CISA提醒注意西门子、通用数字和康泰克工控系统中的漏洞
编译:代码卫士
美国网络安全和基础设施安全局 (CISA) 发布四份工控安全公告,说明了影响西门子、通用数字 (GE Digital) 和日本康泰克 (Contec) 多款产品的安全漏洞。
其中最严重的漏洞是位于西门子SINEC INS 中的通过路径遍历漏洞导致远程代码执行的CVE-2022-45092(CVSS评分9.9)和命令执行漏洞CVE-2022-2068(CVSS评分9.8)。
西门子还修复了位于llhttp解析器中的一个认证绕过漏洞(CVE-2022-35256,CVSS 评分9.8)以及与OpenSSL 库中的一个界外写漏洞(CVE-2022-2274,CVSS评分9.8),后者可用于触发远程代码执行。
西门子在2022年12月发布Service Pack 2 Update 1软件缓解这些漏洞。
另外,CISA还提醒注意GE Digital Proficy Historian 解决方案中的一个严重漏洞CVE-2022-46732(CVSS评分9.8)。该漏洞可导致代码执行后果,无需任何认证状态。该漏洞影响 Proficy Historian 版本7.0及后续版本,已在Proficy Historian 2023中修复。
工业安全公司Claroty 表示,“攻击者可利用该事实,通过假冒本地服务绕过认证,从而导致攻击者登录到任何GE Proficy Historian 服务器并使其执行越权操作。”
CISA还更新了在上个月发布的一份ICS安全公告,说明了位于Contec CONPROSYS HMI SYSTEM中的一个命令注入漏洞(CVE-2022-44456,CVSS评分10),它可导致远程攻击者发送特殊构造的请求,执行任意命令。
虽然Contec 在版本3.4.5中修复了该漏洞,但该软件还被指易受其它四个漏洞影响,可导致信息泄露和越权访问后果。
CISA建议CONPROSYS HIMI System 用户更新至版本3.5.0或后续版本,并采取相关措施减少网络暴露以及将这类设备与业务网络隔离开来。
不到一周前,CISA发布12份相关安全公告,提醒用户注意Sewio、InHand Networks、Sauter Controls 和西门子软件中的严重漏洞。
https://thehackernews.com/2023/01/cisa-warns-of-flaws-in-siemens-ge.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。