ICS業者發布2月安全公告，西門子、施耐德電機、Aveva、Moxa揭露重大與高風險漏洞

工業控制系統（ICS）與營運技術（OT）領域迎來新一波修補更新。西門子（Siemens）、施耐德電機（Schneider Electric）、Aveva、菲尼克斯電氣（Phoenix Contact）與四零四科技（Moxa）陸續發布安全公告，部分漏洞達重大風險等級，恐影響工業防火牆、PLC與資料管理平臺運作。企業應儘速盤點受影響設備並規畫更新時程。

西門子修補多項重大漏洞，波及PLC與工業防火牆

西門子在2月安全公告中修補多項重大與高風險漏洞，影響範圍橫跨工程資料管理平臺、工業防火牆設備，以及可程式控制器（PLC）等核心工業系統。

其中，工程資料管理與設計整合平臺COMOS存在多項弱點，可能導致跨站指令碼攻擊，進而造成資訊外洩或使用者權限濫用。

在工業網路設備方面，RUGGEDCOM APE1808所整合的FortiGate NGFW受到FortiOS元件漏洞影響，CVSS風險分數達9.8分，屬重大風險等級，可能導致權限提升或未經授權存取。同時，該設備亦涉及Palo Alto Networks PAN-OS相關漏洞，CVSS風險分數為8.7分，可能引發阻斷服務或命令注入問題。

西門子也提醒，Siport桌面用戶端因採用較舊的開發架構，未啟用位址空間配置隨機化（ASLR）與資料執行預防（DEP）等現代化防護機制。若攻擊者已取得本地系統存取權限，相關防護不足可能提升攻擊成功的機率。

施耐德電機修補SCADAPack重大漏洞，風險分數逼近滿分

施耐德電機在2月安全公告中揭露，SCADAPack x70系列遠端終端單元（RTU）存在漏洞CVE-2026-0667，CVSS風險分數高達9.8分，屬重大風險等級，受影響型號包括SCADAPack 47x與57x系列。該問題源於異常狀況處理機制不足，攻擊者若透過Modbus TCP介面發送特製封包，可能讓設備執行任意程式碼，甚至造成阻斷服務。

此外，建築管理系統軟體EcoStruxure Building Operation也修補兩項漏洞CVE-2026-1227與CVE-2026-1226，CVSS風險分數皆為7.3分，屬高風險等級。若使用者開啟特製TGML圖形檔，可能導致本機檔案遭讀取，或執行未經信任的程式碼。

Aveva修補工業數據平臺高風險漏洞

工業軟體業者Aveva在2月安全公告中指出，其工業數據封存與即時資料管理平臺PI Data Archive存在阻斷服務漏洞CVE-2026-1507，CVSS風險分數為8.7分，屬高風險等級。若漏洞遭濫用，可能造成系統服務中斷，影響資料蒐集與即時監控運作。

另外，負責資料轉接與代理通訊的PI to CONNECT Agent也修補CVE-2026-1495。該漏洞可能使敏感資訊被寫入記錄檔，進而增加代理伺服器遭未授權存取的風險。

菲尼克斯電氣提醒留意既有OpenSSL漏洞

工控系統業者菲尼克斯電氣（Phoenix Contact）在2月安全公告中再次提醒用戶，留意2024年已揭露的OpenSSL漏洞CVE-2024-2511。該漏洞與TLSv1.3實作中的session cache機制有關，在特定設定下，攻擊者若大量建立TLS連線，可能耗盡裝置記憶體，導致設備重新啟動。受影響產品為FL MGUARD 2xxx與4xxx系列韌體10.5.0版本。此漏洞CVSS v3.1風險分數為5.9分，屬中度風險。原廠已在後續版本中提供修補，並呼籲尚未升級的用戶儘速更新。

德國資安應變組織VDE CERT也同步發布公告轉發相關資訊。

Moxa修補工業電腦與交換器漏洞

工業通訊設備廠商四零四科技（Moxa）在2月安全公告中揭露，部分工業電腦存在需實體存取才能利用的漏洞CVE-2026-0714與CVE-2026-0715，兩者CVSS風險分數皆為7.0分，屬高風險等級。

另外，Moxa也修補乙太網路交換器漏洞CVE-2024-12297，CVSS風險分數為9.2分，屬重大風險等級。該漏洞屬前端授權邏輯揭露問題，可能導致身分驗證或授權機制遭繞過，進而讓攻擊者取得未經授權的功能存取權限。

除了上述廠商外，美國網路安全暨基礎設施安全局（CISA）也在2月發布ICS資安公告，轉發橫河電機（Yokogawa）FAST/TOOLS系統、卓藍（ZLAN Information Technology）ZLAN5143D串列伺服器，以及醫療軟體ZOLL ePCR行動應用程式的漏洞修補資訊。

由於工控與OT系統更新週期普遍較長，一旦漏洞遭濫用，影響可能擴及生產線與關鍵基礎設施。各廠商均建議用戶儘速完成更新；若短期內無法升級，則應透過網路區隔、強化實體存取管控與監控異常處理程序行為等方式，降低潛在風險。