文章总结： Censys监测发现全球5219台罗克韦尔PLC设备直接暴露公网，其中74.6%位于美国，伊朗APT组织正针对此类设备实施破坏性攻击。文档披露了高危设备型号、攻击手法，并提供了断网隔离、关闭端口、强制认证等6项应急措施。 综合评分： 85 文章分类： 漏洞预警,工控安全,威胁情报,应急响应,解决方案

紧急预警！全球5219台工业设备“裸奔”，伊朗APT紧盯，美国占7成！你的工控系统安全吗？

原创

AI紫队安全研究 AI紫队安全研究

AI紫队安全研究

2026年5月4日 12:00 广东

在小说阅读器读本章

去阅读

大家好，我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“AI紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。

    近日，Censys最新监测数据引爆工控安全圈：

全球共有5219台罗克韦尔（Rockwell/Allen‑Bradley）PLC设备直接暴露在公网，无有效防护、无身份校验，随时可能被伊朗APT组织一键攻破。

其中74.6%位于美国，覆盖能源、水务、电力、市政等关键基础设施，一旦被攻击，将直接导致生产线停机、监控数据篡改、生产流程瘫痪。

与此同时，美国FBI、CISA、NSA已联合发布预警：

伊朗背景APT组织（含CyberAv3ngers，关联伊朗革命卫队）正在密集攻击联网OT设备，通过篡改工程文件、操控HMI/SCADA系统实施破坏，目标直指各国关键基础设施。

一场针对工业控制系统的定向攻击，已在全球范围内悄然打响。

一、触目惊心：5219台PLC“裸奔”，美国成重灾区

Censys通过扫描公网端口44818（EtherNet/IP）发现：

全球暴露设备总数：5219台

美国占比：74.6%，接近3900台

其他高发地区：西班牙、中国台湾地区、意大利

异常高暴露国家：冰岛（人均暴露量极高）

更危险的是：

大量设备通过蜂窝网络（Verizon/AT&T）、卫星链路（Starlink） 接入互联网，多部署在变电站、野外场站、远端水厂等无人值守场景——难监控、难运维、难打补丁，成为天然攻击靶标。

二、高危设备清单曝光：这几款PLC最容易被盯上

本次暴露设备高度集中，几乎全是“老熟人”：

MicroLogix 1400（1766系列）

CompactLogix（1769 / 5069系列）

Micro820（2080系列）

这些设备普遍存在三大致命问题：

1. 固件版本陈旧，长期未更新

2. 无需认证即可被扫描指纹，型号、版本、序列号一览无余

3. 额外开放高危服务：VNC、Telnet、Modbus、Red Lion Crimson

攻击者不用入侵，就能远程完成“精准踩点”。

三、伊朗APT攻击模式曝光：不偷数据，只搞瘫痪

与传统勒索不同，伊朗APT对工控系统的攻击以破坏为目的：

入侵PLC，篡改控制逻辑

篡改HMI显示数据，误导运维人员

破坏工程文件，导致系统无法正常启动

横向渗透内网，扩大攻击面

最终造成：停水、停电、停机、生产事故

FBI与CISA明确指出：

此类攻击已从“试探”转向“实战化”，具备直接造成物理后果的能力。

四、最可怕的真相：你的设备可能正在“直播”

这些暴露PLC存在共同高危漏洞：

端口直接对公网开放

无身份认证、无访问控制

固件信息、设备型号可被任意读取

开放VNC/Telnet等弱口令/明文协议

攻击者只需一条扫描命令，就能在几分钟内：

1. 找到你

2. 识别型号与固件

3. 匹配已知漏洞

4. 发起定向入侵

全程无声、无迹、无告警。

五、立即自查！企业必须做的6件保命措施

1. 立刻断网隔离

   非必要不联网，PLC/SCADA严禁直接暴露公网。

2. 关闭不必要端口与服务

   封禁44818、VNC、Telnet、Modbus等对公网访问。

3. 强制启用身份认证与访问控制

   禁用匿名访问，启用强密码、双因素认证。

4. 固件升级+漏洞修复

   对MicroLogix、CompactLogix优先更新补丁。

5. 网络分区+微隔离

   阻止OT内网横向移动，防止一台沦陷全网瘫痪。

6. 开启审计日志+持续监测

   记录登录、配置修改、工程文件下载等高危操作。

六、写在最后

工业控制系统不再是“物理隔离即安全”的孤岛。

当越来越多PLC、SCADA、RTU连上互联网，每一台暴露设备，都是一颗随时会爆的雷。

伊朗APT的持续攻击、全球上万台设备裸奔、关键基础设施面临物理破坏风险……

这不是未来威胁，而是正在发生的安全危机。

请立刻转发给工控负责人、运维团队、设备厂商：

今天的疏忽，可能就是明天的停产事故。

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI紫队安全研究 AI紫队安全研究 AI紫队安全研究《紧急预警！全球5219台工业设备“裸奔”，伊朗APT紧盯，美国占7成！你的工控系统安全吗？》