- 風險等級判斷依據
本事件具備大規模影響潛力,因涉及電力、交通與製造等關鍵基礎設施;攻擊不需繞過既有防護(如MFA),因協定本身缺乏認證機制;攻擊條件已存在於公開網際網路(in-the-wild),任何人可直接連線;同時直接涉及OT核心控制系統與實體運作設備,風險極高。
- 報導概述
本事件源自Comparitech於2026年4月發布的研究報告,透過大規模網際網路掃描(Masscan)發現全球共有179個工業控制系統(ICS)設備直接暴露於網路,且使用不安全的Modbus協定進行通訊。
這些設備分布於約20個國家,主要集中於美國、瑞典與土耳其,並涉及關鍵產業,包括電力系統、製造業與交通運輸,其中甚至包含國家鐵路系統與電網基礎設施。
攻擊流程上,威脅並非來自複雜入侵,而是利用設備直接暴露的特性作為初始入口。攻擊者可透過掃描Port 502(Modbus預設通訊埠)發現目標設備,無需任何憑證即可建立連線。由於Modbus缺乏加密與身份驗證機制,攻擊者可直接讀取或寫入控制指令,進而操控設備運作。
此類攻擊不需中繼基礎設施或惡意程式,即可直接對PLC或控制系統進行操作,最終可能導致工業流程中斷、設備異常甚至實體破壞,對關鍵服務造成衝擊。
- 技術重點
本事件核心為「設計性弱點 + 暴露面錯誤配置」的結合,Modbus為一種歷史悠久的工業通訊協定,原設計於封閉網路環境,未內建加密或身份驗證機制,使其在現代網際網路環境中極易被濫用。
攻擊者不需繞過MFA或帳密防護,因為協定本身即允許未驗證存取,代表安全邊界已完全失效。從能力評估角度,此類攻擊門檻極低,即使低技術攻擊者亦可進行讀寫操作,顯示其具備高度可規模化特性。
此外,攻擊過程完全使用合法工業協定進行(Protocol Abuse),屬於典型「Living off the Land(OT版)」行為,難以被傳統IT安全設備(如EDR、IPS)辨識。
- 資安風險
此事件最大的風險在於攻擊者可直接取得工業控制權,而非僅限於IT層級的資料存取。由於Modbus允許寫入控制暫存器,攻擊者可修改控制邏輯或設備參數,導致實體設備異常運作。
攻擊者可在無需植入惡意程式的情況下長期維持控制權(Persistence),並可透過OT網路進一步橫向移動至其他控制系統。
- 對企業營運的實際衝擊
此類風險直接影響企業「營運可用性(Availability)」與「安全性(Safety)」,不同於傳統資料外洩事件,其影響可延伸至實體世界,例如電網異常、交通系統中斷或製造停擺。
傳統資安防護之所以失效,在於其設計主要針對IT系統(帳密、防毒、端點防護),而非工業協定層的控制行為。當攻擊透過合法協定進行時,系統難以區分正常操作與惡意行為,導致偵測盲點。
- 關鍵觀察(策略層級)
此事件反映攻擊在OT環境中,攻擊者不再需要複雜技術即可造成實質破壞。攻擊面明顯從IT系統轉移至OT與設備層,顯示「連網化(IT/OT convergence)」已成為風險放大器,使原本設計於封閉環境的系統暴露於公開威脅之中。
防禦思維需轉向「Zero Trust for OT」與設備層可視化,重點不再僅是身份驗證,而是監控控制指令與設備行為(Command-level visibility)。此外,攻擊者行為呈現「低成本高影響」特徵,代表未來攻擊門檻將持續下降,從國家級APT擴散至一般駭客甚至犯罪集團,造成威脅規模化與普及化。
資料來源:https://industrialcyber.co/industrial-cyber-attacks/internet-exposed-ics-devices-running-insecure-modbus-leave-critical-infrastructure-open-to-disruption-comparitech-finds/