在12月Patch Tuesday周期,西门子(Siemens)、洛克威尔自动化(Rockwell Automation)、施耐德电气(Schneider Electric)以及菲尼克斯电气(Phoenix Contact)皆发布多项公告,修补旗下ICS与OT设备多项安全漏洞。
西门子本次共发布14则安全性公告,其中3则被评为重大风险,主要影响Comos、Sicam T与Ruggedcom ROX等产品。在SSA-212953公告中,西门子指出其工程与资产管理平台Comos存在多项重大风险漏洞,其CVSS v3.1风险分数高达10.0分,CVSS v4.0则为9.2分。这些漏洞可能被利用执行任意程序代码,或造成服务阻断、数据渗透与访问控制违规。西门子已针对部分产品发布修补版本,并建议用户升级至最新版。
此外,西门子公告Sicam T 3.0之前版本存在高风险与重大风险漏洞,CVSS v3.1达9.9分,CVSS v4.0则为9.3分,涵盖不当输入验证、跨站脚本(XSS)与跨站请求伪造(CSRF)问题,并涉及身份验证与授权绕过,以及缺乏HTTPS保护等弱点。这些漏洞可能导致远程程序代码执行、未授权访问或连接阶段劫持。西门子已发布新版Sicam T,建议用户尽快更新。
洛克威尔自动化也在12月9日发布2则安全性公告,皆评为高风险属性。其中,GuardLink EtherNet/IP界面432ES-IG3 Series A存在服务阻断漏洞(CVE-2025-9368)(CVSS v4.0为8.7分)。另一则公告指出,洛克威尔自动化FactoryTalk DataMosaix Private Cloud存在SQL注入高风险漏洞(CVE-2025-12807)(CVSS v3.1为8.8分)。该漏洞可能让低权限用户通过API执行未授权的数据库操作,进而访问或修改敏感数据。
施耐德电气于12月初发布2则安全公告SEVD-2025-343-01、SEVD-2025-343-02,指出微软Windows Server Update Services(WSUS)重大漏洞(CVE-2025-59287)已在实际环境中遭到利用,连带导致采用WSUS的EcoStruxure Foxboro DCS曝险,攻击者可能借此发动远程程序代码执行攻击并取得系统层级访问权限。
另一方面,施耐德电气也提醒,EcoStruxure Foxboro DCS仍可能受到既有的ZombieLoad漏洞影响。官方建议OT环境用户依指引更新系统,并搭配网络分段与访问管控等措施,以降低对生产与制程运行的潜在冲击。
还有一家工控系统企业菲尼克斯电气(Phoenix Contact),也针对旗下FL SWITCH 2xxx系列交换机漏洞发布修补更新,指出这款交换机存在跨站脚本、服务阻断、认证缺失与资讯泄露等风险,德国计算机紧急应变小组CERT@VDE也同步披露菲尼克斯的安全修补资讯,提醒用户留意更新与防护。
美国网络安全与基础设施安全局CISA在12月9日,则另外发布3则工控系统(ICS)相关安全公告,分别涉及U-Boot启动加载器、Festo LX Appliance,以及多款工业用CCTV摄影机漏洞,呼吁关键基础设施运营单位尽快评估风险并采取防护措施。
其中,ICSA-25-343-01指出U-Boot存在访问控制缺失漏洞(CVE-2025-24857),CVSS v3分数为8.4分、CVSS v4分数为8.6分,攻击者可能借此执行任意程序代码。CISA建议限制设备网络暴露并加强访问管控。
ICSA-25-343-03则披露多款工业用CCTV摄影机存在缺乏关键功能认证的问题,包括D-Link DCS-F5614-L1,关注漏洞为CVE-2025-13607,CVSS v3基准分数为9.4分、CVSS v4为9.3分,属重大风险,攻击者可在未经验证情况下访问摄影机设置与账号凭证。针对这项漏洞,D-Link已经发布修补进行解决。
