一、引言全球工业心脏的致命裂痕2026年4月26日工业网络安全领域的权威研究机构Nozomi Networks Labs发布了一份震撼业界的安全报告详细披露了全球最主流的软PLC平台CODESYS Control运行时中存在的三个高危安全漏洞。当这三个看似独立的漏洞被攻击者巧妙地串联利用时一个仅持有最低级别服务权限凭证的攻击者就能在不破坏原有工业控制逻辑的前提下悄无声息地将合法的PLC应用替换为植入了持久化后门的恶意版本并最终获得对设备及其宿主操作系统的完整ROOT权限控制。这一发现再次敲响了工业控制系统OT安全的警钟。与传统IT系统不同工业控制系统直接管理着物理世界的运转——从水处理厂的阀门控制到能源电网的电力调度从汽车制造的自动化流水线到轨道交通的信号系统。一旦这些系统被恶意控制后果将不再局限于数据泄露或服务中断而是可能引发设备损毁、环境污染甚至人员伤亡的灾难性事故。本文将从技术原理、攻击流程、实际危害、防护策略等多个维度对此次CODESYS漏洞链事件进行全面深入的解析并探讨其对未来工业互联网安全发展的深远影响。二、CODESYS全球工业自动化的隐形基石在深入分析漏洞之前我们有必要先了解一下CODESYS平台在现代工业体系中的核心地位。2.1 什么是CODESYSCODESYSController Development System是由德国3S-Smart Software Solutions公司开发的一款符合IEC 61131-3国际标准的工业控制器开发与运行平台。它最大的创新在于提出了软PLCSoft PLC的概念——即不再需要专用的硬件PLC设备而是通过在普通的工业计算机、嵌入式系统甚至树莓派等通用硬件上运行CODESYS Control运行时软件就能实现与传统硬件PLC完全相同的实时控制功能。这种架构极大地降低了工业自动化的成本提高了系统的灵活性和可扩展性。工程师可以使用统一的开发环境编写梯形图、功能块图、结构化文本等五种标准编程语言的控制逻辑然后下载到任何支持CODESYS运行时的设备上运行无需针对不同厂商的硬件重新学习和开发。2.2 无处不在的CODESYS经过二十多年的发展CODESYS已经成为全球工业自动化领域事实上的标准平台。据官方数据显示目前全球有超过500家设备制造商在其产品中集成了CODESYS运行时覆盖了1000多种不同类型的工业设备运行在全球数百万台工业控制器上。CODESYS的应用领域几乎涵盖了所有现代工业部门能源行业发电厂、变电站、智能电网水处理自来水厂、污水处理厂、泵站制造业汽车制造、机械加工、电子组装交通运输轨道交通、港口机械、机场设备石油化工炼油厂、化工厂、油气管道建筑与基础设施智能楼宇、电梯控制、暖通空调可以毫不夸张地说CODESYS已经成为了全球工业体系的隐形心脏。它的安全与否直接关系到国家关键基础设施的安全运行和社会经济的稳定发展。三、漏洞链技术深度解析此次Nozomi Networks Labs披露的三个漏洞分别是CVE-2025-41658、CVE-2025-41659和CVE-2025-41660。单独来看这三个漏洞的危害程度各不相同其中CVE-2025-41658甚至只是一个中危漏洞。但当它们被组合在一起时就形成了一条威力巨大的攻击链能够让攻击者从最低权限一路升级到系统最高权限。3.1 漏洞一CVE-2025-41658CVSS 5.5中危——默认权限错误导致密码哈希泄露漏洞原理CODESYS Control运行时在安装时对存储用户密码哈希的敏感文件设置了不正确的默认文件权限。这导致任何拥有本地操作系统普通用户权限的用户都能够读取这些包含密码哈希的文件。技术细节在Linux系统上CODESYS运行时通常以root用户身份运行以获得对硬件设备的完全控制权限。然而其创建的一些配置文件和数据文件却继承了过于宽松的默认权限如644权限允许所有本地用户读取。