CISA關(guān)于工業(yè)控制系統(tǒng)中嚴重安全漏洞的警報
2023年04月03日
CISA 于 2023 年 3 月 21 日發(fā)布了八項工業(yè)控制系統(tǒng) (ICS) 公告��。這些公告及時提供了有關(guān) ICS 的當前安全問題�����、漏洞和漏洞利用的信息����。
ICSA-23-080-01 Keysight N6854A 地理定位服務(wù)器和 N6841A 射頻傳感器
ICSA-23-080-02 Delta Electronics InfraSuite 設(shè)備主機
ICSA-23-080-03西門子 RUGGEDCOM APE1808 產(chǎn)品系列
ICSA-23-080-04 SIPROTEC 5 設(shè)備的西門子 RADIUS 客戶端
ICSA-23-080-05 VISAM VBASE自動化基地
ICSA-23-080-06羅克韋爾自動化 ThinManager
ICSA-23-080-07 Siemens SCALANCE 第三方
ICSA-21-343-01 Hitachi Energy GMS600、PWC600 和 Relion(更新 A)
包括 Delta Electronics 的實時設(shè)備監(jiān)控軟件 InfraSuite Device Master 中的 13 個安全漏洞��。1.0.5 之前的所有版本都受這些問題的影響��。
“成功利用這些漏洞可能允許未經(jīng)身份驗證的攻擊者獲得對文件和憑據(jù)的訪問權(quán)限��、提升權(quán)限并遠程執(zhí)行任意代碼�����,”CISA表示�����。
排在首位的是CVE-2023-1133(CVSS 評分:9.8),這是一個嚴重缺陷�����,其原因是 InfraSuite Device Master 接受未經(jīng)驗證的 UDP 數(shù)據(jù)包并反序列化內(nèi)容�,從而允許未經(jīng)身份驗證的遠程攻擊者執(zhí)行任意代碼。
最嚴重的問題是跟蹤為CVE-2023-28755(CVSS 分數(shù):9.8)和CVE-2023-28756(CVSS 分數(shù):7.5)的兩個路徑遍歷缺陷��,可能允許未經(jīng)身份驗證的遠程攻擊者將任意文件上傳到目錄ThinServer.exe 的安裝位置�。
更令人不安的是,對手可以將 CVE-2023-28755 武器化�����,用木馬化版本覆蓋現(xiàn)有的可執(zhí)行文件���,從而可能導(dǎo)致遠程代碼執(zhí)行���。
建議用戶更新至版本 11.0.6、11.1.6���、11.2.7、12.0.5�����、12.1.6 和 13.0.2 以減輕潛在威脅。ThinManager ThinServer 版本 6.x – 10.x 已停用�����,要求用戶升級到受支持的版本����。
作為解決方法,還建議將端口 2031/TCP 的遠程訪問限制為已知的瘦客戶端和 ThinManager 服務(wù)器��。
受影響的產(chǎn)品
羅克韋爾自動化報告此漏洞會影響以下版本的 ThinManager ThinServer�����,這是一種瘦客戶端和遠程桌面協(xié)議 (RDP) 服務(wù)器管理軟件:
版本 11.0.0 到 11.0.4
版本 11.1.0 到 11.1.4
版本 11.2.0 到 11.2.5
版本 12.0.0 到 12.0.2
版本 12.1.0 到 12.1.3
版本 13.0.0
漏洞概述
基于堆的緩沖區(qū)溢出 CWE-122受影響的產(chǎn)品容易受到基于堆的緩沖區(qū)溢出的影響�。攻擊者可以發(fā)送特制的 TFTP 或 HTTPS 請求,導(dǎo)致基于堆的緩沖區(qū)溢出����,從而導(dǎo)致 ThinServer 進程崩潰。這可能會將服務(wù)器暴露給任意遠程代碼執(zhí)行����。
CVE-2022-38742分配給此漏洞��。已計算出 CVSS v3 基本分數(shù)為 8.1�;CVSS 向量字符串是 ( AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H )
背景
關(guān)鍵基礎(chǔ)設(shè)施行業(yè):凱睿德制造
部署的國家/地區(qū):全球
公司總部所在地:美國
研究員
rgod 與 Trend Micro Zero Day Initiative 合作����,向羅克韋爾自動化和 CISA 報告了此漏洞。
緩解措施
羅克韋爾自動化建議用戶將他們的產(chǎn)品更新到最新的補丁版本:
版本 11.0.0 到 11.0.4:更新到版本 11.00.05
版本 11.1.0 到 11.1.4:更新到版本 11.01.05
版本 11.2.0 到 11.2.5:更新到版本 11.02.06
版本 12.0.0 到 12.0.2:更新到版本 12.00.03版本 12.1.0 到 12.1.3:更新到版本 12.01.04
版本 13.0.0:更新至版本 13.00.01
羅克韋爾自動化建議無法更新到修補版本的用戶阻止 ThinManager 管理的瘦客戶端以外的端點對 ThinManager TFTP 和 HTTPS 端口的網(wǎng)絡(luò)訪問�。
在 CISA警告羅克韋爾自動化 ThinManager ThinServer( CVE-2022-38742,CVSS 評分:8.1)中存在可能導(dǎo)致任意遠程代碼執(zhí)行的高嚴重性緩沖區(qū)溢出漏洞后的六個多月��,該漏洞才被披露��。
