CISA 警告影响三菱电机 PLC 的多个严重漏洞

admin 2023年1月8日02:45:59安全新闻评论8 views2030字阅读6分46秒阅读模式

CISA 警告影响三菱电机 PLC 的多个严重漏洞

美国网络安全和基础设施安全局 (CISA) 本周发布了一份工业控制系统 (ICS) 咨询警告,警告三菱电机 GX Works3 工程软件存在多个漏洞。

CISA表示:“成功利用这些漏洞可能允许未经授权的用户访问MELSECiQ-R/F/L系列CPU模块和MELSECiQ-R系列OPCUA服务器模块或查看和执行程序。”

CISA 于 2022 年 12 月 1 日发布了三 (3) 条工业控制系统 (ICS) 公告。这些公告及时提供了有关 ICS 的当前安全问题、漏洞和漏洞利用的信息。

CISA 鼓励用户和管理员查看新发布的 ICS 公告以了解技术细节和缓解措施:

• ICSMA-22-335-01 BD BodyGuard 泵
• ICSA-22-335-01 MELSEC iQ-R 系列
• ICSA-22-335-02 Horner Automation 远程紧凑型控制器

GX Works3是一种用于 ICS 环境的工程工作站软件,充当从控制器上传和下载程序、排除软件和硬件问题以及执行维护操作的机制。

广泛的功能也使该平台成为威胁行为者的一个有吸引力的目标,威胁行为者希望破坏此类系统以征用受管理的 PLC

10 个缺陷中有 3 个与敏感数据的明文存储有关,4 个与使用硬编码加密密钥有关,2 个与使用硬编码密码有关,1 个与凭证保护不足有关。

漏洞中最严重的CVE-2022-25164CVE-2022-29830的 CVSS 评分为 9.1,可被滥用以获取对 CPU 模块的访问权限并在不需要任何权限的情况下获取有关项目文件的信息。

发现CVE-2022-29831 (CVSS 评分:7.5)的Nozomi Networks表示,有权访问安全 PLC 项目文件的攻击者可以利用硬编码密码直接访问安全 CPU 模块,并可能破坏工业流程。

该公司示:“工程软件是工业控制器安全链中的一个关键组成部分,如果其中出现任何漏洞,对手可能会滥用它们最终危及托管设备,从而危及受监管的工业过程。”

CISA披露了三菱电机 MELSEC iQ-R 系列中的拒绝服务 (DoS) 漏洞的详细信息,该漏洞源于缺乏适当的输入验证(CVE-2022-40265,CVSS 评分:8.6)。

CISA 警告影响三菱电机 PLC 的多个严重漏洞

“成功利用此漏洞可能允许未经身份验证的远程攻击者通过发送特制数据包在目标产品上造成拒绝服务条件,”CISA 指出。

在相关开发中,网络安全机构进一步概述了影响 Horner Automation 的 Remote Compact Controller (RCC) 972 的三个问题,其中最严重的问题(CVE-2022-2641,CVSS 评分:9.8)可能导致远程代码执行或导致拒绝服务条件。


往期推荐


>>>等级保护<<<

  1. 开启等级保护之路:GB 17859网络安全等级保护上位标准
  2. 网络安全等级保护:等级保护测评过程及各方责任
  3. 网络安全等级保护:政务计算机终端核心配置规范思维导图
  4. 网络安全等级保护:什么是等级保护?
  5. 网络安全等级保护:信息技术服务过程一般要求
  6. 闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载
  7. 闲话等级保护:什么是网络安全等级保护工作的内涵?
  8. 闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求
  9. 闲话等级保护:测评师能力要求思维导图
  10. 闲话等级保护:应急响应计划规范思维导图
  11. 闲话等级保护:浅谈应急响应与保障
  12. 闲话等级保护:如何做好网络总体安全规划
  13. 闲话等级保护:如何做好网络安全设计与实施
  14. 闲话等级保护:要做好网络安全运行与维护
  15. 闲话等级保护:人员离岗管理的参考实践
  16. 信息安全服务与信息系统生命周期的对应关系
  17. >>>工控安全<<<
  18. 工业控制系统安全:信息安全防护指南
  19. 工业控制系统安全:工控系统信息安全分级规范思维导图
  20. 工业控制系统安全:DCS防护要求思维导图
  21. 工业控制系统安全:DCS管理要求思维导图
  22. 工业控制系统安全:DCS评估指南思维导图
  23. 工业控制安全:工业控制系统风险评估实施指南思维导图
  24. 工业控制系统安全:安全检查指南思维导图(内附下载链接)
  25. 工业控制系统安全:DCS风险与脆弱性检测要求思维导图
  26. >>>数据安全<<<
  27. 数据安全风险评估清单

  28. 成功执行数据安全风险评估的3个步骤

  29. 美国关键信息基础设施数据泄露的成本

  30. VMware 发布9.8分高危漏洞补丁

  31. 备份:网络和数据安全的最后一道防线

  32. 数据安全:数据安全能力成熟度模型

  33. 数据安全知识:什么是数据保护以及数据保护为何重要?

  34. 信息安全技术:健康医疗数据安全指南思维导图

  35. >>>供应链安全<<<

  36. 美国政府为客户发布软件供应链安全指南

  37. OpenSSF 采用微软内置的供应链安全框架

  38. 供应链安全指南:了解组织为何应关注供应链网络安全

  39. 供应链安全指南:确定组织中的关键参与者和评估风险

  40. 供应链安全指南:了解关心的内容并确定其优先级

  41. 供应链安全指南:为方法创建关键组件

  42. 供应链安全指南:将方法整合到现有供应商合同中

  43. 供应链安全指南:将方法应用于新的供应商关系

  44. 供应链安全指南:建立基础,持续改进。
  45. 思维导图:ICT供应链安全风险管理指南思维导图


我就知道你“在看”
CISA 警告影响三菱电机 PLC 的多个严重漏洞


原文始发于微信公众号(祺印说信安):CISA 警告影响三菱电机 PLC 的多个严重漏洞

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月8日02:45:59
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  CISA 警告影响三菱电机 PLC 的多个严重漏洞 http://cn-sec.com/archives/1443544.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: