2025 年 3 月 25 日,美国网络安全与基础设施安全局(CISA)发布了四份工业控制系统(ICS)公告,详细说明了 ABB、罗克韦尔自动化(Rockwell Automation)以及稻叶电机产业(Inaba Denki Sangyo)产品中存在的重大漏洞。
这些漏洞的通用漏洞评分系统 v4(CVSS v4)评分在 5.1 到 9.3 之间,攻击者利用这些漏洞可导致拒绝服务、执行任意命令、接管设备或进行未经授权的访问。受影响的系统部署在全球关键基础设施领域,包括石油和天然气、制造业以及商业设施,因此这些漏洞格外令人担忧。
ABB RMC-100(ICSA-25-084-01)
CISA 的第一份公告涉及 ABB 用于石油和天然气测量系统的 RMC-100 流量计算机。
该漏洞(CVE-2022-24999)存在于 Web UI(REST 接口)的原型污染问题,CVSS v4 评分为 8.7。影响 RMC-100 的 2105457-036 至 2105457-044 版本以及 RMC-100 LITE 的 2106229-010 至 2106229-016 版本,攻击者可发送特制消息导致拒绝服务,需重启接口才能恢复。ABB 建议更新到较新版本(RMC-100 客户包 2105452-048 或 RMC-100 LITE 客户包 2106260-017),并且在不配置 MQTT 功能时禁用 REST 接口。
Rockwell Automation Verve Asset Manager(ICSA-25-084-02)
第二份公告针对Rockwell Automation的 Verve Asset Manager 1.39 及更早版本。该漏洞(CVE-2025-1449,CWE-1287)源于旧版活动目录接口的管理 Web 界面中变量清理不足。CVSS v4 评分为 8.9,具有管理权限的攻击者可在运行该服务的容器中运行任意命令。自 1.36 版本起,旧版 ADI 功能已弃用。Rockwell Automation已发布 1.40 版本来修复该漏洞,并建议用户实施安全最佳实践,包括网络隔离和使用安全的远程访问方法。
Rockwell Automation 440G TLS – Z(ICSA-25-084-03)
第三份公告涉及Rockwell Automation的 440G TLS – Z 安全设备 v6.001 版本。该漏洞(CVE-2020-27212,CWE-74)存在于意法半导体(STMicroelectronics)的 STM32L4 组件中,该组件存在不正确的访问控制。CVSS v4 评分为 7.3,具备物理访问权限且技术能力较强的攻击者可绕过控制 JTAG 接口的防护措施,有可能完全接管设备。与其他漏洞不同,此漏洞无法远程利用,需要物理访问。Rockwell Automation建议仅允许授权人员进行物理访问,并实施其《系统安全设计指南》中概述的安全最佳实践。
稻叶电机产业 CHOCO TEI WATCHER Mini(ICSA-25-084 – 04)
第四份公告揭示了稻叶电机产业用于制造环境的 CHOCO TEI WATCHER mini(IB-MCT001)所有版本中存在的多个漏洞。这些漏洞包括客户端认证漏洞(CVE-2025-24517,CVSS v4:8.7)、以可恢复格式存储密码(CVE-2025-24852,CVSS v4:5.1)、弱密码要求(CVE-2025-25211,CVSS v4:9.3)以及强制浏览(CVE-2025-26689,CVSS v4:9.3)。这些漏洞可使攻击者获取密码、进行未经授权的访问以及修改数据或设置。目前尚无补丁可用,稻叶电机产业建议在安全的局域网内使用该产品,实施防火墙 / 虚拟专用网络(VPN),并限制仅授权用户进行物理访问。
这些公告凸显了随着信息技术(IT)和运营技术(OT)环境融合,保障工业控制系统安全方面持续存在的挑战。
缓解措施
CISA 推荐了几种常见的缓解策略:在有可用补丁的情况下及时应用补丁(如 ABB 和Rockwell Automation的产品)、实施网络分段以隔离关键系统、使用安全的远程访问方法,以及限制对设备的物理访问(特别是针对罗克韦尔 440G TLS-Z)。对于像 CHOCO TEI WATCHER mini 这样未打补丁的系统,网络隔离尤为关键。各组织在实施防御措施前应进行全面的风险评估,并向 CISA 报告任何可疑的恶意活动。目前尚未有这些漏洞被公开利用的报道。
发表评论
您还未登录,请先登录。
登录