營運技術 (OT) 涵蓋旨在監控、控制和管理製造、能源生產、運輸網路和公共事業等關鍵領域的實體流程、設備和基礎設施的硬體和軟體系統。與專注於資料處理和通訊的資訊技術 (IT) 不同,營運技術 (OT) 管理現實世界的實體流程。這使得 OT 安全對於確保關鍵基礎設施的安全性、連續性和完整性至關重要。
近年來,OT 環境日益成為複雜網路威脅的目標。這些威脅通常包括勒索軟體、未經授權的存取嘗試、關鍵基礎設施的蓄意破壞以及工業控制系統 (ICS) 中的漏洞。最近發生的重大事件凸顯了這些威脅的嚴重性,例如 2021 年 Colonial Pipeline 勒索軟體攻擊,該攻擊導緻美國東海岸的燃料供應嚴重中斷,以及 2022 年針對 Viasat 衛星網路的網路攻擊,在地緣政治衝突加劇期間嚴重影響了整個歐洲的通訊基礎設施。隨著 OT 系統與 IT 基礎架構的互聯和整合日益緊密,它們面臨獨特的網路安全威脅,這可能導致嚴重的營運中斷和重大的經濟後果。
透過OPSWAT Unit 515 發現施耐德 Modicon M241 PLC 的漏洞
施耐德電機是工業自動化和能源管理的全球領導者,為各行各業提供創新的解決方案。Modicon PLC 系列,特別是 Modicon M241,因其能有效管理複雜的自動化流程而廣受歡迎。Modicon M241 PLC 配備直覺式程式設計工具,並可透過施耐德 EcoStruxure 平台進行無縫整合,已廣泛應用於需要精確可靠自動化控制的產業。
考慮到施耐德 Modicon M241 PLC 在工業運作中的廣泛採用和重要角色,我們的 515 單位,包括 Loc Nguyen、Dat Phung、Thai Do 和 Minh Pham,在OPSWAT 關鍵基礎設施保護 (CIP) 實驗室對此設備進行了全面的漏洞評估。我們的分析發現了一個重大的安全漏洞,如果被利用,可能會危及系統完整性並暴露敏感資料。我們的團隊已主動與施耐德電機聯絡,報告此問題以協助他們進行識別與修復規劃程序,目標是強化OT 環境的整體安全勢態。
針對我們的報告,施耐德電機發布了一份安全公告,承認 Modicon M241 PLC 中存在此漏洞,具體漏洞編號為 CVE-2025-2875。這些建議旨在告知利害關係人潛在的安全風險,並就如何實施適當的補救措施提供明確的指導。
在此文章中,我們對施耐德電氣 Modicon M241 設備中發現的安全漏洞 CVE-2025-2875 進行了高度概述。在不揭露可能導致濫用的詳細技術資訊的情況下,我們強調了此漏洞的性質,評估了其對營運技術 (OT) 環境的潛在影響,並提出了減輕相關風險的實用建議。本概述旨在支援安全專業人員和資產所有者保護關鍵基礎設施。
Modicon M241 與嵌入式 Web Server
Modicon M241 由施耐德電機開發,是一款高性能微型可程式邏輯控制器 (PLC),專為要求嚴格的機器自動化任務而設計。它特別適合模組化和複雜的機器架構,提供強大的處理核心、靈活的通訊介面和可擴展的配置選項,以滿足廣泛的工業需求。
Modicon M241 的一個顯著功能是其嵌入式 Web 伺服器,它提供了一個可透過任何標準 Web 瀏覽器直接存取的即用型介面。此功能允許使用者遠端監控、配置和與控制器交互,而無需額外的軟體或複雜的設定。
雖然嵌入式 Web 伺服器大大增強了可用性,特別是在遠端操作中,但如果沒有適當的保護,也會帶來潛在的網路安全風險。不正確的輸入驗證或缺乏身份驗證控制可能會使系統遭受未經授權的存取或操縱。
有鑑於這些潛在的安全問題,我們的515 部隊對 Modicon M241 的嵌入式 Web 伺服器進行了全面的安全評估。目的是確定該元件中是否存在任何可利用的漏洞,這些漏洞可能會危及系統的完整性、可用性或機密性。
