官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
西门子近日披露其SIMATIC Virtualization as a Service(SIVaaS)平台存在一个高危安全漏洞(CVE-2025-40804)。该漏洞CVSS评分为9.1分,会导致网络共享资源在无认证情况下暴露,攻击者可能借此访问或篡改敏感数据。
漏洞详情
根据西门子官方声明:"SIMATIC Virtualization as a Service(SIVaaS)存在一个漏洞,该漏洞会导致网络共享资源在没有任何认证的情况下暴露。攻击者可能借此在未经授权的情况下访问或篡改敏感数据。"
该漏洞编号为CVE-2025-40804,归类于CWE-732(关键资源权限分配错误)。由于攻击者可通过网络远程利用此漏洞,且无需任何权限或用户交互,未经验证的攻击者即可实施攻击。
受影响版本
安全公告确认:"所有版本的SIMATIC Virtualization as a Service(SIVaaS)均受CVE-2025-40804影响。"
具体受影响的产品型号(MLFB)包括:
- 9LA1110-6SV40-5DA3
- 9LA1110-6SV40-5FA3
- 9LA1110-6SV40-5FB3
- 9LA1110-6SV40-5FC3
- 9LA1110-6SV40-5JA2
- 9LA1110-6SV40-5XA2
- 9LA1110-6SV40-5XA3
潜在风险
SIVaaS广泛用于自动化系统的集中虚拟化,实现运营技术(OT)与信息技术(IT)的集成,以及对工业环境的标准化监控。该平台层的漏洞可能导致关键工业数据泄露,或使攻击者能够篡改自动化配置。
鉴于该漏洞CVSS v3.1评分为9.1分,CVSS v4.0评分为9.3分,西门子将其列为严重安全问题。
修复建议
西门子敦促受影响客户立即采取行动。公告指出:"西门子建议联系技术支持以修复此漏洞。"
此外,西门子强调了其工业安全通用指南:
- 使用适当机制保护设备的网络访问
- 在受保护的IT环境中运行设备
- 遵循西门子工业安全操作指南
参考来源:
CVE-2025-40804: Critical Flaw in Siemens SIVaaS Exposes Network Share Without Authentication
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)