西门子SIMATIC虚拟化即服务平台曝严重漏洞（CVE-2025-40804）：网络共享资源无需认证即可访问

西门子已披露其SIMATIC Virtualization as a Service（SIVaaS）平台存在一个严重安全漏洞（CVE-2025-40804）。该漏洞的CVSS评分为9.1分，会导致一个网络共享资源在无需认证的情况下被暴露，攻击者可能借此访问或篡改敏感数据。

根据西门子的声明：“SIMATIC虚拟化即服务（SIVaaS）受到一个漏洞影响，该漏洞会在无任何认证的情况下暴露网络共享资源。这可能允许攻击者在未获得适当授权的情况下访问或修改敏感数据。”

该漏洞编号为CVE-2025-40804，归类为CWE-732（关键资源的权限分配不当）。其攻击向量为网络，且无需特权账户或用户交互，未认证的攻击者即可远程利用此漏洞。

安全公告确认：“SIMATIC虚拟化即服务（SIVaaS）——所有版本均受CVE-2025-40804影响。”

此外，西门子列出了具体受影响的MLFB型号，包括：
9LA1110-6SV40-5DA3
9LA1110-6SV40-5FA3
9LA1110-6SV40-5FB3
9LA1110-6SV40-5FC3
9LA1110-6SV40-5JA2
9LA1110-6SV40-5XA2
9LA1110-6SV40-5XA3

SIVaaS广泛用于自动化系统的集中虚拟化，支持OT/IT融合及工业环境中的标准化监控。这一层级的漏洞可能导致关键工业数据泄露，或允许攻击者篡改自动化配置。

鉴于其CVSS v3.1评分为9.1分、CVSS v4.0评分为9.3分，西门子将此漏洞列为“严重”安全问题。

西门子强烈敦促受影响客户立即采取行动。公告指出：“西门子建议联系技术支持以修复该漏洞。”

此外，西门子强调了其通用工业安全指南：

1. 使用适当机制保护设备的网络访问。
2. 在受保护的IT环境中运行设备。
3. 遵循西门子的工业安全操作指南。