美国环境保护署(EPA)监察长办公室(OIG)发布的新报告显示,为美国约 1.1 亿人提供服务的 300 多个饮用水系统受到漏洞的影响,可能导致服务中断。

对为超过 1.93 亿个人提供服务的 1,062 个饮用水系统的安全缺陷进行的被动评估显示,其中四分之一的系统存在安全漏洞,利用漏洞可以导致系统功能丧失、拒绝服务 (DoS) 情况和客户信息泄露。
评估涵盖了五个网络安全类别,即电子邮件安全、IT 卫生、漏洞、对抗性威胁和恶意活动,并根据潜在影响将已发现的弱点评为严重到低分。
督察长办公室的报告(https://www.epaoig.gov/sites/default/files/reports/2024-11/full_report_-_25-n-0004t_1.pdf) 显示, 截至 2024 年 10 月,为大约 2700 万人提供服务的 97 个受评估供水系统存在严重和高严重性漏洞。
另外有 211 个饮用水系统(覆盖约 8300 万人)被发现受到中度和低严重性漏洞影响,存在外部可见的访问入口。
OIG 表示:“如果恶意攻击者利用在被动评估中发现的网络安全漏洞,他们可能会破坏服务或对饮用水基础设施造成无法弥补的物理损坏。”
评估包括绘制每个调查系统的数字足迹,涵盖用于收集、泵送、处理、储存和分配饮用水的基础设施,并涉及对超过 75,000 个 IP 和 14,400 个域的分析。
OIG 的报告还指出,EPA 本身缺乏“水和废水系统可以用来向 EPA 通报网络安全事件的网络安全事件报告系统”,并且该机构依赖 CISA 进行此类报告。
OIG 指出:“此外,我们无法找到与环保署与网络安全和基础设施安全局以及其他涉及特定行业应急响应、安全计划、缓解策略的联邦、州当局的协调政策和程序。”
大约一个月前,总部位于新泽西州的美国水务公司遭受网络攻击,被迫关闭部分系统。该公司为 14 个州和 18 个军事设施的 1400 多万人提供服务,本次攻击中供水服务并未受到影响。
今年 5 月,美国环保署警告称,超过 70% 的供水系统不符合《安全饮用水法》,并强调了一些极为严重的问题,例如使用默认密码和容易被黑客入侵的身份验证系统。
新闻链接:
https://www.securityweek.com/300-drinking-water-systems-in-us-exposed-to-disruptive-damaging-hacker-attacks/