傳動網 > 新聞頻道 > 企業動態 > 資訊詳情

施耐德PLC編程軟件曝高危漏洞 允許黑客發起遠程網絡攻擊

時間:2018-05-31

來源:施耐德電氣(中國)有限公司

導語:全球能效管理領域的領導者施耐德電氣(Schneider Electric)在上周二針對存在于SoMachine Basic編程軟件中的一個高危漏洞發布了修復程序,該漏洞可以被遠程利用以獲取敏感數據。

全球能效管理領域的領導者施耐德電氣(SchneiderElectric)在上周二針對存在于SoMachineBasic編程軟件中的一個高危漏洞發布了修復程序,該漏洞可以被遠程利用以獲取敏感數據。

SoMachineBasic,也被稱為EcoStruxureMachineExpert,是一款輕量級的編程軟件,專為施耐德ModiconM221可編程邏輯控制器(ProgrammableLogicController,PLC)而設計,用于開發PLC的程序代碼。

工業網絡安全公司AppliedRisk的研究員GjokoKrstic最近發現,SoMachineBasic1.6.0build61653和SoMachineBasic1.5.5SP1build60148,并且很有可能所有的早期版本都受一個XML外部實體注入(XXE)漏洞的影響,該漏洞可被利用來發起帶外數據(OutofBand,OOB)攻擊。

這個漏洞被追蹤為CVE-2018-7783,CVSSV3評分8.6,屬于一個高危漏洞。該漏洞可被未經身份驗證的遠程攻擊者利用來讀取目標系統上的任意文件,而這些文件可能包含敏感信息,如密碼、用戶數據和有關系統的詳細信息。

Krstic指出,想要利用這個漏洞,攻擊者必須誘騙受害者以打開特制的SoMachineBasic項目或模板文件。另外,在某些情況下,這個漏洞也可能被利用來執行任意代碼并導致目標系統進入拒絕服務(DoS)狀態。

目前,施耐德電氣已經通過發布SoMachineBasicv1.6SP1對這個漏洞進行了修復,并建議用戶盡快下載修補程序或使用SchneiderElectric軟件更新工具進行更新。

中傳動網版權與免責聲明:

凡本網注明[來源:中國傳動網]的所有文字、圖片、音視和視頻文件,版權均為中國傳動網(www.hysjfh.com)獨家所有。如需轉載請與0755-82949061聯系。任何媒體、網站或個人轉載使用時須注明來源“中國傳動網”,違反者本網將追究其法律責任。

本網轉載并注明其他來源的稿件,均來自互聯網或業內投稿人士,版權屬于原版權人。轉載請保留稿件來源及作者,禁止擅自篡改,違者自負版權法律責任。

如涉及作品內容、版權等問題,請在作品發表之日起一周內與本網聯系,否則視為放棄相關權利。

關注伺服與運動控制公眾號獲取更多資訊

關注直驅與傳動公眾號獲取更多資訊

關注中國傳動網公眾號獲取更多資訊

最新新聞
查看更多資訊

熱搜詞
  • 運動控制
  • 伺服系統
  • 機器視覺
  • 機械傳動
  • 編碼器
  • 直驅系統
  • 工業電源
  • 電力電子
  • 工業互聯
  • 高壓變頻器
  • 中低壓變頻器
  • 傳感器
  • 人機界面
  • PLC
  • 電氣聯接
  • 工業機器人
  • 低壓電器
  • 機柜
回頂部
點贊 0
取消 0