Iconics Suite 监控与数据采集(SCADA)系统存在一处中危漏洞,攻击者可借此在关键工业控制系统中触发拒绝服务状态。
该漏洞编号为CVE-2025-0921,影响在汽车、能源、制造行业广泛部署的监控与数据采集基础设施。
漏洞概述
CVE-2025-0921 漏洞源于三菱电机 Iconics 数字解决方案 GENESIS64 系统中,多个服务存在的非必要权限执行缺陷。
该漏洞的通用漏洞评分系统(CVSS)得分为 6.5,被划分为中危等级。攻击者一旦成功利用该漏洞,可滥用高权限文件系统操作实现提权,还会破坏系统核心二进制文件,最终导致系统的完整性和可用性受损。
该漏洞由 Unit 42 安全研究团队的阿舍・达维拉与马拉夫・维亚斯,在 2024 年初开展的一次全面安全评估中发现。
这一发现是微软 Windows 平台下,Iconics Suite 10.97.2 及更早版本中检出的六大漏洞之一。
研究人员此前已披露该监控与数据采集平台存在的五个相关漏洞,而 CVE-2025-0921 是其调查过程中发现的又一威胁。
据三菱电机发布的安全公告,该漏洞影响 GENESIS64、MC Works64 的所有版本,以及 11.00 版本的 GENESIS 系统。
Iconics Suite 系统在全球超 100 个国家拥有数十万套部署量,覆盖政府设施、军事基地、给排水处理厂、公用事业机构、能源供应商等关键基础设施领域。
技术利用细节
该漏洞存在于工业流程监控报警管理系统 AlarmWorX64 MMX 的Pager Agent 组件中。
拥有本地访问权限的攻击者,可通过篡改C:\ProgramData\ICONICS目录下 IcoSetup64.ini 文件中存储的 SMSLogFile 路径配置,利用该漏洞。
攻击链路的核心是,将日志文件存储位置创建符号链接,指向目标系统二进制文件。
当管理员发送测试消息或系统自动触发警报时,日志写入操作会沿该符号链接,覆盖 cng.sys 等核心驱动文件—— 该文件为 Windows 系统组件提供加密服务。
系统重启后,被破坏的驱动会引发启动故障,使设备陷入无限修复循环,导致运营技术(OT)工程工作站无法运行。
研究人员证实,若结合此前披露的CVE-2024-7587 漏洞,该漏洞的利用难度将大幅降低。该漏洞存在于 GenBroker32 安装程序中,会为 C:\ProgramData\ICONICS 目录赋予过高权限,允许任意本地用户修改核心配置文件。
但即便单独利用,若因配置错误、其他漏洞或社会工程攻击导致日志文件可写,攻击者仍能成功利用 CVE-2025-0921 漏洞。
三菱电机已为GENESIS 11.01 及后续版本发布修复补丁,客户可从 Iconics 社区资源中心下载。
针对 GENESIS64 用户,修复版本目前正在开发,将于近期发布;厂商明确表示暂无为 MC Works64 发布补丁的计划,要求相关客户在此期间采取缓解措施。
发表评论
您还未登录,请先登录。
登录