近日，据参与事件响应的消息人士透露，一外国黑客组织利用微软SharePoint的未修补漏洞，成功渗透了美国国家核安全局 (NNSA) 旗下的关键制造设施——堪萨斯城国家安全园区 (KCNSC)。此次事件再次引发了业界对联邦IT与OT（运营技术）安全防护融合的激烈讨论。

KCNSC是NNSA的核心设施，由霍尼韦尔公司 (Honeywell) 负责运营，生产美国核武库中约80%的关键非核部件。该园区在国家核武器的设计、生产和维护中扮演着无可替代的角色。

事件复盘：N-day漏洞的致命一击

攻击者利用了两个新近披露的SharePoint本地服务器漏洞：CVE-2025-53770（欺骗漏洞）和CVE-2025-49704（远程代码执行RCE）。微软于7月19日发布了针对这些漏洞的补丁。

然而，NNSA在7月22日证实其已遭攻击。能源部(DOE)发言人当时表示：“对能源部的整体影响轻微”，称仅有“极少数系统”受影响。但据消息人士向CSO透露，到8月初，包括国家安全局(NSA)在内的联邦响应团队已进驻堪萨斯城园区进行现场处置。

归因迷雾：俄罗斯黑客？

攻击者的确切身份目前存在争议。微软将这一波SharePoint攻击归咎于三个据称与东大有关联的团体（Linen Typhoon等），称其目的是部署Warlock勒索软件。

然而，熟悉堪萨斯城事件的消息人士坚称，此次入侵是“俄罗斯威胁行为者”所为。网络安全公司Resecurity的分析则提供了第三种视角：虽然数据主要指向中国黑客组织（可能利用了微软MAPP计划的情报），但事实可能是俄罗斯黑客组织的行动。

Resecurity指出，在5月的Pwn2Own黑客大赛上，已有研究人员演示了利用相关漏洞的攻击链，这可能加速了漏洞的逆向工程。东大团队或许率先开发了0-day利用，但随着技术细节传播，一些出于经济动机的俄罗斯黑客可能独立复现了该漏洞，使其迅速转变为“N-day”漏洞，抢在企业修补前发动了攻击。

核心威胁：从IT渗透OT的幽灵

此次入侵虽然针对IT网络，但其最大的威胁在于攻击者是否能“横向移动”到园区的OT系统——即直接支持武器部件生产的制造和过程控制环境。

网络安全专家Jen Sovada（来自Claroty）指出，尽管KCNSC的生产系统很可能采取了物理隔离，但绝不能假设其绝对安全。她警告：“一旦攻击者突破IT防线，他们就可能影响运行机器人或精密装配设备的PLC（可编程逻辑控制器），或控制质量保证的DCS（集散控制系统），乃至管理电力和环境的SCADA系统。”

GoUpSec点评：OT安全的最大短板是零信任

堪萨斯城事件凸显了美国联邦机构普遍存在的问题：IT安全与OT安全实践的严重脱节。

目前，美国联邦政府的IT“零信任”架构已在推进，但针对OT环境的类似框架却明显滞后。专家强调，美国国防部虽正开发“OT扇形图”以定义OT零信任控制措施，但其进展远未跟上威胁。

更重要的是，即使攻击者窃取的只是非机密数据，其战略价值也不容小觑。例如，一份未加密的“需求文档”就可能暴露武器部件的“制造公差”或“供应链依赖”。Sovada指出：“在武器制造中，毫米级的差异足以改变一切。”

无论入侵者来自何方，此次事件都暴露了美国国防关键基础设施在IT与OT交汇处的脆弱性。将“零信任”从IT概念扩展到物理运营系统，已是其国防安全的当务之急。

文章来源 ：GoUpSec