其中就包括存储了所有CODESYS用户密码哈希的文件。攻击者一旦获取了这些密码哈希就可以使用Hashcat等工具进行离线暴力破解。由于很多工业环境中仍然使用弱密码或默认密码攻击者往往能够在很短的时间内破解出有效的用户凭证。影响范围所有在操作系统层面提供本地用户访问接口如SSH、本地控制台的CODESYS设备都受到此漏洞影响。这包括绝大多数基于Linux的CODESYS软PLC设备如CODESYS Control for Raspberry Pi SL、CODESYS Control for Linux SL等。3.2 漏洞二CVE-2025-41659CVSS 8.3高危——权限配置错误导致加密密钥泄露漏洞原理与CVE-2025-41658类似CODESYS Control运行时对存储设备内部加密密钥和签名密钥的PKI公钥基础设施文件夹也设置了不正确的权限。这使得拥有低级别CODESYS服务权限的远程用户能够通过CODESYS通信协议访问并读取这些敏感的加密材料。技术细节为了保护PLC应用程序的知识产权和防止篡改CODESYS提供了代码加密和数字签名功能。这些功能依赖于存储在设备本地的加密密钥和签名密钥。正常情况下只有拥有最高管理员权限的用户才能访问这些密钥。然而由于权限配置错误即使是最低级别的Service用户也能够通过CODESYS协议中的文件传输功能下载PKI文件夹中的所有文件包括私钥文件。攻击者一旦获取了这些密钥就能够解密任何使用该设备密钥加密的PLC应用程序伪造合法的数字签名绕过应用程序的完整性验证生成自己的证书并将其添加到设备的信任证书列表中这一漏洞彻底瓦解了CODESYS平台原本设计的安全防护体系为后续的应用程序篡改铺平了道路。3.3 漏洞三CVE-2025-41660CVSS 8.8高危——备份恢复机制校验不足导致远程代码执行漏洞原理CODESYS Control运行时的备份恢复功能存在严重的逻辑缺陷。当用户上传一个备份文件并执行恢复操作时系统仅对备份文件进行了简单的CRC32校验而没有进行强制性的数字签名验证。这使得攻击者能够上传经过篡改的备份文件并将其中的恶意启动应用程序Boot Application替换到设备上。技术细节CODESYS的备份功能会将当前设备上的所有应用程序、配置参数和用户数据打包成一个ZIP格式的备份文件。恢复功能则会将备份文件中的内容解压并覆盖到设备的相应位置。问题在于系统在恢复过程中只检查了ZIP文件的CRC32校验和是否正确而没有验证备份文件的数字签名。即使管理员已经开启了代码签名功能系统在恢复备份时也不会对其中的应用程序进行签名验证。CRC32是一种非常弱的校验算法攻击者可以轻松地修改备份文件中的内容并重新计算出正确的CRC32校验和使系统认为这是一个合法的备份文件。更严重的是低权限的Service用户默认拥有执行备份和恢复操作的权限。这意味着攻击者在获取了服务级别的凭证后就能够利用这一漏洞将恶意应用程序部署到设备上。四、完整攻击链复现从低权限到ROOT的六步绝杀现在让我们将这三个漏洞串联起来完整复现攻击者是如何一步步获取对CODESYS设备的完全控制权的。步骤1初始接入与凭证获取攻击的第一步是获取一个有效的CODESYS用户凭证。攻击者可以通过多种方式实现这一目标利用CVE-2025-41658漏洞通过本地普通用户读取密码哈希并离线破解利用社会工程学手段欺骗运维人员泄露密码利用其他漏洞或弱口令入侵工程工作站并窃取存储的凭证尝试使用工业环境中常见的默认密码进行暴力破解无论采用哪种方式攻击者最终只需要获得一个最低级别的Service用户凭证就能够继续后续的攻击步骤。步骤2下载当前应用备份攻击者使用获取到的服务级凭证通过CODESYS通信协议连接到目标PLC。