工业互联网网络安全情况通报（2024年第10期）

一、工业互联网安全监测情况

2024年10月，经监测发现网络攻击事件共52.06万次，环比上升31.8%，共涉及361家工业企业。截至10月末，监测联网工业企业3039家，其中重点工业企业540家。

从网络攻击类型方面看，网络嗅探占比最大，共49.19万次，占网络攻击总数的94.5%，环比上升34.2%。命令执行攻击事件数量增幅最大，环比上升42.9%；木马后门事件数量降幅最大，环比下降44.1%。

从网络攻击来源方面看，由境外IP发起的网络攻击32.82万次，占网络攻击总量的63%，环比上升10.8%，其中源自美国的最多，发起网络攻击22.13万次，占境外网络攻击总数的67.4%。

二、工业互联网网络安全分析

（一）非法外联分析

2024年10月，监测发现重点工业企业非法外联事件617次，占重点工业企业网络攻击总数的0.2%，环比下降2.1%。对非法外联事件进行分析，外联通信次数前三的恶意IP/域名分别为43.138.105.110、124.71.234.74和38.45.125.10，威胁类型均为恶意程序远控端，主动外联存在网络安全风险，疑似感染木马后门，建议企业根据威胁通报将恶意IP/域名在网络出口拦截通信，及时对内网主机进行病毒查杀。

（二）木马后门分析

2024年10月，监测发现重点工业企业遭受的木马后门攻击数共2839次，占重点工业企业网络攻击总数的1%，环比下降30.8%。活跃的木马后门威胁对象主要为活跃的木马后门威胁对象主要为Bladabindi backdoor ，远控通信域名为superyou.zapto.org，木马后门危害较大，涉及到的工业企业应高度重视，积极整改处置。

（三）挖矿事件分析

2024年10月，监测发现重点工业企业挖矿事件数共1348次，占重点工业企业网络攻击总数的0.5%，环比上升31.5%。对挖矿事件分析发现，通信次数较多的矿池IP为13.248.252.114、99.83.138.213。挖矿事件是主机被渗透成功获取服务器权限后，植入挖矿木马，造成计算资源和电力资源的大量消耗，同时加大企业数据泄露风险，企业应高度重视，及时整改处置。

三、重点工业企业网络安全通报

省通信管理局开展工业互联网安全威胁监测与通报，指导督促工业企业整改修复网络安全威胁。2024年10月，向9家重点工业企业下发威胁信息处置通知单和安全分析报告，网络安全通报案例如下：

案例1：贵州某企业存在WebLogic Console权限认证绕过漏洞

2024年10月，工业互联网安全漏洞检测发现贵州某企业的管理系统（https:// 117.*.*.78:9191）存在WebLogic Console权限认证绕过漏洞(CVE-2020-14750)，攻击者可以绕过Console控制台的权限校验，访问原本需要登录才可以访问的资源和接口功能，从而获取敏感数据。目前厂商已发布升级补丁，建议企业及时安装官方补丁以修复漏洞。

案例2：贵州某企业存在弱口令漏洞

2024年10月，工业互联网安全漏洞检测发现贵州某企业系统（http://117.*.*.250:84）存在弱口令漏洞，登录成功可获取系统敏感数据，建议企业及时进行账户审计修改弱口令, 设置不易猜解的强口令，通常具有足够的长度、随机排列的字符组合，包括大小写字母、数字和符号，增加破解的难度，保护账户安全。