运营技术 (OT) 涵盖硬件和软件系统,用于监控、控制和管理关键行业(包括制造业、能源生产、交通运输网络和公共事业)的物理流程、设备和基础设施。与专注于数据处理和通信的信息技术 (IT) 不同,运营技术 (OT) 管理的是现实世界的物理流程。因此,OT 安全对于确保关键基础设施的安全性、连续性和完整性至关重要。
近年来,OT(运营技术)环境日益成为复杂网络威胁的目标。这些威胁通常包括勒索软件、未经授权的访问尝试、对关键基础设施的蓄意破坏以及对工业控制系统 (ICS) 漏洞的利用。近期发生的一些重大事件凸显了这些威胁的严重性,例如2021年Colonial Pipeline勒索软件攻击,该攻击导致美国东海岸的燃料供应严重中断;以及2022年针对Viasat卫星网络的网络攻击,在地缘政治冲突加剧期间严重影响了欧洲各地的通信基础设施。随着OT系统与IT基础设施的互联互通和集成日益紧密,它们面临着独特的网络安全威胁,这些威胁可能导致严重的运营中断和巨大的经济后果。
通过OPSWAT 单元 515 发现施耐德 Modicon M241 PLC 中的漏洞
施耐德电气是工业自动化和能源管理领域的全球领导者,为各行各业提供创新解决方案。Modicon PLC 系列,特别是 Modicon M241,因其高效管理复杂自动化流程的能力而广受欢迎。Modicon M241 PLC 配备了直观的编程工具,并通过施耐德 EcoStruxure 平台实现了无缝集成功能,在需要精确可靠的自动化控制的行业中得到广泛应用。
考虑到施耐德 Modicon M241 PLC 在工业运营中的广泛应用和关键作用,我们的 515 小组(包括 Loc Nguyen、Dat Phung、Thai Do 和 Minh Pham)在OPSWAT 关键基础设施保护 (CIP) 实验室对该设备进行了全面的漏洞评估。我们的分析发现了一个重大的安全漏洞,一旦被利用,可能会危及系统的完整性和敏感数据的泄露。我们的团队主动联系了施耐德电气,报告了这一问题,以协助他们进行识别和修复规划,从而加强OT 环境的整体安全态势。
针对我们的报告,施耐德电气已发布安全公告,确认Modicon M241 PLC中存在该漏洞,具体漏洞编号为CVE-2025-2875。这些公告旨在告知利益相关者潜在的安全风险,并提供关于如何实施适当补救措施的明确指导。
在本篇博文中,我们对施耐德电气 Modicon M241 设备中发现的安全漏洞 CVE-2025-2875 进行了简要概述。在不披露可能导致滥用的详细技术信息的情况下,我们重点介绍了此漏洞的性质,评估了其对运营技术 (OT) 环境的潜在影响,并提供了降低相关风险的实用建议。本概述旨在帮助安全专业人员和资产所有者保护关键基础设施。
Modicon M241 和嵌入式 Web Server
Modicon M241 由施耐德电气开发,是一款高性能微型可编程逻辑控制器 (PLC),专为高要求的机器自动化任务而设计。它尤其适用于模块化和复杂的机器架构,提供强大的处理核心、灵活的通信接口和可扩展的配置选项,以满足各种工业需求。
Modicon M241 的一项显著功能是其嵌入式 Web 服务器,它提供了一个即用型界面,可通过任何标准 Web 浏览器直接访问。此功能允许用户远程监控、配置和与控制器交互,无需额外的软件或复杂的设置。
嵌入式 Web 服务器虽然极大地提升了可用性,尤其是在远程操作中,但如果安全措施得不到妥善保障,也会带来潜在的网络安全风险。不当的输入验证或缺乏身份验证控制可能会使系统面临未经授权的访问或操控。
意识到这些潜在的安全隐患,我们的515 部队对 Modicon M241 的嵌入式 Web 服务器进行了全面的安全评估。评估的目的是确定该组件中是否存在任何可利用的漏洞,从而可能危及系统的完整性、可用性或机密性。
