全球工業控制系統（ICS）與操作技術（OT）的安全防護再次迎來關鍵時刻。每月的「補丁星期二」是廠商發布重要安全修復的時機，此次工業巨頭西門子、施耐德電氣、羅克韋爾自動化和Aveva發布了「補丁星期二」公告，告知客戶其ICS/OT產品中的漏洞。 西門子發布了六項新的安全公告，解決了西門子Solid Edge（遠端中間人攻擊、程式碼執行）、Altair Grid Engine（程式碼執行）、Logo! 8 BM（程式碼執行、拒絕服務攻擊、設定篡改）和 Sicam P850（跨站請求偽造）產品中的漏洞。此外，西門子的Comos工廠工程軟體也被揭露存在一個關鍵的程式碼執行缺陷和一個高風險的安全繞過問題，已一併發布修補。 羅克韋爾自動化公司於 11 月 11 日發布了五份新的安全公告，該公司告知其 Verve Asset Manager OT 安全平台的客戶，該產品存在嚴重的存取控制問題，未經授權的唯讀用戶可以透過 API 篡改其他用戶帳戶。在 Logix 5000 控制器的 Studio 5000 整合設計環境中，羅克韋爾修復了一個暴露NTLM 雜湊值的 SSRF 漏洞以及一個本機程式碼執行錯誤。此外，羅克韋爾也修復FactoryTalk DataMosaix 私有雲的 MFA 繞過漏洞和持久性 XSS 漏洞，以及SIS 工作站（程式碼執行漏洞）和 FactoryTalk 策略管理器（拒絕服務攻擊漏洞）中因使用第三方元件而引入的缺陷。**這些漏洞涵蓋了從程式碼執行到權限控制等多個層面，對工業環境構成實質威脅。
Aveva週二發布了兩份新的安全公告，其中一份描述了一個高風險持久性XSS漏洞，該漏洞可被利用來提升權限。第二個安全公告涵蓋了Aveva Edge 的一個漏洞，該漏洞允許具有項目和快取檔案讀取權限的攻擊者透過暴力破解弱哈希來獲取用戶密碼。此漏洞也影響施耐德電機的 EcoStruxure Machine SCADA Expert 和 Pro-face BLUE Open Studio 產品。施耐德電機在本週二的補丁日發布了兩份新的安全公告，其中一份涵蓋了漏洞的影響。施耐德電機的第二份安全公告描述了 PowerChute 串列關機 UPS 管理軟體中存在的高風險路徑遍歷、身分驗證暴力破解和權限提升問題。
此次各工業巨頭集中發布的安全修補程式，凸顯了ICS/OT環境中資安威脅的複雜性與持續性。工業界客戶應將這些安全公告視為緊急行動指南，立即更新相關產品的軟體與韌體，以減輕潛在的資安風險，保護關鍵基礎設施運作不被惡意攻擊中斷，確保工業生產連續性與系統完整性。

資料來源：https://www.securityweek.com/ics-patch-tuesday-vulnerabilities-addressed-by-siemens-rockwell-aveva-schneider/