CERT@VDE和WAGO的联合披露揭示了一个毁灭性的漏洞——CVE-2025-41672——该漏洞影响了WAGO的工业自动化平台Device Sphere。该漏洞的CVSS评分为10.0,允许远程、未经身份验证的攻击者通过使用共享的默认JWT证书,完全控制所有使用该证书的系统。
通告解释道:“在安装过程中,所有系统安装的是相同的证书,而非唯一的证书。”该漏洞涉及Device Sphere部署中使用的JWT令牌加密和签名密钥。
在标准的安全架构中,每个系统应该生成一个唯一的签名密钥来发行JSON Web令牌(JWT),确保身份验证严格限于特定系统并且具有唯一性。
然而,在WAGO Device Sphere 1.0版本中:
“该系统在所有安装中都安装了相同的JWT签名证书… 使得任何拥有共享密钥的人都可以伪造有效的令牌,并在所有系统中冒充用户。”通告指出。
这一设计缺陷本质上赋予了任何拥有或提取共享证书的攻击者生成有效管理员级别令牌的能力——而无需提供任何凭据。
WAGO Device Sphere是一个集中管理运营技术(OT)和连接自动化设备的平台。该平台的安全漏洞可能导致以下风险:
-
远程操控工业控制系统(ICS)
-
跨OT/IT边界的网络渗透
-
安装恶意固件或破坏控制过程
对于运行关键基础设施的环境来说,这不仅是一个理论上的风险,而是一个全面系统的入侵途径。
WAGO已在Device Sphere 1.0.1版本中解决了这一问题,该版本在安装时使用唯一证书替代了共享证书。
通告警告称:“WAGO Device Sphere 1.0将在2025年6月30日之后无法使用”,并强调了为保护用户免受持续暴露的影响,强制要求进行升级。
发表评论
您还未登录,请先登录。
登录