安全动态丨网络空间安全动态第266期

编者按

网安动向热讯，本期有十点值得关注：

一是工信部专题研究部署推动人工智能产业发展和赋能新型工业化；二是工信部：以工业智能体为抓手深化人工智能工业应用；三是中央网信办秘书局、国家市场监督管理总局办公厅联合印发《智能社会发展与治理标准化指引（2025版）》；四是《智能网联汽车组合驾驶辅助系统安全要求》拟立项强制性国家标准；五是2025全球数字经济大会数字安全主论坛暨第七届北京网络安全大会开幕峰会举行；六是特朗普签署《继续努力加强国家网络安全并修订第13694号和第14144号行政令》的行政命令；七是美CISA发布《减少互联网暴露指南》，帮助组织机构识别并降低系统配置错误等风险；八是欧盟制定国际数字战略，加强数字合作和互认；九是英国发布《2025年战略防务评估报告》；十是德国汉堡可持续发展大会签署《负责任AI促进可持续发展目标汉堡宣言》。

数据前沿快讯，本期有四点值得关注：

一是我国将部署建设10个国家数据要素综合试验区；二是美DISA发布数据生命周期管理指南；三是欧洲数据保护委员会通过《向第三国监管机构传输数据的指南》；四是欧盟正式推出DNS4EU项目，增强数字主权与数据保护。

网安事件聚焦，本期有两点建议关注：

一是网络攻击目标聚焦关键领域，攻击模式迭代升级，勒索与窃密构成双重威胁。

本期介绍：阿里云核心域名遭劫持，导致其多项核心云服务出现大范围故障；针对中国电信行业复杂且技术先进的网络攻击行动被曝光；乌克兰GUR入侵俄罗斯图波列夫公司，窃取4.4GB战略机密数据；美国多地市政网络遭勒索攻击瘫痪，基础服务陷入停滞；北美食品批发巨头UNFI遭网络攻击，部分系统被迫关闭。

二是目标横跨多领域，民生与公共服务领域成数据泄露重灾区。

本期介绍：美报业集团Lee Enterprises遭勒索软件攻击导致约4万人社保号码被泄露；美缅因州基特里镇遭INC Ransom勒索软件攻击，231 GB敏感市政数据被窃；西班牙零售品牌Hacendado约2700万用户信息被兜售；德国户外零售商Unterwegs遭网络攻击，客户数据或泄露。

网安风险警示，本期有五点建议关注：

一是思科身份服务引擎中存在严重漏洞；二是开源数据分析平台DataEase存在远程代码执行漏洞；三是惠普Insight远程支持平台存在远程代码执行漏洞；四是惠普发布安全公告，修复StoreOnce中多个漏洞；五是美CISA发布ICS关键漏洞公告，警示工业控制系统安全风险。

01 网安动向热讯

工信部专题研究部署推动人工智能产业发展和赋能新型工业化

6月4日消息，工业和信息化部党组书记、部长李乐成主持召开会议，研究推动人工智能产业发展和赋能新型工业化的思路举措。会议强调，一要夯实产业基础。强化算力供给，统筹布局通用大模型和行业专用大模型，注重软硬件适配，加快建立高质量行业数据集，提升重点产品装备的智能化水平。二要塑造应用优势。推动大模型在制造业重点行业落地部署，加快凝练应用场景需求，加快制造业全流程智能化升级，变革生产管理模式。培育一批人工智能赋能应用服务商，加快推动行业专用大模型落地应用与迭代升级。三要强化标准引领。统筹推进人工智能标准工作，发挥有效市场和有为政府的作用，分级分类、体系化推进标准制定，有效发挥标准的基础性、引领性、支撑性作用。四要壮大产业生态。着力培育人工智能优势企业，支持人工智能中小企业专精特新发展。健全人工智能开源机制，加快建设高水平人工智能开源社区，打造开放共享的开源生态。加大财税政策支持，引导社会资本加大投入。持续拓展人工智能产业国际合作。五要统筹发展和安全。加强安全治理保障，强化风险研判应对，推进深度合成检测技术攻关，加快制定人工智能科技伦理管理服务办法，引导产业健康有序发展。（信息来源：工信微报）

