聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Heinzl 在 Elcomplus 公司的SmartPTT SCADA 产品中共发现9个漏洞。该产品结合了SCADA/IIoT 系统和专业无线电系统分派软件的能力。另外,专事SCADA和工业IoT 虚拟化平台的SmartICS 生产的产品因共享代码,也受某些漏洞影响。
受影响产品遍布90个国家的2000多家组织机构,其中美国也在受影响范围之列,其网络安全和基础设施安全局 (CISA) 本周发布两份安全公告向组织机构通知相关漏洞情况。Heinzl 也分别为每个漏洞发布安全公告。
这些安全漏洞包括路径遍历、跨站点脚本、任意文件上传、授权绕过、跨站点请求伪造和信息泄露等。这些漏洞如遭利用可导致攻击者上传文件、在系统上读或写任意文件、获取以明文形式存储的凭据、代表用户执行多种操作、执行任意代码以及提权访问管理员功能。在某些情况下,漏洞利用要求认证或用户交互(如点击链接或访问某些页面)。
Heinzl在2021年4月通过CISA将漏洞告知厂商,后者于2021年年底发布补丁。
这并非Heinzl 首次发现ICS漏洞。去年,他从日本电子巨头欧姆龙生产的XC-Programmer PLC 编程软件、富士电机的Tellus 工厂监控和操作产品、台达电子的DIAEnergie 工业能源管理系统和捷克工业自动化公司mySCADA 的myPRO HMI/SCADA 产品中发现了多个缺陷。
https://www.securityweek.com/several-critical-vulnerabilities-affect-smartppt-smartics-industrial-products
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):SmartPTT、SmartICS 工业产品存在多个严重漏洞,影响全球90国
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论