首页

解决方案

城市安全 工业安全

产品与服务

安全服务 产品体系

技术与支持

FAQ 资料文档

关于我们

公司简介 荣誉资质

新闻中心

公司动态 行业资讯 媒体关注

联系我们

联系方式 招贤纳士 <
新闻详情
威胁情报速递 | 罗克韦尔、西门子等工控巨头PLC等产品被曝严重漏洞
2024年11月27日

      11月14日,美国网络安全和基础设施安全局(CISA)发布了一系列关于工业控制系统(ICS)安全的新公告,揭示了包括罗克韦尔自动化、西门子在内的多家工控巨头产品中存在的严重漏洞。这些漏洞若被恶意利用,将对全球制造业的安全运行构成重大威胁。CISA紧急敦促相关制造公司采取必要的缓解措施,以降低潜在风险。


罗克韦尔自动化系统漏洞详解


1. FactoryTalk View ME存在远程代码执行漏洞


      CISA在公告中特别指出了影响罗克韦尔自动化FactoryTalk View ME的关键漏洞:CVE-2024-37365。FactoryTalk View ME 中存在远程代码执行漏洞。该漏洞允许用户在公共目录中保存项目,从而允许任何具有本地访问权限的人修改和(或)删除文件。此外,恶意用户可能会利用此漏洞通过更改宏来执行任意代码,从而提升其权限。该漏洞的攻击利用复杂度低,CVSS评分为7.3,显示出极高的安全风险。


2. FactoryTalk Updater漏洞


      此外,CISA还针对罗克韦尔自动化的FactoryTalk的更新程序发布了安全建议。关键漏洞编号:CVE-2024-10943、CVE-2024-10944和CVE-2024-10945。第一个漏洞由于账户之间共享机密,因此存在身份验证绕过漏洞,如果威胁行为者能够枚举身份验证期间所需的其他信息,则该漏洞可能允许威胁行为者冒充用户。第二个漏洞由于受影响的产品中存在远程代码执行漏洞,该漏洞需要高级别权限,并且由于输入验证不当而存在,从而可能部署恶意更新的代理。第三个漏洞由于安装前未能执行适当的安全检查而存在,需要本地低特权威胁行为者在更新期间替换某些文件。这三个漏洞的CVSS 评分分别为9.1、8.4、7.3,表明其具有较高的利用风险。


西门子漏洞详解


1. SIMATIC CP存在授权错误漏洞


      由于受影响的设备无法正确处理授权,可能允许未经身份验证的远程攻击者访问文件系统。该漏洞允许远程利用,攻击复杂度低。漏洞编号为CVE-2024-50310,CVSS评分为7.5。


2. SCALANCE M-800 系列漏洞


      SCALANCE M-800 系列的多个产品存在输入验证不当、路径遍历、跨站脚本、远程注入等多个可远程利用、攻击复杂度低的漏洞。


      输入验证不当:受影响的设备在通过 SSH 或 Telnet 访问时会截断长度超过 15 个字符的用户名。这可能使攻击者破坏系统完整性。该漏洞编号为CVE-2024-50560,CVSS评分为2.3。


      路径遍历:受影响的设备无法正确验证证书的文件名。这可能允许经过身份验证的远程攻击者附加任意值,从而导致系统完整性受损。该漏洞编号为CVE-2024-50559,CVSS评分为5.1。


      跨站脚本:受影响的设备在上传前未正确清理文件名。这可能使经过身份验证的远程攻击者破坏系统的完整性。该漏洞编号为CVE-2024-50561,CVSS评分为5.1。


      远程注入:受影响的设备未正确清理输入字段。这可能允许经过身份验证且具有管理权限的远程攻击者注入代码或生成系统 root shell。该漏洞编号为CVE-2024-50572,CVSS评分为8.6。


其他工控巨头漏洞汇总


1. 日立能源TRO600系列漏洞


      TRO600系列存在命令注入、在存储或传输之前不当删除敏感信息的漏洞。漏洞编号分别为:CVE-2024-41153和CVE-2024-41156。前者,TRO600 系列无线电的边缘计算 UI 中存在命令注入漏洞,允许执行任意系统命令。如果被利用,具有 Web UI 写权限的攻击者可以以 root 权限在设备上执行命令。后者,由于配置文件以纯文本和加密文件格式提取。配置文件为潜在攻击者提供了有关 Tropos网络的配置信息。只有经过身份验证且具有写权限的用户才能导出配置文件。


2. 台达电子 DIAScreen漏洞


      DIAScreen存在基于堆栈的缓冲区溢出漏洞,如果攻击者诱骗有效用户使用包含恶意代码的文件运行 Delta Electronics DIAScreen,则可以利用基于堆栈的缓冲区溢出,从而允许攻击者远程执行任意代码。该漏洞编号为CVE-2024-47131,CVSS评分为8.3,该漏洞攻击利用复杂度低。


CISA缓解建议与行动呼吁


      针对上述漏洞,CISA提供了详细的技术指导,并敦促用户和管理员采取以下措施以降低风险:


      1. 尽量减少所有控制系统设备和(或)系统的网络暴露,确保它们不能通过互联网访问。


      2.将控制系统网络和远程设备置于防火墙后面,并将其与业务网络隔离。


      3.当需要远程访问时,请使用更安全的方法,例如虚拟专用网络 (VPN)。请注意 VPN 可能存在漏洞,应更新到最新版本,并且其安全性取决于所连接的设备。


引用链接


[1]https://www.cisa.gov/news-events/ics-advisories/icsa-24-317-03

[2]https://www.cisa.gov/news-events/ics-advisories/icsa-24-319-14

[3]https://www.cisa.gov/news-events/ics-advisories/icsa-24-319-06

[4]https://www.cisa.gov/news-events/ics-advisories/icsa-24-319-11

[5]https://www.cisa.gov/news-events/ics-advisories/icsa-24-317-02

[6]https://www.cisa.gov/news-events/ics-advisories/icsa-24-312-02


返回