文章总结： 本期周报涵盖OT网络安全领域最新动态：政策法规方面，中国发布3项网络安全国家标准，美国NSA推出首份零信任实施指南。漏洞预警涉及Moxa交换机、日立能源FOX61x、三菱电机MELSECiQ-R、三星MagicInfo9服务器等多款工业设备高危漏洞，CVSS评分最高达9.8。安全事件包括韩国Yulkok公司遭勒索、INC攻击日本AOT公司、波兰能源设施遭破坏性攻击等。风险预警关注OpenClawAI智能体配置风险、React2Shell漏洞集中攻击及暗网新型ICS攻击框架威胁。 综合评分： 78 文章分类： 漏洞预警,安全运营,政策法规,威胁情报,工业安全

工业网络安全周报-2026年第6期

OT网络安全领军者 OT网络安全领军者

安帝Andisec

2026年2月7日 12:04 北京

本文预计阅读时间29分钟

BREAKING NEWS

本 期 摘 要

政策法规方面，中国3项网络安全国家标准正式发布；美国国家安全局（NSA）发布首份零信任实施指南。

漏洞预警方面，Moxa交换机曝出关键身份验证绕过漏洞（CVSS评分9.2）；日立能源FOX61x工业设备曝高危RADIUS协议漏洞；三菱电机MELSEC iQ-R系列工业控制器曝高危漏洞，可导致数据泄露、篡改与生产中断；o6 Automation GmbH Open62541安全漏洞报告；三星MagicInfo9服务器曝三大高危漏洞（CVSS最高 9.8），未升级版本面临全面接管风险；ICONICS SCADA平台曝文件操作漏洞，可致工业系统关键服务中断。

安全事件方面，全球航空航天制造的主要参与者韩国Yulkok有限公司遭勒索；INC勒索软件组织攻击AOT日本有限公司；默认ICS凭证被用于对波兰能源设施的破坏性攻击；德国不来梅市政工厂遭大规模网络攻击，警方证物室业务受波及；俄罗斯黑客利用微软Office漏洞攻击欧洲海事和运输组织。

风险预警方面，工信部预警OpenClaw开源AI智能体安全风险，建议立即核查配置；React2Shell 漏洞（CVE-2025-55182）攻击流量高度集中，两大 IP 占比超五成；针对工业控制系统（ICS）的严重新威胁在暗网浮现，或显著降低关键基础设施攻击门槛。

政策法规

1、中国3项网络安全国家标准正式发布

2026年2月4日，国家市场监督管理总局、国家标准化管理委员会发布3项网络安全国家标准（归口全国网络安全标准化技术委员会），包括《数据安全技术 基于个人请求的个人信息转移要求》、《网络安全技术 网络空间安全图谱要素表示要求》、《数据安全技术 个人信息保护合规审计要求》，分别规范个人信息转移响应、网络安全图谱构建、个人信息保护合规审计相关要求，适用于个人信息处理者、网络运营者、监管部门等相关主体，将于2026年7月1日正式生效。

资料来源：

https://www.secrss.com/articles/87605

2、美国国家安全局（NSA）发布首份零信任实施指南

2026年1月30日，美国国家安全局（NSA）发布零信任实施指南（ZTIGs）系列首份文件，含《入门》与《发现阶段》1.0版，以“永不信任、始终验证”为核心，衔接多项权威框架，分两阶段通过77项活动支撑64项零信任能力建设，为美国相关机构及各行业提供模块化、分阶段的零信任落地参考，首阶段聚焦资产盘点与可见性搭建。

资料来源：

https://www.secrss.com/articles/876463

漏洞预警

3、Moxa交换机曝出关键身份验证绕过漏洞（CVSS评分9.2）

2026年2月5日，工业网络巨头Moxa发布高危安全通告，敦促用户修补其多个系列工业以太网交换机中存在的一个身份验证绕过漏洞。该漏洞编号为CVE-2024-12297，CVSS评分为9.2分，其根源在于设备前端授权逻辑存在缺陷，可能使攻击者通过暴力破解或MD5碰撞攻击等手段完全绕过身份验证，从而未经授权地控制交换机及流经的工业网络流量。受影响的系列主要包括应用于轨道交通、自动化等严苛环境的TN-A、TN-4500A、TN-5500A、TN-G等型号；Moxa已发布相应固件补丁，并建议无法立即更新的用户通过防火墙/VLAN隔离、禁止设备直接暴露于互联网及使用VPN/SSH等深度防御措施来缓解风险。

