领先的传感器制造商SICK发布了一则安全公告,公告内容涉及影响其 MEAC300 系列可编程传感器设备的多个漏洞。这些漏洞被追踪编号为 CVE-2022-0778 和 CVE-2025-0867,攻击者可能利用这些漏洞导致设备拒绝服务,或者有可能在受影响的设备上执行任意代码。第一个漏洞 CVE-2022-0778(通用漏洞评分系统(CVSS)评分为 7.5),源于 MEAC300 DE 设备所使用的 OpenSSL 库中存在的一个问题。攻击者可利用该漏洞触发无限循环,从而消耗 CPU 资源,致使设备失去响应。第二个漏洞 CVE-2025-0867(CVSS 评分为 9.9),影响的是 MEAC300-FNADE4 设备,该漏洞与设备中凭据保护不足有关。攻击者能够利用这一漏洞获取设备的访问权限,并以管理员权限执行命令。公告中指出:“SICK建议确保受影响的产品在安全的网络环境中运行,以降低这些风险。”SICK尚未发布修复这些漏洞的固件更新。作为临时解决方案,该公司建议采取一般性的安全措施,例如尽量减少网络暴露程度、限制网络访问,以及遵循在受保护的信息技术(IT)环境中操作设备的推荐安全指南。SICK鼓励受影响的 MEAC300 设备用户查看该安全公告,并采取必要的预防措施,以保护他们的设备免受潜在攻击。