CVE-2025-2875:對另一個領域資源的外部控制引用
為了實現這一目標,Unit 515 對 Modicon M241 嵌入式 Web 伺服器進行了深入分析。該分析揭示了嵌入式 Web 伺服器會接受故意製作的檔案存取請求的特定場景,從而繞過預期的安全限制。此外,對設備的廣泛檢查可以識別 PLC 內的內部檔案路徑。利用此漏洞可能會允許未經身份驗證的攻擊者存取裝置上的敏感內部檔案,嚴重影響系統機密性。
該漏洞已透過負責任的揭露流程揭露給施耐德電氣,並且已提供適當的緩解措施和補救措施。為了保護施耐德的客戶並防止潛在的濫用, OPSWAT 有意隱瞞與此漏洞相關的詳細技術資訊。
CVE-2025-2875 時程表
符合負責任的揭露實務和OPSWAT秉持保護關鍵基礎設施的承諾,515部隊及時透過官方安全聯繫管道向施耐德電氣報告了該漏洞,以協助調查和製定補救計劃:
- 2025 年 2 月 20 日: 515 部隊向施耐德電機提交了一份漏洞報告,詳細說明了 Modicon M241 設備中的漏洞。
- 2025 年 2 月 21 日: 施耐德電機確認收到報告,並展開內部調查。為後續協調指派了案件追蹤 ID。
- 2025 年 3 月 20 日: 經過詳細分析後,施耐德電機確認漏洞的有效性,並開始制定修復計畫。
- 2025 年 5 月 13 日: 施耐德電機針對已發現的問題發表公開警告與修復指引。已為此漏洞指定 CVE 識別碼 CVE-2025-2875。
修復
我們強烈建議使用施耐德電機 Modicon M241 PLC 設備的組織遵循施耐德電機提供的官方指南來修復此漏洞,該指南可在此處取得:施耐德安全公告檔案。
為了有效緩解 CVE-2025-2875 等漏洞,組織應採用全面的縱深防禦策略,其中包括:
- 透過持續的 CVE 掃描Vulnerability detection :定期掃描網路中的漏洞,例如 CVE-2025-2875
- 監控異常行為:標記與施耐德 Modion M241 PLC 通訊頻率的異常增加,這可能表示正在進行未經授權的資料外洩嘗試
- 識別未經授權的裝置連線:系統應偵測惡意/未經授權的裝置何時連接到 PLC
- 網路分割:隔離受影響的裝置有助於防止攻擊的橫向擴散,從而將影響降到最低。
- 入侵防禦:立即識別並阻斷對PLC的惡意/未經批准的命令,有效保護PLC的正常運行
OPSWAT的MetaDefender OT Security透過偵測 CVE、持續監控網路異常行為和識別未經授權的連線來滿足這些需求。利用人工智慧,它可以學習正常的交通模式,建立基線行為,並實施策略來警報異常。這使得對潛在威脅做出即時、明智的反應成為可能。
如果發生利用 CVE-2025-2875 的攻擊, MetaDefender OT Security會與MetaDefender Industrial Firewall整合,根據設定的規則偵測、警報和阻止可疑通訊。 MetaDefender Industrial Firewall使用人工智慧來學習常規流量模式並實施策略以防止未經授權的連接。
以下影片示範如何OPSWAT的MetaDefender OT Security和MetaDefender Industrial Firewall主動緩解此漏洞並防止 OT 環境內的未經授權的存取:
除了預防之外, OPSWAT的MetaDefender OT Security還使組織能夠透過持續的資產可視性和漏洞評估來即時監控漏洞利用的跡象。透過利用先進的資產庫存追蹤和漏洞評估功能,我們的平台提供主動威脅偵測並促進快速有效的補救措施。
以下影片示範了MetaDefender OT Security如何有效識別易受攻擊的裝置並快速修復已發現的漏洞:
