西門子公告伺服驅動馬達設備Sinamics S200重大漏洞，若不處理攻擊者可用來植入惡意韌體

3月11日西門子發布資安公告，指出旗下的伺服驅動馬達設備Sinamics S200部分版本存在資安漏洞CVE-2024-56336，起因是這些裝置存在未上鎖防護的開機載入工具（bootloader），使得攻擊者有機會植入不受信任的韌體造成損害。

這項漏洞存在於特定序號的Sinamics S200，IT人員可以檢查設備序號確認，存在漏洞的設備序號開頭為SZVS8、SZVS9、SZVS0、SZVSN，以及FS編號為02的Sinamics S200，就有可能受到影響。此漏洞4.0版CVSS風險為9.5分，3.1版風險值為9.8，相當危險。

而對於可能帶來的危害，西門子表示攻擊者有機會藉此注入惡意程式碼，或是部署不受任何的韌體，而有可能使得原有的防護機制失效，無法抵禦攻擊者操縱資料或是未經授權存取的威脅。

對於該漏洞的緩解，西門子呼籲用戶應遵循他們公布的通用資安建議措施，加強曝險設備的資安防護。