Aggregator

据Resecurity调研发现，针对全球能源行业企业的网络攻击正在增加，其中一些与攻击出于地缘政治目的，针对国家基础设施的大规模攻击有关。

其中一些攻击代表了旨在针对国家级基础设施的更大规模的活动，作为地缘政治影响力的工具。预计民族国家行为者和外国情报机构将利用这种方法作为未来新一代战争的手段，网络犯罪分子的作用可能会很重要，可以进一步进行网络攻击，并为进攻性网络行动提供基础设施和资源。

北美电力可靠性公司（NERC）是一家非营利的国际监管机构，负责执行美国和加拿大的行业标准。该公司去年称，美国电网越来越容易受到网络攻击。

根据NERC的数据，电网中易受影响的点的数量正在以每天60个的速度增长。为了应对这些日益增长的威胁，美国能源部（DOE）发布了新的配电系统和分布式能源（DER）网络安全指南。这些指导方针是与全国公用事业监管专员协会（NARUC）合作制定的，旨在为降低风险和提高关键基础设施的网络弹性提供一个共同框架。

根据网络安全专家的说法，黑客行动主义是针对能源公司的另一种普遍威胁，与俄罗斯-乌克兰和各种加沙关系的敌对团体有意识形态动机，试图通过宣传各种受害者的OT网络的所谓妥协来建立信誉。

这些网络间谍活动主要是由地缘政治因素驱动的，因为俄乌战争、加沙冲突等造成的紧张局势被投射到网络空间。

随着敌对行动的加剧，第三次世界大战的潜在可能性越来越大，敌对国家正试图通过渗透西方和西方盟国的关键基础设施网络来展示他们的网络军事能力。幸运的是，这些民族国家的活动绝大多数仅限于间谍活动，而不是像震网那样的攻击，目的是在物理领域造成伤害。

针对能源目标的网络攻击越来越多的第二个驱动因素是技术转型，以云计算的采用为标志，这在很大程度上促进了IT和OT网络的日益融合。因此，跨关键基础设施部门的iot - it融合使得联网工业物联网（IIoT）设备和系统更容易被威胁者渗透。具体来说，研究人员已经观察到，攻击者正在使用受损的IT环境作为横向移动到OT网络的中转站。

对于勒索软件攻击者来说，攻击OT尤其有利可图，因为这种类型的攻击使攻击者能够在物理上瘫痪能源生产运营，从而使他们能够获得更高的赎金金额。然而，在网络军事或网络恐怖主义场景中，OT系统的破坏对物理环境和人类生命可能是灾难性的。

另一个改变能源公司威胁环境的技术趋势是迅速推进人工智能的采用。人工智能不仅降低了某些类型攻击活动的进入门槛，而且人工智能与能源部门网络的日益融合也带来了新的网络风险场景的漩涡。

超过1200个暴露在互联网上的SAP NetWeaver实例容易受到一个高严重程度的未经身份验证文件上传漏洞的攻击，该漏洞允许攻击者劫持服务器。

SAP NetWeaver是一个应用服务器和开发平台，可以跨不同技术运行和连接SAP和非SAP应用程序。上周，SAP披露了一个未经身份验证的文件上传漏洞，跟踪为CVE-2025-31324，该漏洞存在于SAP NetWeaver Visual Composer中，特别是Metadata Uploader组件。

该漏洞允许远程攻击者在没有身份验证的情况下在暴露的实例上上传任意可执行文件，从而实现代码执行和整个系统的危害。

包括ReliaQuest、watchtower和Onapsis在内的多家网络安全公司证实，该漏洞在攻击中被积极利用，威胁者利用它在易受攻击的服务器上投放web shell。

SAP发言人表示，他们已经意识到了这些攻击，并在2024年4月8日发布了一个解决方案，随后在4月25日发布了一个安全更新，解决了CVE-2025-31324问题。他们没有发现任何此类攻击影响客户数据或系统的案例。

广泛用于攻击

研究人员现已证实，许多易受攻击的SAP Netweaver服务器暴露在互联网上，使其成为攻击的主要目标。

Shadowserver基金会发现了427个暴露的服务器，并提醒大量暴露的攻击面和潜在的严重后果。大多数易受攻击的系统位于美国，其次是印度、澳大利亚、德国、荷兰、巴西和法国等。

然而，网络防御搜索引擎Onyphe描绘了一幅更为可怕的画面，他们发现，有1284台易受攻击的服务器暴露在网上，其中474台已经被webshell入侵。

Onyphe首席技术官说道：“大约有20家《财富》500强或全球500强企业很容易受到攻击，其中许多企业都受到了损害。”

研究人员报告说，这些攻击者正在利用诸如“cache.jsp”和“helper.jsp”这样的名称的webshell。然而，Nextron Research表示，他们也使用随机名称，这使得发现易受攻击的Netweaver实例变得更加困难。

虽然服务器的数量并不多，但考虑到大型企业和跨国公司通常使用SAP NetWeaver，风险仍然很大。为了解决该风险，建议按照本公告中供应商的说明应用最新的安全更新。

如果无法应用更新，建议采用以下缓解措施：

1.限制对/developmentserver/metadata auploader端点的访问。

2.如果没有使用Visual Composer，请考虑完全关闭它。

3.将日志转发到SIEM并扫描servlet路径中未授权的文件。