ICS Patch Tuesday (grudzień 2025): poprawki od Siemens, Rockwell, Schneider i Phoenix Contact — co trzeba załatać w OT już dziś - Security Bez Tabu

ICS Patch Tuesday (grudzień 2025): poprawki od Siemens, Rockwell, Schneider i Phoenix Contact — co trzeba załatać w OT już dziś

Wprowadzenie do problemu / definicja luki

Grudniowe wydanie ICS Patch Tuesday przyniosło dziesiątki luk ujawnionych i załatanych w produktach kluczowych dostawców OT: Siemens, Rockwell Automation, Schneider Electric oraz Phoenix Contact. Dodatkowo CISA opublikowała trzy nowe doradcze ICS (CCTV, Festo LX, U-Boot). Zestawienie pokazuje zarówno świeże błędy o wysokiej wadze (m.in. braki walidacji certyfikatów w komponentach IAM/SALT u Siemensa, DoS i SQLi u Rockwella, wielo-wektorowe XSS/DoS/ujawnienie informacji w przełącznikach Phoenix Contact), jak i wpływ aktywnie wykorzystywanej luki w Microsoft WSUS (RCE) na systemy Schneidera.

W skrócie

  • Siemens: 14 nowych advisory; część oceniona jako krytyczne (m.in. Comos, SICAM T, Ruggedcom ROX; dodatkowo wysokie ryzyko w SALT Toolkit i IAM Client z powodu braku walidacji certyfikatów — scenariusze MitM, eskalacja wpływu na poufność/integralność).
  • Rockwell Automation: dwa nowe advisory — DoS w 432ES-IG3 GuardLink EtherNet/IP (wymaga ręcznego power cycle) oraz SQL injection w FactoryTalk DataMosaix Private Cloud. Oba o wysokiej wadze, publikacja 9 grudnia 2025.
  • Schneider Electric: dwa advisory opisujące wpływ aktywnie wykorzystywanej luki WSUS (RCE) oraz starych wektorów typu ZombieLoad na EcoStruxure Foxboro DCS. (Vendor potwierdza wpływ, użytkownicy powinni stosować guidance Microsoft/CISA dot. CVE w WSUS).
  • Phoenix Contact: zbiorcze advisory dla FL SWITCH 2xxx (FW < 3.50) — XSS, DoS, uwierzytelnianie, ekspozycja informacji, UART shell; potwierdzone i opracowane także przez CERT@VDE.
  • CISA (9 grudnia 2025): trzy doradcze ICS dla U-Boot (RCE), Festo LX (XSS) oraz CCTV (brak uwierzytelniania).

Kontekst / historia / powiązania

Listopad–grudzień upływa pod znakiem WSUS RCE (CVE-2025-59287): po niepełnej łatce Microsoft wydał dodatkową aktualizację 23 października, a CISA ostrzegła przed aktywną eksploatacją i zaleciła natychmiastowe działania (w tym blokadę portów 8530/8531, jeśli nie można łatkować). Dzisiejsze advisory Schneidera odnoszą wpływ tej luki na Foxboro DCS, co jest istotne wszędzie tam, gdzie funkcje aktualizacji/zarządzania serwerowego stykają się z sieciami OT.

Analiza techniczna / szczegóły luki

Siemens

  • SALT Toolkit (SSA-710408)CVE-2025-40801: brak walidacji certyfikatu serwera podczas zestawiania TLS; umożliwia MitM i manipulację ruchem do serwera autoryzacyjnego. CVSS v4.0: 9.2. Dotyczy m.in. COMOS, NX, Simcenter.
  • IAM Client (SSA-868571)CVE-2025-40800: analogiczny problem z walidacją certyfikatu w kliencie IAM; CVSS v4.0: 9.1.
  • COMOS (SSA-212953) — doradztwo łączące wpływy z SALT/IAM oraz inne zależności komponentowe.
  • RUGGEDCOM ROS (SSA-763474) — m.in. błąd walidacji wejścia przy uploadzie certyfikatu w GUI, DoS (restart).

Rockwell Automation

  • SD1764 (432ES-IG3 Series A GuardLink EtherNet/IP Interface)CVE-2025-9368: DoS prowadzący do zawieszenia urządzenia; wymagany power cycle; CVSS 3.1: 7.5, CVSS 4.0: 8.7.
  • SD1765 (FactoryTalk DataMosaix Private Cloud)CVE-2025-12807: SQL injection przez endpointy API, użytkownik o niskich uprawnieniach może wykonywać operacje na DB; CVSS 3.1: 8.8.

Schneider Electric

  • EcoStruxure Foxboro DCS — wpływ WSUS RCE (CVE-2025-59287) oraz starych wektorów ZombieLoad; rekomendacje: zastosowanie uzupełnionych aktualizacji Microsoft i utwardzenie serwerów aktualizacji w domenie IT wpływającej na OT. (Wzmiankowane i korelowane w przeglądzie SecurityWeek oraz komunikatach dot. WSUS).

Phoenix Contact (CERT@VDE)

  • VDE-2025-071 (FW < 3.50 w FL SWITCH 2xxx i wybranych modelach NAT): kombinacja XSS, DoS, eksfiltracja plików (CVE-2025-41692/-41696), shell przez UART (CVE-2025-41697), poprawione w FW 3.50.

