美國網(wǎng)絡安全和基礎設施安全局(CISA)上周發(fā)布了一份工業(yè)控制系統(tǒng)(ICS)咨詢報告,警告三菱電機GX Works3工程軟件存在多個漏洞。如果成功利用這些漏洞可使未經(jīng)授權的用戶獲得對MELSEC iQ-R/F/L系列CPU模塊和MELSEC iQ-R系列OPC UA服務器模塊的訪問權,或查看和執(zhí)行程序。
GX Works3是ICS環(huán)境中使用的工程工作站軟件,作為從控制器上傳和下載程序的機制,排除軟件和硬件問題,并執(zhí)行維護操作。廣泛的功能也使該平臺成為希望破壞此類系統(tǒng)以控制被管理的PLC的威脅者的誘人目標。
10個缺陷中有3個與敏感數(shù)據(jù)的明文存儲有關,4個與使用硬編碼的加密密鑰有關,2個與使用硬編碼的密碼有關,1個涉及保護不足的憑證情況。
其中最關鍵的漏洞CVE-2022-25164和CVE-2022-29830的CVSS評分為9.1,可以被濫用,以獲得對CPU模塊的訪問,并獲得項目文件的信息,而不需要任何權限。
發(fā)現(xiàn)CVE-2022-29831(CVSS評分:7.5)的Nozomi Networks表示,能夠訪問安全PLC項目文件的攻擊者可以利用硬編碼密碼直接訪問安全CPU模塊,并可能破壞工業(yè)流程。
報告指出:“工程軟件是工業(yè)控制器安全鏈中的一個重要組成部分,如果其中出現(xiàn)任何漏洞,對手可能會濫用這些漏洞,最終破壞所管理的設備,從而破壞受監(jiān)督的工業(yè)流程。"
CISA披露了三菱電機MELSEC iQ-R系列的拒絕服務(DoS)漏洞的細節(jié),該漏洞源于缺乏適當?shù)妮斎腧炞C(CVE-2022-40265,CVSS評分:8.6)。
CISA指出:"成功利用這個漏洞可以使遠程未認證的攻擊者通過發(fā)送特制的數(shù)據(jù)包在目標產(chǎn)品上造成拒絕服務的情況。
在一個相關的發(fā)展中,網(wǎng)絡安全機構進一步概述了影響霍納自動化公司的遠程緊湊型控制器(RCC)972的三個問題,其中最關鍵的問題(CVE-2022-2641,CVSS評分:9.8)可能導致遠程代碼執(zhí)行或引起DoS條件。
網(wǎng)站客服
粵公網(wǎng)安備 44030402000946號