11月14日��,美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布了一系列關(guān)于工業(yè)控制系統(tǒng)(ICS)安全的新公告��,揭示了包括羅克韋爾自動(dòng)化��、西門子在內(nèi)的多家工控巨頭產(chǎn)品中存在的嚴(yán)重漏洞。這些漏洞若被惡意利用���,將對(duì)全球制造業(yè)的安全運(yùn)行構(gòu)成重大威脅�����。CISA緊急敦促相關(guān)制造公司采取必要的緩解措施���,以降低潛在風(fēng)險(xiǎn)�。
羅克韋爾自動(dòng)化系統(tǒng)漏洞詳解
1. FactoryTalk View ME存在遠(yuǎn)程代碼執(zhí)行漏洞
CISA在公告中特別指出了影響羅克韋爾自動(dòng)化FactoryTalk View ME的關(guān)鍵漏洞:CVE-2024-37365���。FactoryTalk View ME 中存在遠(yuǎn)程代碼執(zhí)行漏洞�����。該漏洞允許用戶在公共目錄中保存項(xiàng)目��,從而允許任何具有本地訪問權(quán)限的人修改和(或)刪除文件。此外���,惡意用戶可能會(huì)利用此漏洞通過更改宏來執(zhí)行任意代碼����,從而提升其權(quán)限��。該漏洞的攻擊利用復(fù)雜度低,CVSS評(píng)分為7.3��,顯示出極高的安全風(fēng)險(xiǎn)��。
2. FactoryTalk Updater漏洞
此外�,CISA還針對(duì)羅克韋爾自動(dòng)化的FactoryTalk的更新程序發(fā)布了安全建議。關(guān)鍵漏洞編號(hào):CVE-2024-10943�����、CVE-2024-10944和CVE-2024-10945����。第一個(gè)漏洞由于賬戶之間共享機(jī)密,因此存在身份驗(yàn)證繞過漏洞����,如果威脅行為者能夠枚舉身份驗(yàn)證期間所需的其他信息,則該漏洞可能允許威脅行為者冒充用戶�。第二個(gè)漏洞由于受影響的產(chǎn)品中存在遠(yuǎn)程代碼執(zhí)行漏洞��,該漏洞需要高級(jí)別權(quán)限�����,并且由于輸入驗(yàn)證不當(dāng)而存在�����,從而可能部署惡意更新的代理����。第三個(gè)漏洞由于安裝前未能執(zhí)行適當(dāng)?shù)陌踩珯z查而存在,需要本地低特權(quán)威脅行為者在更新期間替換某些文件���。這三個(gè)漏洞的CVSS 評(píng)分分別為9.1�����、8.4�、7.3��,表明其具有較高的利用風(fēng)險(xiǎn)�����。
西門子漏洞詳解
1. SIMATIC CP存在授權(quán)錯(cuò)誤漏洞
由于受影響的設(shè)備無法正確處理授權(quán)�,可能允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者訪問文件系統(tǒng)��。該漏洞允許遠(yuǎn)程利用,攻擊復(fù)雜度低�����。漏洞編號(hào)為CVE-2024-50310���,CVSS評(píng)分為7.5���。
2. SCALANCE M-800 系列漏洞
SCALANCE M-800 系列的多個(gè)產(chǎn)品存在輸入驗(yàn)證不當(dāng)、路徑遍歷���、跨站腳本�、遠(yuǎn)程注入等多個(gè)可遠(yuǎn)程利用����、攻擊復(fù)雜度低的漏洞���。
輸入驗(yàn)證不當(dāng):受影響的設(shè)備在通過 SSH 或 Telnet 訪問時(shí)會(huì)截?cái)嚅L度超過 15 個(gè)字符的用戶名�����。這可能使攻擊者破壞系統(tǒng)完整性�。該漏洞編號(hào)為CVE-2024-50560��,CVSS評(píng)分為2.3����。
路徑遍歷:受影響的設(shè)備無法正確驗(yàn)證證書的文件名。這可能允許經(jīng)過身份驗(yàn)證的遠(yuǎn)程攻擊者附加任意值��,從而導(dǎo)致系統(tǒng)完整性受損����。該漏洞編號(hào)為CVE-2024-50559,CVSS評(píng)分為5.1�。
