工業控制系統 (ICS) 的核心元件——可程式邏輯控制器 (PLC) 的安全性,直接關乎工業生產的連續性與人身安全。本次 Nozomi Networks 對 CLICK Plus PLC 的深入研究,揭示了該系列設備在專有通訊協定、無線功能和配套軟體中存在的七個重大安全漏洞。這些弱點使遠端攻擊者能夠在獲得網路立足點後,解密通訊流量、竊取操作員憑證、阻斷合法連線,甚至讀寫 I/O 值,最終可能導致生產流程中斷、設備損毀或造成實質性的物理危害。製造商 AutomationDirect 已發布修補程式,而 CISA 亦敦促所有資產所有者和運營商立即採取行動,更新韌體與軟體,並實施嚴格的網路分段和監控措施,以應對迫在眉睫的網路威脅。
漏洞揭露與研究範疇
Nozomi Networks Labs的安全研究人員在 CLICK Plus 設備中發現了七個漏洞,並立即通知了 AutomationDirect,提供了技術細節以便重現和修復這些漏洞。此次分析的重點是 CLICK Plus 系列 PLC,特別是配備 Wi-Fi 和藍牙介面的 C2-03CPU-2 型號。之所以選擇 C2-03CPU-2,是因為其無線功能使其能夠代表從工作站和行動裝置存取的現場部署設備。 攻擊者需要存取PLC運行所在的網絡,並監控網路內部交換的資料包。標準的運行控制措施通常可以阻止此類訪問,但攻擊者仍然可以通過多種方式獲得立足點:例如,物理訪問網絡端口、利用暴露的遠程維護接口、入侵連接到PLC網絡的工作站或工業網關,或者濫用薄弱的網絡分段和配置錯誤的VPN。任何這些立足點都可能使攻擊者啟動攻擊鏈並實施破壞性行為。 CLICK Plus PLC 使用專有的基於 UDP 的協定透過網路與其他設備通訊。儘管該協定旨在提供加密和身份驗證,但實現上的缺陷使得攻擊者能夠解密流量並恢復操作員憑證。有了這些憑證,攻擊者就可以成功對 PLC 進行身份驗證。 AutomationDirect 已透過針對 CLICK Plus 韌體和 CLICK 程式設計軟體的安全性修補程式解決了這些漏洞。 CISA發布了一份安全報告,敦促資產所有者和運營商將受影響的工作站更新到最新版本的 CLICK 編程軟體;將受影響的 CLICK Plus 設備更新到最新版本的 CLICK 韌體;實施網路分段以限制系統暴露;並監控網路流量,以發現存在易受攻擊的資產。
核心技術弱點深度分析
該研究特別關注 CLICK Plus PLC 與工作站之間使用的專有、基於 UDP 的通訊協定,以及運行於藍牙和 Wi-Fi 介面上的修改變體。研究結果揭示,儘管該協定設計初衷是提供機密性、完整性和會話管理機制,但實作層面的諸多缺陷徹底破壞了這些安全保障。
弱加密與憑證外洩: 協定實作的漏洞允許攻擊者被動地解密網路流量,進而恢復出操作員的登入憑證。這代表,攻擊者無需主動發起暴力破解或複雜的網路探測,僅需監聽網路流量即可竊取到有效的操作權限。此外,弱加密與可預測的金鑰生成機制,使攻擊者能夠竊取敏感的營運資料,包括梯形圖程式、組態檔案、排程和感測器日誌等,這些資訊對於規劃具破壞性的後續攻擊極為關鍵。
低權限下的控制權獲取 (CVE-2025-55038): 即使攻擊者僅獲得低權限憑證,也可能因為一個特定的協定漏洞(追蹤為 CVE-2025-55038)而獲得讀取或覆寫任何控制器暴露的輸入/輸出 (I/O) 值的能力。這突破了標準的權限劃分,使原本無害的低權限帳號成為實施破壞性控制行為的潛在威脅。
會話阻塞與視圖喪失 (CVE-2025-58473, CVE-2025-57882): 研究中發現的兩個會話管理缺陷允許攻擊者飽和可用的連線會話。其中,CVE-2025-57882 尤為關鍵,它允許攻擊者透過網路介面飽和藍牙連線,使操作員和人機介面 (HMI) 無法連線到 PLC。這種「視圖與控制的喪失」(Loss of View and Control)狀態,能有效地掩蓋攻擊者的破壞行為,並迫使現場人員進行盲目或手動干預,進一步提高了風險。
攻擊鏈解析:從網路滲透到工業破壞
這些漏洞的組合,構築了一條對工業營運具高度威脅的攻擊鏈:
立足點建立 (Foothold): 攻擊者首先通過多種方式獲取 PLC 所在的操作技術 (OT) 網路的存取權,這可能涉及物理接觸、利用不安全的遠端維護介面,或入侵連接到 OT 網路的工作站/工業閘道。
流量監控與憑證竊取: 一旦在網路內定位,攻擊者即被動監聽 PLC 與工作站之間的通訊流量。一旦偵測到合法的登入行為,攻擊者即利用協定缺陷解密並竊取操作員憑證。
