施耐德电气修复多款产品中严重的Zigbee协议漏洞

施耐德电气应对Zigbee协议漏洞

施耐德电气（Schneider Electric）近日确认其多款支持Zigbee协议的产品存在安全漏洞，这些漏洞源于Silicon Labs的EmberZNet协议栈缺陷。Silicon Labs已披露的漏洞影响多家采用其Zigbee处理器的厂商，包括施耐德电气的Wiser iTRV智能恒温器及其他联网设备。

技术细节

根据美国网络安全与基础设施安全局（CISA）发布的公告ICSA-26-027-03，这些漏洞涉及Zigbee实现中的**拒绝服务（DoS）**风险。虽然初始公告未披露具体的CVE编号，但漏洞与广泛应用于工业和消费物联网（IoT）设备的EmberZNet协议栈直接相关。Zigbee作为一种低功耗无线通信协议，常用于智能家居和楼宇自动化系统，因此这些漏洞对运营技术（OT）环境构成严重威胁。

影响分析

已识别的DoS漏洞可能允许威胁行为者中断设备功能，导致操作中断或对受影响系统失去控制。由于Zigbee在关键基础设施（如暖通空调、照明和能源管理）中扮演重要角色，这些漏洞的利用可能在智能楼宇或工业环境中产生连锁反应。目前，施耐德电气尚未报告这些漏洞被主动利用的案例。

建议措施

管理施耐德电气Zigbee设备的安全团队应采取以下措施：

• 关注更新：密切跟踪施耐德电气和Silicon Labs发布的补丁或缓解措施。
• 检查网络分段：将Zigbee设备与关键系统隔离，降低攻击面。
• 部署入侵检测：监测异常流量模式，及时发现DoS攻击迹象。
• 参考CISA公告：查阅ICSA-26-027-03获取持续更新的技术指导。

更多技术分析详见**通用安全公告框架（CSAF）**文档：链接。