级量化指标与核验方法，支持企业开展差距分析、持续改进和第三方测评。标准实施后，将统一我国工业控制系统安全防护能力建设与评价基准，降低全生命周期风险，为新型工业化筑牢安全底座。

参考链接：

https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20250729163355&norm_id=20250429160233&recode_id=59574

6 月 30 日，国家市场监督管理总局、国家标准化管理委员会发布 2025 年第 14 号公告，由全国网络安全标准化技术委员会归口的《网络安全技术 信息安全管理体系 要求》等 3 项网络安全国家标准（以下简称 《标准》）正式获批发布，旨在完善网络安全标准体系，为信息安全管理、灾难恢复及数字水印技术应用提供规范指引。其中，《网络安全技术 信息系统灾难恢复规范》规定信息系统灾难恢复的原则、生命周期及能力等级划分等；《网络安全技术 信息安全管理体系 要求》明确信息安全管理体系的通用要求及风险评估处置内容；《网络安全技术 数字水印技术实现指南》提供该技术的实现框架、流程及算法选择等建议。《标准》的发布实施，将健全网络安全标准体系，提升工业领域信息安全管理和灾难应对能力，规范工业场景下数字水印技术应用，为工业网络安全防护体系完善筑牢基础。

参考链接：

https://std.samr.gov.cn//gb/search/gbDetailed?id=38D4C7ADB4FB68C1E06397BE0A0A07D9

https://std.samr.gov.cn//gb/search/gbDetailed?id=38D4C7ADB4F768C1E06397BE0A0A07D9

https://std.samr.gov.cn//gb/search/gbDetailed?id=38D4C7ADB4FD68C1E06397BE0A0A07D9

7月23日，美国白宫发布《赢得AI竞赛：美国AI行动计划》（以下简称《计划》），旨在通过全面战略部署，确保美国在全球人工智能领域的主导地位。《计划》围绕“加速AI创新、建设美国AI基础设施、领导国际AI外交与安全”三大支柱，提出超过90项联邦政策行动。在加速AI创新方面，《计划》提出减少监管障碍，保护自由言论与美国价值观，修订AI风险管理框架并更新联邦采购指南；支持开源与开放权重的AI模型，为初创企业和学术界提供计算资源，支持劳动力发展与下一代制造业。建设AI基础设施方面，《计划》要求简化数据中心等设施的许可流程，升级电力网络以保障能源供应，恢复半导体制造业，建设高安全性数据中心，培养相关劳动力并加强网络安全。《计划》的实施，将进一步推动美国AI技术的创新与应用，强化其在全球AI领域的领先地位，同时对国际AI治理及技术竞争格局产生深远影响。

参考链接：

https://www.whitehouse.gov/articles/2025/07/white-house-unveils-americas-ai-action-plan/

7月25日，纽约州推出“全国领先”的水行业网络安全法规（以下简称《法规》），旨在强化水与污水处理系统这一关键基础设施的网络安全防护，提升行业应对网络威胁的能力。《法规》提出一系列针对性措施，要求服务3300人以上的社区供水系统需在24小时内报告安全事件、开展定期培训和漏洞评估；污水处理系统则要落实访问控制、多因素认证及事件响应计划。同时，所有公共污水处理设施需依据美国国家标准与技术研究院网络安全框架2.0的六大核心功能实施基线控制。《法规》明确推出250万美元的“SECURE”网络安全资助计划，用于支持水与污水处理行业的风险评估和安全加固工作。《法规》的实施，将推动水行业网络安全防护水平提升，为关键基础设施安全运行提供有力支撑。

参考链接：

https://www.govinfosecurity.com/new-york-unveils-nation-leading-water-sector-cyber-rules-a-29060

7月3日，思科发布紧急安全公告，披露其统一通信管理平台（Cisco Unified CM及CMSME特定工程版）存在高危漏洞（CVE-2025-20309, CVSSv3：10.0）。该缺陷源于开发阶段遗留的一组不可变更的静态Root凭据，攻击者无需任何认证即可通过SSH直接登录，执行任意命令并完全控制服务器。受影响的版本范围锁定15.0.1.13010-1至15.0.1.13017-1，虽为TAC提供的有限修复版本，但仍被部分政企在本地或云端部署。Cisco内部测试发现该漏洞，暂无野外利用证据，但已在/var/log/active/syslog/secure中给出检测指引：出现root用户通过sshd成功登录即可能已遭入侵。官方呼吁用户立即升级至15 Service Update3或应用独立补丁，目前无其他缓解措施。此次事件再次警示：硬编码账户仍是关键基础设施的重大隐患，须例行清查并强制更新。

参考链接：

https://www.helpnetsecurity.com/2025/07/03/cisco-fixes-maximum-severity-flaw-in-enterprise-unified-comms-platform-cve-2025-20309/

https://nvd.nist.gov/vuln/detail/CVE-2025-20309

7月14日，美国铁路协会（AAR）发布公告，承认沿用二十余年的HoT/EoT无线电协议（业内称“FRED闪光后端设备”协议）存在高危身份验证绕过漏洞（CVE-2025-1727，CVSSv3：9.8）。攻击者利用价值不足500美元的软件定义无线电（SDR）即可在150英里外伪造指令，触发列车尾部紧急制动。北美7.5万余列货运列车面临被远程逼停的风险。该缺陷源于协议采用仅16位BCH校验和进行身份验证，无任何加密或序列号保护。硬件安全研究员尼尔·史密斯早在2012年便向ICS-CERT报告此问题，但AAR长期以“理论威胁”为由拒绝修复。CISA于上周发布正式安全警示，推动AAR启动协议更替。AAR宣布自2026年起用IEEE 802.16t点对点直连（DPP）协议取代FRED，实现双向加密与毫秒级延迟。全部7.5万台EoT设备需物理更换，预计耗时5–7年。CISA与AAR联合声明称尚未发现漏洞被恶意利用的直接证据，鉴于列车制动系统的高危属性，要求运营商将设备替换列为“关键基础设施一级响应”。

参考链接：

https://risky.biz/risky-bulletin-major-eot-hot-vulnerability-can-bring-trains-to-sudden-stops/

https://nvd.nist.gov/vuln/detail/CVE-2025-1727

7月14日，与俄罗斯有关的Everest勒索集团将沙特工业巨擘RezayatGroup挂在其暗网泄露站点，扬言已窃取约10GB含客户合同、工程图纸及内部报告的数据。Rezayat旗下25家公司、2万余名员工遍布13国，业务覆盖油气工程、船舶制造、物流与基建，年营收数十亿美元。文件涉及沙特阿美、SABIC及多家欧洲能源巨头的保密协议、油田管线布局与离岸平台设计图，一旦全部泄露，不仅重创Rezayat品牌信誉，更可能为竞争对手与国家级黑客提供精准供应链攻击入口。Everest惯用窃密+双重勒索，曾于2022年侵入AT&T、2025年5月再袭Mediclinic与可口可乐；此次中东目标凸显其持续扩张。组织应立即隔离受影响网络、强制重置所有特权账户、排查横向移动痕迹，并评估下游客户与承包商的潜在连带风险；同时建议各国能源与海事企业收紧第三方远程访问策略、启用零信任架构，以防Everest利用泄露数据发动后续定向钓鱼或破坏性攻击。截至发稿，Rezayat尚未回应置评请求。

参考链接：

https://cybernews.com/security/rezayat-group-ransomware-data-breach/

7月14日，深圳联电通信旗下畅销IP摄像头被曝存在最高级别安全漏洞（CVE-2025-7503, CVSSv4：10.0）。该缺陷源于固件AppFHE1_V1.0.6.0、内核KerFHE1_PTZ_WIFI_V3.1.1及硬件版本HwFHE1_WF6_PTZ_WIFI_20201218中一条从未公开的Telnet服务：设备在TCP23端口默认开启，且驻留一组无法修改的硬编码root凭证。攻击者仅需同网段即可利用该通道直接获得rootshell，进而实时查看或篡改监控画面、植入持久化木马，甚至以内网摄像头为跳板横向移动。安全研究人员指出，该Telnet服务既未写入用户手册，也无法通过Web或App关闭，厂商尚未回应通报，暂无补丁。大量已部署于办公室、学校及公共场所的同型设备面临被批量接管的风险。在官方修复发布前，建议用户立即将摄像头划入独立VLAN、封禁外网23端口并监测异常流量，必要时更换设备以根除隐患。

参考链接：

https://securityonline.info/cve-2025-7503-cvss-10-hidden-backdoor-in-popular-ip-camera-grants-hackers-root-access/

https://nvd.nist.gov/vuln/detail/CVE-2025-7503

7月15日，安全研究员Matt Muir与Linux Malware团队联合披露Git命令行工具存在一个高危缺陷（CVE-2025-48384，CVSSv3：8.1）。该漏洞源于类UNIX系统对.gitmodules配置文件中回车符（r）的解析不一致：读取时自动剥离、写入时却保留，导致子模块路径可被重定向到任意文件系统位置。攻击者只需在公开代码仓插入恶意.gitmodules，即可在用户执行gitclone--recursive时将GitHook脚本写入受害者.git目录，后续任何commit或merge操作都会触发隐藏的恶意代码，实现持久化远程控制。受影响范围涵盖Linux与macOS上v2.43.7、v2.44.4、v2.45.4、v2.46.4、v2.47.3、v2.48.2、v2.49.1及v2.50.1之前的全部GitCLI；macOS版GitHub Desktop因底层默认递归克隆亦在波及之列。DataDog团队已验证可借助该原语向/tmp等任意目录写入文件，并在GitHub公开了PoC代码。官方修复版本已同步推送，用户可立即通过系统包管理器升级至v2.43.7/v2.44.4/v2.45.4/v2.46.4/v2.47.3/v2.48.2/v2.49.1或v2.50.1以封堵风险；macOS GitHub Desktop用户应暂时改用已打补丁的Git CLI。