跨站腳本:受影響的設(shè)備在上傳前未正確清理文件名�。這可能使經(jīng)過身份驗(yàn)證的遠(yuǎn)程攻擊者破壞系統(tǒng)的完整性。該漏洞編號(hào)為CVE-2024-50561��,CVSS評(píng)分為5.1���。
遠(yuǎn)程注入:受影響的設(shè)備未正確清理輸入字段���。這可能允許經(jīng)過身份驗(yàn)證且具有管理權(quán)限的遠(yuǎn)程攻擊者注入代碼或生成系統(tǒng) root shell。該漏洞編號(hào)為CVE-2024-50572,CVSS評(píng)分為8.6��。
其他工控巨頭漏洞匯總
1. 日立能源TRO600系列漏洞
TRO600系列存在命令注入���、在存儲(chǔ)或傳輸之前不當(dāng)刪除敏感信息的漏洞���。漏洞編號(hào)分別為:CVE-2024-41153和CVE-2024-41156���。前者��,TRO600 系列無線電的邊緣計(jì)算 UI 中存在命令注入漏洞�,允許執(zhí)行任意系統(tǒng)命令���。如果被利用�,具有 Web UI 寫權(quán)限的攻擊者可以以 root 權(quán)限在設(shè)備上執(zhí)行命令�����。后者����,由于配置文件以純文本和加密文件格式提取�����。配置文件為潛在攻擊者提供了有關(guān) Tropos網(wǎng)絡(luò)的配置信息。只有經(jīng)過身份驗(yàn)證且具有寫權(quán)限的用戶才能導(dǎo)出配置文件���。
2. 臺(tái)達(dá)電子 DIAScreen漏洞
DIAScreen存在基于堆棧的緩沖區(qū)溢出漏洞,如果攻擊者誘騙有效用戶使用包含惡意代碼的文件運(yùn)行 Delta Electronics DIAScreen����,則可以利用基于堆棧的緩沖區(qū)溢出,從而允許攻擊者遠(yuǎn)程執(zhí)行任意代碼�。該漏洞編號(hào)為CVE-2024-47131,CVSS評(píng)分為8.3�,該漏洞攻擊利用復(fù)雜度低。
CISA緩解建議與行動(dòng)呼吁
針對(duì)上述漏洞��,CISA提供了詳細(xì)的技術(shù)指導(dǎo)�,并敦促用戶和管理員采取以下措施以降低風(fēng)險(xiǎn):
1. 盡量減少所有控制系統(tǒng)設(shè)備和(或)系統(tǒng)的網(wǎng)絡(luò)暴露,確保它們不能通過互聯(lián)網(wǎng)訪問�����。
2.將控制系統(tǒng)網(wǎng)絡(luò)和遠(yuǎn)程設(shè)備置于防火墻后面�,并將其與業(yè)務(wù)網(wǎng)絡(luò)隔離。
3.當(dāng)需要遠(yuǎn)程訪問時(shí)���,請(qǐng)使用更安全的方法���,例如虛擬專用網(wǎng)絡(luò) (VPN)。請(qǐng)注意 VPN 可能存在漏洞����,應(yīng)更新到最新版本,并且其安全性取決于所連接的設(shè)備�。
引用鏈接
[1]https://www.cisa.gov/news-events/ics-advisories/icsa-24-317-03
[2]https://www.cisa.gov/news-events/ics-advisories/icsa-24-319-14
[3]https://www.cisa.gov/news-events/ics-advisories/icsa-24-319-06
[4]https://www.cisa.gov/news-events/ics-advisories/icsa-24-319-11
[5]https://www.cisa.gov/news-events/ics-advisories/icsa-24-317-02
[6]https://www.cisa.gov/news-events/ics-advisories/icsa-24-312-02