工信部：以工业智能体为抓手深化人工智能工业应用

6月6日，工业和信息化部两化融合工作领导小组会议召开。会议审议《工业和信息化部信息化和工业化融合2025年工作要点》，研究部署推进两化融合的思路举措。会议要求，要推进数字化网络化智能化升级。加快落实重点行业数字化转型实施方案，场景化、图谱化推进制造业数字化转型。加快工业互联网规模化应用，强化网络、标识、平台、数据、安全五大功能体系建设。实施“人工智能+制造”行动，加快重点行业智能升级，打造智能制造“升级版”。要加快提升软硬件产品供给能力。强化工业软件、智能传感器等关键核心技术攻关。加快建设工业高质量数据集，夯实人工智能工业应用的数据底座。加大“小快轻准”数字化产品和低成本数字化通用工具的培育力度。以工业智能体为抓手深化人工智能工业应用，带动工业数据集、工业大模型的创新迭代。（信息来源：工信微报）

工信部等七部门部署推动食品工业数字化转型

6月10日消息，工业和信息化部等七部门联合印发《食品工业数字化转型实施方案》，围绕信息技术创新应用行动、新模式新业态培育行动、产业提质升级行动、筑基聚力赋能行动等4个方面提出18项具体工作任务。《实施方案》提出两个阶段的发展目标：到2027年，重点食品企业经营管理数字化普及率达80%，规模以上食品企业关键工序数控化率、数字化研发设计工具普及率均达到75%，培育10家以上智能工厂，建设5个以上高标准数字化园区，打造百个数字化转型典型应用场景，培育一批高水平食品工业数字化转型服务商，形成一系列先进适用数字化解决方案。到2030年，新一代信息技术在规模以上食品企业基本实现全方位全链条普及应用，培育一批具有国际竞争力的食品工业数字产业集群。（信息来源：工信微报）

中央网信办秘书局、国家市场监督管理总局办公厅联合印发《智能社会发展与治理标准化指引（2025版）》

6月10日消息，中央网信办秘书局、国家市场监督管理总局办公厅联合印发《智能社会发展与治理标准化指引（2025版）》。《指引》旨在建立健全科学合理的智能社会发展与治理标准研究制定、实施反馈、优化完善的工作机制，建成覆盖智能技术主要社会应用场景、有效保障技术全生命周期良性健康发展的标准体系。《指引》提出了智能社会发展与治理的基本原则和要求，明确了常见智能技术应用场景、社会影响及其观测评估指标，规定了人工智能社会实验的一般程序和要求，构建了包括基础通用、发展与治理原则、场景应用、技术和方法、效果评价等五部分内容的智能社会发展与治理标准体系，为各地方、各部门、科研院所、企事业单位等开展智能社会发展与治理理论研究和实践活动提供技术支撑和规范指引。（信息来源：网信中国）

国家市场监督管理总局就《网络交易平台规则监督管理办法（征求意见稿）》公开征求意见

6月5日消息，国家市场监督管理总局会同国家网信办组织起草了《网络交易平台规则监督管理办法（征求意见稿）》，现向社会公开征求意见。《办法》要求网络交易平台经营者通过规则的科学制定、规则的公正执行、纠纷的合理判责等，构建完善有效的平台规则管理体系，充分保障平台内经营者、消费者合法权益。《办法》细化完善了平台规则制定、修改的程序要求，落实平台内各方主体参与权；新增了规则执行制度，保障平台内经营者和消费者申诉权、救济权；聚焦重点问题，维护了平台内经营者的经营自主权；明确了平台经营者在信息安全管理、个人信息保护等方面的责任，保护平台内经营者和消费者信息及数据安全。（信息来源：国家市场监督管理总局网站）

