Photo by Christian Harb on Unsplash

在12月Patch Tuesday周期，西门子（Siemens）、罗克韦尔自动化（Rockwell Automation）、施耐德电气（Schneider Electric）以及菲尼克斯电气（Phoenix Contact）均发布多项公告，修补旗下工业控制系统（ICS）与运营技术（OT）设备的多项安全漏洞。

西门子本次共发布14则安全公告，其中3则被评定为重大风险，主要影响Comos、Sicam T与Ruggedcom ROX等产品。在SSA-212953公告中，西门子指出其工程与资产管理平台Comos存在多项重大风险漏洞，CVSS v3.1风险评分高达10.0分，CVSS v4.0为9.2分。这些漏洞可能被利用执行任意代码，或导致服务中断、数据泄露与访问控制违规。西门子已针对部分产品发布补丁，并建议用户升级至最新版本。

此外，西门子公告Sicam T 3.0之前版本存在高风险与重大风险漏洞，CVSS v3.1评分为9.9分，CVSS v4.0为9.3分，涵盖不当输入验证、跨站脚本（XSS）与跨站请求伪造（CSRF）等问题，并涉及身份验证与授权绕过，以及缺乏HTTPS保护等弱点。这些漏洞可能导致远程代码执行、未授权访问或连接劫持。西门子已发布新版Sicam T，建议用户尽快更新。

罗克韦尔自动化于12月9日发布两则安全公告，均评定为高风险。其中，GuardLink EtherNet/IP接口432ES-IG3 Series A存在服务中断漏洞（CVE-2025-9368）（CVSS v4.0为8.7分）。另一则公告指出，罗克韦尔自动化FactoryTalk DataMosaix Private Cloud存在SQL注入高风险漏洞（CVE-2025-12807）（CVSS v3.1为8.8分）。该漏洞可能使低权限用户通过API执行未经授权的数据库操作，进而访问或修改敏感数据。

施耐德电气于12月初发布两则安全公告SEVD-2025-343-01、SEVD-2025-343-02，指出微软Windows Server Update Services（WSUS）重大漏洞（CVE-2025-59287）已在实际环境中被利用，导致采用WSUS的EcoStruxure Foxboro DCS暴露风险，攻击者可能借此发动远程代码执行攻击并获取系统级权限。

另一方面，施耐德电气也提醒，EcoStruxure Foxboro DCS仍可能受到既有ZombieLoad漏洞影响。官方建议OT环境用户按照指引更新系统，并配合网络分段与访问控制等措施，以降低对生产与工艺运行的潜在影响。

另一家工控系统厂商菲尼克斯电气（Phoenix Contact）也针对旗下FL SWITCH 2xxx系列交换机漏洞发布补丁更新，指出该交换机存在跨站脚本、服务中断、认证缺失与信息泄露等风险，德国计算机紧急应变小组CERT@VDE同步披露菲尼克斯的安全补丁信息，提醒用户注意更新与防护。

美国网络安全与基础设施安全局（CISA）于12月9日另外发布三则工业控制系统（ICS）相关安全公告，分别涉及U-Boot引导加载程序、Festo LX Appliance，以及多款工业用CCTV摄像头漏洞，呼吁关键基础设施运营单位尽快评估风险并采取防护措施。

其中，ICSA-25-343-01指出U-Boot存在访问控制缺失漏洞（CVE-2025-24857），CVSS v3评分8.4分、CVSS v4评分8.6分，攻击者可能借此执行任意代码。CISA建议限制设备网络暴露并加强访问控制。

ICSA-25-343-03则揭露多款工业用CCTV摄像头存在关键功能认证缺失问题，包括D-Link DCS-F5614-L1，追踪漏洞为CVE-2025-13607，CVSS v3基准评分9.4分、CVSS v4为9.3分，属重大风险，攻击者可在未经验证情况下访问摄像头设置与账户凭证。针对此漏洞，D-Link已发布补丁予以修复。