参考链接：

https://cybersecuritynews.com/cli-arbitrary-file-write-vulnerability/

https://nvd.nist.gov/vuln/detail/CVE-2025-48384

7月23日，黑客组织Z-Alliance在Telegram高调宣称已“完全接管”捷克水处理龙头Envipur的三座污水泵站，可实时启停关键水泵、篡改流量与水质阈值、屏蔽应急信号，并扬言若不联系将制造“严重中断”。Envipur在捷克及中东欧运行3万余套系统，直接关联摩拉维亚流域约150万居民饮水安全。初步分析显示，攻击者利用鱼叉邮件植入远控木马，横向渗透至旧版WindowsCE的SCADA服务器，随后关闭历史日志、刷写PLC固件以维持持久化。Z-Alliance声明与亲俄组织NoName057(16)协同，并添加反北约标签，凸显地缘政治意图。捷克国家网络与信息安全局已启动一级响应，但官方尚未确认泄露规模及恢复时间；CISA同日发布行业警告，指出全美水务ICS仍有大量设备暴露互联网，若未在30天内强制启用VPN-MFA、升级PLC至V6.2.4以上并部署工控白名单防火墙，未来12个月内恐出现连锁污染事故。

参考链接：

https://darkwebinformer.com/live-threat-feed-pro-subscribers-only/

7月23日，施耐德电气旗下EcoStruxure Power Operation（EPO）工业控制系统被安全团队发现存在远程代码执行漏洞(CVE-2014-2120，CVSSv3：6.1，CVE-2021-44207，CVSSv3：8.1)，相关概念验证代码已在公开论坛流传，且出现野外利用迹象。EPO作为能源行业核心SCADA平台，部署于全球电网、数据中心及大型工业配电系统。攻击者利用该漏洞可在无需认证的情况下，通过特制网络报文绕过身份校验，直接获取系统Shell，进而远程下发开关指令、篡改保护定值或触发级联停机，造成大面积停电与生产中断。安全厂商监测显示，PoC已实现对目标系统的内存破坏与命令注入验证，攻击门槛极低。施耐德已紧急发布补丁与加固脚本，呼吁用户立即升级至最新版本，关闭非必要外部接口，启用白名单访问控制，并部署入侵检测系统监控异常流量。此外，建议对关键节点实施网络隔离，开展应急演练，以防范潜在的连锁攻击风险。

参考链接：

https://securityonline.info/rces-in-schneider-electric-ecostruxure-power-operation-actively-exploited-public-pocs-available/

https://nvd.nist.gov/vuln/detail/CVE-2014-2120

https://nvd.nist.gov/vuln/detail/CVE-2021-44207

7月24日，思科Talos团队公布针对彭博开源高可用数据库Comdb2 8.1版的深度安全评估结果，共发现五处可被远程利用的高危缺陷(CVE-2025-36520，CVSSv3：7.5，CVE-2025-35966，CVSSv3：7.5，CVE-2025-48498，CVSSv3：7.5，CVE-2025-46354，CVSSv3：7.5，CVE-2025-36512，CVSSv3：7.5)，全部可导致拒绝服务甚至集群级瘫痪。其中CVE-2025-36520与CVE-2025-35966潜伏在协议缓冲区解析逻辑，CVE-2025-48498则位于分布式事务协调模块，三者均因空指针解引用引发守护进程崩溃，攻击者仅需向数据库公开端口发送一条精心构造的二进制报文即可瞬间触发；CVE-2025-46354针对分布式事务提交/中止阶段，CVE-2025-36512聚焦心跳报文处理，同样仅需单包即可令节点异常退出，并可能在集群环境中产生连锁雪崩效应。Talos 已验证所有漏洞均无需认证即可利用，现已配合 Bloomberg 官方在 48 小时内推送补丁；用户应立即升级至最新稳定版，并在边界与数据库层同步更新 Snort/Talos 规则，以实时阻断异常协议字段与畸形心跳，防止生产环境出现大规模服务中断。

