工联网消息(IItime) 在工业数字化浪潮汹涌澎湃,全球制造业对工业控制系统(ICS)依赖程度与日俱增的当下,11 月 14 日,美国网络安全和基础设施安全局(CISA)重磅出击,发布一系列关乎 ICS 安全的全新公告,宛如一颗巨石投入平静湖面,激起千层浪。此番公告毫不留情地揭开了包括罗克韦尔自动化、西门子在内的多家工控领域巨头产品背后潜藏的严重安全漏洞 “遮羞布”,恰似揪出隐匿于暗处、时刻威胁制造业 “肌体健康” 的 “病魔”。
要知道,这些工控巨头的产品广泛镶嵌于全球制造业的 “骨架” 之中,从工厂流水线的精密操控,到大型能源设施的稳定运转,一旦漏洞被心怀不轨者恶意利用,就如同在精密机械内部嵌入 “定时炸弹”,随时可能引爆,对全球制造业的安全、稳定运行构成重大且迫在眉睫的威胁。CISA 见状,紧急吹响 “哨声”,敦促相关制造企业即刻行动,采取必要的缓解措施,筑牢 “安全堤坝”,抵御潜在风险 “洪水猛兽”。
罗克韦尔自动化:漏洞 “重灾区” 亟待修复
(一)FactoryTalk View ME 远程代码执行 “黑洞” 罗克韦尔自动化旗下的 FactoryTalk View ME 被 CISA 重点 “点名”,深陷 CVE - 2024 - 37365 漏洞泥沼。在其运行逻辑里,竟允许用户于公共目录肆意保存项目,这本是方便操作的 “设计初衷”,却不想成了安全 “破绽”,致使任何具备本地访问权限之人,仿若手握 “尚方宝剑”,能随意修改、删除关键文件,系统文件的 “保险柜” 形同虚设。更令人胆寒的是,恶意分子可借此篡改宏,进而执行任意代码,悄无声息地 “提升权限”,完成从 “门外汉” 到 “系统主宰” 的 “身份蜕变”。该漏洞攻击利用难度低,如同虚掩之门,轻轻一推便可闯入,CVSS 评分高达 7.3,仿若高悬的 “安全红灯”,警示着其背后极高的安全风险。
(二)FactoryTalk Updater “三连击” 漏洞隐患 FactoryTalk 的更新程序亦未能幸免,CISA 针对其连发三条安全 “黄牌警告”,对应 CVE - 2024 - 10943、CVE - 2024 - 10944 和 CVE - 2024 - 10945 三大漏洞。其一,账户机密 “共享” 过度,恰似 “钥匙串” 随意摆放,让身份验证成了 “走过场”,威胁分子若摸清些许额外信息,便能轻松冒充用户,登堂入室;其二,远程代码执行漏洞在产品中 “潜伏”,因其输入验证环节 “粗疏”,需高级别权限 “掩护”,却为恶意更新代理的部署提供 “温床”;其三,安装前 “安检” 敷衍,本地低特权攻击者瞅准时机,便能在更新进程中 “偷梁换柱”,替换关键文件。三者 CVSS 评分分别达 9.1、8.4、7.3,犹如三根 “利刺”,凸显利用风险之高,让系统安全 “防线” 摇摇欲坠。
西门子:多产品线漏洞 “四面楚歌”
(一)SIMATIC CP 授权 “乌龙” 西门子的 SIMATIC CP 产品折戟于 CVE - 2024 - 50310 漏洞,受影响设备在授权处理环节 “犯迷糊”,本该严谨把关的身份验证 “大门” 敞开,使得未获身份认证的远程攻击者有机可乘,如 “幽灵” 般潜入文件系统,肆意窥探、窃取重要信息。因其攻击复杂度低,CVSS 评分 7.5 的 “警报” 已然拉响,安全隐患昭然若揭。
(二)SCALANCE M - 800 系列 “漏洞集群” 在 SCALANCE M - 800 系列产品线上,多个漏洞 “抱团” 来袭,仿若 “狼群” 肆虐。输入验证环节 “掉链子”,面对超 15 字符用户名,SSH 或 Telnet 访问时直接截断,恰似 “安检口” 把关不严,让攻击者觅得破坏系统完整的 “良机”(CVE - 2024 - 50560,CVSS 评分 2.3);证书文件名验证 “形同虚设”,攻击者可肆意附加数值,篡改系统 “内核”(CVE - 2024 - 50559,CVSS 评分 5.1);上传前文件名清理 “敷衍了事”,跨站脚本攻击乘虚而入,侵蚀系统完整性(CVE - 2024 - 50561,CVSS 评分 5.1);输入字段 “疏于防护”,管理权限攻击者借此注入代码,甚至生成系统 root shell,掌控 “生杀大权”(CVE - 2024 - 50572,CVSS 评分 8.6),系列漏洞 “环环相扣”,让产品安全 “防线” 千疮百孔。
其他工控巨头:亦难置身事外
(一)日立能源 TRO600 系列 “双漏洞” 困境日立能源的 TRO600 系列陷入 CVE - 2024 - 41153 和 CVE - 2024 - 41156 漏洞 “泥沼”。前者是命令注入 “黑洞”,在边缘计算 UI 中,攻击者手握 Web UI 写权限,便能如 “魔法师” 般以 root 权限在设备上肆意执行系统命令,操控设备 “一举一动”;后者则因配置文件提取格式 “大意”,纯文本与加密并存,将网络配置信息拱手相送潜在攻击者,恰似 “情报泄露”,为攻击大开方便之门。
(二)台达电子 DIAScreen 缓冲区溢出 “命门” 台达电子 DIAScreen 被 CVE - 2024 - 47131 漏洞击中 “要害”,基于堆栈的缓冲区溢出漏洞仿若 “脆弱咽喉”,攻击者巧设圈套,诱使有效用户运行含恶意代码文件,便能远程执行任意代码,如同 “幕后黑手” 远程操控,CVSS 评分 8.3 且利用复杂度低,安全风险不容小觑。
CISA “药方”:缓解风险 “指南”
面对 “漏洞丛生” 危局,CISA 贴心开具 “药方”,给出详细技术指导 “锦囊”,呼吁用户与管理员快马加鞭采取行动。其一,严控网络暴露,将控制系统设备 “深藏闺中”,隔绝互联网直接访问,斩断外部非法入侵 “触手”;其二,筑起防火墙 “堡垒”,把控制系统网络与远程设备妥善安置其后,与业务网络 “划清界限”,防患于未然;其三,远程访问时,启用 VPN 这一 “安全护盾”,但勿忘及时更新至最新版,且时刻留意连接设备安全性,确保 “通道” 万无一失,多管齐下,共筑 ICS 安全 “坚固城墙”,守护全球制造业 “安稳运转”。