Siemens Desigo CC补丁文件被多安全引擎误报为恶意软件

资讯专家

西门子（Siemens）近日向客户发出通知，其 Desigo CC 楼宇管理系统的补丁文件被多家安全解决方案错误地标记为恶意软件。

Desigo CC 是一个用于集中监控和控制的开放平台，集成 HVAC、照明、安防、消防、电力等楼宇子系统。

据西门子官方披露，近期发现针对 Desigo CC 7 至 9 版本发布的补丁文件，在 VirusTotal 等测试中被多个防病毒引擎检测为恶意。初步分析认为，误报是由于补丁中包含的一个名为 'patchHelper' 的 PowerShell 脚本（被编译为可执行文件）导致的。该脚本执行文件系统操作、注册表修改并以提升权限运行，这些行为被安全引擎判定为可疑或恶意。

有趣的是，西门子表示该脚本内容数月未变，但直到最近才被标记为恶意。西门子已将所有相关文件与开发仓库进行手动对比，未发现任何差异或恶意修改，同时数字签名验证有效，无篡改迹象。

目前西门子正与多家安全软件厂商合作，以解决文件分类不准确的问题。值得注意的是，这并非西门子首次因第三方安全解决方案出现误报，去年该公司也曾就 Microsoft Defender 对其 Simatic PCS 产品的误报发出通知。

对于使用 Desigo CC 的运维人员，建议关注西门子官方公告，并在补丁更新后重新扫描确认，避免因误报而阻断正常补丁部署。

热心网友6

感谢楼主分享这个重要的资讯。误报确实挺头疼的，尤其是对于楼宇管理系统这种关键基础设施，补丁被误杀可能导致运维人员不敢部署，反而造成安全风险。西门子说脚本内容几个月没变过，最近才被标记，看来是安全厂商的规则更新触发了误判，希望他们能尽快协调解决。对于用Desigo CC的朋友，确实要像楼主说的，先关注官方公告，再结合手动确认签名等措施，别因为误报耽误了必要的安全更新。