CVE-2025-13824：罗克韦尔自动化Micro820®、Micro850®、Micro870®中的CWE-763：释放无效指针或引用

严重性: 高 类型: 漏洞

概述

存在一个安全问题，原因是在模糊测试期间对畸形CIP（通用工业协议）数据包的处理不当。控制器会进入硬故障状态，故障LED灯呈稳定的红色，并变得无响应。经过上电循环后，控制器将进入可恢复故障状态，此时MS LED和故障LED会闪烁红色，并报告故障代码 0xF019。要恢复，需清除故障。

技术总结

CVE-2025-13824 是一个被归类为 CWE-763（释放无效指针或引用）的漏洞，存在于罗克韦尔自动化的 Micro820®、Micro850® 和 Micro870® 可编程逻辑控制器（PLC）中。该问题源于在模糊测试期间对畸形 CIP 数据包的处理不当，这会导致控制器固件解引用无效的指针或引用。这会使设备进入硬故障状态，表现为稳定的红色故障 LED 指示灯，导致控制器无响应，并实际上造成拒绝服务。上电循环后，设备会过渡到可恢复的故障状态，MS 和故障 LED 闪烁红色并报告故障代码 0xF019。恢复需要手动干预以清除故障。

该漏洞可被远程利用，且无需身份验证或用户交互，CVSS向量（AV:N/AC:L/PR:N/UI:N）表明了这一点。CVSS 评分为 8.7，反映了对可用性的高影响，而对机密性和完整性没有影响。受影响的固件版本包括 Micro820® 的 V23.011 及以下版本、Micro850® 的 V12.013 及更低版本以及 Micro870® 的 V14.011 及更低版本。目前没有公开的补丁或利用程序，但该漏洞对依赖这些控制器进行自动化和控制的工业环境构成了重大风险。

潜在影响

对于欧洲组织，特别是那些在制造业、能源、水处理和运输等关键基础设施领域运营的组织，此漏洞构成了重大的运营中断风险。受影响的罗克韦尔自动化 Micro 系列控制器在欧洲的工业自动化中广泛使用。利用该漏洞可能导致拒绝服务，停止生产线或关键流程，可能造成财务损失、安全隐患和违规行为。缺乏机密性或完整性影响降低了与数据泄露相关的风险，但并未减轻对可用性和运营连续性的威胁。鉴于该漏洞无需身份验证即可远程利用，如果未实施适当的网络分段和保护措施，攻击者可以从网络边界外部中断操作。这对于拥有遗留或未打补丁的工业控制系统（ICS）的欧洲组织来说尤其令人担忧，这些系统可能没有强大的安全监控或事件响应能力。

缓解建议

1. 立即评估并清点所有罗克韦尔自动化 Micro820®、Micro850® 和 Micro870® 控制器，以识别受影响的固件版本。
2. 一旦供应商提供补丁或固件更新，立即应用；密切关注罗克韦尔自动化的安全公告。
3. 实施严格的网络分段，将 ICS 网络与企业网络和外部网络隔离，限制暴露于潜在的恶意 CIP 数据包。
4. 部署入侵检测/防御系统（IDS/IPS），并针对 CIP 协议流量调整签名或异常检测，以检测畸形数据包。
5. 使用防火墙和访问控制列表（ACL）限制对控制器的网络访问，仅允许受信任的管理站和设备。
6. 建立对控制器故障 LED 指示灯和故障代码的监控和警报，以便快速检测利用尝试或故障。
7. 制定并测试针对控制器故障和恢复的事件响应程序，包括在支持的情况下自动清除故障。
8. 定期进行以 ICS 环境为重点的安全审计和渗透测试，以主动识别和修复类似的漏洞。

受影响的国家

德国、法国、意大利、英国、西班牙、荷兰、比利时、波兰、瑞典、捷克共和国

技术详情

• 数据版本: 5.2
• 分配者简称: Rockwell
• 发布日期: 2025-12-01T14:29:33.649Z
• Cvss 版本: 4.0
• 状态: 已发布
• 威胁 ID: 69402985d9bcdf3f3de49055
• 添加到数据库时间: 2025年12月15日，下午3:30:13
• 最后丰富时间: 2025年12月15日，下午3:45:19
• 最后更新时间: 2025年12月16日，上午5:47:28
• 浏览量: 22

来源: CVE数据库 V5 发布日期: 2025年12月15日，星期一