Ependorf BioFlo 320控制器VNC未授权访问漏洞(CVSS 9.8)修复指南

漏洞概述 漏洞编号: ICSMA-26-146-01 发布日期: 2026年5月26日 组织: BIO-ISAC 摘要: 报告了此漏洞给CISA 分类: csaf_security_advisory CSAF版本: 2.0 分发: 未限制 标签: WHITE 语言: en-US 影响范围 类别: 其他 文本: 医疗保健和公共卫生 标题: 关键基础设施部门 类别: 其他 文本: 全球 标题: 国家/地区部署 类别: 其他 文本: 德国 标题: 公司总部位置 修复方案 类别: 一般 文本: CISA建议用户采取防御措施，以最小化此漏洞被利用的风险。 标题: 推荐实践 类别: 一般 文本: 最小化所有控制系统设备和/或系统的网络暴露，确保它们不通过互联网可访问。 标题: 推荐实践 类别: 一般 文本: 将控制系统网络和远程设备置于防火墙后面，并将它们与业务网络隔离。 标题: 推荐实践 类别: 一般 文本: 当需要远程访问时，使用更安全的访问方法，例如虚拟专用网络（VPN），并启用多因素身份验证。 标题: 推荐实践 类别: 一般 文本: CISA建议组织在部署防御性网络安全措施之前进行适当的影响分析和风险评估。 标题: 推荐实践 类别: 一般 文本: CISA还为控制系统安全推荐实践提供了一节，可在CISA网站上的ICS网页上找到。 标题: 推荐实践 类别: 一般 文本: CISA鼓励组织实施推荐的网络安全策略，以主动防御ICS网络。 标题: 推荐实践 类别: 一般 文本: 额外的缓解指南和推荐实践在ICS网页上公开可用。 标题: 推荐实践 类别: 一般 文本: 观察到可疑恶意活动的组织应遵循已建立的内部程序并报告给CISA。 标题: 推荐实践 类别: 一般 文本: CISA还建议用户采取以下措施保护自己免受社会工程攻击： 标题: 推荐实践 类别: 一般 文本: 不要点击电子邮件中的链接或打开未请求电子邮件中的附件。 标题: 推荐实践 类别: 一般 文本: 有关避免电子邮件诈骗的更多信息，请参阅“识别和避免电子邮件诈骗”。 标题: 推荐实践 类别: 一般 文本: 有关社会工程攻击的更多信息，请参阅“避免社会工程和网络钓鱼攻击”。 标题: 推荐实践 类别: 一般 文本: 已知专门针对此漏洞的公共利用已报告给CISA，此链接。 标题: 推荐实践 修复措施 类别: 缓解 详细信息: Ependorf已发布一个软件更新，永久移除控制器上的VNC访问。用户应安装此更新。 产品ID: CSAFPID-0001 URL: https://www.ependorf.com/software-downloads 类别: 缓解 详细信息: 所有受影响的BioFlo 320系统出厂时默认禁用虚拟网络计算（VNC）。 产品ID: CSAFPID-0001 类别: 缓解 详细信息: Ependorf建议用户执行以下操作： 产品ID: CSAFPID-0001 类别: 缓解 详细信息: 验证控制器上的VNC已禁用。 产品ID: CSAFPID-0001 类别: 缓解 详细信息: 启用安全设置，以便只有管理员和监督角色可以更改VNC设置。 产品ID: CSAFPID-0001 类别: 缓解 详细信息: 尽快安装版本5.0软件。 产品ID: CSAFPID-0001 评分 CVSS V3: - 基础分数: 9.8 - 严重性: 关键 - 向量字符串: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 版本: 3.1 产品 产品ID: CSAFPID-0001 参考 类别: 自身 摘要: ICS Advisory ICSMA-26-146-01 JSON URL: https://raw.githubusercontent.com/cisagov/CSAF/develop/csaf_files/OT/White/2026/icsma-26-146-01.json 类别: 自身 摘要: ICS Advisory ICSMA-26-146-01 - Web Version URL: https://www.cisa.gov/news-events/ics-medical-advisories/icsma-26-146-01 类别: 外部 摘要: 推荐实践 URL: https://www.cisa.gov/uscert/ics/alerts/ICS-ALERT-10-301-01 类别: 外部 摘要: 推荐实践 URL: https://www.cisa.gov/resources-tools/resources/ics-recommended-practices 类别: 外部 摘要: 推荐实践 URL: https://www.cisa.gov/sites/default/files/publications/Cybersecurity_Best_Practices_for_Industrial_Control_Systems.pdf 类别: 外部 摘要: 推荐实践 URL: https://www.cisa.gov/topics/industrial-control-systems 类别: 外部 摘要: www.first.org URL: https://www.first.org/cvss/calculator/3.1#CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 类别: 外部 摘要: www.first.org URL: https://www.first.org/cvss/calculator/4.0#CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VA:N/SC:N/SI:N/SA:N 类别: 外部 摘要: CVE-2020-7251 URL: https://www.cve.org/CVERecord?id=CVE-2020-7251 发布者 类别: 协调员 联系详情: central@cisa.dhs.gov 名称: CISA 命名空间: https://www.cisa.gov/

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

Ependorf BioFlo 320控制器VNC未授权访问漏洞(CVSS 9.8)修复指南

同源更多文章

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

Ependorf BioFlo 320控制器VNC未授权访问漏洞(CVSS 9.8)修复指南

同源更多文章

目标达成感谢每一位支持者 — 我们达成了 100% 目标！