西门子SIMATIC及SIPLUS产品因S7协议漏洞易受DoS攻击 (ICSA-26-015-04)

西门子ET 200SP设备受严重DoS漏洞影响

美国网络安全与基础设施安全局（CISA）近日披露了西门子SIMATIC ET 200SP及SIPLUS产品中的一项拒绝服务（DoS）漏洞，编号为ICSA-26-015-04。该漏洞允许攻击者通过发送精心构造的S7协议断开请求（COTP DR TPDU）使设备无响应，受影响设备需手动断电重启才能恢复正常功能。

技术细节

该漏洞源于面向连接的传输协议（COTP）中的断开请求TPDU在S7协议（一种广泛应用的工业通信标准）处理过程中的不当处理。攻击者只需通过网络访问目标设备，即可发送有效但恶意的断开请求，导致设备进入无响应状态。该漏洞利用无需身份验证。

西门子已发布最新固件版本以缓解此问题。建议用户尽快应用这些补丁。有关完整技术规格和补丁详情，请参阅**CSAF安全公告**。

影响分析

• 运营中断：成功利用该漏洞可能导致工业环境中意外停机，特别是依赖西门子ET 200SP进行流程控制的行业。
• 物理后果：在关键基础设施（如制造业、能源行业）中，设备无响应可能引发安全风险或生产中断。
• 利用可能性：尽管目前尚未报告主动利用事件，但攻击复杂度低，增加了被机会性攻击者利用的风险。

安全团队建议

1. 立即应用西门子补丁：将受影响的SIMATIC ET 200SP及SIPLUS设备更新至最新固件版本。参考西门子官方公告获取版本特定指导。
2. 网络隔离：将运营技术（OT）网络与信息技术（IT）环境隔离，限制潜在攻击者的访问。
3. 监控S7协议流量：部署**入侵检测/防御系统（IDS/IPS）**以检测异常断开请求。
4. 事件响应规划：确保恢复流程包括受影响设备的手动断电重启协议。
5. 查阅CISA公告：通过**CISA原始公告**获取最新更新或额外缓解措施。

鉴于该漏洞影响严重且利用门槛低，管理工业控制系统（ICS）的安全团队应优先部署此补丁。