日立能源SuprOS曝默认凭证漏洞 风险威胁工控系统安全

日立能源SuprOS被发现存在硬编码默认凭证漏洞

西班牙马德里 – 2026年2月13日 – 西班牙国家网络安全研究所（INCIBE）近日发布警报，指出广泛应用于工业控制系统（ICS）的日立能源SuprOS平台存在硬编码默认凭证漏洞。该漏洞可能导致关键基础设施遭受未授权访问，甚至面临运行中断的风险。

技术细节

该漏洞被追踪为CVE-2026-XXXX（官方编号待定），涉及SuprOS软件在最新安全补丁发布前的版本中嵌入的静态、不可更改凭证。攻击者一旦获取网络访问权限，即可利用这些默认凭证获取管理员权限，绕过身份验证，并操纵工业流程。

日立能源SuprOS广泛部署于能源、公用事业及制造业等领域，常用于管理**监控与数据采集（SCADA）**系统。尽管默认凭证是已知的安全风险，但在运营技术（OT）环境中，这一问题依然普遍存在。

影响分析

成功利用该漏洞可能导致：

• 工业系统遭未授权控制
• 数据泄露或操作参数被篡改
• 关键服务中断，如电力分配或水处理
• 横向移动至连接的IT/OT网络

对于关键基础设施运营商而言，该漏洞尤为严重，因停机或破坏可能造成严重的经济损失及公共安全风险。

建议措施

INCIBE与日立能源敦促受影响的组织立即采取以下措施：

1. 立即安装最新的SuprOS安全补丁（联系日立能源支持获取指导）。
2. 将SuprOS系统与不可信网络隔离，直至完成修复。
3. 监控可疑活动，包括登录失败尝试或异常命令执行。
4. 审查访问控制，并对所有ICS账户实施最小权限原则。
5. 开展安全审计，识别OT环境中其他潜在的默认凭证风险。

更多详情，请参阅INCIBE的官方安全公告。

本消息仍在更新中，更多信息将持续发布。