關閉選單
  1. Home
  2. NEWS最新消息
  3. 漏洞與風險
  4. 裝置漏洞
顯示分類
2025.12.22
漏洞與風險/裝置漏洞
CISA 指出西門子、施耐德電機、羅克韋爾自動化等公司的產品存在漏洞

美國網路安全與基礎設施安全局 (CISA) 週四發布了九份工業控制系統 (ICS) 安全公告,警告關鍵基礎設施產業注意影響 Inductive Automation、施耐德電氣、美國國家儀器公司、三菱電機、西門子、研華科技、羅克韋爾自動化和安訊士通訊等公司產品的硬體漏洞。這些公告概述了目前存在的安全問題和已知漏洞,為營運商提供有關 ICS 環境中風險和潛在利用的及時指導。

  1. Inductive Automation

Inductive Automation 的 Ignition 平台存在一個 CVSS v3 評分為 6.4 的漏洞。攻擊者可以利用漏洞以不必要的權限執行程式碼,從而獲得更高的存取權限。此漏洞影響使用 Python 腳本進行自動化操作的 Ignition SCADA應用程式。

  1. 施耐德電氣

微軟在 Windows Server Update Services (WSUS) 中發現的漏洞,漏洞的 CVSS v3 評分定為 9.8 分,該漏洞被EcoStruxure Foxboro DCS Advisor 服務所使用, EcoStruxure Foxboro DCS Advisor 是 EcoStruxure Foxboro DCS 系統的一個可選組件,它透過持續監控 I/A 系列和控制軟體流程環境中的關鍵效能指標,實現遠端連接和診斷。

  1. National Instruments

National Instruments LabVIEW的約9個漏洞,這些漏洞的CVSS v3評分為7.8,涉及多種問題,例如越界寫入和讀取漏洞、釋放後使用漏洞以及基於堆疊的緩衝區溢位漏洞。

  1. 三菱電機

三菱電機 Iconics Digital Solutions 和三菱電機旗下產品有漏洞。此漏洞編號為 CVE-2025-11774,影響多個產品,包括 GENESIS64、ICONICS Suite、MobileHMI 和 MC Works64。 CISA 將該漏洞的 CVSS v3 評分定為 8.2,並將其歸類為作業系統命令中特殊元素的注入攻擊。

公告稱:“ICONICS Suite、GENESIS64、MobileHMI 和 MC Works64 的軟體鍵盤功能(以下簡稱‘鍵盤功能’)中存在惡意程式碼執行漏洞,可能導致拒絕服務 (DoS)、資訊篡改和資訊外洩。”

  1. 西門子

西門子Interniche IP 協定堆疊存在漏洞,影響多種工業產品。此漏洞源自於某些情況下 TCP 序號驗證執行不力,導致接受範圍過廣的值。未經身份驗證的遠端攻擊者可以利用此漏洞幹擾連線建立,從而可能導致拒絕服務攻擊。

  1. 研華科技

研華 WebAccess/SCADA 受到多個漏洞的影響,這些漏洞被追蹤為 CVE-2025-14850、CVE-2025-14849、CVE-2025-14848、CVE-2025-46268 和 CVE-203,這些漏洞的 CVSS v3 評分為 8.8,包括路徑名未正確限制在受限目錄中、允許上傳危險類型的檔案、絕對路徑遍歷以及 SQL 命令中特殊元素未正確中和(通常稱為 SQL 注入)。

  1. 羅克韋爾自動化公司

羅克韋爾自動化公司的 Micro820、Micro850 和 Micro870 控制器存在漏洞,漏洞編號分別為 CVE-2025-13823CVE-2025-13824,這些漏洞的 CVSS v3 評分為 7.5,原因是依賴易受攻擊的第三方元件以及釋放了無效指標或引用。

  1. Axis Communications

多款 Axis Communications 產品有安全漏洞,包括 Axis Camera Station Pro、Axis Camera Station 和 Axis Device Manager。 Axis Camera Station Pro 和 Axis Camera Station 的漏洞編號分別為 CVE-2025-30023CVE-2025-30025CVE-2025-30026。CISA 對影響 Axis Communications Camera Station Pro、Camera Station 和 Device Manager 的漏洞評估了 CVSS v3 9.0 的評分。

CISA建議各組織採取防禦措施,透過限制控制系統設備的網路暴露並確保其無法直接從網路訪問,來降低遭受攻擊的風險。控制系統網路和遠端資產應置於防火牆之後,並與業務網路隔離。如果必須進行遠端訪問,則應使用更安全的方法,例如虛擬私人網路(VPN)。但需要注意的是,VPN必須保持完全更新,其安全性取決於連接到VPN的裝置的安全性。

在部署任何防禦措施之前,CISA建議各組織進行適當的影響分析和風險評估。該機構還建議使用者參考其控制系統安全最佳實踐指南,這些指南可在cisa.gov/ics的ICS網頁上找到,此外還提供其他資源,概述網路防禦最佳實踐,包括ICS縱深防禦策略指南。 CISA關於定向網路入侵偵測和緩解策略的技術資訊檔案中提供了更多緩解指南。

偵測到可疑惡意活動的組織應遵循既定的內部程序,並將調查結果報告給CISA,以便支援追蹤和與其他事件的關聯。 CISA也敦促各組織保持警惕,防範社會工程攻擊,避免點擊未經請求的電子郵件連結或附件,並參考現有的電子郵件詐騙和網路釣魚攻擊識別指南。目前,CISA報告尚未發現專門針對此漏洞的公開攻擊,並指出利用此漏洞需要極高的攻擊複雜性。

資料來源:https://industrialcyber.co/cisa/cisa-flags-ics-vulnerabilities-in-products-from-siemens-schneider-electric-rockwell-and-others/
 
分析美國 CISA 最新發布的九項工業控制系統(ICS)安全公告。針對 Siemens、Schneider Electric、Rockwell 及 Mitsubishi 等全球自動化巨頭之產品漏洞進行技術剖析,探討其對電力、能源及關鍵製造業的潛在衝擊,並提出產業級的資安韌性強化建議與風險緩釋路徑。