然后利用CODESYS的备份功能下载当前设备上的启动应用程序备份。这个备份文件是一个ZIP包包含了编译后的PLC应用程序二进制文件和相关的配置文件。步骤3提取设备加密密钥攻击者利用CVE-2025-41659漏洞通过CODESYS协议访问设备的PKI文件夹下载所有的加密密钥和证书文件。有了这些密钥攻击者就能够解密备份文件中的应用程序二进制代码并对其进行修改。步骤4植入后门并重新打包攻击者将解密后的PLC应用程序二进制文件加载到反汇编工具中在不影响原有控制逻辑的前提下注入恶意代码。常见的恶意代码包括反向Shell允许攻击者远程连接到设备并执行命令权限提升代码将进程权限提升至root级别持久化机制确保后门在设备重启后仍然能够运行数据窃取模块收集传感器数据和生产信息并发送到攻击者服务器破坏功能在特定条件下触发如关闭阀门、停止电机等注入完成后攻击者重新编译应用程序使用窃取到的签名密钥对其进行签名如果开启了代码签名功能然后重新打包成ZIP格式的备份文件并计算正确的CRC32校验和。步骤5上传恶意备份并恢复攻击者利用CVE-2025-41660漏洞将修改后的恶意备份文件上传到目标PLC并执行恢复操作。系统会将恶意备份文件中的内容解压并覆盖到设备的相应位置替换掉原来的合法启动应用程序。步骤6等待重启并获得ROOT权限虽然服务级用户没有直接重启PLC的权限但攻击者只需要耐心等待。工业设备通常会定期进行例行维护重启或者由于其他原因如电源故障、软件更新而重启。当PLC重启时系统会自动加载被替换的恶意启动应用程序。由于CODESYS运行时通常以root用户身份运行注入的恶意代码也会获得root权限执行。此时攻击者就获得了对目标设备及其宿主操作系统的完全控制权。整个攻击过程非常隐蔽不会对正常的工业生产造成任何明显的影响。攻击者可以在后台长期潜伏收集情报等待合适的时机发起破坏性攻击。五、核心危害与潜在攻击场景此次CODESYS漏洞链的危害程度远超普通的工控漏洞。它不仅能够让攻击者完全控制单个PLC设备还可能成为渗透整个工业网络的跳板引发系统性的安全风险。5.1 核心危害特点1. 持久化控制后门程序随PLC启动自动运行即使设备重启也不会消失。而且由于后门是注入到合法的应用程序中的常规的应用程序更新或重装可能无法彻底清除。2. 权限直达ROOT攻击者能够直接获得操作系统的最高root权限这意味着他们可以修改系统配置安装恶意软件访问所有文件和数据控制所有硬件设备清除系统日志掩盖攻击痕迹3. 隐蔽性极强攻击过程不会破坏原有工业控制逻辑的正常运行。在攻击者主动发起破坏之前设备的所有功能看起来都是正常的。常规的工业监控系统很难发现这种隐蔽的后门植入攻击。4. 横向移动跳板被攻陷的PLC设备可以成为攻击者渗透工业内网其他系统的跳板。攻击者可以利用root权限在设备上安装扫描工具和攻击工具探测内网中的其他PLC、HMI、SCADA服务器和工程工作站并利用它们的漏洞进行进一步的攻击。5.2 潜在攻击场景场景一生产中断攻击攻击者在获得控制权后可以在特定时间如订单高峰期、重要客户参观时突然修改控制逻辑停止生产线运行或者让设备产生不合格的产品给企业造成巨大的经济损失。场景二物理破坏攻击这是最危险的攻击场景。攻击者可以篡改传感器读数绕过安全联锁保护让设备在超出安全参数的条件下运行。例如在化工厂中打开错误的阀门在发电厂中提高锅炉温度在水处理厂中关闭消毒系统。这些操作可能导致设备损毁、有毒物质泄漏、爆炸等灾难性事故。场景三数据窃取与工业间谍攻击者可以长期潜伏在系统中收集敏感的生产数据、工艺参数、产品配方和设计图纸。这些数据可以被出售给竞争对手或者用于制定更有针对性的后续攻击计划。场景四勒索软件攻击攻击者可以加密PLC中的应用程序和配置文件然后向企业索要赎金。与传统IT系统的勒索软件不同工控系统的勒索软件攻击会直接导致生产停摆企业往往面临更大的压力不得不支付赎金。