Doradcze CISA (9 grudnia 2025)

  • U-Boot (ICSA-25-343-01) — możliwość wykonania dowolnego kodu podczas bootowania.
  • Festo LX Appliance (ICSA-25-343-02)XSS.
  • CCTV India (ICSA-25-343-03)brak uwierzytelniania dla krytycznej funkcji.

Praktyczne konsekwencje / ryzyko

  • Łańcuchy zaufania i tożsamości (IAM/SALT): brak walidacji certyfikatów to atak na podstawy zaufania — ryzyko MitM, kradzieży tokenów, wstrzyknięć konfiguracji, a w konsekwencji eskalacji przywilejów w narzędziach inżynierskich.
  • Dostępność i bezpieczeństwo funkcjonalne (Rockwell DoS): wymóg fizycznego restartu po DoS zwiększa ryzyko przestojów linii i wymusza procedury awaryjne.
  • Powierzchnia zarządzania aktualizacjami (WSUS): aktywnie wykorzystywany RCE w WSUS może stać się wektorem wejścia z IT do OT, jeśli mosty/serwery aktualizacji mają styczność z segmentami produkcyjnymi.
  • Sieć zakładowa (Phoenix Contact): zestaw luk na przełącznikach FL SWITCH 2xxx zwiększa ryzyko pivotingu i utraconej widoczności/QoS (DoS), a nawet nieautoryzowanego dostępu przez interfejsy serwisowe.

Rekomendacje operacyjne / co zrobić teraz

  1. Priorytet 0 – WSUS (jeśli dotyczy)
    • Zastosuj aktualizację Microsoft z 23.10.2025 i sprawdź wdrożenie; do czasu aktualizacji zablokuj 8530/8531 lub wyłącz rolę WSUS (nie cofaj obejść przed patchem).
  2. Siemens
    • Aktualizacje SALT/IAM/COMOS/ROS zgodnie z advisory; gdzie brak poprawek — izolacja sieciowa, pinning certyfikatów/TLS inspection off dla kanałów licencyjnych/autoryzacyjnych, monitorowanie anomalii certyfikatów.
  3. Rockwell Automation
    • SD1764: zaplanuj okno serwisowe na upgrade; przygotuj procedury bezpiecznego power cycle; segmentacja i rate-limit ruchu do interfejsu GuardLink.
    • SD1765: zaktualizuj DataMosaix Private Cloud do 8.01.02; przejrzyj uprawnienia najmniejszego przywileju oraz walidację wejścia na warstwie API.
  4. Phoenix Contact
    • Upgrade FW do 3.50 na wszystkich modelach z linii FL SWITCH 2xxx i NAT; wyłącz/ogranicz UART/SSH, włącz ACL, ogranicz GUI do zaufanej podsieci.
  5. Hardening ogólny (OT)
    • Przegląd trust store i polityk TLS, segmentacja L3/L2, listy kontroli dostępu na przełącznikach OT, monitoring ICS (anomalie protokołów), backup i test DR urządzeń brzegowych.

Różnice / porównania z innymi przypadkami

  • W porównaniu z poprzednimi cyklami, grudzień wyróżnia kumulację błędów w łańcuchu tożsamości/licencjonowania (SALT/IAM) u jednego dostawcy oraz jednoczesny wpływ aktywnie wykorzystywanej luki w produkcie firm trzecich (WSUS) na vendor-specyficzny DCS. To rzadziej spotykana synergia IT→OT w jednym zestawieniu miesięcznym.

Podsumowanie / kluczowe wnioski

  • Nie czekaj z WSUS — to realny wektor RCE widziany w praktyce; izoluj, łatkuj, weryfikuj.
  • Siemens: potraktuj SALT/IAM jako priorytet wysokiego ryzyka (integralność i zaufanie).
  • Rockwell: DoS może zatrzymać produkcję, SQLi — odsłonić dane operacyjne; aktualizacje już dostępne.
  • Phoenix Contact: zunifikowany upgrade do FW 3.50 to szybkie zwycięstwo bezpieczeństwa sieci OT.
  • Śledź na bieżąco doradcze CISA — często wskazują biblioteczne/trzecie komponenty u wielu vendorów.

Źródła / bibliografia

  • SecurityWeek — grudniowe zestawienie ICS Patch Tuesday (Siemens, Rockwell, Schneider, Phoenix Contact) oraz wzmianki o CISA. (SecurityWeek)
  • Siemens ProductCERT: SALT Toolkit (SSA-710408), IAM Client (SSA-868571), COMOS (SSA-212953), RUGGEDCOM ROS (SSA-763474). (cert-portal.siemens.com)
  • Rockwell Automation Trust Center: SD1764 (432ES-IG3 DoS), SD1765 (DataMosaix Private Cloud SQLi). (rockwellautomation.com)
  • CERT@VDE: VDE-2025-071 — Phoenix Contact FL SWITCH 2xxx (FW < 3.50). (certvde.com)
  • CISA (9 grudnia 2025): ICSA-25-343-01 (U-Boot), ICSA-25-343-02 (Festo LX), ICSA-25-343-03 (CCTV w Indiach). (CISA)
  • Kontekst WSUS (RCE, eksploatacja, out-of-band patch 23.10): analizy i przeglądy. (SecurityWeek)