美国网络安全机构CISA本周发出警告,约3900台联网工业控制系统正暴露在伊朗黑客的攻击范围内。这些设备运行着Apache ActiveMQ消息中间件,一个存在了13年的远程代码执行漏洞(CVE-2016-3088)至今未被完全修补。
攻击者不需要复杂的社会工程。只要设备暴露在互联网上,发送一个精心构造的HTTP请求就能拿到系统权限。CISA在公告里写得直白:「该漏洞允许未经身份验证的远程攻击者执行任意命令。」换句话说,工厂的PLC、SCADA系统可能已经成了别人电脑里的文件夹。
这不是ActiveMQ第一次出事。2016年该漏洞首次披露时,官方就发布了补丁,但工业环境的升级周期往往以年计算。安全厂商Shadowserver扫描发现,全球仍有超过2.8万台ActiveMQ实例暴露在公网,美国占其中近14%。
伊朗黑客组织在这块领域算得上「老客户」。CISA将本轮活动归因于IRGC关联的APT组织,其惯用手法是先扫描暴露资产,再投递基于.NET的定制后门。去年同一批人曾针对水务系统下手,这次目标明显转向了能源和制造业。
微软那边也在收拾烂摊子。本周推送的KB5055528更新修复了Windows 11开始菜单搜索崩溃的问题——用户输入关键词后界面直接卡死,这个bug在23H2版本里存在了至少六周。同时被修补的还有Script Editor的滥用漏洞,黑客利用macOS自带的脚本工具绕过Gatekeeper,把恶意软件包装成正常的自动化工作流。
支付页面的小把戏也没停。安全研究员发现新型信用卡窃取器用1×1像素的SVG文件作掩护,把窃取代码塞进矢量图形的元数据里。购物车页面加载时,这段代码会实时监听输入框,卡号、CVV、有效期被分段加密后传回服务器。Visa的欺诈监测数据显示,这类「像素级」攻击在2024年第四季度增长了340%。
有工厂运维人员在Reddit吐槽,他们直到收到CISA邮件才知道自己用了ActiveMQ。工业软件供应链的透明度,有时候比漏洞本身更让人头疼。
热门跟贴