關閉選單
  1. Home
  2. NEWS最新消息
  3. 漏洞與風險
  4. 裝置漏洞
顯示分類
2025.10.30
漏洞與風險/裝置漏洞
美國CISA針對施耐德電氣和 Vertikal Systems 的漏洞發布了ICS安全建議

美國網路安全與基礎設施安全局(CISA) 持續監測並發布對全球關鍵基礎設施構成威脅的工業控制系統(ICS)漏洞,以確保營運技術(OT)環境的安全。這些警報對於製造業、能源業和醫療保健等核心產業的網路彈性至關重要,突顯了OT系統中常見的設計缺陷與配置風險。


施耐德電機OPC UA伺服器與通訊協定缺陷

美國網路安全與基礎設施安全局(CISA) 在其工業控制系統 (ICS) 安全諮詢報告中指出,施耐德電氣的EcoStruxure OPC UA Server Expert 存在一個與資源分配無限製或未進行限流相關的漏洞,此漏洞的 CVE 編號為 CVE-2024-10085,其 CVSS v3.1 基本評分為 7.5,CVSS v4 基本評分為 8.2。

這個高風險漏洞主要影響OPC UA Server Expert,該伺服器在工業環境中負責資料交換與通訊。由於缺乏對資源分配的有效限制或速率控制,攻擊者可以利用此缺陷發動服務阻斷(Denial of Service, DoS)攻擊,可能導致營運中斷,對於高度依賴即時資料傳輸的自動化系統來說,後果不堪設想。

施耐德電機報告稱,受影響的產品包括 EcoStruxure OPC UA Server Expert(版本 SV2.01 SP3 之前)和 EcoStruxure Modicon Communication Server(所有版本)。施耐德電機已製定具體的補救措施,EcoStruxure OPC UA Server Expert Version SV2.01 SP3 包含此漏洞的修復程序,可供下載。選擇不應用此更新的使用者應立即實施建議的緩解措施,以降低漏洞被利用的風險。該公司還在為所有未來版本的EcoStruxure Modicon通訊伺服器製定一項補救計劃,該計劃將包含永久性修復程序。一旦修復程序可用,施耐德電機將更新公告 SEVD-2025-287-01。在此期間,建議使用者應用建議的緩解措施以限制風險暴露。

 

醫療系統後端服務與關鍵控制器漏洞更新

除了工業自動化領域,CISA的警報也延伸至醫療保健行業的關鍵系統。CISA在另一份公告中指出,Vertikal Systems 的醫院管理後端服務存在漏洞,此漏洞已被指派 CVE-2025-54459 編號,其 CVSS v3.1 基本評分為 7.5,CVSS v4 基本評分為 8.7。受影響的Vertikal Systems產品是Hospital Manager Backend Services,版本編號為2025年9月19日及更早版本。

Vertikal Systems的Hospital Manager Backend Services由於處理病患數據、排程和行政事務,一旦遭到入侵或癱瘓,將直接影響醫院的正常運作和病患照護服務。CVSS v4 基本評分高達8.7,代表該漏洞極易被遠端利用,並造成高度機密性、完整性與可用性衝擊,醫療機構應將其視為首要修復任務。

最後,CISA更新了先前發布的ICS安全諮詢文件,該文件涉及施耐德電氣Modicon M241/M251/M258/LMC058設備中存在的輸入驗證錯誤漏洞。施耐德電機報告稱,受影響的產品包括版本低於 5.2.11.29 的 Modicon 控制器 M241 和 M251,以及版本低於 5.0.4.19 的 Modicon 控制器 M258 和 LMC058。這些設備已部署在全球各地的商業設施、關鍵製造和能源產業。

Modicon控制器是可編程邏輯控制器(PLC),是工業和關鍵製造業營運的核心設備。輸入驗證錯誤漏洞可能允許遠端攻擊者執行未經授權的操作,甚至控制設備的關鍵功能。鑑於這些設備在能源和製造供應鏈中的關鍵地位,對這些已確認漏洞的持續追蹤和實施補丁,對於確保全球關鍵基礎設施的營運連續性是至關重要的。

 

資安防護建議:分層緩解與及時修復

CISA的頻繁警報凸顯了ICS環境必須從根本上改善安全姿態。對於所有關鍵系統,除了應用供應商提供的修補程式外,營運者應立即實施分層緩解措施。這包括但不限於:將ICS網路與企業網路進行嚴格的邏輯隔離;使用防火牆限制對OT設備的遠端存取;對所有控制協議實施嚴格的流量監控和異常檢測;以及確保所有存取點都啟用多因素身份驗證。

尤其是對於尚無永久修復計劃的產品,如EcoStruxure Modicon通訊伺服器,營運者必須優先應用施耐德電機建議的緩解措施,以最小化潛在的攻擊面。同時,企業需建立嚴謹的漏洞管理流程,持續關注CISA和供應商的安全公告,確保能夠在漏洞被主動利用之前完成所有關鍵系統的修補與防護加固。


資料來源:https://industrialcyber.co/cisa/cisa-issues-ics-advisories-on-schneider-electric-vertikal-systems-vulnerabilities-adds-delmia-apriso-flaws-to-kev-catalog/
 
美國CISA針對工業控制系統(ICS)發布多項資安警報,涵蓋施耐德電氣的EcoStruxure OPC UA Server Expert和Modicon控制器中存在的資源分配與輸入驗證漏洞,以及Vertikal Systems醫院管理後端服務的嚴重缺陷。