EnOcean Edge SmartServer IoT 严重漏洞曝光 工业系统面临攻击风险

西班牙马德里 – 2026年2月20日 – **西班牙国家网络安全研究所（INCIBE）**近日发布紧急安全公告，警示 EnOcean Edge Inc. 的 SmartServer IoT 中存在多个高危漏洞。该设备广泛应用于工业物联网（IIoT）环境，漏洞编号为 CVE-2026-23456 至 CVE-2026-23460，可能被威胁行为者利用以执行远程代码、中断运营或获取对关键基础设施的未授权访问。

技术细节

此次漏洞影响 SmartServer IoT 4.5.2 之前的所有版本，具体高危问题如下：

• CVE-2026-23456（CVSS 9.8）：未经身份验证的远程代码执行（RCE） 漏洞，攻击者可通过精心构造的 HTTP 请求利用 webserver 组件中的缓冲区溢出，实现系统完全接管。
• CVE-2026-23457（CVSS 8.6）：拒绝服务（DoS） 漏洞，通过畸形 MQTT 数据包导致 mqtt-broker 服务崩溃，中断 IoT 设备通信。
• CVE-2026-23458（CVSS 7.5）：身份验证机制不当 漏洞，攻击者可绕过 REST API 验证，访问敏感设备配置。
• CVE-2026-23459（CVSS 7.2）：存储型跨站脚本（XSS） 漏洞，存在于管理员仪表板，可通过恶意负载劫持会话。
• CVE-2026-23460（CVSS 6.5）：信息泄露 漏洞，固件中硬编码凭据导致默认管理员密码明文暴露。

上述漏洞由 INCIBE-CERT 在例行安全评估中发现，并已通报 EnOcean Edge。该公司已在 SmartServer IoT v4.5.2 中发布修复补丁。

影响分析

SmartServer IoT 广泛部署于 智能建筑、工业自动化及能源管理系统，常与 BACnet、Modbus 及 LonWorks 等协议集成。漏洞被利用可能导致：

• 关键基础设施运营中断（如 HVAC、照明或门禁系统）。
• 通过受感染的 IoT 设备横向移动至企业网络。
• 敏感工业遥测数据或用户凭据泄露。
• 物理安全风险，如攻击者操控连接系统（如禁用火警或监控摄像头）。

INCIBE 警告称，CVE-2026-23456 和 CVE-2026-23457 的概念验证（PoC）攻击代码已在暗网论坛传播，增加了修补漏洞的紧迫性。

建议措施

安全团队及工业运营商应立即采取以下措施：

1. 立即升级至 SmartServer IoT v4.5.2 或更高版本，可通过 EnOcean Edge 支持门户 获取。
2. 在修补前，隔离 SmartServer IoT 设备，使用 VLAN 或防火墙与企业网络分离。
3. 监控网络流量，留意异常 MQTT/HTTP 请求或未授权 API 访问。
4. 轮换所有默认凭据，并为管理界面强制启用多因素认证（MFA）。
5. 审计连接的 IoT 设备，特别是使用 BACnet 或 Modbus 协议的设备，检查是否存在入侵迹象。

更多指导请参阅 INCIBE 公告（INCIBE-CERT-2026-0045） 或 CISA 工控系统警报（ICS-ALERT-2026-0220）。

---

本公告遵循 INCIBE 的协同披露流程。EnOcean Edge 已确认漏洞并协助修复。