多個工業控制系統(ICS)裝置受到嚴重漏洞影響,CVSS 基礎分數最高達 9.9 分。
資安業者 Cyble 於 4 月 10 日的部落格文章中呼籲,洛克威爾自動化(Rockwell Automation)、日立能源(Hitachi Energy)及因幡電機產業(Inaba Denki Sangyo)三家工控硬體供應商的用戶,應儘速修補產品中的重大資安漏洞。
受影響產品為洛克威爾自動化工業資料中心、日立能源 MicroSCADA Pro/X SYS600 系統,以及因幡電機產業的 CHOCO TEI WATCHER 迷你工業攝影機。
這些漏洞是 Cyble 最新發布的《工控系統資安漏洞報告》中最嚴重的案例。該報告總共檢視了 70 個影響工控系統(ICS)、營運技術(OT)和監控及資料擷取(SCADA)系統的資安弱點。已識別的重大資安漏洞如下:
- CVE-2025-23120:洛克威爾自動化工業資料中心(IDC)的 Veeam 備份與複寫系統存在不安全的資料反序列化漏洞,可能造成遠端程式碼執行(CVSS v3.1 評分:9.9)
- CVE-2025-25211:因幡電機產業 CHOCO TEI WATCHER 迷你工業攝影機具有密碼強度不足的漏洞,可能導致未經授權的存取(CVSS v3.1 評分:9.8)
- CVE-2025-26689:因幡電機產業 CHOCO TEI WATCHER 迷你工業攝影機存在強制瀏覽漏洞,可能使資料及產品設定遭到竄改(CVSS v3.1 評分:9.8)
- CVE-2024-4872:日立能源 MicroSCADA Pro/X SYS600 系統在處理資料查詢邏輯中的特殊元素時存有漏洞,可能導致程式碼注入(CVSS v3.1 評分:8.8)
- CVE-2024-3980:日立能源 MicroSCADA Pro/X SYS600 系統存在目錄遍歷漏洞,可能導致檔案系統遭操縱及工作階段劫持(CVSS v3.1 評分:8.8)
上述漏洞的影響範圍遍及五大領域:關鍵製造業、能源產業、醫療保健、廢水處理和商業設施。
Cyble 指出,由於 SCADA、分散式控制系統(DCS)和製造執行系統(MES)扮演關鍵角色,必須立即採取緩解措施。這些措施包括更新修補程式、強化身分驗證機制,以及加強存取控制限制,以防止漏洞遭到利用。
本文轉載自 InfosecurityMagazine。