2024 年 10 月 22 日,网络安全和基础设施安全局 (CISA) 发布了一份针对工业控制系统 (ICS) 的新公告。公告中强调的最严重漏洞之一涉及 ICONICS 和三菱电机的产品套件。
这些建议旨在告知 ICS 用户和管理员可能影响其关键基础设施的安全漏洞、漏洞利用和新出现的威胁。
ICS 公告摘要
该漏洞的编号为 CVE-2024-7587,CVSS v3.1 基本评分为 7.8,反映出其严重性。由于攻击复杂度较低,该漏洞对 ICONICS Suite 用户构成严重威胁,包括 GENESIS64、Hyper Historian、AnalytiX 和 MobileHMI(10.97.3 及更早版本)等产品,以及三菱电机所有版本的 MC Works64。
如果成功利用此漏洞,可能会导致数据泄露、未经授权的数据篡改,最坏的情况下还会导致拒绝服务(DoS)情况。
了解 ICONICS 和三菱电机的漏洞
问题的核心是默认权限错误 (CWE-276),这允许未经授权的用户访问关键数据。这可能导致机密信息泄露、敏感数据被操纵,或因访问权限配置错误而导致潜在的拒绝服务事件。
虽然此漏洞无法远程利用,这意味着它需要本地访问系统,但其影响是相当大的,特别是考虑到 ICONICS 和三菱电机的产品都广泛应用于全球各行各业,特别是在关键制造业领域。
受影响的产品
该公告列出了受此漏洞影响的具体产品:
-
ICONICS Suite,包括GENESIS64、Hyper Historian、AnalytiX和MobileHMI产品,版本10.97.3及更早版本。
-
三菱电机 MC Works64,所有版本均受到影响。
风险评估
由于可能造成严重后果,该漏洞的风险为中度至高度。虽然该漏洞无法远程利用,并且需要本地访问,但错误的默认权限会导致数据篡改、信息泄露和服务中断。鉴于各行各业对 ICS 的依赖日益增加,此类漏洞可能对运营连续性和数据完整性构成严重挑战。
技术细节
问题源于默认权限分配不当。具体来说,未经授权的用户可能会获得存储关键数据的目录的过度访问权限。这不仅对单个系统构成威胁,而且对互连的ICS 环境也构成威胁,因为即使是局部漏洞也可能波及整个基础设施。
该漏洞分配的 CVSS 矢量字符串为 (CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)。
这种分解反映了这样一个事实:攻击需要本地访问(AV)并且复杂度较低(AC),有可能严重损害系统的机密性、完整性和可用性。
缓解措施
为了解决此漏洞,ICONICS 和三菱电机为其用户推荐了几种缓解策略。对于 ICONICS 产品,以下步骤至关重要:
-
使用版本 10.97.3 CFR1 或更高版本:对于新系统,请升级到此版本或更高版本,该版本不易受到此问题的影响。
-
对于现有系统:如果使用 10.97.3 或更早版本,请避免安装随附的 GenBroker32。相反,请从 ICONICS 下载并安装最新版本的 GenBroker32。
-
验证并更正文件夹权限:管理员应检查 C:ProgramDataICONICS 文件夹的权限。如果该文件夹允许“Everyone”组访问,请按照公告中概述的分步流程删除此权限。
对于三菱电机 MC Works64,适用相同的权限审查和安全修补原则。鼓励管理员:
-
定期应用可用的安全补丁。
-
持续监控访问权限并确保删除过于宽泛的权限(如“所有人”访问)。
CISA 的主动防御建议
CISA提供丰富的资源来帮助 ICS 用户防御 CVE-2024-7587 等漏洞。对于组织而言,采取主动的网络安全方法至关重要,并采用纵深防御策略,包括:
-
在部署缓解策略之前进行风险评估和适当的影响分析。
-
定期审查和实施 ICS 网络安全的最佳实践,例如 CISA 的《通过纵深防御策略改进工业控制系统网络安全》文件中概述的实践。
-
监控 CISA 上的 ICS 网页,了解最新的安全公告、指导和技术资源。
报告和警惕的重要性
虽然到目前为止,CISA 尚未收到任何公开利用此漏洞的报告,但该机构敦促各组织保持警惕。如果怀疑有任何恶意活动,建议各组织遵循既定的事件响应程序,并向 CISA 报告调查结果,以便进行关联和跟踪。早期发现和快速行动可以大大减少关键基础设施系统中漏洞的潜在影响。
通过遵循本公告中概述的步骤,用户可以降低被利用的风险并确保其 ICS 基础设施能够抵御潜在威胁。
原文始发于微信公众号(OSINT研习社):高风险 ICS 漏洞导致 ICONICS 和三菱电机产品面临数据泄露风险
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论