《智能网联汽车组合驾驶辅助系统安全要求》拟立项强制性国家标准

6月4日，全国标准信息公共服务平台公示关于征求《智能网联汽车组合驾驶辅助系统安全要求》拟立项强制性国家标准项目意见的通知。国家标准计划《智能网联汽车组合驾驶辅助系统安全要求》由工信部提出，委托全国汽车标准化技术委员会智能网联汽车分会执行，项目周期22个月。标准适用于装配了组合驾驶辅助系统的M和N类汽车，规定了组合驾驶辅助系统的通用技术要求，主要包括运动控制能力、驾驶员状态监测、驾驶员干预、系统边界及响应、系统探测能力、系统安全性要求、功能安全等方面，并规定相应的审核要求，明确典型工况的试验方法。（信息来源：第一财经）

2025全球数字经济大会数字安全主论坛暨第七届北京网络安全大会开幕峰会举行

6月5日，2025全球数字经济大会数字安全主论坛暨第七届北京网络安全大会开幕峰会举行。本次大会以“安全突围：重塑内生安全体系”为主题，千余名全球嘉宾聚焦网络安全，共商AI时代网络安全产业突围之道。本次大会包含前沿技术研讨、特色赛事活动、国际交流协作等多项内容，首设澳门分会场，新增青少年AI创新大赛、50个网络安全优秀案例征集。十余场分论坛于5日至6日同期举行，除智慧能源、数据安全、金融安全、威胁情报等经典主题论坛外，AI大模型应用安全论坛、智能网联汽车、低空经济安全论坛等新兴论坛成为本届大会的亮点。（信息来源：新华网）

特朗普签署《继续努力加强国家网络安全并修订第13694号和第14144号行政令》的行政命令

6月6日，美总统特朗普签署《继续努力加强国家网络安全并修订第13694号和第14144号行政令》的行政命令，旨在通过专注于针对外国网络威胁的关键保护和强化安全技术实践，以加强美国的网络安全。重点内容包括：修正了奥巴马政府13694号行政命令和拜登政府第14144号行政命令；指示美联邦政府推进安全软件开发；指示各部门和机构在边界网关安全方面采取行动，以阻止网络互连劫持行为；指示部门和机构在后量子密码方面采取行动，以确保防范可能利用下一代计算架构的威胁；要求采用最新的加密协议；将人工智能网络安全工作的重点重新转向识别和管理漏洞，而非审查；指示采取技术措施颁布网络安全政策，包括机器可读的政策标准和“物联网”的正式信任指定，以确保美国民众了解其个人和家用设备符合基本的安全工程原则；将网络制裁的适用范围限制在外国恶意行为者身上，防止其被滥用于国内政治对手，并明确制裁不适用于与选举有关的活动；取消了核心网络安全重点外的不当措施，包括取消美政府要求非法外国人颁发数字身份证的强制规定。（信息来源：奇安网情局）

美CISA发布《减少互联网暴露指南》，帮助组织机构识别并降低系统配置错误等风险

6月5日，美网络安全与基础设施安全局（CISA）发布《减少互联网暴露指南》，呼吁组织机构正视系统配置错误、默认凭证和过时软件带来的风险。指南指出，这些易被利用的漏洞经常通过互联网搜索工具被攻击者轻易发现，对关键基础设施的安全构成了严重威胁。指南详细阐述了减少互联网暴露的四大关键步骤：一是使用扫描工具全面评估当前暴露程度，确定可通过互联网访问的资产；二是评估暴露的必要性，明确需保持互联网连接的资产，对于不需要通过互联网访问的内容应采取删除或限制访问措施；三是降低暴露资产的风险，对于必须联网的资产，应采用强密码、及时补丁、VPN保护和多因素认证等安全措施；四是建立常规评估，定期审查和监控互联网可访问资产，保持安全态势并快速识别新风险。（信息来源：美CISA网站）

