1、《信息安全技术关键信息基础设施安全测评过程指南》公安行业标准发布
该标准提供了针对关键信息基础设施开展网络安全测评工作过程的指南,适用于关键信息基础设施运营者及安全检测评估服务机构开展的关键信息基础设施安全测评工作。
https://www.secrss.com/articles/86954
2、工信部印发《推动工业互联网平台高质量发展行动方案(2026—2028年)》
为深入贯彻落实党中央、国务院关于发展工业互联网的决策部署,引导工业互联网平台高质量发展,推动产业模式和企业形态变革,加快推进新型工业化,近日,工业和信息化部印发了《推动工业互联网平台高质量发展行动方案(2026—2028年)》(以下简称《行动方案》)。
https://www.secrss.com/articles/86982
02.
关键基础设施
1、UAT-8837组织利用0Day漏洞瞄准北美关键基础设施
代号UAT-8837的APT组织持续攻击北美关键基础设施,利用0Day漏洞和开源工具混合策略窃取敏感信息,并可能发起供应链攻击,威胁持久且防御难度高。
https://securityonline.info/zero-day-threat-uat-8837-targets-north-american-infrastructure/
2、微软法律行动摧毁RedVDS网络犯罪基础设施,遏制在线欺诈活动
微软联合执法部门摧毁RedVDS网络犯罪服务,该服务以24美元/月提供虚拟计算机,助长钓鱼、金融欺诈等犯罪活动,造成全球19.1万组织受害,损失超4000万美元。
https://thehackernews.com/2026/01/microsoft-legal-action-disrupts-redvds.html
03.
安全事件
1、西班牙能源巨头Endesa数据泄露,超2000万用户数据疑遭暗网售卖
西班牙能源公司Endesa披露了一起数据泄露事件,大量用户核心信息遭泄露,涵盖联系方式、国民身份证号码及支付相关数据。
https://www.secrss.com/articles/86989
2、泄露超2400万用户敏感数据,法国通信巨头被罚4.4亿元
法国数据保护监管机构国家信息自由委员会(CNIL)日前发出罚单,由于两家法国电信公司发生数据泄露违反了GDPR规定,对其合计处以4200万欧元(约合人民币3.39亿元)的罚款。Free和Free Mobile是伊利亚特集团(Iliad)旗下两家独立运营的公司,分别提供固网和移动通信服务。此次罚款源于2024年10月发生的一起数据泄露事件,该事件导致超过2400万人的数据外泄,其中包括国际银行账户号码(IBAN)等金融信息。
https://www.secrss.com/articles/87098
3、险遭大停电!波兰全国可再生能源设施遭遇大规模网络攻击
这起事件针对大量分布式可再生能源设施,并蓄意干扰其与电网的通信;波兰政府表示成功挫败了此次攻击,并指责俄罗斯蓄意破坏行为。
https://www.secrss.com/articles/87065
漏洞事件
1.国家漏洞库CNNVD:关于Apache Struts安全漏洞的通报
近日,国家信息安全漏洞库(CNNVD)收到关于Apache Struts安全漏洞安全漏洞(CNNVD-202601-1787、CVE-2025-68493)情况的报送。成功利用漏洞的攻击者,可获取目标服务器敏感信息或导致服务器拒绝服务。Apache Struts多个版本均受此漏洞影响。目前,Apache官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。
https://www.secrss.com/articles/87023
2、Windows远程协助漏洞可绕过安全防护机制
微软修复Windows远程协助高危漏洞(CVE-2026-20824),该漏洞可绕过MOTW防御系统,影响Win10至Server2025多个版本。攻击需用户交互,微软已发布29个补丁,建议紧急更新但无需应急响应。
https://cybersecuritynews.com/windows-remote-assistance-vulnerability/
3、Fortinet FortiSIEM漏洞(CVE-2025-64155)遭在野利用
FortiSIEM高危漏洞CVE-2025-64155正遭在野利用,可远程执行代码获取root权限。PoC已公开,影响6.7至7.4版本,建议立即升级或阻断7900端口。企业SIEM系统面临沦陷风险,需优先处理。
https://cybersecuritynews.com/fortinet-fortisiem-vulnerability/