资料来源：

https://igit.me/pZa3U

4、日立能源FOX61x工业设备曝高危RADIUS协议漏洞

2026年2月5日，日立能源确认其广泛应用于全球关键制造业的FOX61x设备（R17A及更早版本，包括R18）存在一个高危漏洞。该漏洞根源在于RFC 2865标准中的RADIUS协议设计缺陷，攻击者可能利用MD5签名算法的弱点，对设备与远程RADIUS服务器之间的认证响应发起“伪造攻击”，从而绕过或篡改认证结果，严重威胁设备的机密性、完整性与可用性。日立能源提供的核心修复方案是：必须将设备升级至R18版本，并在FOX61x与RADIUS服务器两端同时启用“RADIUS Message-Authenticator”选项；若无法立即升级，则应采取严格的网络分段、隔离管理流量等缓解措施以降低风险。

资料来源：

https://igit.me/9txJS

5、三菱电机MELSEC iQ-R系列工业控制器曝高危漏洞，可导致数据泄露、篡改与生产中断

2026年2月5日，三菱电机（Mitsubishi Electric）旗下广泛应用于全球关键制造业的MELSEC iQ-R系列可编程控制器（R08/16/32/120PCPU型号，固件版本48及以下）被发现存在一个极高危（CVSS 3.0评分为9.4）的协议漏洞（CVE-2025-15080）。该漏洞源于其专有协议及SLMP通信中对输入数据验证不当，攻击者可通过发送特制的网络数据包，对受影响的PLC实现读取敏感设备数据或控制程序、恶意写入篡改数据，或直接引发拒绝服务导致生产中断等严重攻击。厂商提供的唯一根本性解决方案是立即将固件升级，并辅以防火墙隔离、VPN保护、限制物理和网络访问等纵深防御措施以降低风险。

资料来源：

https://igit.me/fhDrQ

6、o6 Automation GmbH Open62541安全漏洞报告

2026年2月5日，美国网络安全与基础设施安全局（CISA）发布编号为ICSA-26-036-03的安全公告，指出德国o6 Automation GmbH的开源OPC UA协议栈Open62541存在安全漏洞（CVE-2026-1301）。该漏洞为越界写入（CWE-787），在启用PubSub和JSON功能的版本中，攻击者可通过构造恶意JSON消息，在未认证情况下导致解码器向堆分配数组外写入数据，引发进程崩溃（拒绝服务）和内存损坏，影响全球关键制造业领域的相关设备。受影响版本为Open62541≥1.5-rc1且<1.5-rc2，CVSS 3.1评分为5.7（中等严重度），厂商建议用户升级至稳定版v1.5.0以修复漏洞。CISA同时建议采取最小化网络暴露、防火墙隔离控制网络、使用VPN远程访问等防御措施，降低漏洞利用风险。

资料来源：

https://igit.me/Yz4g2

7、三星MagicInfo9服务器曝三大高危漏洞（CVSS最高 9.8）

2026年2月5日，三星广泛用于数字标牌管理的MagicInfo9 Server（21.1090.1版本前所有版本）存在三大高危安全漏洞，其中CVE-2026-25202（CVSS 9.8）为硬编码凭证漏洞，攻击者可直接登录操控数据库；CVE-2026-25201（CVSS 8.8）允许未授权用户上传恶意文件执行远程代码并提权；CVE-2026-25200（CVSS 9.8）可通过上传恶意HTML文件触发存储型XSS，导致管理员账户被盗，这些漏洞可能引发网络入侵、数据泄露等严重后果，三星已在21.1090.1及后续版本修复漏洞，相关管理员需立即升级以规避风险。