美网络司令部启动年度训练演习“网络卫士25-2”

6月6日消息，美网络司令部在马里兰州乔治·米德堡启动了年度训练演习“网络卫士25-2”。此次演习汇集了美国的军事单位、政府机构以及盟友伙伴，重点关注威胁检测、敏捷响应和基础设施的保护。演习模拟了全球范围内真实的网络威胁情景，并运用先进的工具进行快速威胁识别和精确网络作战，以检验各网络责任区内的应对方案以及攻防技术。（信息来源：奇安网情局）

欧盟制定国际数字战略，加强数字合作和互认

6月5日消息，欧盟宣布正制定一份国际数字战略，以提升其在人工智能和其他关键技术领域的竞争力，同时通过与其他国家合作推动自身数字化转型。该战略目标包括：扩大国际伙伴关系，通过新的数字伙伴关系网络促进合作；部署欧盟科技商业计划，支持伙伴国家的数字化转型；通过促进基于规则的全球数字秩序，加强全球数字治理。与伙伴国家的合作将重点关注以下优先领域：对于能源、交通、金融和卫生等关键领域发展至关重要的数字基础设施；新兴技术，例如人工智能、5G/6G、半导体和量子技术；网络安全等。（信息来源：全球技术地图）

英国发布《2025年战略防务评估报告》

6月6日消息，英国防部发布《2025年战略防务评估报告》，系统梳理了英国应对当代安全威胁的总体战略与军力重构方向。报告指出，英国需全面强化国防体系，实现“技术驱动的多域一体化作战”。报告强调五大作战领域：海、陆、空、太空及网络-电磁域（CyberEM），并认为CyberEM是连接与增强其他作战域的核心。为此，英国将设立“网络-电磁司令部”，整合各军种的网络防御、电磁战、信息作战资源，统一协调行动与战略对接。此外，报告还提出一系列改革措施，包括优化战备力量结构、推动数字化转型、投资人工智能与自动化平台、扩充后备役力量、加强“数字战士”培训等。（信息来源：SecurityWeek网）

德国汉堡可持续发展大会签署《负责任AI促进可持续发展目标汉堡宣言》

6月8日消息，在德国汉堡举行的可持续发展大会上，来自全球政府、企业、学术界和民间社会的领导人共同签署了《负责任AI促进可持续发展目标汉堡宣言》。这是全球首份专门针对AI在国际发展领域应用的宣言，概述了促进全球AI公平、包容和可持续发展的共同原则和承诺，特别强调要加强发展中国家的能力建设。该宣言的核心是确保AI技术尊重人权，服务和保护边缘化群体，并打击虚假信息。共同签署方承诺提高AI系统的资源效率，扩大女性的AI教育机会，并支持发展中国家本地AI创新。（信息来源：DigitalGlobal网）

02 数据前沿快讯

我国将部署建设10个国家数据要素综合试验区

6月5日，国家数据局正式宣布将在北京、浙江、安徽等地区部署建设10个国家数据要素综合试验区，支持各地在培育数据经营主体、繁荣壮大数据市场等方面开展先行先试，全面释放实体经济和数字经济融合效能。（信息来源：央视新闻）

美DISA发布数据生命周期管理指南

6月5日消息，美国防信息系统局（DISA）发布《数据生命周期管理指南》，旨在规范国防部数据资产全流程治理。该指南涵盖数据规划、采集、使用到退役的全周期，整合了美联邦政府及国防部的最佳实践和监管要求，提供了政策模板和决策框架。指南适用数据管理员、系统安全经理、合规官员等多角色，帮助其统一数据质量、安全性及合规标准，支撑数据战略资产定位。DISA指出，此举将提升数据驱动决策能力，降低泄露与合规风险，并保持技术演进下的动态更新机制。（信息来源：ExecutiveGov网）

