今年四月初,美國網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency,CISA)、聯邦調查局(FBI)、國家安全局(NSA)、環境保護署(EPA)、能源部(DOE)及美國網路司令部網路國家任務部隊(CNMF)等六個聯邦機構聯合發布資安通報 AA26-097A,揭露一支與伊朗關聯的APT組織自 2026 年 3 月起對美國工控系統(ICS)發動攻擊,已造成水利、能源等關鍵基礎設施部門實際運作中斷與財務損失。面對國家級威脅從網路入侵升級為實體癱瘓,CISA 於 5 月 5 日正式宣布推出「CI Fortify」倡議,明確要求關鍵基礎設施業者針對網路與通訊服務全面中斷的極端情境,制定並演練完整的離線應變能力。
伊朗 APT 鎖定 PLC 發動攻擊,CVE-2021-22681 成關鍵突破口
根據聯合通報 AA26-097A,攻擊者以網路暴露的 Rockwell Automation/Allen-Bradley 可程式邏輯控制器(PLC)為主要目標,受害單位遍及政府設施、水利及廢水處理系統與能源部門。攻擊者透過境外 IP 位址與租用的第三方基礎設施,利用自家的工程軟體 Studio 5000 Logix Designer 直接存取暴露於網際網路的 PLC 設備,此舉與 CVE-2021-22681 漏洞的利用方式高度吻合。
CVE-2021-22681 為 Rockwell Automation Studio 5000 Logix Designer 及 RSLogix 5000 系列軟體的私密金鑰保護不足漏洞,CVSS v3.1 基礎分數達 10.0(滿分),屬最高風險等級。成功利用此漏洞後,未經身分驗證的遠端攻擊者可繞過控制器的金鑰驗證機制,直接與 Logix 系列控制器建立連線,進而竄改控制器設定與應用程式邏輯。Rockwell Automation 明確表示,此漏洞無法透過修補程式解決,僅能藉由縱深防禦策略降低風險。CISA 已於 2026 年 3 月將 CVE-2021-22681 正式列入已知遭利用漏洞(KEV)目錄,確認此漏洞已遭實際攻擊利用。
攻擊手法進一步聚竄改人機介面(HMI)與監控與資料採集(SCADA)顯示畫面,藉此干擾操作人員的判斷,最終造成多個組織的實際運作停擺與財務損失。聯邦機構已要求相關單位立即審查入侵指標(IOC)並落實緩解措施。
此次攻擊行動直接印證了國家級威脅針對實體基礎設施的真實破壞力,也為 CISA 近日的推出 CI Fortify 倡議提供了最具說服力的現實背景。
CI Fortify 倡議:隔離與復原,兩大核心目標正式上路
CI Fortify 倡議的核心邏輯在於,當地緣政治危機導致網路、電信與技術服務全面中斷時,關鍵設施必須具備在完全離線環境下持續運作的能力。
該倡議參考澳洲政府於 2025 年發布的相關指南建立,設定「隔離(Isolation)」與「復原(Recovery)」兩大核心目標。在實務要求層面,水利、交通等關鍵基礎設施業者須完整記錄關鍵系統文件、定期執行資料備份,並定期演練在網路攻擊切斷關鍵系統後切換至手動作業模式的能力。CISA 代理局長 Nick Andersen 表示,機構已在試行階段啟動首批目標式評估,並將透過全美十個區域辦公室持續擴大執行範圍。
此舉被外界解讀為美國政府因應中俄等國家級威脅升溫、全面強化關鍵基礎設施韌性的重要政策信號。CI Fortify 倡議的推出,標誌著美國資安政策從「防止入侵」向「確保中斷後仍能存活」的根本性轉向。
CIRCIA 通報規則五月落地,台灣供應鏈合規壓力不容輕忽
與 CI Fortify 倡議相互呼應,美國《關鍵基礎設施網路事件通報法》(Cyber Incident Reporting for Critical Infrastructure Act,CIRCIA)的最終細則預計於 2026 年 5 月正式公告。法規落地後,涵蓋範圍內的業者須於重大網路事件發生後 72 小時內完成通報,並須於支付勒索軟體(Ransomware)贖金後 24 小時內向 CISA 申報。
對台灣而言,CIRCIA 的合規義務不僅止於美國境內。在美有業務往來的供應鏈廠商及科技業者,須建立事件偵測機制、確保通報流程能在法定時限內完成,並釐清勒索軟體支付的申報責任歸屬,建議相關企業即刻啟動內部評估程序。
伊朗 APT 的真實攻擊、CI Fortify 的韌性要求與 CIRCIA 的法律強制,三者交疊形成一個明確訊號:關鍵基礎設施資安的容錯空間正在急速收窄,而威脅並不等待法規到位。
資安建議:
- 盤點組織內所有網路暴露的工業控制系統與 PLC 設備,優先隔離非必要的遠端存取介面,確認所有遠端存取均透過安全閘道器或 VPN 並搭配多因素驗證(MFA)
- 針對 CVE-2021-22681 實施縱深防禦措施:由於此漏洞無修補程式,應強制落實網路區隔,限制僅授權工作站可與控制器通訊,並監控 Studio 5000 Logix Designer 的異常連線行為
- 依據 CISA 通報 AA26-097A 審查相關 IOC,確認 HMI 與 SCADA 系統未遭竄改;已使用受影響 Rockwell 控制器的單位應立即參閱廠商安全公告 PN1550
- 啟動或更新網路孤島應變計畫,納入手動作業切換演練,對應 CI Fortify 倡議的隔離與復原目標
- 在美有業務的台灣廠商應立即評估 CIRCIA 合規義務,建立 72 小時事件通報標準作業程序