资料来源：

https://igit.me/pj9hk

8、ICONICS SCADA平台曝文件操作漏洞，可致工业系统关键服务中断

2026年2月2日，据披露，三菱电机ICONICS Suite SCADA平台（GENESIS64，Windows 10.97.2及更早版本）中新发现的漏洞（CVE-2025-0921，CVSS评分6.5）允许拥有本地非管理员权限的攻击者，利用平台多个服务以高权限执行文件系统操作的特点，通过操纵日志文件路径等手段，将操作导向系统关键文件。若此漏洞与此前已报告的目录权限漏洞（CVE-2024-7587）结合，攻击者可创建指向如cng.sys等核心驱动程序的符号链接，诱使系统在记录日志时直接损坏这些文件，最终导致Windows操作系统无法启动，实现可靠的拒绝服务攻击。该漏洞直接影响依赖该SCADA系统进行监控的汽车、能源、制造等工业领域，威胁系统完整性与可用性；厂商已发布安全建议，研究机构强调需加强OT工作站防护、网络分段与威胁检测。

资料来源：

https://igit.me/vXfq6

安全事件

9、全球航空航天制造的主要参与者韩国Yulkok有限公司遭勒索

2026年2月5日，一个名为“野兽”的威胁行为者发布声明，声称对韩国Yulkok有限公司发动了勒索软件攻击。Yulkok有限公司是全球航空航天制造领域的重要企业，专业从事5轴数控精密加工与机身部件组装，并与波音、空中客车以及韩国航空航天工业等公司保持合作，共同参与T-50、FA-50等项目的研发与生产。

资料来源：

https://igit.me/Zy0gK

10、INC勒索软件组织攻击AOT日本有限公司

2026年2月5日，相关报道显示，INC勒索软件组织声称入侵了日本物流货运代理公司AOT日本有限公司（AOT Japan Ltd.）。该公司作为国际AOT集团的重要成员，自1986年成立以来深耕行业，持有无船承运人（NVOCC）执照，同时是JIFFA及东京商会成员，业务覆盖全球物流服务。尽管攻击者未公开披露泄露数据的具体类型，但结合INC勒索软件组织过往作案特点，其攻击通常伴随内部业务文件与财务记录的窃取泄露。

资料来源：

https://igit.me/xjLS0

11、默认ICS凭证被用于对波兰能源设施的破坏性攻击

2026年2月2日，波兰计算机应急响应团队（CERT）披露一起由国家支持的针对电力系统的攻击事件。该攻击影响了约30个站点的通信与控制系统，攻击者在侵入后不仅能够访问工业控制系统（ICS）、上传恶意固件并部署后门，还对部分设备实施了不影响电力供应的永久性物理破坏。初步分析显示，攻击入口为暴露于互联网且使用默认登录凭据的Fortinet FortiGate设备，主要攻击对象涉及日立（Hitachi）、Moxa、Mikronika等供应商的系统。多家网络安全机构将此次行动归因于Sandworm等与俄罗斯有关的攻击组织及相关行为体。

资料来源：

https://igit.me/SfDNo

12、德国不来梅市政工厂遭大规模网络攻击，警方证物室业务受波及

2026年2 月 5 日德国不来梅市官方确认，市政直属企业不来梅工厂遭严重网络攻击，该攻击 2 月 4 日晨显现影响，企业大量 IT 基础设施瘫痪，电脑仅能受限使用、电子通信近乎中断，相关部门将其定性为严重事件，暂未披露具体攻击范围和影响规模。不来梅工坊有 2100 名员工，主营残障人士职业康复，旗下 Martinshof 厂区既为奔驰不来梅工厂等供应零部件，还运营不来梅警方证物室，此次攻击也直接波及警方证物室工作。目前暂未明确攻击是否造成供应链中断，涉事相关部门因调查仍在进行，均未发布更多事件相关信息。

资料来源：

https://igit.me/O8h5L

13、俄罗斯黑客利用微软Office漏洞攻击欧洲海事和运输组织

2026年2月5日，网络安全公司Trellix披露，俄罗斯背景的国家级黑客组织APT28（又称Fancy Bear）利用Microsoft Office新披露的漏洞CVE-2026-21509，对包括波兰、斯洛文尼亚、土耳其、希腊和阿联酋在内的多国海事、运输及外交实体发动了一场为期72小时的“集中”鱼叉式网络钓鱼攻击。攻击者使用从罗马尼亚、玻利维亚和乌克兰等国政府邮箱窃取的账户发送邮件，并以武器走私警报、北约外交邀请等为诱饵，附带了能自动触发漏洞的恶意文档，最终部署了窃取邮件的MiniDoor和PixyNetLoader等恶意工具，并滥用合法的Filen云存储平台作为命令控制通道以隐蔽行踪；此次攻击表明，与政府相关的黑客能够极其迅速地武器化新漏洞，大大缩短了防御者修补关键系统的窗口期。

