西门子Simcenter Femap和Nastran存在文件解析漏洞风险（ICSA-26-048-01）

西门子Simcenter Femap和Nastran受文件解析漏洞影响

美国网络安全与基础设施安全局（CISA）发布安全公告（ICSA-26-048-01），警告西门子Simcenter Femap和Simcenter Nastran工程仿真软件中存在多个文件解析漏洞。这些软件广泛应用于工业和航空航天领域，攻击者可通过诱使用户打开特制的NDB或XDB格式文件，实现远程代码执行（RCE）。

技术细节

这些漏洞源于文件解析操作中的输入验证不当。攻击者可利用恶意构造的NDB（Nastran数据库）或XDB（外部数据库）文件触发内存损坏，进而在受影响的应用程序上下文中执行任意代码。西门子尚未公布具体的CVE编号，但公告显示这些漏洞被统一跟踪为ICSA-26-048-01。

受影响的主要版本包括：

• Simcenter Femap（所有V2024.1之前的版本）
• Simcenter Nastran（所有V2024.1之前的版本）

影响分析

成功利用这些漏洞需用户交互（如通过钓鱼邮件或供应链攻击打开恶意文件）。由于该软件广泛应用于航空航天、汽车和国防等关键基础设施领域，这些漏洞可能带来高风险，包括：

• 以应用程序权限执行远程代码
• 工程仿真数据的泄露或破坏
• 与其他漏洞结合后在OT/IT网络中的横向移动

缓解措施与建议

西门子已发布针对上述产品的补丁。组织应采取以下措施：

1. 立即升级至Simcenter Femap/Nastran V2024.1或更高版本。
2. 限制文件访问，仅信任来源的NDB/XDB格式文件。
3. 培训用户识别针对工程工作流的钓鱼攻击。
4. 监控系统，留意异常的文件执行或内存损坏事件。

更多技术细节，请参阅CISA公告或CSAF JSON文件。

此公告凸显了针对专业工程软件的威胁日益增长，此类软件正成为高级持续性威胁（APT）的重点攻击目标。