報導摘要

台灣 Novakon 公司生產的部分工業控制系統 (ICS) 產品受到嚴重漏洞的影響，但該供應商似乎尚未發布任何修補程式。根據 CyberDanube 發布的一份公告，HMI 受到未經身份驗證的緩衝區溢出的影響，允許以 root 權限執行遠端程式碼、目錄遍歷以暴露文件，以及一些允許存取裝置和應用程式的弱身份驗證問題。

Novakon 的 HMI 設備是工業營運中的關鍵組件，這些未修補的漏洞對全球工業環境構成了嚴重的資安威脅。安全研究公司 CyberDanube 的研究員發現，這些漏洞可被駭客在未經身份驗證的情況下遠端利用，這意味著攻擊者無需任何憑證即可滲透設備，並可能獲得最高權限。由於 Novakon 尚未對研究人員的溝通做出回應，且未發布任何修補程式，這使得其在全球部署的數萬台設備持續處於高風險狀態。

漏洞技術細節與潛在威脅

此漏洞組合的嚴重性在於其攻擊面廣且影響深遠。技術細節主要包括：

1. 未經身份驗證的遠端程式碼執行（RCE）： 這是最嚴重的漏洞，攻擊者可以利用緩衝區溢位，在目標 HMI 上以最高權限（root）執行任意程式碼。一旦駭客取得根權限，便能完全控制該設備，並可能進一步入侵連接到 HMI 的其他關鍵工業系統，例如可程式化邏輯控制器（PLC）或生產線。

2. 目錄遍歷與檔案暴露： 駭客可利用此漏洞瀏覽設備的檔案系統，獲取敏感數據，包括系統組態、使用者資訊和應用程式原始碼。這可能導致企業專有技術或客戶數據的洩露。

3. 弱身份驗證： 報告指出的弱認證問題，使駭客能夠輕易繞過安全機制，直接存取設備和應用程式，進一步加劇了遠端入侵的風險。

Novakon 是 iBASE Technology 的子公司，設計和製造人機介面 (HMI)、工業 PC 和工業物聯網 (IIoT) 解決方案。該公司服務於北美、歐洲和亞洲的 18 個國家。行銷資料顯示，Novakon 的 40,000 台 7 吋 HMI 已部署在全球資料中心。

這些設備廣泛應用於全球各地的關鍵基礎設施，包括製造、能源和資料中心等領域。遠端程式碼執行漏洞的潛在危害不僅限於資料竊取，更可能導致生產線停工、設施控制系統被破壞，甚至引發物理性災難。

結論與建議

Novakon HMI 設備的漏洞事件再次凸顯了工業控制系統供應鏈安全的重要性。ICS 和 IIoT 設備的生命週期通常很長，但如果供應商未能提供及時的修補與安全支援，這些設備將成為長期存在的資安隱患。

對於正在使用或考慮使用 Novakon 產品的企業，我們強烈建議：

1. 立即隔離或加強防護： 考慮將 Novakon HMI 設備從公共網路隔離，並將其放置在受嚴格控制的隔離網路中。

2. 部署入侵防禦系統（IPS）： 實施網路監控，透過 IPS 規則來阻止任何試圖利用這些已知漏洞的流量。

3. 聯繫供應商： 持續關注 Novakon 及其母公司 iBASE Technology 的官方公告，並積極敦促其發布安全修補程式。

4. 建立零信任架構： 重新評估所有 ICS 設備的存取控制策略，採用嚴格的「零信任」模型，即使在內部網路中，也應對所有通訊和存取請求進行驗證。

資料來源：https://www.securityweek.com/unpatched-vulnerabilities-expose-novakon-hmis-to-remote-hacking/