CVE-2025-2875:对另一个领域资源的外部控制引用
为了实现这一目标,Unit 515 对 Modicon M241 嵌入式 Web 服务器进行了深入分析。分析揭示了嵌入式 Web 服务器接受精心设计的文件访问请求,从而绕过预期的安全限制的具体场景。此外,对该设备的全面检查还识别出了 PLC 内部的文件路径。利用此漏洞,未经身份验证的攻击者可能会访问设备上的敏感内部文件,从而严重影响系统机密性。
该漏洞已通过负责任的披露流程向施耐德电气披露,并已提供相应的缓解措施和补救措施。为了保障施耐德客户安全并防止潜在的滥用, OPSWAT 有意隐瞒与此漏洞相关的详细技术信息。
CVE-2025-2875 时间轴
符合负责任的披露实践和OPSWAT秉承保护关键基础设施的承诺,515部队及时通过官方安全联系渠道向施耐德电气报告了该漏洞,以协助调查和制定补救计划:
- 2025 年 2 月 20 日: 515 部队向施耐德电气提交了一份漏洞报告,详细说明了 Modicon M241 设备中的漏洞。
- 2025 年 2 月 21 日: 施耐德电气确认收到报告并启动内部调查。为后续协调工作分配了一个案件跟踪 ID。
- 2025 年 3 月 20 日: 经过详细分析,施耐德电气确认了漏洞的有效性,并开始制定修复计划。
- 2025 年 5 月 13 日: 施耐德电气发布了一条公共公告,并提供了针对所发现问题的修复指南。为该漏洞分配了 CVE 标识符 CVE-2025-2875。
补救措施
我们强烈建议使用施耐德电气 Modicon M241 PLC 设备的组织遵循施耐德电气提供的官方指南来修复此漏洞,该指南可在此处获取:施耐德安全公告文件。
为了有效缓解 CVE-2025-2875 等漏洞,组织应采用全面的纵深防御策略,其中包括:
- 通过持续的 CVE 扫描进行Vulnerability detection :定期扫描网络,查找 CVE-2025-2875 等漏洞
- 监控异常行为:标记与施耐德 Modion M241 PLC 通信频率的异常增加,这可能表明正在进行未经授权的数据泄露尝试
- 识别未经授权的设备连接:系统应检测恶意/未经授权的设备何时连接到 PLC
- 网络隔离:隔离受影响的设备有助于防止攻击横向扩散,从而将影响降至最低。
- 入侵防御:立即识别并阻断对PLC的恶意/未经批准的命令,有效保护PLC的正常运行
OPSWAT的MetaDefender OT Security通过检测 CVE、持续监控网络异常行为以及识别未经授权的连接来满足这些需求。它利用人工智能 (AI) 学习正常的流量模式,建立基线行为,并实施策略来警报异常情况。这使我们能够对潜在威胁做出即时、明智的响应。
当发生利用 CVE-2025-2875 的攻击时, MetaDefender OT Security会与MetaDefender Industrial Firewall集成,根据设定的规则检测、警报并阻止可疑通信Firewall Industrial MetaDefender使用人工智能 (AI) 学习常规流量模式并强制执行策略,以防止未经授权的连接。
以下视频演示了如何OPSWAT的MetaDefender OT Security和MetaDefender Industrial Firewall主动缓解此漏洞并防止 OT 环境内的未经授权的访问:
除了预防之外, OPSWAT其MetaDefender OT Security还通过持续的资产可视性和漏洞评估,帮助企业实时监控漏洞利用迹象。通过利用先进的资产清单跟踪和漏洞评估功能,我们的平台能够主动检测威胁,并促进快速有效的补救措施。
以下视频演示了MetaDefender OT Security如何有效识别易受攻击的设备并快速修复已发现的漏洞:
