富士馬達（白光電子）V-SFT 是一款人機介面 (HMI) 配置和開發軟體，製造業和其他工業領域的組織使用它來創建和管理富士馬達 Monitouch 系列 HMI 的使用者介面，該系列 HMI 在全球廣泛使用。人機介面（HMI）在現代工業控制系統（ICS）中扮演著操作人員與底層設備溝通的核心橋樑，其安全漏洞可能成為對整個生產環境進行破壞的關鍵切入點。網路安全研究員 Michael Heinzl 發現 V-SFT 受到多個漏洞的影響，其中包括可能導致資訊外洩或在運行該軟體的系統上執行任意程式碼的漏洞。

這些漏洞的嚴重性極高，因為它們直接威脅到操作技術（OT）環境的完整性。研究員明確指出，這些問題源自於 V-SFT 對使用者提供的輸入數據缺乏適當且嚴格的驗證機制，這種疏忽可能導致駭客能夠執行「超出分配記憶體尾部」的讀取操作。這類漏洞（通常是緩衝區溢位或越界讀取/寫入）為攻擊者提供了執行惡意有效載荷的途徑。

攻擊者需要利用社會工程學手段誘騙目標組織的 V-SFT 使用者開啟惡意專案文件，從而以受害者的權限執行任意程式碼，這可以讓駭客控制系統。一旦駭客成功利用這些漏洞在工程師的工作站上執行遠端程式碼，他們就能以受害者的權限在該系統上立足，進而透過網路擴展到連接的工業網路和實體控制器。這不僅可能導致敏感的專案檔案（包括HMI設計和配置數據）外洩，更嚴重的是，駭客可能藉此篡改HMI配置，進而破壞或停止生產線、危害實體安全。

這家日本電氣設備公司已經發布了修補程式（版本 6.2.9.0），日本 JPCERT 最近發布了一份公告，告知各組織有關這些漏洞的資訊。總體而言，富士馬達在最近幾個月內在其 HMI 程式設計器中修補了 Heinzl 發現的 20 多個安全漏洞。然而，JPCERT 的公告幾乎沒有包含有關潛在影響的信息，而 Fuji 的發布說明似乎也沒有提到任何安全性修復。這種資訊透明度的不足，給工業組織在評估和優先處理修補工作時帶來了額外的困難。研究員也指出，從漏洞提報到廠商發布修補程式的反應時間較長，最新的修補大約耗時四個月，而先前批次的漏洞修復則耗時近九個月。這漫長的修復時間凸顯了工業軟體供應商在快速應對安全威脅方面的挑戰，也讓全球工業客戶持續面臨來自這些未修補漏洞的風險。對於使用富士電機 Monitouch 系列 HMI 的組織，應當將 V-SFT 配置軟體的更新視為一項刻不容緩的資安優先事項，確保軟體環境的安全，是維護工業網路免受侵害的基礎。同時，也應加強員工的安全意識培訓，特別是針對社會工程學攻擊的防範，以避免成為開啟惡意專案文件的「零號病人」。

資料來源：https://www.securityweek.com/fuji-electric-hmi-configurator-flaws-expose-industrial-organizations-to-hacking/