關閉選單
  1. Home
  2. NEWS最新消息
顯示分類
2025.07.27
資安威脅情資/工控裝置
CISA警告:Honeywell、Medtronic、Mitsubishi等硬體設備存在關鍵漏洞

前言

隨著工業控制系統(ICS)、醫療設備及物聯網(IoT)裝置日益普及並深度整合於關鍵基礎設施中,其硬體層面的安全性成為國家安全與公民福祉不可忽視的一環。美國網路安全和基礎設施安全局(CISA)近期發布了一系列資安公告,揭露了包括 Honeywell、Medtronic、Mitsubishi Electric、LG Innotek 和 Network Thermostat 在內的多家知名製造商的硬體設備中存在的關鍵漏洞。這些漏洞涵蓋從遠端程式碼執行(RCE)到身份驗證繞過等多種形式,一旦被惡意利用,可能對能源、醫療、製造等多個重要產業造成嚴重影響。本報告將詳細梳理 CISA 發布的這些預警,解析受影響的設備與潛在威脅,並提出必要的緩解措施。


主要受影響設備與漏洞詳情

CISA 的資安公告針對不同製造商的特定產品指出了多種硬體漏洞:
  1. Mitsubishi Electric CNC 系列設備:
    • 漏洞: CVE-2016-2542,「未受控的搜尋路徑元素」(Uncontrolled Search Path Element)。
    • 影響: 攻擊者可利用此漏洞執行惡意程式碼。雖然該漏洞編號較早,但可能仍有未更新的舊版本存在風險。
    • 緩解: 部分受影響版本已釋出修補程式,用戶應確認其系統是否已打上相關補丁。
  2. Network Thermostat X-Series WiFi 恆溫器:
    • 漏洞: CVE-2025-6260,「關鍵功能缺少身份驗證」(Missing Authentication for Critical Function)。
    • 影響: 允許未經身份驗證的攻擊者獲取管理員權限,完全控制恆溫器設備。
    • 緩解: 開發商已透過自動更新部署安全修復,用戶應確保設備已連結網路並啟用自動更新。
  3. Honeywell Experion PKS 硬體:
    • 漏洞: 多個關鍵缺陷,包括資訊洩露和遠端程式碼執行(RCE)等。
    • 影響: 這些漏洞可能導致未經授權的資訊存取、系統控制權被奪取,對工業控制過程造成嚴重影響。
    • 緩解: 建議用戶更新到特定熱修復(hotfix)版本,以修補這些漏洞。
  4. LG Innotek Camera 型號 LNV5110R:
    • 漏洞: CVE-2025-7742,「身份驗證繞過」(Authentication Bypass)。
    • 影響: 允許攻擊者繞過正常的身份驗證機制,直接獲得管理員存取權限。
    • 緩解: 遺憾的是,這款設備已被標註為「產品生命週期結束」(End-of-Life),意味著它將不會再收到任何安全更新或修補程式。用戶應考慮淘汰這些設備並更換為受支援的型號,以避免持續暴露於風險之中。
  5. Medtronic MyCareLink 患者監測器 24950 和 24952:
    • 漏洞: 涉及明文儲存憑證、空密碼和不可信數據的反序列化(deserialization of untrusted data)等。
    • 影響: 這些漏洞可能導致患者敏感數據洩露、設備被非法存取或操作,對患者隱私和醫療安全構成威脅。
    • 緩解: Medtronic 已透過自動更新部署了安全修復,確保這些醫療設備的安全運行。


CISA 的通用緩解建議

除了針對特定設備的修補措施,CISA 也提出了適用於所有工業控制系統(ICS)和物聯網設備的通用緩解步驟:
  1. 將控制系統與網際網路隔離: 這是 ICS 安全的基本原則。將敏感的控制系統從公共網路中隔離出來,使用防火牆、隔離網段等技術限制外部存取。
  2. 使用安全的遠端存取方法: 如果必須進行遠端存取,應採用安全機制,如虛擬私人網路(VPN)搭配多因素認證(MFA),並僅允許必要的存取。
  3. 進行風險評估: 定期對所有連接到網路的硬體設備進行全面的資產清查和風險評估,識別潛在漏洞並制定應對計劃。
  4. 及時打補丁和更新: 密切關注製造商發布的安全公告和補丁,並盡快應用。對於已終止服務(EOL)的設備,應及時更換。
  5. 實施網路分段: 將不同的網路區域進行分段,限制流量的橫向移動,即使部分系統受損也能限制攻擊的範圍。

CISA 對於 Honeywell、Medtronic、Mitsubishi、LG 和 Network Thermostat 硬體漏洞的警告,再次提醒我們工業和醫療物聯網設備在數位安全鏈中扮演的脆弱角色。這些漏洞若被惡意利用,可能導致嚴重的營運中斷、數據洩露甚至生命安全威脅。

對於工業控制系統和OT裝置領域的產業鏈而言,此類硬體漏洞預警具有重要啟示。無論是開發者、設備製造商還是最終用戶,都必須將硬體層面的安全設計、審查和生命週期管理納入資安策略的核心。特別是對於負責關鍵基礎設施的營運者,定期進行資安風險評估、遵循 CISA 等機構的安全建議、以及建立完善的供應鏈安全管理體系,將是確保國家數位韌性和產業持續運營的關鍵。這不僅是技術問題,更是戰略問題,需要政府、企業和資安社群的共同努力。
 

資料來源:https://industrialcyber.co/threats-attacks/cisa-flags-hardware-vulnerabilities-in-honeywell-medtronic-mitsubishi-lg-network-thermostat-devices/