施耐德电气EcoStruxure Power Build Rapsody曝严重漏洞

施耐德电气EcoStruxure Power Build Rapsody漏洞披露

美国网络安全与基础设施安全局（CISA）近日发布安全公告，详细披露了施耐德电气EcoStruxure Power Build Rapsody软件中的一处严重漏洞。该漏洞编号为ICSA-26-015-10，影响用于工业环境电气单线图设计和电力管理的系统。

关键信息

• 受影响产品：EcoStruxure Power Build Rapsody（所有v2.1.13之前的版本）
• 漏洞类型：远程代码执行（RCE）
• 严重程度：高（CVSS评分待定；详情见CSAF公告）
• 披露日期：2026年1月15日
• 补丁发布：施耐德电气已发布v2.1.13版本修复该问题

技术概述

该漏洞源于软件在处理项目文件时存在输入验证不当的问题。攻击者可通过构造恶意文件，诱使用户打开后以受影响应用程序的权限执行任意代码。这在部署EcoStruxure Power Build Rapsody用于电力系统设计和管理的运营技术（OT）环境中构成重大风险。

CISA在初始公告中尚未提供具体的CVE编号，但通用安全公告框架（CSAF）文档包含完整的技术细节，包括利用途径和缓解措施。

影响分析

• 远程利用：攻击者无需物理访问即可控制受影响系统，可能破坏关键电力基础设施。
• 权限提升：成功利用可能使攻击者提升权限，导致更广泛的网络入侵。
• OT环境风险：由于该软件在工业电力系统中的作用，漏洞利用可能导致运营中断、安全隐患或数据泄露。

建议措施

1. 立即部署补丁：使用EcoStruxure Power Build Rapsody的组织应尽快升级至v2.1.13版本。
2. 文件验证：在应用补丁前，限制打开不受信任的项目文件。
3. 网络隔离：将运行受影响软件的系统与更广泛的IT网络隔离，限制横向移动。
4. 监控：加强日志记录和异常检测，针对与该应用相关的可疑活动。
5. 查阅CSAF公告：安全团队应分析完整CSAF文档以获取更多技术指导。

CISA鼓励用户和管理员通过其报告门户报告漏洞利用尝试或安全漏洞。