阻斷操作員存取 (Denial of View/Control): 攻擊者利用會話飽和漏洞(如 CVE-2025-58473 和 CVE-2025-57882),阻斷所有合法的遠端連線,確保操作員和監控系統無法察覺 PLC 的真實狀態或進行干預。
發起破壞性控制: 在無干擾的情況下,攻擊者利用竊取的憑證和 I/O 覆寫能力(包括潛在的低權限擴展 CVE-2025-55038),改變控制器設定點 (Setpoints)、開關輸出,或偽造感測器讀數。例如,在輸送帶系統中,攻擊者可改變皮帶速度、覆蓋或禁用安全聯鎖裝置,或在遊樂園設施中發出未經授權的控制動作。
實質性後果: 這些惡意行為將導致產品批次損毀、生產停擺,甚至對現場操作人員構成直接的物理危險。
潛在的工業衝擊與風險矩陣
根據 MITRE ATT&CK for ICS 框架,這些漏洞對關鍵基礎設施的影響體現在多個維度:
控制權遭劫: 協定加密與身份驗證缺陷 (CVE-2025-55038) 允許攻擊者讀寫 I/O 值、更改設定點、禁用安全聯鎖,導致設備損壞或不安全運行。
視圖喪失: 會話管理缺陷 (CVE-2025-58473, CVE-2025-57882) 阻斷合法連線,造成持續性的「視圖喪失」,使操作員無法得知系統的危險偏差,被迫盲目介入。
資訊竊取: 弱加密與金鑰生成可預測性使得攻擊者被動解密流量,竊取機敏營運數據(如憑證、組態、梯形圖程式),用於規劃更具針對性的後續攻擊。
系統暴露: Wi-Fi/藍牙無線功能擴大了攻擊面,使設備更容易從周邊環境被鎖定和存取。
CLICK Plus PLC 廣泛應用於工廠機械、樓宇自動化、遠端製程控制,甚至遊樂設施控制系統。這意味著一旦漏洞被惡意利用,影響將遍及多個工業和商業領域,危及關鍵基礎設施的營運穩定性與安全。
官方回應與資產防護建議
AutomationDirect 已迅速應對,發布了針對 CLICK Plus 韌體和 CLICK 程式設計軟體的工作站軟體的安全性修補程式。
為此,資產所有者與運營商必須採取以下關鍵措施,以保護其資產:
全面更新修補: 將所有受影響的工作站軟體更新到最新版本的 CLICK 程式設計軟體,並將所有受影響的 CLICK Plus 設備更新到最新版本的 CLICK 韌體。
嚴格實施網路分段: 立即執行網路分段策略,將 PLC 和其他工業控制設備從企業網路 (IT) 和非必要的網路存取中隔離。這能有效地限制攻擊者一旦獲得立足點後的橫向移動能力,並減少系統的整體暴露面。
強化網路流量監控: 積極部署 OT/IoT 安全平台,以深入洞察網路流量和主機活動。這有助於及時識別網路環境中是否存在具有易受攻擊韌體的設備,並能偵測與這些漏洞相關的異常流量或攻擊嘗試。
禁用非必要服務: 如果不需要 Wi-Fi 或藍牙功能,應在 PLC 組態中將其禁用,以最小化攻擊面。
結論與未來展望
CLICK Plus PLC 漏洞事件再次提醒所有工業界參與者,即使是專有協定和「氣隙隔離」假設下的 OT 設備,也絕非天然安全。協定實作中的細微缺陷,加上無線通訊介面的引入,為網路攻擊者提供了多重且致命的攻擊向量。
未來,工業控制系統製造商應更全面地採納安全設計原則 (Secure-by-Design),並將第三方安全審查納入產品開發生命週期。對於資產所有者而言,僅依賴傳統的邊界防禦已不足以保障 OT 系統。只有透過持續的韌體更新、嚴格的網路分段、以及實時的威脅監控,才能有效地降低風險,確保關鍵工業流程的網路物理韌性。
註:
AutomationDirect 的 CLICK Plus PLC 廣泛應用於各種工業和商業領域:從工廠車間機械和樓宇自動化系統到遠端製程控制裝置,甚至包括遊樂園遊樂設施控制器等娛樂系統。該設備是一款緊湊型可編程邏輯控制器,支援梯形圖編程、I/O 擴展以及多種通訊接口,包括乙太網路、Wi-Fi 和藍牙,可與本地控製網路和遠端/行動應用程式整合。 資料來源:https://industrialcyber.co/vulnerabilities/nozomi-uncovers-multiple-vulnerabilities-in-click-plus-plcs-affecting-wireless-protocols-workstation-software/
Nozomi Networks Labs 近期揭露了 AutomationDirect CLICK Plus PLC 系列中的七個嚴重漏洞,涉及專有的 UDP 通訊協定、Wi-Fi/藍牙介面及程式設計工作站軟體。本深度研究報告旨在全面解析這些漏洞的技術細節、攻擊鏈潛力及其對關鍵工業運營的實質威脅,並整理了官方修補建議與業界資產防護策略,以協助資產所有者強化工業網路的縱深防禦。