西門子、洛克威爾、施耐德等4家業者12月修補ICS多項重大及高風險漏洞

在12月Patch Tuesday週期，西門子（Siemens）、洛克威爾自動化（Rockwell Automation）、施耐德電機（Schneider Electric）以及菲尼克斯電氣（Phoenix Contact）皆發布多項公告，修補旗下ICS與OT設備多項資安漏洞。

西門子本次共發布14則安全性公告，其中3則被評為重大風險，主要影響Comos、Sicam T與Ruggedcom ROX等產品。在SSA-212953公告中，西門子指出其工程與資產管理平臺Comos存在多項重大風險漏洞，其CVSS v3.1風險分數高達10.0分，CVSS v4.0則為9.2分。這些漏洞可能被利用執行任意程式碼，或造成服務阻斷、資料滲透與存取控制違規。西門子已針對部分產品發布修補版本，並建議用戶升級至最新版。

此外，西門子公告Sicam T 3.0之前版本存在高風險與重大風險漏洞，CVSS v3.1達9.9分，CVSS v4.0則為9.3分，涵蓋不當輸入驗證、跨站腳本（XSS）與跨站請求偽造（CSRF）問題，並涉及身分驗證與授權繞過，以及缺乏HTTPS保護等弱點。這些漏洞可能導致遠端程式碼執行、未授權存取或連線階段劫持。西門子已發布新版Sicam T，建議用戶儘速更新。

洛克威爾自動化也在12月9日發布2則安全性公告，皆評為高風險屬性。其中，GuardLink EtherNet/IP介面432ES-IG3 Series A存在服務阻斷漏洞（CVE-2025-9368）（CVSS v4.0為8.7分）。另一則公告指出，洛克威爾自動化FactoryTalk DataMosaix Private Cloud存在SQL注入高風險漏洞（CVE-2025-12807）（CVSS v3.1為8.8分）。該漏洞可能讓低權限使用者透過API執行未授權的資料庫操作，進而存取或修改敏感資料。

施耐德電機於12月初發布2則安全公告SEVD-2025-343-01、SEVD-2025-343-02，指出微軟Windows Server Update Services（WSUS）重大漏洞（CVE-2025-59287）已在實際環境中遭到利用，連帶導致採用WSUS的EcoStruxure Foxboro DCS曝險，攻擊者可能藉此發動遠端程式碼執行攻擊並取得系統層級存取權限。

另一方面，施耐德電機也提醒，EcoStruxure Foxboro DCS仍可能受到既有的ZombieLoad漏洞影響。官方建議 OT 環境用戶依指引更新系統，並搭配網路分段與存取控管等措施，以降低對生產與製程運作的潛在衝擊。

還有一家工控系統業者菲尼克斯電氣（Phoenix Contact），也針對旗下FL SWITCH 2xxx系列交換器漏洞發布修補更新，指出這款交換器存在跨站腳本、服務阻斷、認證缺失與資訊洩露等風險，德國電腦緊急應變小組CERT@VDE也同步揭露菲尼克斯的安全修補資訊，提醒用戶留意更新與防護。

美國網路安全與基礎設施安全局CISA在12月9日，則另外發布3則工控系統（ICS）相關安全公告，分別涉及U-Boot啟動載入器、Festo LX Appliance，以及多款工業用CCTV攝影機漏洞，呼籲關鍵基礎設施營運單位儘速評估風險並採取防護措施。

其中，ICSA-25-343-01指出U-Boot存在存取控制缺失漏洞（CVE-2025-24857），CVSS v3分數為8.4分、CVSS v4分數為8.6分，攻擊者可能藉此執行任意程式碼。CISA建議限制裝置網路曝露並加強存取控管。

ICSA-25-343-03則揭露多款工業用CCTV攝影機存在缺乏關鍵功能認證的問題，包括D-Link DCS-F5614-L1，追蹤漏洞為CVE-2025-13607，CVSS v3基準分數為9.4分、CVSS v4為9.3分，屬重大風險，攻擊者可在未經驗證情況下存取攝影機設定與帳號憑證。針對這項漏洞，D-Link已經釋出修補予以解決。