傳動網 > 新聞頻道 > 行業資訊 > 資訊詳情

CISA發布警告:三菱電機軟件漏洞將導致PLC系統被黑

時間:2022-12-09

來源:

導語:美國網絡安全和基礎設施安全局(CISA)上周發布了一份工業控制系統(ICS)咨詢報告,警告三菱電機GX Works3工程軟件存在多個漏洞。如果成功利用這些漏洞可使未經授權的用戶獲得對MELSEC iQ-R/F/L系列CPU模塊和MELSEC iQ-R系列OPC UA服務器模塊的訪問權,或查看和執行程序。

美國網絡安全和基礎設施安全局(CISA)上周發布了一份工業控制系統(ICS)咨詢報告,警告三菱電機GX Works3工程軟件存在多個漏洞。如果成功利用這些漏洞可使未經授權的用戶獲得對MELSEC iQ-R/F/L系列CPU模塊和MELSEC iQ-R系列OPC UA服務器模塊的訪問權,或查看和執行程序。


GX Works3是ICS環境中使用的工程工作站軟件,作為從控制器上傳和下載程序的機制,排除軟件和硬件問題,并執行維護操作。廣泛的功能也使該平臺成為希望破壞此類系統以控制被管理的PLC的威脅者的誘人目標。


10個缺陷中有3個與敏感數據的明文存儲有關,4個與使用硬編碼的加密密鑰有關,2個與使用硬編碼的密碼有關,1個涉及保護不足的憑證情況。


其中最關鍵的漏洞CVE-2022-25164和CVE-2022-29830的CVSS評分為9.1,可以被濫用,以獲得對CPU模塊的訪問,并獲得項目文件的信息,而不需要任何權限。


發現CVE-2022-29831(CVSS評分:7.5)的Nozomi Networks表示,能夠訪問安全PLC項目文件的攻擊者可以利用硬編碼密碼直接訪問安全CPU模塊,并可能破壞工業流程。


報告指出:“工程軟件是工業控制器安全鏈中的一個重要組成部分,如果其中出現任何漏洞,對手可能會濫用這些漏洞,最終破壞所管理的設備,從而破壞受監督的工業流程。"


CISA披露了三菱電機MELSEC iQ-R系列的拒絕服務(DoS)漏洞的細節,該漏洞源于缺乏適當的輸入驗證(CVE-2022-40265,CVSS評分:8.6)。


00.jpg


CISA指出:"成功利用這個漏洞可以使遠程未認證的攻擊者通過發送特制的數據包在目標產品上造成拒絕服務的情況。


在一個相關的發展中,網絡安全機構進一步概述了影響霍納自動化公司的遠程緊湊型控制器(RCC)972的三個問題,其中最關鍵的問題(CVE-2022-2641,CVSS評分:9.8)可能導致遠程代碼執行或引起DoS條件。


中傳動網版權與免責聲明:

凡本網注明[來源:中國傳動網]的所有文字、圖片、音視和視頻文件,版權均為中國傳動網(www.hysjfh.com)獨家所有。如需轉載請與0755-82949061聯系。任何媒體、網站或個人轉載使用時須注明來源“中國傳動網”,違反者本網將追究其法律責任。

本網轉載并注明其他來源的稿件,均來自互聯網或業內投稿人士,版權屬于原版權人。轉載請保留稿件來源及作者,禁止擅自篡改,違者自負版權法律責任。

如涉及作品內容、版權等問題,請在作品發表之日起一周內與本網聯系,否則視為放棄相關權利。

關注伺服與運動控制公眾號獲取更多資訊

關注直驅與傳動公眾號獲取更多資訊

關注中國傳動網公眾號獲取更多資訊

最新新聞
查看更多資訊

熱搜詞
  • 運動控制
  • 伺服系統
  • 機器視覺
  • 機械傳動
  • 編碼器
  • 直驅系統
  • 工業電源
  • 電力電子
  • 工業互聯
  • 高壓變頻器
  • 中低壓變頻器
  • 傳感器
  • 人機界面
  • PLC
  • 電氣聯接
  • 工業機器人
  • 低壓電器
  • 機柜
回頂部
點贊 0
取消 0