黑客利用SharePoint漏洞攻破美国核武工厂

外国行为者利用微软 SharePoint 的一个未修补漏洞,渗透了美国国家核安全管理局(NNSA)的关键制造基地——堪萨斯城国家安全园区(KCNSC)。该园区负责生产美国核武库中绝大多数的非核部件。尽管攻击者的身份是中国还是俄罗斯尚存争议,但此次事件暴露了联邦政府在保护运营技术(OT)系统方面的不足,并凸显了将零信任安全原则扩展到工业控制环境的紧迫性。

攻击如何发生

攻击者利用了微软 SharePoint 服务器中两个新披露的漏洞,成功入侵了 KCNSC。该园区为美国核武库生产约 80% 的非核部件,是联邦武器综合体中最敏感的设施之一。

    • 攻击目标: 位于密苏里州的堪萨斯城国家安全园区 (KCNSC)
  • 利用的漏洞:
      • CVE-2025-53770:一个欺骗性漏洞。
      • CVE-2025-49704:一个远程代码执行 (RCE) 漏洞。
    • 时间线: 微软于 7 月 19 日发布了补丁,但攻击在 7 月 18 日左右就已经开始。美国能源部 (DOE) 最初声称影响“极小”,但到 8 月初,包括国家安全局 (NSA) 在内的联邦响应人员已进驻该设施。

攻击者身份之谜:中国还是俄罗斯?

关于攻击者的归属,目前存在相互矛盾的说法。

    • 微软的观点: 将攻击归因于三个与中国有关的组织,包括 Linen TyphoonViolet Typhoon,并认为其目的是部署勒索软件。
    • 事件知情者的说法: 坚称入侵是由一个俄罗斯威胁行为者所为。
    • 专家的分析: 网络安全公司 Resecurity 指出,虽然中国组织可能开发并部署了最初的零日漏洞,但受经济利益驱使的俄罗斯行为者可能在技术细节公开后独立复制了该漏洞,并利用了尚未打补丁的系统。

攻击能否触及运营系统?

这次入侵虽然针对的是 IT 网络,但引发了人们对攻击者是否可能横向移动到工厂的运营技术 (OT) 系统的担忧。OT 系统直接控制着武器部件的生产和制造过程。

专家警告说,如果攻击者可以横向移动,他们可能会影响运行机器人或精密装配设备的可编程逻辑控制器,甚至影响负责质量保证和工厂水电供应的系统。

尽管 KCNSC 的生产系统可能与公司 IT 网络物理隔离(即“气隙”),但专家提醒,不应假设这种隔离是万无一失的。

IT 与 OT 的安全鸿沟

堪萨斯城事件凸显了一个系统性问题:IT 安全与 OT 安全实践之间的脱节。

    • 联邦政府在传统 IT 网络中推行零信任安全方面取得了进展。
    • 然而,为 OT 这类工业环境建立类似的安全框架却相对滞后。
    • 未来的目标是将 IT 和 OT 的零信任控制措施结合起来,以确保安全覆盖所有网络类型,防止 IT 网络的入侵蔓延到物理操作中。

即便非机密数据也具有战略价值

即使攻击者是出于经济动机的勒索软件团伙,并且没有窃取任何机密信息,他们获取的数据仍然具有重大的战略价值。

例如,一些非机密的技术要求文件可能揭示了武器部件所需的精确度。在武器制造中,一毫米的差异就可能改变设备的弹道或其引信的可靠性。这些信息可以帮助对手了解美国的武器公差、供应链依赖性或制造流程。

无论入侵者是谁,这次事件都暴露了关键国防基础设施中 IT 安全与运营安全之间脆弱的交集。它清楚地表明,零信任不能再仅仅被视为一个 IT 概念,它必须扩展到支撑国防的物理系统中。