CISA 于 2025 年 8 月 26 日发布了三项重要的工业控制系统 (ICS) 公告,提醒组织注意影响广泛部署的自动化系统的关键漏洞。
这些建议强调了英威腾的工程工具、施耐德电气的 Modicon 控制器和丹佛斯制冷系统存在严重的安全漏洞,CVSS v4 得分达到 8.7,表明存在高严重性可利用的情况。
Key Takeaways 1. CISA issued three ICS advisories for critical flaws in INVT VT-Designer/HMITool, Schneider Modicon, and Danfoss systems. 2. Vulnerabilities enable remote code execution or DoS. 3. Apply vendor patches immediately.
英威腾VT-Designer和HMITool缺陷
CISA 公告 ICSA-25-238-01 暴露了英威腾电气的 VT-Designer 版本 2.1.13 和 HMITool 版本 7.1.011 软件平台中的九个严重漏洞。
这些漏洞分配了 CVE 标识符 CVE-2025-7223 到 CVE-2025-7231,主要涉及 CWE-787 越界写入条件和一个 CWE-843 类型混淆漏洞。
受影响的应用程序在解析 VPM 文件(在 HMITool 中)和 PM3 文件(在 VT-Designer 中)时输入验证不足。
利用这些缺陷的攻击者可以在当前进程上下文中实现任意代码执行,只需要用户交互,例如打开恶意文件或访问受感染的网页。
每个漏洞的 CVSS v3.1 得分为 7.8,CVSS v4 得分为 8.5,攻击媒介特征为 AV:L/AC:L/PR:N/UI:R。
漏洞研究员 Kimiya 与趋势科技的零日计划合作,向 CISA 报告了这些安全漏洞。
值得注意的是,英威腾电气尚未回应 CISA 的协调尝试,导致用户没有供应商提供的补丁。
受影响的系统涵盖多个关键基础设施领域,包括全球商业设施、关键制造、能源、信息技术和交通系统。
施耐德电气 Modicon 控制器缺陷
咨询ICSA-25-238-03 解决了 CVE-2025-6625,这是一个影响施耐德电气 Modicon M340 控制器和相关通信模块的不当输入验证漏洞 (CWE-20)。
该漏洞使远程攻击者能够通过特制的 FTP 命令触发拒绝服务条件,由于其可访问网络的攻击媒介 AV:N/AC:L/AT:N/PR:N/UI:N,因此获得了 8.7 分的 CVSS v4 分数。
受影响的产品包括所有版本的 Modicon M340 控制器、BMXNOR0200H 以太网/串行 RTU 模块、BMXNGD0100 M580 全球数据模块和BMXNOC0401通信模块。
然而,施耐德电气已经发布了 BMXNOE0100(3.60 版)和 BMXNOE0110(6.80 版)模块的固件更新,需要重新启动系统才能实现。
CyManII 研究人员发现了该漏洞及其对全球关键制造业和能源行业的影响。
丹佛斯制冷系统缺陷
更新后的公告 ICSA-25-140-03 揭示了丹佛斯 AK-SM 8xxA 系列制冷控制器中的三个不同漏洞。
CVE-2025-41450 代表基于日期时间的密码生成导致的不当身份验证漏洞 (CWE-287),在 R4.2 之前的版本中启用身份验证绕过。
此外,CVE-2025-41451 涉及通过警报到邮件配置字段进行命令注入 (CWE-77),允许经过身份验证的远程代码执行。
CVE-2025-41452 解决了对系统设置的外部控制 (CWE-15) 的问题,该控制可能通过不当的异常处理导致拒绝服务。
这些漏洞影响 4.3.1 之前的版本,Claroty Team82 研究员 Tomer Goldschmidt 对这些发现表示赞赏。
丹佛斯已发布补救更新,包括 R4.2 版和 R4.3.1 版,可通过其官方软件升级流程获得。
这些漏洞主要影响商业设施基础设施,尽管其高攻击复杂性要求降低了直接的利用风险。
CISA 强调在所有受影响的系统中实施纵深防御策略,包括网络分段、防火墙部署和 VPN 保护的远程访问协议。
组织应优先考虑在可用的情况下立即修补,并对针对这些工业自动化平台的可疑活动实施全面监控。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
