ICS 修補星期二:主要供應商大規模更新應對遠端程式碼執行漏洞
在最新的「ICS 修補星期二」(ICS Patch Tuesday)中,工業控制系統(Industrial Control System, ICS)和操作技術(Operational Technology, OT)領域的數家主要供應商發布了大量安全公告,以解決其產品中發現的嚴重漏洞。這一次的更新涵蓋了從控制器、軟體平台到網路設備等多個層面,其中遠端程式碼執行(Remote Code Execution, RCE)和權限提升等高風險漏洞成為了修補的重點。這項大規模的修補行動,凸顯了工業領域對於資訊安全防護的日益重視,也再次提醒企業必須及時更新其系統,以應對不斷演變的網路威脅。
西門子發布二十二項新公告
西門子(Siemens)此次發布了高達二十二項新的安全公告,其中一個關鍵漏洞是針對 Simatic RTLS Locating Manager 的高嚴重性問題(CVE-2025-40746)。此漏洞允許經過身份驗證的攻擊者以系統權限執行程式碼,這意味著一旦攻擊者成功登入系統,便可能獲得對系統的完全控制權,造成毀滅性的後果。
除了這個關鍵漏洞,還修補了許多高嚴重性漏洞,例如:
此外,西門子也修補了因第三方元件(如 OpenSSL、Linux 內核等)所引入的漏洞,並提供了許多修補程式和緩解措施,但部分漏洞仍需透過變通辦法來解決。
施耐德電機修補五項重要公告
施耐德電機(Schneider Electric)發布了五項新的安全公告,其中一項重點公告描述了其 EcoStruxure Power Monitoring Expert (PME) 等多個產品中的四個高嚴重性漏洞。這些漏洞可能導致任意程式碼執行或敏感資料外洩。
- Modicon M340 控制器: 該控制器中的漏洞可被精心設計的 FTP 命令觸發,導致拒絕服務,嚴重影響工業生產的穩定性。此外,另一個漏洞可能導致敏感資訊外洩或拒絕服務。
- Schneider Electric Software Update 工具: 此工具中的高嚴重性漏洞可能使攻擊者提升權限、破壞檔案、獲取資訊或導致持續性的拒絕服務。
施耐德電機還修補了在其 Saitel 和 EcoStruxure 產品中發現的中等嚴重性問題,這些問題可能導致權限提升、拒絕服務或敏感憑證外洩。
霍尼韋爾、艾維瓦、ABB 及鳳凰電機的更新
除了西門子和施耐德電機,其他主要供應商也發布了重要的安全更新:
- 霍尼韋爾(Honeywell): 發布了六項公告,主要針對其樓宇管理產品,包括 Maxpro 和 Pro-Watch NVR 與 VMS 產品的 Windows 修補程式,以及 PW 系列門禁控制器的安全增強。
- 艾維瓦(Aveva): 發布了一項公告,修復了其 PI Integrator for Business Analytics 中的兩個漏洞。其中一個是任意檔案上傳漏洞,可能導致程式碼執行,另一個則是敏感資料外洩問題。
- ABB: 告知客戶其 Aspect、Nexus 和 Matrix 產品存在多個漏洞,其中一些漏洞可在未經身份驗證的情況下被利用,導致遠端程式碼執行、憑證外洩和檔案操縱。
- 鳳凰電機(Phoenix Contact): 告知客戶其裝置與更新管理中存在一個權限提升漏洞。此漏洞源於錯誤配置,允許低權限的本地用戶以管理員權限執行任意程式碼。
結論
此次 ICS 修補星期二的結果再次強調了工業控制系統面臨的嚴峻安全挑戰。隨著工業物聯網(IIoT)的普及,OT 環境與 IT 網路的融合日益緊密,使得過去相對隔離的工業系統暴露在更多的網路攻擊風險之下。從遠端程式碼執行到拒絕服務攻擊,這些漏洞的潛在後果可能不僅僅是資料外洩,更可能導致生產中斷、物理損壞甚至危及人員安全。
為了應對這些威脅,企業應建立完善的漏洞管理機制,確保及時應用供應商發布的修補程式。對於無法立即修補的漏洞,應實施緩解措施或變通辦法,例如網路分段、最小權限原則和入侵偵測系統。這場持續的攻防戰需要供應商、企業和安全社群共同努力,才能築起堅實的工業防禦牆。
資料來源:https://www.securityweek.com/ics-patch-tuesday-major-vendors-address-code-execution-vulnerabilities/