欧洲数据保护委员会通过《向第三国监管机构传输数据的指南》

6月5日，欧洲数据保护委员会（EDPB）通过《向第三国监管机构传输数据的指南》最终版。EDPB在该指南中重点关注了《通过数据保护条例》GDPR第48条，并阐明了各组织如何才能合法地响应第三国当局（即非欧洲国家当局）的个人数据传输请求。EDPB解释称，第三国当局的判决或决定并不能自动在欧洲得到承认或执行。一般而言，国际协议可以作为传输的法律基础。如果不存在国际协议，或者协议未规定适当的法律基础或保障措施，在特殊情况下，可根据具体情况考虑其他合法性基础。（信息来源：EDPB网站）

欧盟正式推出DNS4EU项目，增强数字主权与数据保护

6月9日消息，欧盟委员会正式推出DNS4EU项目，旨在提供欧洲本土的DNS解析服务，减少对Google Public DNS等外国提供商的依赖。该项目由欧盟共同资助，在欧盟网络安全管理局支持下实施，承诺所有流量将在欧盟境内处理，以更好遵守GDPR要求。DNS4EU具备区域威胁情报共享功能，可自动阻止欧盟范围内检测到的网络威胁，同时提供基础防护如过滤不良内容和广告屏蔽。官方强调该服务并非审查工具，欧盟机构无权访问用户数据或配置信息。该项目是欧盟建立独立数字基础设施战略的一部分，目前提供公共版本及面向政府机构和电信运营商的专用解决方案。（信息来源：CyberInsider网）

03 网安事件聚焦

阿里云核心域名遭劫持，导致其多项核心云服务出现大范围故障

6月6日凌晨约2点，阿里云核心域名aliyuncs.com遭罕见域名劫持事件，导致其对象存储服务、内容分发网络以及云解析DNS等多项核心云服务出现大范围故障，波及众多依赖阿里云服务的网站和应用，影响包括博客园在内的多个知名网站和平台的正常访问。事件发生后，阿里云迅速响应，于6日上午8点11分完成修复工作，逐步恢复了受影响服务。由于DNS变更的滞后性，部分用户可能在修复后仍受影响。阿里云官方声明中未详细说明劫持原因，仅表示已采取措施确保服务稳定，并对受影响用户致歉。（信息来源：安全内参）

针对中国电信行业复杂且技术先进的网络攻击行动被曝光

6月10日消息，Seqrite Labs APT团队发布技术分析报告，披露了名为“DRAGONCLONE”的针对中国移动旗下子公司中移铁通有限公司高度复杂且技术先进的网络攻击行动。此次攻击入口是一份伪装成中国移动铁通有限公司内部培训项目的恶意ZIP文件，命名为“attachment.zip”。攻击者通过精心设计的多阶段攻击链，结合了VELETRIX和VShell两种恶意软件。攻击手法包括合法软件二进制滥用、DLL侧载、反沙盒反检测技术以及模块化跨平台载荷设计。DRAGONCLONE行动代表了现代APT组织运用多样化技术手段针对关键基础设施的典型案例。研究人员表示，对中国电信行业及类似关键领域而言，必须强化安全防护策略，提升对高级威胁的感知和响应能力，有效抵御此类持续且复杂的网络攻击。（信息来源：CyberPress网）

乌克兰GUR入侵俄罗斯图波列夫公司，窃取4.4GB战略机密数据

6月5日消息，乌克兰军事情报局（GUR）成功入侵俄罗斯航空航天与国防核心企业图波列夫公司，窃取超4.4GB的高度机密内部数据，包括内部通信记录、员工个人信息、工程师简历、采购清单以及保密会议纪要等。同步配合无人机突袭摧毁俄空军基地41架战略轰炸机。GUR还对图波列夫官网进行篡改，作为行动完成的象征。乌方称，此次行动不仅为未来打击俄罗斯防务体系提供情报支持，也对俄军空中打击能力造成重创。（信息来源：安全圈）

