(相關(guān)資料圖)
美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)上周發(fā)布了一份工業(yè)控制系統(tǒng)(ICS)咨詢報(bào)告�,警告三菱電機(jī)GX Works3工程軟件存在多個(gè)漏洞����。如果成功利用這些漏洞可使未經(jīng)授權(quán)的用戶獲得對(duì)MELSEC iQ-R/F/L系列CPU模塊和MELSEC iQ-R系列OPC UA服務(wù)器模塊的訪問(wèn)權(quán),或查看和執(zhí)行程序�����。
GX Works3是ICS環(huán)境中使用的工程工作站軟件��,作為從控制器上傳和下載程序的機(jī)制���,排除軟件和硬件問(wèn)題�,并執(zhí)行維護(hù)操作���。廣泛的功能也使該平臺(tái)成為希望破壞此類(lèi)系統(tǒng)以控制被管理的PLC的威脅者的誘人目標(biāo)�����。
10個(gè)缺陷中有3個(gè)與敏感數(shù)據(jù)的明文存儲(chǔ)有關(guān)����,4個(gè)與使用硬編碼的加密密鑰有關(guān)���,2個(gè)與使用硬編碼的密碼有關(guān)�,1個(gè)涉及保護(hù)不足的憑證情況。
其中最關(guān)鍵的漏洞CVE-2022-25164和CVE-2022-29830的CVSS評(píng)分為9.1���,可以被濫用��,以獲得對(duì)CPU模塊的訪問(wèn)�����,并獲得項(xiàng)目文件的信息,而不需要任何權(quán)限�。
發(fā)現(xiàn)CVE-2022-29831(CVSS評(píng)分:7.5)的Nozomi Networks表示���,能夠訪問(wèn)安全PLC項(xiàng)目文件的攻擊者可以利用硬編碼密碼直接訪問(wèn)安全CPU模塊�����,并可能破壞工業(yè)流程。
報(bào)告指出:“工程軟件是工業(yè)控制器安全鏈中的一個(gè)重要組成部分�,如果其中出現(xiàn)任何漏洞���,對(duì)手可能會(huì)濫用這些漏洞�����,最終破壞所管理的設(shè)備,從而破壞受監(jiān)督的工業(yè)流程�。"
CISA披露了三菱電機(jī)MELSEC iQ-R系列的拒絕服務(wù)(DoS)漏洞的細(xì)節(jié)�����,該漏洞源于缺乏適當(dāng)?shù)妮斎腧?yàn)證(CVE-2022-40265,CVSS評(píng)分:8.6)����。
CISA指出:"成功利用這個(gè)漏洞可以使遠(yuǎn)程未認(rèn)證的攻擊者通過(guò)發(fā)送特制的數(shù)據(jù)包在目標(biāo)產(chǎn)品上造成拒絕服務(wù)的情況����。
在一個(gè)相關(guān)的發(fā)展中���,網(wǎng)絡(luò)安全機(jī)構(gòu)進(jìn)一步概述了影響霍納自動(dòng)化公司的遠(yuǎn)程緊湊型控制器(RCC)972的三個(gè)問(wèn)題�,其中最關(guān)鍵的問(wèn)題(CVE-2022-2641����,CVSS評(píng)分:9.8)可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行或引起DoS條件。