场景五供应链攻击如果攻击者能够入侵设备制造商的开发环境他们可以在设备出厂前就将后门植入到CODESYS应用程序中。这样所有使用该制造商设备的客户都会受到影响形成大规模的供应链攻击。六、厂商响应与架构性变革在收到Nozomi Networks Labs的漏洞报告后CODESYS Group迅速做出了响应。他们不仅发布了针对这三个漏洞的安全补丁还对CODESYS平台的安全架构进行了重大调整这在工业软件领域是非常罕见的。6.1 安全补丁发布CODESYS Group于2026年4月发布了安全更新修复了这三个漏洞CODESYS Control Runtime升级至4.21.0.0及以上版本CODESYS Runtime Toolkit升级至3.5.22.0及以上版本补丁主要做了以下改进修正了敏感文件的默认权限设置限制只有管理员用户才能访问加强了对PKI文件夹的访问控制禁止低权限用户读取加密密钥改进了备份恢复机制增加了对备份文件的数字签名验证6.2 架构性变革强制代码签名比补丁更重要的是CODESYS Group宣布从新版本开始将代码签名设置为所有PLC代码部署或执行前的强制默认要求而不再是可选项。这是一个具有里程碑意义的决定。在此之前出于兼容性和易用性的考虑大多数工业控制平台都将代码签名作为可选功能。很多企业为了方便开发和维护并没有开启这一功能。强制代码签名意味着即使攻击者能够利用其他漏洞上传恶意应用程序没有使用受信任的私钥签名的代码也无法在设备上运行。这相当于在执行环节设置了一道不可逾越的最后防线能够有效阻止绝大多数应用程序篡改攻击。当然这一变革也会给现有用户带来一些不便。他们需要重新签名所有的现有应用程序并建立完善的密钥管理体系。但从长远来看这是提升工业控制系统整体安全水平的必要步骤。七、全面防护策略从应急响应到纵深防御对于已经部署了CODESYS系统的企业来说仅仅安装补丁是不够的。他们需要建立一套多层次的纵深防御体系才能有效应对日益复杂的工控安全威胁。7.1 立即执行的应急措施1. 紧急安装安全补丁这是阻断此次攻击链最直接有效的方法。企业应立即评估所有CODESYS设备的版本制定详细的补丁升级计划。对于无法立即停机升级的关键设备应先采取临时的缓解措施。2. 全面排查与清理检查所有CODESYS用户账户删除不必要的账户禁用默认账户修改所有用户密码使用强密码策略检查设备上的应用程序哈希值与已知的合法版本进行比对检查系统日志寻找异常的备份、恢复和登录操作如发现被入侵迹象应立即隔离设备并进行全面的清理和重装3. 限制备份恢复操作在补丁安装完成之前应暂时禁用所有非必要的备份和恢复操作。如果必须进行备份恢复应严格执行双人确认制度并对备份文件进行严格的校验。7.2 中长期防护体系建设1. 强化身份与访问管理实施最小权限原则为每个用户分配完成其工作所需的最小权限启用多因素认证MFA特别是对于管理员账户和远程访问账户定期审计用户权限及时撤销不再需要的权限建立集中的身份认证系统统一管理所有工控设备的用户账户2. 启用所有安全功能开启代码签名和应用程序加密功能使用企业自己的私钥进行签名开启CODESYS通信加密TLS防止数据在传输过程中被窃听和篡改开启密码策略强制使用强密码并定期更换开启登录尝试限制防止暴力破解攻击3. 网络隔离与边界防护严格执行OT/IT网络隔离使用工业防火墙进行边界防护在工业网络内部进行进一步的网络分段将不同功能区域和不同安全级别的设备隔离开来限制PLC设备与互联网的直接连接所有远程访问都应通过VPN进行并进行严格的身份验证和授权禁止在工控网络中使用未经授权的无线设备4. 持续监控与威胁检测部署专业的工业入侵检测系统IDS和入侵防御系统IPS针对工控协议进行深度包检测建立安全运营中心SOC24小时监控工业网络的安全状况建立异常行为基线及时发现偏离正常行为的可疑活动定期进行漏洞扫描和渗透测试主动发现和修复安全漏洞5. 