参考链接：

https://blog.talosintelligence.com/bloomberg-comdb2-null-pointer-dereference-and-denial-of-service-vulnerabilities/?&web_view=true

https://nvd.nist.gov/vuln/detail/CVE-2025-36520

https://nvd.nist.gov/vuln/detail/CVE-2025-35966

https://nvd.nist.gov/vuln/detail/CVE-2025-48498

https://nvd.nist.gov/vuln/detail/CVE-2025-46354

https://nvd.nist.gov/vuln/detail/CVE-2025-36512

7月31日，Bitdefender Labs公布针对大华Hero C1系列智能摄像头的深度安全评估结果，确认存在两处无需认证即可远程利用的高危缺陷（CVE-2025-31700 CVSSv3：8.1，CVE-2025-31701 CVSSv3：8.1）。前者源于ONVIF处理程序对Host头的错误解析导致栈溢出，攻击者可用一条畸形HTTP请求通过ROP链执行任意代码；后者位于未公开的RPC文件上传端点，超长HTTP头触发.bss段溢出，进而覆盖全局变量劫持系统调用，同样实现一键Root。漏洞波及Hero C1（DH-H4C）及IPC-1XXX/2XXX、IPC-WX、IPC-ECXX、SD3A/2A/3D/2C等十余个主流系列，所有早于2025-04-16的固件版本均受影响，一旦设备通过UPnP或端口映射暴露于公网，数秒内即可被远程植入后门或勒索软件，连锁瘫痪零售、仓储及家庭监控系统。用户应立即断开公网、刷入2025-04-16之后的固件，关闭UPnP与端口映射并将摄像头置于独立VLAN，同时在边界防火墙与IDS中更新Snort规则以拦截异常Host头及超长HTTP头流量，若设备已启用自动更新请确认版本号≥V2.820.0000000.34.R.20250416，无法立即升级的关键场景可先关闭ONVIF服务或启用IP白名单直至补丁完成。

参考链接：

https://securityaffairs.com/180602/hacking/dahua-camera-flaws-allow-remote-hacking-update-firmware-now.html

https://nvd.nist.gov/vuln/detail/CVE-2025-31700

https://nvd.nist.gov/vuln/detail/CVE-2025-31701

“谛听”工控蜜罐在7月份收集到大量针对不同工控协议、来自不同地区的工控网络攻击数据。图1、图2和图3中展示了经过统计和分析后的数据，以下将对各个图表进行简要说明。

图1展示了7月份和6月份受到攻击量最多的10种工控协议蜜罐的对比情况。从图中可以看到，7月份EGD、FINS、CIP、IEC104、Ethernet/IP、CODESYS这些工控协议蜜罐受到的攻击数量相较于6月份有所上涨，除此以外7月份各工控协议蜜罐受到的攻击数量相较于6月份均有所降低。

图1.  7月份和6月份蜜罐各协议攻击量对比TOP10

（数据来源“谛听”）

图2展示了7月份和6月份攻击量最多的10个国家的对比情况。从图中可以看到7月份加拿大、德国、英国、日本、新加坡、比利时、保加利亚对工控蜜罐的攻击量有所增加，其他国家针对工控蜜罐的攻击量均有所降低。

图2.  7月份和6月份其他各国对蜜罐的攻击量对比TOP10

（数据来源“谛听”）

由图3可以看出，7月份来自浙江的流量最多，来自上海的流量位居第二，来自江苏的流量位居第三。排名靠前的省市基本为沿海区域或工业发达区域，此外其他省份的流量有所波动。

图3.  7月份中国国内各省份流量TOP10（数据来源“谛听”）

2025年7月，俄乌冲突加剧，俄军在顿涅茨克和恰斯夫雅尔方向取得进展，部分地区实现突破；乌军则在南部局部反攻，夺回若干据点。乌克兰政府因削弱反腐机构独立性引发抗议，后紧急修法调整，重获欧盟支持。外交层面，美国加大施压，特朗普提出“十天通牒”，要求俄方回应谈判，但俄方拒绝高层会谈。整体局势趋于紧张，战场与外交博弈均进入关键阶段。

为了深入了解俄罗斯和乌克兰的工控领域状况，团队持续关注并进行了探测，以获取被扫描设备的详细信息。

/ 2025年7月俄罗斯、乌克兰暴露工控设备相关协议 /

从图4乌克兰各协议暴露数量对比图中可以看出，7月探测到的数量相比于6月份，Modbus和XMPP协议暴露的数量有所下降，AMQP协议暴露的数量略微增多。其他协议没有很大变化。同时联网摄像头暴露数量相比6月有所下降，由1039下降至980。

图4.  6月、7月乌克兰各协议暴露工控资产数量对比

（数据来源“谛听”）

俄罗斯的各协议暴露数量对比如图5所示。从图中可以看出，与6月相比，7月AMQP、Modbus和IEC 60870-5-104协议有小幅度增多，其他协议暴露数量稳定。6月联网摄像头暴露数量有小幅度减少，由1284降低至1252。

后续团队将对相关信息持续关注。

图5.  6月、7月俄罗斯各协议暴露工控资产数量对比

（数据来源“谛听”）

微信号｜谛听ditecting