Siemens SIMATIC HMI MiniWeb /FormLogin 默认口令漏洞

影响产品：SIEMENS-SIMATIC-HMI CVSS：8.1 漏洞类型：默认口令 漏洞描述： SIMATIC HMI（人机界面）是德国西门子（Siemens）公司开发的工业自动化触摸屏面板产品系列，为工业自动化系统提供操作员交互、过程可视化与控制功能。该产品内置MiniWeb轻量级Web服务器，支持通过浏览器远程监控和配置HMI面板，广泛应用于制造、流程工业、能源和基础设施等领域的工业过程监控与控制场景。Siemens SIMATIC HMI MiniWeb的 /FormLogin 接口存在默认口令漏洞，攻击者可利用预设的管理员账号和密码直接登录系统，远程监控和操控工业人机界面面板。 影响： 攻击者可利用默认凭据直接登录Siemens SIMATIC HMI MiniWeb系统，远程监控和操控工业人机界面面板，修改工业过程参数，可能导致生产事故、设备损坏或停机，严重威胁工业控制系统（OT）安全。 修复建议： 1、修改默认口令，密码最好包含大小写字母、数字和特殊字符等，且位数大于8位。2、禁止公网暴露HMI面板的Web管理接口。3、通过网络隔离和防火墙策略限制HMI面板的访问来源。4、启用双因素认证增强账户安全性。 FOFA： title="Miniweb Start Page"