Valmet DNA工程网络工具曝严重文件读取漏洞（ICSA-26-050-02）

Valmet DNA工程网络工具曝严重安全漏洞

美国网络安全与基础设施安全局（CISA）近日发布安全公告（ICSA-26-050-02），详细披露了工业控制系统（ICS）维护与工程软件套件Valmet DNA Engineering Web Tools中存在的严重漏洞。成功利用该漏洞的攻击者可通过操纵网络维护服务URL，实现无需认证的任意文件读取，对工业环境构成重大安全威胁。

技术细节

• 受影响软件：Valmet DNA Engineering Web Tools（公告未披露具体受影响版本）
• 漏洞类型：通过URL操纵实现任意文件读取
• 攻击向量：无需认证的远程访问
• 影响：未经授权访问受影响系统上的敏感文件
• CVE编号：公告未明确分配（详情参阅CSAF文档）

该漏洞源于网络维护服务URL中对用户输入的验证不足。攻击者可构造恶意请求，绕过身份验证，访问系统中存储的文件，可能泄露敏感的运营或配置数据。

影响分析

依赖Valmet DNA Engineering Web Tools的工业环境面临数据泄露和未授权系统访问的风险。由于该软件在ICS维护中的关键作用，漏洞利用可能导致：

• 泄露专有工程图纸或配置文件
• 暴露存储在文件中的凭证或访问令牌
• 为针对关键基础设施的进一步攻击进行侦察

由于该漏洞无需认证即可利用，攻击者无需事先获取访问权限或凭证，极大地增加了风险。

建议措施

CISA敦促使用Valmet DNA Engineering Web Tools的组织采取以下措施：

1. 查阅CSAF公告，了解技术缓解措施和补丁信息。
2. 限制网络访问，将网络维护服务的访问权限限制在可信IP地址或内部网络。
3. 监控可疑活动，如异常的文件访问模式或未经授权的URL请求。
4. 及时应用供应商提供的补丁，一旦发布立即部署。
5. 网络分段，限制漏洞利用后的横向移动。

更多指导建议，请参阅CISA发布的ICS公告（ICSA-26-050-02）。