关键漏洞信息 1. 漏洞概述 发布日期: 2025年4月10日 警报代码: ICSA-25-100-08 相关主题: 工业控制系统漏洞、工业控制系统 CVSS v4 基本分数: 6.9 关注度: 低攻击复杂度 厂商: Subnet Solutions Inc. 设备: PowerSYSTEM Center (PSC) 2020 漏洞类型: 越界读取、不受信任数据的反序列化 2. 风险评估 成功利用这些漏洞可能导致攻击者造成拒绝服务条件。 3. 技术细节 3.1 受影响产品 受影响的Subnet Solutions产品包括: PowerSYSTEM Center 2020: 版本5.2.x及更早版本 3.2 漏洞概述 3.2.1 越界读取 CWE-125 PowerSYSTEM Center的SMTPS验证服务在导入具有伪造F2m参数的EC证书时受到影响,这可能导致在评估曲线参数期间过度消耗CPU资源。 CVE编号: CVE-2025-3135 CVSS v3.1基本分数: 4.3 CVSS v4基本分数: 5.3 3.2.2 不受信任数据的反序列化 CWE-502 PowerSYSTEM Center受到异常条件处理不当的漏洞影响。传递给API的精心制作的数据可能会触发异常,导致拒绝服务条件。 CVE编号: CVE-2025-3135 CVSS v3.1基本分数: 6.2 CVSS v4基本分数: 6.9 4. 缓解措施 Subnet Solutions Inc.建议用户将PowerSYSTEM Center (PSC)升级到最新版本: PSC 2020 Update 25 PSC 2024 如果无法更新PSC,Subnet Solutions Inc.建议用户应用以下缓解措施以帮助降低风险: 禁用通知服务、电子邮件调度服务或通知/设置中的外发电子邮件服务器。 配置PowerSYSTEM Center DCS网络防火墙,仅允许连接到批准和授权的电子邮件服务器。 限制管理员对PowerSYSTEM Center DCS操作系统的访问。 监控用户活动记录,确保用户遵循应用程序的可接受使用策略。 CISA建议用户采取防御性措施,以最小化这些漏洞被利用的风险,例如: 最小化所有控制系统的网络暴露,确保它们不直接从互联网访问。 在防火墙后面定位控制系统的网络和远程设备,并将其与业务网络隔离。 如果需要远程访问,请使用更安全的方法,如虚拟专用网络(VPNs),识别VPN可能有漏洞并应更新到最新版本。还应识别用于连接到控制系统的其他方法。