西门子电力自动化系统中出现两个漏洞

研究人员在西门子SICAM电力自动化系统中发现了两个漏洞。目前，西门子已修复其中一个漏洞。

全球能源企业都在使用该自动化系统运行电力变电站。研究人员分析后发现，这两个信息披露漏洞能被本地攻击者攻击。专家发现用户密码未受恰当保护，攻击者能够重建该信息（CVE-2016-5848）。第二个漏洞可被用于访问敏感的配置数据（CVE-2016-5849）。西门子在安全公告中指出，攻击者一定有访问SCAM PAS系统的权限以及拥有某些数据库权限，或者该数据库一定处于一种停止的状态。

西门子发布了SICAM PAS 8.07来解决CVE-2016-5848漏洞问题，而且正在致力于解决CVE-2016-5849问题。西门子建议用户在修复方案推出之前联系支持中心按照如何缓解未修复漏洞的指南来操作。

周四，ICS-CERT还发布了一份安全公告，描述了另一款用于能源部门的产品中的漏洞。安全研究人员发现用于配置PLS的Eaton的ELCSoft程序软件中出现了两种内存损坏漏洞，可被用于在目标系统中执行任意代码。该漏洞影响ELCSoft 2.4.01及早期版本，并且已通过固件更新将其修复。