聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
GE Digital 发布补丁和缓解措施,解决了影响 Proficy CIMPLICITY HMI/SCADA 软件的两个高危漏洞。该软件用于全球各地用于监控操作的工厂中。
这两个缺陷由工业网络安全公司 OTORIO 发现。该公司在上周发布简短的博客文章说明了这两个漏洞。GE公司和美国CISA 分别为每个漏洞发布了安全公告。
其中一个漏洞是CVE-2022-23921,可用于提权和执行远程代码。然而,成功利用该漏洞要求具有运行 Proficy CIMPLICITY 的设备的访问权限,而目标服务器不能运行项目且必须得到运行多个项目的许可证。GE 公司也发布更新解决该漏洞。
OTORIO 公司的研发副总裁 Matan Dobrushin 指出,“CVE-2022-23921可使对CIMPLICITY 服务器具有有限访问权限的攻击者通过在 CIMPLICITY 运行时项目内释放恶意文件的方式提升权限。”
第二个漏洞CVE-2022-21798 和以明文形式传输凭据有关。通过中间人攻击捕获凭据的攻击者可利用这些凭据认证HMI并获得对警报和系统其它部分有关的信息。GE公司指出,在某些情况下攻击者可能还能够修改系统中的值。
OTORIO 发布博客文章提醒称,“鉴于CIMPLICITY 在OT环境中发挥的中心作用,这两个漏洞对该运营服务器造成巨大的破坏性影响。我们可以假设如果且当攻击者在网络中站稳脚跟时,CIMPLITICY 将在攻击榜单前几位。”
GE 公司表示用户可启用加密痛心,阻止对 CVE-2022-21798的利用。实际上,OTORIO 公司注意到,如果该服务器具有安全配置,则这两个漏洞均可缓解。然而,该公司发现事实经常并非如此。
这并非OTORIO 公司首次检查 GE CIMPLICITY 的安全性。去年该公司发布开源加固工具,旨在帮助组织机构保护 GE CIMPLICITY 系统的安全性。GE 公司还建议客户使用该工具。
值得注意的是,工业组织机构并未忽视这些漏洞类型。CIMPLICITY 产品已成为国家黑客组织攻击的受害者。
https://www.securityweek.com/ge-scada-product-vulnerabilities-show-importance-secure-configurations
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):工业互联网巨头 GE Digital 修复SCADA 软件中的两个高危漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论