伊朗黑客盯上3900台工控设备，13年老漏洞成后门

美国网络安全机构CISA本周发出警告，约3900台联网工业控制系统正暴露在伊朗黑客的攻击范围内。这些设备运行着Apache ActiveMQ消息中间件，一个存在了13年的远程代码执行漏洞（CVE-2016-3088）至今未被完全修补。

攻击者不需要复杂的社会工程。只要设备暴露在互联网上，发送一个精心构造的HTTP请求就能拿到系统权限。CISA在公告里写得直白：「该漏洞允许未经身份验证的远程攻击者执行任意命令。」换句话说，工厂的PLC、SCADA系统可能已经成了别人电脑里的文件夹。

这不是ActiveMQ第一次出事。2016年该漏洞首次披露时，官方就发布了补丁，但工业环境的升级周期往往以年计算。安全厂商Shadowserver扫描发现，全球仍有超过2.8万台ActiveMQ实例暴露在公网，美国占其中近14%。

伊朗黑客组织在这块领域算得上「老客户」。CISA将本轮活动归因于IRGC关联的APT组织，其惯用手法是先扫描暴露资产，再投递基于.NET的定制后门。去年同一批人曾针对水务系统下手，这次目标明显转向了能源和制造业。

微软那边也在收拾烂摊子。本周推送的KB5055528更新修复了Windows 11开始菜单搜索崩溃的问题——用户输入关键词后界面直接卡死，这个bug在23H2版本里存在了至少六周。同时被修补的还有Script Editor的滥用漏洞，黑客利用macOS自带的脚本工具绕过Gatekeeper，把恶意软件包装成正常的自动化工作流。

支付页面的小把戏也没停。安全研究员发现新型信用卡窃取器用1×1像素的SVG文件作掩护，把窃取代码塞进矢量图形的元数据里。购物车页面加载时，这段代码会实时监听输入框，卡号、CVV、有效期被分段加密后传回服务器。Visa的欺诈监测数据显示，这类「像素级」攻击在2024年第四季度增长了340%。

有工厂运维人员在Reddit吐槽，他们直到收到CISA邮件才知道自己用了ActiveMQ。工业软件供应链的透明度，有时候比漏洞本身更让人头疼。