關閉選單
  1. Home
  2. NEWS最新消息
  3. 資安威脅情資
  4. 工控裝置
顯示分類
2025.08.12
資安威脅情資/工控裝置
CISA 發布涵蓋多個供應商漏洞的警告,ICS 系統面臨更高的網路風險
美國網路安全與基礎設施安全局(CISA)近日針對工業控制系統(ICS)環境發布了多達十項資安通報,此舉強烈警示了全球 ICS 系統所面臨的網路風險已顯著升級。這些通報不僅提供了關於 ICS 環境中安全漏洞的即時資訊,更涵蓋了從硬體設備到軟體應用程式的廣泛範圍,提醒各產業的營運商必須立即採取行動,以降低潛在的資安威脅。
這些受到通報影響的供應商眾多,包括台達電子(Delta Electronics)、江森自控(Johnson Controls)、Burk Technology、羅克韋爾自動化(Rockwell Automation)等業界知名廠商。這顯示出 ICS 系統的資安弱點並非單一廠商的孤立問題,而是整個產業鏈普遍存在的挑戰。CISA 的詳細通報,為企業理解這些漏洞的性質與影響提供了關鍵依據,有助於制定更為精準的防禦策略。

通報中詳細列舉了多項嚴重的漏洞,例如在台達電子的 DIAView 工業自動化管理系統中,CISA 發現了一個路徑遍歷(path traversal)的缺陷(CVE-2025-53417)。這個漏洞允許遠端攻擊者透過惡意操作,讀取或寫入受影響系統上的任意檔案,進而可能導致敏感資料外洩或系統功能被破壞。這類型的攻擊對高度依賴自動化系統的工業環境來說,無疑是極其危險的。

江森自控的 FX80 和 FX90 設備則被發現依賴於一個存在漏洞的第三方組件(CVE-2025-43867),這使得攻擊者有機會竊取或篡改設備的配置檔案。一旦設備的配置檔案被惡意修改,攻擊者便能隨意改變設備的運作邏輯,進而影響整個工業流程的穩定性與安全性。

另一項值得關注的漏洞來自於Burk Technology 的 ARC Solo 監控和控制設備。此設備被發現存在缺少驗證的漏洞(CVE-2025-5095)。攻擊者無需提供有效的憑證,即可輕易地更改設備的密碼,從而完全接管設備的控制權。這種未經驗證的存取缺陷,為惡意行為者提供了極低的攻擊門檻,使其能夠在不受阻礙的情況下對系統進行惡意操作。

羅克韋爾自動化(Rockwell Automation)的 Arena 軟體也未能倖免,其中包含多個漏洞(CVE-2025-7025、CVE-2025-7032、CVE-2025-7033)。這些漏洞涵蓋了越界讀取(out-of-bounds read)和緩衝區溢位(buffer overflows),可能導致敏感資訊的洩露,甚至允許攻擊者執行任意程式碼。對於控制關鍵工業流程的自動化軟體而言,這類漏洞的潛在影響可能是災難性的。

除了上述廠商,CISA 的通報還涵蓋了其他多個廠商的設備,例如:
  • Packet Power EMX 和 EG 設備存在缺少驗證的漏洞(CVE-2025-8284),可能讓攻擊者在無需任何憑證的情況下取得設備的完全存取權。
  • Dreame Technology 的 Dreamehome 和 MOVAhome 行動應用程式,其不當的憑證驗證(Improper Certificate Validation)漏洞(CVE-2025-8393)可能導致中間人攻擊(man-in-the-middle attacks)和未經授權的資訊洩露。
  • EG4 Electronics 的 EG4 逆變器存在多個漏洞,例如以明文傳輸敏感資訊以及韌體更新時缺乏完整性檢查,這使得攻擊者能夠輕易地截取數據或植入惡意韌體。
  • Yealink IP 電話也存在缺乏流量限制與不當憑證驗證等漏洞,可能導致未經授權的存取和資訊洩露。
面對如此廣泛且多元的資安風險,CISA 提出了幾項重要緩解建議,以協助企業強化其 ICS 環境的防禦。首要之務是降低控制系統設備的網路暴露,將它們放置防火牆之後,並限制外部網路的直接存取。對於遠端存取,CISA 強烈建議使用虛擬私人網路(VPN)等安全的連接方式,並確保所有遠端連線都經過嚴格的驗證與加密。

此外,CISA 也強調,企業在實施任何防禦措施之前,應進行適當的影響分析與風險評估。這一步驟至關重要,因為 ICS 環境通常對營運穩定性極為敏感,任何未經妥善評估的變更都可能導致生產中斷或不可預測的後果。企業應根據自身的風險承受能力和營運需求,制定出符合實際情況的資安應變計畫。

總結而言,CISA 的這批通報再次提醒,工業控制系統的資安防禦是一項持續且複雜的挑戰。隨著物聯網(IoT)和數位化技術的普及,ICS 環境與傳統 IT 網路之間的界線日益模糊,這使得資安漏洞的影響範圍更廣、潛在危害更大。企業必須採取積極主動的資安策略,不僅要及時修補漏洞,更應從網路架構、存取控制和人員意識等多個層面,築起一道堅實的防禦,以確保關鍵基礎設施的穩定與安全。

資料來源:https://industrialcyber.co/cisa/ics-systems-face-elevated-cyber-risk-as-cisa-issues-advisories-covering-multiple-vendor-vulnerabilities/
美國網路安全與基礎設施安全局(CISA)針對多家供應商的工業控制系統(ICS)發布了十項資安通報,揭示了硬體與軟體層面的嚴重漏洞。