资料来源：

https://therecord.media/russian-hackers-microsoft-office-europ

风险预警

14、工信部预警OpenClaw开源AI智能体安全风险，建议立即核查配置

2026年2月5日，工信部网络安全威胁和漏洞信息共享平台（NVDB）发布预警，指出OpenClaw（曾用名Clawdbot、Moltbot）开源AI智能体在默认或不当配置下存高风险。该AI可本地私有化部署，具备持久记忆、自主执行等能力，但因“信任边界模糊”及缺乏有效权限控制、审计机制，易被指令诱导、配置缺陷或恶意接管，引发信息泄露、系统受控等问题，建议相关单位和用户核查公网暴露与权限配置、关闭不必要公网访问，完善身份认证、数据加密等安全机制，并关注官方加固建议。

资料来源：

https://www.secrss.com/articles/87654

15、React2Shell 漏洞（CVE-2025-55182）攻击流量高度集中，两大 IP 占比超五成

2026年2月2日，GreyNoise研究显示，自2025年12月3日CVE-2025-55182（CVSS 10.0，预认证远程代码执行漏洞）披露两月后，React Server Components的攻击活动显著集中。1月26日至2月2日期间，传感器记录141.97万次攻击尝试，两大IP（193.142.147.209占34%、87.121.84.24占22%）贡献56%流量，剩余44%分散于1081个IP；前者通过12323端口直接开启反向shell，后者从特定服务器获取XMRig挖矿程序。该漏洞影响React 19.0.0、19.1.0-19.1.1、19.2.0版本，需升级至19.0.1、19.1.2、19.2.1版本修复，同时建议封禁相关恶意IP、核查开发服务器公网暴露情况并监控异常POST请求。

资料来源：

https://www.greynoise.io/blog/react2shell-exploitation-consolidates

16、针对工业控制系统（ICS）的严重新威胁在暗网浮现，或显著降低关键基础设施攻击门槛

2026年2月2日，securityonline披露，网络安全公司Lab52的研究人员在暗网上发现一个名为“APT IRAN”的组织，正在推广一种据称是“最广泛的工业和军事控制网络框架”。该工具最危险的特征在于其攻击性直接针对物理世界。它宣称能够利用IEC 61850等电力行业标准协议，实现对电网设备的精细操控，具体功能包括“选择性电路控制”（如定向切断某区域供电）和“负载平衡破坏”（可能导致电网崩溃或设备过载损坏）。这标志着针对能源等关键基础设施、能造成实际物理破坏的网络攻击门槛可能正在降低。

资料来源：

New Offensive OT Framework Targeting Energy Infrastructure Emerges on Dark Web

往期回顾

工业网络安全情报解码  2026-05期

工业网络安全情报解码  2026-04期

工业网络安全情报解码  2026-03期

工业网络安全情报解码  2026-02期

安帝科技丨ANDISEC

北京安帝科技有限公司是新兴的工业网络安全能力供应商，专注于网络化、数字化、智能化背景下的工业网络安全技术、产品、服务的创新研究和实践探索，基于网络空间行为学理论及工业网络系统安全工程方法，围绕工业网络控制系统构建预防、识别、检测、保护、响应、恢复等核心能力优势，为电力、水利、石油石化、轨道交通、烟草、钢铁冶金、智能制造、矿业等关键信息基础设施行业提供安全产品、服务和综合解决方案。坚持IT安全与OT安全融合发展，坚持产品体系的自主可控，全面赋能客户构建“业务应用紧耦合、用户行为强相关、安全风险自适应、网络弹性稳增强”的主动防御和纵深防御相结合的安全保障体系。公司主要产品已应用于数千家“关基”企业。

点击“在看”鼓励一下吧

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安帝Andisec OT网络安全领军者 OT网络安全领军者《工业网络安全周报-2026年第6期》