网络安全与基础设施安全局(CISA)发布新安全公告,详细披露通用工业控制公司(GIC)生产的 Lynx+ Gateway 存在多个高严重性漏洞。公告指出:“成功利用这些漏洞可能导致敏感设备信息泄露、未授权访问或造成拒绝服务状态。”
这些漏洞包括密码要求薄弱、关键功能缺失认证机制以及敏感信息明文传输——部分漏洞的 CVSS 评分高达 10.0(最高严重级别)。
CISA 公告列出四个独立漏洞,均已分配 CVE 编号:
1. 密码要求薄弱
CVE-2025-55034(CVSS 8.2)
该产品的密码策略存在缺陷,易遭受暴力破解攻击。公告称,此漏洞“可能允许攻击者通过暴力破解获得未授权访问和登录权限”。
2. 关键功能缺失认证
CVE-2025-58083(CVSS 10.0)
这是本次发现的最严重漏洞。CISA 警告:“受影响产品的嵌入式 Web 服务器缺失关键认证机制,攻击者可远程重置设备。”
CVSS 10.0 的评分反映出该漏洞利用难度极低且可能造成严重运营影响。
3. 敏感数据检索缺失认证
CVE-2025-59780(CVSS 7.5)
另一项认证缺陷允许远程攻击者访问敏感数据。CISA 表示,Web 服务器的这一弱点“可能允许攻击者发送 GET 请求获取敏感设备信息”。
4. 敏感信息明文传输
CVE-2025-62765(CVSS 7.5)
Lynx+ Gateway 还存在敏感信息(包括凭据)未加密传输的问题。CISA 指出:“明文传输漏洞可能使攻击者通过监控网络流量获取敏感信息,包括明文凭据。”
这些漏洞共同构成高风险场景,攻击者可能借此窃取凭据、重置设备、访问内部信息或中断运营。
CISA 确认以下版本的 Lynx+ Gateway 受影响:
- R08
- V03
- V05
- V18
这些设备广泛部署于工业和运营技术环境,依赖 Lynx+ 进行连接或控制的组织需紧急响应此公告。
值得警惕的是,CISA 报告显示制造商未配合漏洞协调披露工作:“通用工业控制公司(GIC)未回应 CISA 的协调尝试。”
发表评论
您还未登录,请先登录。
登录