CERT通告低
EnOcean SmartServer IoT 严重漏洞可导致远程代码执行
1分钟阅读来源: CISA Cybersecurity Advisories
美国网络安全与基础设施安全局(CISA)披露 EnOcean SmartServer IoT 多个严重漏洞,攻击者可远程执行代码并绕过 ASLR 安全防护。立即修补以防 OT 环境风险。
EnOcean SmartServer IoT 严重漏洞暴露系统于远程攻击风险
美国网络安全与基础设施安全局(CISA)近日披露了 EnOcean SmartServer IoT 中的多个严重漏洞,攻击者可利用这些漏洞远程执行任意代码,并绕过地址空间布局随机化(ASLR) 安全防护机制。该公告发布于 ICSA-26-050-01,强调了这些漏洞对运营技术(OT)环境构成的严重威胁。
漏洞技术细节
受影响的产品 EnOcean SmartServer IoT 广泛应用于楼宇自动化及 IoT 设备管理。以下版本受到影响:
- SmartServer IoT(所有 4.0.1.49 之前的版本)
- SmartServer IoT Edge(所有 4.0.1.49 之前的版本)
CISA 公告中确认了两个主要漏洞:
- CVE-2026-25544 – 远程代码执行(RCE) 漏洞,允许未经身份验证的攻击者在受影响系统上执行任意命令。
- CVE-2026-25545 – ASLR 绕过 漏洞,削弱内存保护机制,增加成功利用的可能性。
目前尚未发现公开的漏洞利用代码,但这些漏洞的严重性要求用户立即采取行动。
影响分析
成功利用这些漏洞可能导致:
- 未经授权控制 楼宇自动化系统。
- 关键 OT 运营中断,包括暖通空调(HVAC)、照明及安防系统。
- 网络横向移动,进一步危及其他 IoT 及工业控制系统(ICS)。
由于 EnOcean SmartServer IoT 广泛应用于商业及工业设施,这些漏洞对物理和网络安全基础设施构成重大风险。
推荐缓解措施
CISA 敦促使用受影响版本的组织立即采取以下措施:
- 立即升级至最新补丁(v4.0.1.49 或更高版本),以缓解上述两个漏洞。
- 隔离 OT 网络,避免与企业 IT 环境直接连接,限制暴露风险。
- 使用入侵检测/防御系统(IDS/IPS)监控可疑活动。
- 限制对 SmartServer IoT 设备的远程访问,并强化身份验证控制。
更多详情,请参阅 完整 CSAF 公告。
原始公告由 CISA 发布:ICSA-26-050-01