建立完善的应急响应机制制定详细的工控安全应急预案明确不同安全事件的响应流程和责任人定期进行应急演练提高团队的应急响应能力建立与设备供应商、安全厂商和政府部门的沟通协调机制定期备份关键数据和应用程序并确保备份数据的安全存储和快速恢复八、工控安全的未来趋势与挑战此次CODESYS漏洞链事件不仅是一次普通的安全漏洞披露更是对整个工业控制系统安全理念的一次深刻反思。它暴露了传统工控安全重功能、轻安全的积弊也预示着未来工控安全发展的几个重要趋势。8.1 从边界防护到零信任传统的工控安全主要依赖于边界防护即通过防火墙将工业网络与外部网络隔离开来。然而随着工业互联网的发展这种护城河式的防护模式已经越来越难以奏效。攻击者可以通过多种方式绕过边界防护如钓鱼邮件、移动介质、供应链攻击等。此次CODESYS漏洞链事件表明一旦攻击者突破了边界防护进入了工业网络内部他们几乎可以为所欲为。因此未来的工控安全必须向零信任架构转变即永不信任始终验证。无论访问请求来自内部还是外部都需要进行严格的身份验证和授权检查。8.2 从事后补救到安全左移长期以来工业控制系统的安全往往是在系统部署完成后才考虑的问题。安全措施通常是作为附加功能添加到现有系统中的这导致了很多安全漏洞和设计缺陷。未来的工控安全必须安全左移即将安全考虑融入到系统设计、开发、测试、部署的整个生命周期中。设备制造商应该在产品设计阶段就考虑安全问题采用安全的开发流程进行严格的安全测试。系统集成商和运营商也应该在项目初期就制定安全规划将安全要求作为项目验收的重要指标。8.3 从单点防护到体系化防御工业控制系统是一个复杂的系统任何单一的安全措施都无法提供全面的保护。此次CODESYS漏洞链事件就是一个很好的例子攻击者利用了权限管理、密钥管理、备份恢复等多个环节的缺陷形成了一条完整的攻击链。因此未来的工控安全必须建立体系化的纵深防御体系从物理安全、网络安全、主机安全、应用安全、数据安全等多个层面进行防护。各个安全措施之间应该相互配合形成互补即使某一个环节被突破其他环节仍然能够阻止攻击者的进一步行动。8.4 从被动防御到主动防御传统的工控安全主要是被动防御即等待漏洞被发现后再打补丁等待攻击发生后再进行响应。这种模式在面对日益复杂和隐蔽的攻击时往往显得力不从心。未来的工控安全必须向主动防御转变。企业应该主动收集威胁情报了解最新的攻击手段和漏洞信息主动进行漏洞扫描和渗透测试发现并修复潜在的安全隐患主动监控网络流量和系统行为及时发现和阻止正在进行的攻击主动进行安全培训提高员工的安全意识和技能。九、总结此次CODESYS三漏洞链式攻击事件给全球工业界敲响了警钟。它再次证明工业控制系统已经成为网络攻击的高价值目标而传统的安全防护手段已经无法应对日益复杂和专业的攻击。对于企业来说这次事件是一个宝贵的教训。他们应该以此为契机全面审视自己的工控安全状况立即采取必要的防护措施建立完善的纵深防御体系。同时他们也应该认识到工控安全不是一个一次性的项目而是一个持续的过程。只有不断地投入和改进才能在日益严峻的安全威胁面前保护好自己的工业资产。对于设备制造商来说这次事件是一个重要的提醒。他们应该将安全作为产品的核心竞争力而不是可有可无的附加功能。他们应该加强产品的安全设计采用安全的开发流程及时响应和修复安全漏洞为用户提供更加安全可靠的产品。对于整个行业来说这次事件是一个推动变革的契机。它将促使工业界更加重视工控安全问题推动相关标准和法规的制定和完善促进工控安全技术的发展和创新。只有政府、企业、安全厂商和研究机构共同努力才能构建一个安全、可靠、可持续发展的工业互联网生态系统。工业安全无小事。每一个漏洞的背后都可能隐藏着巨大的风险。只有时刻保持警惕不断提升安全防护能力才能确保我们的工业体系在数字化转型的浪潮中安全前行。