微软披露罗克韦尔自动化PanelView Plus中的两个严重安全漏洞

微软（Microsoft）最近披露了罗克韦尔自动化 PanelView Plus 设备中的两个严重安全漏洞。

未经身份验证的远程攻击者可利用这些漏洞执行任意代码并导致拒绝服务 (DoS) 情况。

漏洞详情

安全研究人员 Yuval Gordon 表示，第一个漏洞是远程代码执行 (RCE)，它影响两个自定义类，可利用这些类在设备上加载和启动恶意 DLL。

第二个漏洞与 DoS 相关，利用相同的自定义类来发送设备无法正确处理的专门创建的缓冲区，从而导致 DoS 情况。

漏洞列表如下：

• CVE-2023-2071（CVSS 评分：9.8）：不正确的输入验证漏洞允许未经身份验证的攻击者通过特制的恶意数据包执行远程代码。

• CVE-2023-29464（CVSS 评分：8.2）：不正确的输入验证漏洞允许未经身份验证的威胁参与者通过特制的恶意数据包从内存中读取数据，并通过发送大于缓冲区大小的数据包来导致拒绝服务。

成功利用这两个缺陷可以让攻击者远程执行代码、泄露信息或引发 DoS 情况。

受影响的设备

CVE-2023-2071 漏洞影响 FactoryTalk View Machine Edition（版本 13.0、12.0 及更早版本）；

而 CVE-2023-29464 则影响 FactoryTalk Linx（版本 6.30、6.20 及更早版本）。

值得注意的是，罗克韦尔自动化分别于 2023 年 9 月 12 日和 2023 年 10 月 12 日发布了有关这些缺陷的公告。

美国网络安全和基础设施安全局 (CISA) 分别于 9 月 21 日和 10 月 17 日发布了其公告。

其他安全威胁

这些漏洞的披露正值未知威胁行为者被认为正在利用 HTTP 文件服务器中最近的一个关键安全漏洞（CVE-2024-23692，CVSS 评分：9.8）来部署加密货币挖矿程序和木马，例如 Xeno RAT、Gh0st RAT 和插头X。

该漏洞被描述为模板注入案例，允许未经身份验证的远程攻击者通过发送特制的 HTTP 请求在受影响的系统上执行任意命令。

https://www.microsoft.com/en-us/security/blog/2024/07/02/vulnerabilities-in-panelview-plus-devices-could-lead-to-remote-code-execution/

微软发现并负责任地披露了罗克韦尔自动化 PanelView Plus 中的两个漏洞，未经身份验证的攻击者可以利用这些漏洞远程利用这些漏洞，从而执行远程代码执行 (RCE) 和拒绝服务 (DoS)。

PanelView Plus 中的 RCE 漏洞涉及两个自定义类，可利用这些类将恶意 DLL 上传并加载到设备中。

DoS 漏洞利用相同的自定义类发送设备无法正确处理的精心设计的缓冲区，从而导致 DoS。

PanelView Plus 设备是图形终端，也称为人机界面 (HMI)，用于工业领域。

这些漏洞可能会对使用受影响设备的组织造成重大影响，因为攻击者可以利用这些漏洞远程执行代码并破坏操作。

我们于 2023 年 5 月和 7 月通过Microsoft 安全漏洞研究(MSVR) 的协调漏洞披露(CVD)与罗克韦尔自动化分享了这些发现。

罗克韦尔于 2023 年 9 月和 10 月发布了两份公告并发布了安全补丁。

我们要感谢罗克韦尔自动化产品安全团队迅速修复此问题。我们强烈建议 PanelView Plus 客户应用这些安全补丁。

已发现的漏洞总结如下表：

在这篇博文中，我们将重点介绍 CVE-2023-2071 远程代码执行漏洞的技术细节及其发现方式，并概述 RCE 和 DoS 漏洞所使用的协议。

此外，我们还将提供有关该漏洞的技术细节并演示利用方法。通过与更大的安全社区分享这项研究，我们旨在强调协作在保护平台和设备方面的重要性。

原文始发于微信公众号（网络研究观）：微软披露罗克韦尔自动化PanelView Plus中的两个严重安全漏洞