美国多地市政网络遭勒索攻击瘫痪，基础服务陷入停滞

6月4日消息，美俄克拉荷马州杜兰特市、德州阿比林市、俄亥俄州洛兰县及波多黎各司法系统接连遭遇勒索软件攻击，导致关键公共服务中断。其中：杜兰特市市政系统全面瘫痪，网站关闭、数字支付停摆，警局通讯中断，911服务延迟；阿比林市自4月18日遭袭后拒绝支付赎金，黑客威胁泄露13万居民477GB数据，被迫启动全基础设施更换，预计耗时数月；洛兰县法院系统停摆，需外部安全公司介入恢复；波多黎各司法部刑事信息系统遭入侵，良好行为证书等服务暂停，需经安全审计后恢复。美联邦调查局和网CISA暂未公开介入。（信息来源：SecurityLab网）

北美食品批发巨头UNFI遭网络攻击，部分系统被迫关闭

6月9日消息，北美最大食品批发分销商联合天然食品公司（UNFI）遭网络攻击，导致部分系统关闭并影响客户订单处理。该公司年收入达310亿美元、服务3万多个零售点，目前已启动事件响应计划，主动关闭受影响系统并通知执法部门，同时聘请外部网络安全专家展开调查。UNFI尚未披露攻击具体性质及是否涉及数据泄露。目前尚无组织宣称对此次事件负责。（信息来源：BleepingComputer网）

美报业集团Lee Enterprises遭勒索软件攻击导致约4万人社保号码被泄露

6月5日消息，美最大地方报业集团Lee Enterprises披露其2月3日遭受的勒索软件攻击导致约4万人敏感信息泄露。攻击者未经授权访问了包含姓名和社保号码的敏感数据。事件导致企业VPN瘫痪、内部系统与云存储无法访问，350多家报刊的印刷和数字业务中断。俄罗斯麒麟勒索软件组织声称已窃取350 GB数据。Lee Enterprises已向缅因州监管机构报告，并为受影响用户提供一年免费信用监控服务。（信息来源：TheRecord网）

美缅因州基特里镇遭INC Ransom勒索软件攻击，231 GB敏感市政数据被窃

6月6日消息，勒索软件组织INC Ransom宣称入侵美国缅因州基特里镇市政系统，窃取包括法庭记录、执法调度文件及员工目录在内的231GB敏感数据。攻击者通过凭证盗用实现初始访问，利用SMB协议横向移动，最终通过Tor网络外泄数据。此次事件可能导致执法行动细节泄露、市政服务中断等严重后果，专家建议立即启动数字取证调查，协同CISA等联邦机构实施零信任防护，并监控暗网数据传播情况。（信息来源：DarkWebInformer网）

西班牙零售品牌Hacendado约2700万用户信息被兜售

6月4日消息，西班牙大型零售品牌Hacendado约2700万用户信息在暗网出售。攻击者宣称通过集成于Hacendado后端基础设施的第三方物流和库存管理系统中的零日漏洞实施攻击，泄露数据直接从受影响系统抓取并打包出售，包括：用户名、电子邮件、哈希密码、地理位置信息、购物记录、内部员工邮件、操作日志、部分支付元数据以及混淆处理的访问令牌和凭证。Hacendado及其母公司Mercadona尚未就事件发表公开声明。（信息来源：DailyDarkWeb网）

德国户外零售商Unterwegs遭网络攻击，客户数据或泄露

6月5日消息，德国户外品牌Unterwegs于5月底遭受网络攻击，涉及其线上商城及全国24家门店。初步调查显示，攻击者可能获取并复制了客户姓名、地址、邮箱、电话及登录凭据等信息，但用户银行数据未受影响。该公司目前已重置在线商店的密码，建议所有受影响客户警惕来源不明的电子邮件或消息。（信息来源：Delta Insights）

