天天报道:CISA发布警告:三菱电机软件漏洞将导致PLC系统被黑

2022-12-09 09:54:44     来源:中国传动网


(相关资料图)

美国网络安全和基础设施安全局(CISA)上周发布了一份工业控制系统(ICS)咨询报告,警告三菱电机GX Works3工程软件存在多个漏洞。如果成功利用这些漏洞可使未经授权的用户获得对MELSEC iQ-R/F/L系列CPU模块和MELSEC iQ-R系列OPC UA服务器模块的访问权,或查看和执行程序。

GX Works3是ICS环境中使用的工程工作站软件,作为从控制器上传和下载程序的机制,排除软件和硬件问题,并执行维护操作。广泛的功能也使该平台成为希望破坏此类系统以控制被管理的PLC的威胁者的诱人目标。

10个缺陷中有3个与敏感数据的明文存储有关,4个与使用硬编码的加密密钥有关,2个与使用硬编码的密码有关,1个涉及保护不足的凭证情况。

其中最关键的漏洞CVE-2022-25164和CVE-2022-29830的CVSS评分为9.1,可以被滥用,以获得对CPU模块的访问,并获得项目文件的信息,而不需要任何权限。

发现CVE-2022-29831(CVSS评分:7.5)的Nozomi Networks表示,能够访问安全PLC项目文件的攻击者可以利用硬编码密码直接访问安全CPU模块,并可能破坏工业流程。

报告指出:“工程软件是工业控制器安全链中的一个重要组成部分,如果其中出现任何漏洞,对手可能会滥用这些漏洞,最终破坏所管理的设备,从而破坏受监督的工业流程。"

CISA披露了三菱电机MELSEC iQ-R系列的拒绝服务(DoS)漏洞的细节,该漏洞源于缺乏适当的输入验证(CVE-2022-40265,CVSS评分:8.6)。

CISA指出:"成功利用这个漏洞可以使远程未认证的攻击者通过发送特制的数据包在目标产品上造成拒绝服务的情况。

在一个相关的发展中,网络安全机构进一步概述了影响霍纳自动化公司的远程紧凑型控制器(RCC)972的三个问题,其中最关键的问题(CVE-2022-2641,CVSS评分:9.8)可能导致远程代码执行或引起DoS条件。

标签:

猜你喜欢

天天报道:CISA发布警告:三菱电机软件漏洞将导致PLC系统被黑
世界观速讯丨以太网,如何开启工业无人驾驶汽车时代?
政企IT新价值,中软国际构建DICT一站式体系
尼尔森IQ:近七成全球消费者认为可持续性相比两年前更为重要
新华三香港与香港职业训练局签订合作备忘录 携手合作培养数字技能人才
川渝知识产权服务业技能大赛颁奖活动圆满举行
世纪智电:“选贤任能,唯才是举”,人才保障产品质量
迭代|危化品物流行业纪录片《守护者》第三集
匠心传承 唯思竭力∣2022年密尔克卫演寂书院子衿培训(总第七期)
大咖云集!广东省医学会第十五次重症医学学术会议圆满落幕
pt900是什么金?k14是什么金?
智谷智健平台招募城市伙伴啦 深耕大健康领域,只为与您共创美好
南京孜博汇信息科技有限公司创始人俞雷
居家更需坚持锻炼,花香盛世线上体育课程全新上线
成都兴城集团下属成都建工七公司组织开展“同心同行 共筑廉洁家庭”家风警示教育主题活动
黄金t+d风险有哪些?黄金td投资技巧?
日用化学品检测产品危害成分有哪些?
宝宝牙膏该如何选择,这些知识你要知道
北京国研华政科技中心开展《“十四五”科教兴国发展规划》专题学习研讨
大唐财富公司治理能力获认可 加入中国内部审计协会
什么是黄金T+D?T+D的品种有哪些?
孔雀好货爆发式增长的秘密——大牌制造商直供精品供应链
银行财富管理为何总被提起,财富管理做得好的银行有哪些
货拉拉又有新动作,这次将市集车、露营车开向嘉年华
好剧觅清廉 入戏扬清风成都兴城集团下属成都建工七公司开展“廉洁剧本杀”警示教育活动
成都兴城集团下属成都建工七公司重拳出击 精心定制“青廉”系列套餐
梧桐树首发颐悦无忧终身护理保险2.0综合实力强有力,兼顾护理充当“安全垫”
黄金大涨原因有哪些?黄金大涨意味着什么?
济新高速山院隧道首板二次衬砌成功浇筑
“闪电”离职林肯,毛京波为何选择加盟路特斯