三菱電機(jī) PLC 曝出多個(gè)嚴(yán)重安全漏洞
2022年12月06日
美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 在上周發(fā)布了一份工業(yè)控制系統(tǒng) (ICS) 咨詢,對(duì)三菱電機(jī) GX Works3 工程軟件存在的多個(gè)漏洞發(fā)出了安全警告��。
GX Works3是一種用于 ICS 環(huán)境的工程軟件�����,能夠從控制器上傳和下載程序�、排除軟硬件故障以及執(zhí)行相應(yīng)的操作維護(hù)。由于功能廣泛����,使得該軟件平臺(tái)成為攻擊者的一個(gè)強(qiáng)有力的”集火“目標(biāo)����,攻擊者希望破壞此類系統(tǒng)以控制受管理的 PLC。
在CISA揭露的10個(gè)缺陷中�����,有 3 個(gè)涉及敏感數(shù)據(jù)的明文存儲(chǔ)���,4 個(gè)涉及使用硬編碼加密密鑰�����,2 個(gè)涉及使用硬編碼密碼���,1 個(gè)涉及憑證保護(hù)不足�。最嚴(yán)重的漏洞CVE-2022-25164和CVE-2022-29830的 CVSS 評(píng)分高達(dá) 9.1���,可在無(wú)需任何權(quán)限的情況下被濫用���,以獲取對(duì) CPU 模塊的訪問(wèn)權(quán)限并獲取有關(guān)項(xiàng)目文件的信息。
三菱表示���,工程軟件是工業(yè)控制器安全鏈中的一個(gè)關(guān)鍵組成部分�����,如果其中出現(xiàn)任何漏洞����,對(duì)手可能會(huì)濫用它們最終危及托管設(shè)備��,從而危及受監(jiān)管的工業(yè)過(guò)程���。
CISA也提到了一個(gè)CVSS 評(píng)分為8.6的MELSEC iQ-R 系列中的拒絕服務(wù) (DoS) 漏洞信息����,并指出由于缺乏適當(dāng)?shù)妮斎腧?yàn)證,成功利用此漏洞可能允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者通過(guò)發(fā)送特制數(shù)據(jù)包�,在目標(biāo)產(chǎn)品上造成拒絕服務(wù)。
緩解措施
三菱已經(jīng)宣布相關(guān)補(bǔ)丁將在不久之后發(fā)布��,在此之前建議應(yīng)用以下緩解措施:
盡可能限制不受信任方訪問(wèn)安全 CPU 項(xiàng)目文件�����;
在傳輸和靜止時(shí)充分保護(hù)安全 CPU 項(xiàng)目文件(例如通過(guò)加密)����;
更改安全 CPU 模塊上設(shè)置的所有弱密碼�����;
切勿重復(fù)使用相同的憑據(jù)打開(kāi)安全 CPU 項(xiàng)目文件和訪問(wèn)安全 CPU 模塊���。
來(lái)源: FreeBuf.COM