04 网安风险警示

思科身份服务引擎中存在严重漏洞

6月5日消息，思科修复了身份服务引擎(ISE)中的严重漏洞CVE-2025-20286（CVSS评分9.9），影响AWS、微软Azure和Oracle云基础设施上的ISE云部署，可能允许未经认证的攻击者执行恶意操作，借此访问敏感数据、执行受限管理操作、修改配置或中断服务。虽然该漏洞无直接解决方案，但思科提供重要缓解建议，如通过云安全组限制ISE管理端口的访问，仅允许可信IP地址连接等。（信息来源：汇能云安全）

开源数据分析平台DataEase存在远程代码执行漏洞

6月5日消息，奇安信CERT监测到官方修复DataEase远程代码执行漏洞CVE-2025-49001和CVE-2025-49002（CVSS均为评分9.8）。CVE-2025-49001源于JWT校验机制错误导致攻击者可伪造JWT令牌绕过身份验证流程；CVE-2025-49002是由于H2数据库模块没有严格过滤用户输入的JDBC连接参数，可使用大小写绕过补丁。攻击者可利用这些漏洞实现未授权代码执行，威胁用户数据和系统安全。目前上述漏洞已复现，鉴于其影响范围较大，建议用户升级至最新版本。（信息来源：奇安信CERT）

惠普Insight远程支持平台存在远程代码执行漏洞

6月6日消息，惠普Insight远程支持平台存在远程代码执行漏洞CVE-2025-37099（CVSS评分9.8），影响7.15.0.646之前的版本。攻击者利用该漏洞可部署勒索软件、篡改监控数据或建立持久后门，可能完全控制企业监控系统。目前官方已更新，建议立即升级至7.15.0.646或更高版本。（信息来源：CyberSecurityNews网）

惠普发布安全公告，修复StoreOnce中多个漏洞

6月4日消息，惠普发布安全公告，修复了其StoreOnce数据备份与重复数据删除解决方案中存在的8个漏洞。这些漏洞涵盖远程代码执行、认证绕过、信息泄露、服务端请求伪造等严重风险，可能被远程攻击者利用对系统进行入侵或获取敏感数据。其中最严重的为认证绕过漏洞CVE-2025-37093（CVSS评分9.8），影响4.3.11之前的版本，且可被与其他漏洞联动使用实现远程代码执行。惠普建议用户尽快升级版本。（信息来源：SecurityAffairs网）

美CISA发布ICS关键漏洞公告，警示工业控制系统安全风险

6月4日消息，美CISA发布三项重要工业控制系统（ICS）安全警告，涉及施耐德电气和三菱电机关键自动化产品中的高危漏洞。其中，施耐德电气Wiser系列产品的缓冲区溢出漏洞（CVE-2023-4041，CVSS评分9.3）允许攻击者远程执行代码或绕过身份验证。因产品已终止支持，官方无固件更新，受影响组织只能禁用固件更新或停用设备以缓解风险。施耐德EcoStruxure Power Build Rapsody软件存在堆栈缓冲区溢出漏洞CVE-2025-3916，本地攻击者可通过恶意SSD项目文件执行任意代码。厂商已发布补丁版本2.8.1，建议立即升级。三菱电机MELSEC iQ-F系列PLC存在高危不当验证漏洞（CVE-2025-3755，CVSS评分9.1），攻击者可远程利用该漏洞泄露信息、拒绝服务或停止CPU模块运行。三菱电机建议实施网络分段、防火墙和VPN等多层防护措施。（信息来源：CyberSecurityNews网）

本文来源：国家信息技术安全研究中心官方网站

本文编辑：林青

国家信息技术安全研究中心

地址：北京市海淀区农大南路1号硅谷亮城2C座

业务联系：010-59613856

往期推荐

点赞在看转发是对我们最好的支持