01
漏洞描述
SIMATIC Energy Manager 是面向工业领域的能源管理系统,根据 ISO 50001 进行了认证 借助于 SIMATIC Energy Manager,可以详细显示生产过程中的能量流和能耗值,将它们分配给相关耗电设备或成本中心,并识别已发生的变化。在 SIMATIC Energy Manager Basic(所有版本 < V7.3Update 1)、SIMATIC Energy Manager PRO(所有版本 < V7.3Update 1)中存在反序列化漏洞,攻击者可利用该漏洞在具有SYSTEM权限的设备上执行任意代码。
02
漏洞危害
在 SIMATIC Energy Manager Basic(所有版本 < V7.3 Update 1)、SIMATIC EnergyManager PRO(所有版本 < V7.3 Update 1)中发现了一个漏洞。受影响的系统允许远程用户发送恶意制作的对象。由于受影响软件对用户提供的内容的反序列化不安全,未经身份验证的攻击者可以通过发送恶意制作的序列化对象来利用此漏洞。这可能允许攻击者在具有 SYSTEM 权限的设备上执行任意代码。
03
影响范围
SiemensSIMATIC Energy Manager Basic <7.3 Update 1
Siemens SIMATIC Energy Manager PRO <7.3 Update 1
04
漏洞等级
高危
05
修复方案
厂商已发布了漏洞修复程序,请及时关注更新:
https://www.siemens.com
END
长按识别二维码,了解更多
原文始发于微信公众号(易东安全研究院):【漏洞预警】Siemens SIMATIC Energy Manager反序列化漏洞(CVE-2022-23450)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论