CERT通告
施耐德电气修复EcoStruxure楼宇运营软件中的严重漏洞
1分钟阅读来源: CISA Cybersecurity Advisories
施耐德电气发布补丁修复EcoStruxure楼宇运营软件中的高危漏洞(ICSA-26-055-02),影响Workstation和WebStation版本,建议立即升级至v2022.1.6或更高版本。
施耐德电气修复楼宇管理软件中的严重漏洞
施耐德电气(Schneider Electric)近日披露并修复了影响其EcoStruxure Building Operation (EBO) Workstation和WebStation产品的高危漏洞,详情见美国网络安全与基础设施安全局(CISA)发布的最新公告。该漏洞编号为ICSA-26-055-02,对依赖受影响楼宇管理系统的运营技术(OT)环境构成潜在风险。
技术细节
该漏洞影响以下产品版本:
- EcoStruxure Building Operation Workstation(所有v2022.1.6之前的版本)
- EcoStruxure Building Operation WebStation(所有v2022.1.6之前的版本)
尽管公开公告中未披露具体技术细节,施耐德电气已发布补丁以缓解该问题。用户可参考CSAF文档获取全面修复指南。公告强调,用户应升级至v2022.1.6或更高版本以消除该漏洞。
影响分析
EcoStruxure Building Operation是一款广泛应用于智能楼宇管理的平台,集成了暖通空调(HVAC)、照明、安防及能源系统。该软件中的漏洞可能允许威胁行为者:
- 通过操纵关键系统扰乱楼宇运营
- 未经授权访问敏感OT网络
- 窃取运营数据或部署恶意负载
由于该软件在管理物理基础设施中的关键作用,漏洞被利用可能导致安全风险、运营中断或医疗、商业地产及工业设施等行业的合规违规。
建议措施
安全团队和设施管理人员应采取以下措施:
- 立即为受影响的Workstation和WebStation安装补丁。
- 将OT网络与企业IT环境隔离,以降低暴露风险。
- 监控楼宇管理系统中的异常活动。
- 查阅施耐德电气的产品页面获取更多指导。
CISA的公告强调了威胁行为者对OT系统日益增长的攻击目标,进一步凸显了在关键基础设施中主动进行漏洞管理的必要性。