2023年04月03日
CISA 于 2023 年 3 月 21 日發(fā)布了八項(xiàng)工業(yè)控制系統(tǒng) (ICS) 公告。這些公告及時(shí)提供了有關(guān) ICS 的當(dāng)前安全問題、漏洞和漏洞利用的信息。
ICSA-23-080-01 Keysight N6854A 地理定位服務(wù)器和 N6841A 射頻傳感器
ICSA-23-080-02 Delta Electronics InfraSuite 設(shè)備主機(jī)
ICSA-23-080-03西門子 RUGGEDCOM APE1808 產(chǎn)品系列
ICSA-23-080-04 SIPROTEC 5 設(shè)備的西門子 RADIUS 客戶端
ICSA-23-080-05 VISAM VBASE自動(dòng)化基地
ICSA-23-080-06羅克韋爾自動(dòng)化 ThinManager
ICSA-23-080-07 Siemens SCALANCE 第三方
ICSA-21-343-01 Hitachi Energy GMS600、PWC600 和 Relion(更新 A)
包括 Delta Electronics 的實(shí)時(shí)設(shè)備監(jiān)控軟件 InfraSuite Device Master 中的 13 個(gè)安全漏洞。1.0.5 之前的所有版本都受這些問題的影響。
“成功利用這些漏洞可能允許未經(jīng)身份驗(yàn)證的攻擊者獲得對(duì)文件和憑據(jù)的訪問權(quán)限、提升權(quán)限并遠(yuǎn)程執(zhí)行任意代碼,”CISA表示。
排在首位的是CVE-2023-1133(CVSS 評(píng)分:9.8),這是一個(gè)嚴(yán)重缺陷,其原因是 InfraSuite Device Master 接受未經(jīng)驗(yàn)證的 UDP 數(shù)據(jù)包并反序列化內(nèi)容,從而允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者執(zhí)行任意代碼。
最嚴(yán)重的問題是跟蹤為CVE-2023-28755(CVSS 分?jǐn)?shù):9.8)和CVE-2023-28756(CVSS 分?jǐn)?shù):7.5)的兩個(gè)路徑遍歷缺陷,可能允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者將任意文件上傳到目錄ThinServer.exe 的安裝位置。
更令人不安的是,對(duì)手可以將 CVE-2023-28755 武器化,用木馬化版本覆蓋現(xiàn)有的可執(zhí)行文件,從而可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行。
建議用戶更新至版本 11.0.6、11.1.6、11.2.7、12.0.5、12.1.6 和 13.0.2 以減輕潛在威脅。ThinManager ThinServer 版本 6.x – 10.x 已停用,要求用戶升級(jí)到受支持的版本。
作為解決方法,還建議將端口 2031/TCP 的遠(yuǎn)程訪問限制為已知的瘦客戶端和 ThinManager 服務(wù)器。
受影響的產(chǎn)品
羅克韋爾自動(dòng)化報(bào)告此漏洞會(huì)影響以下版本的 ThinManager ThinServer,這是一種瘦客戶端和遠(yuǎn)程桌面協(xié)議 (RDP) 服務(wù)器管理軟件:
版本 11.0.0 到 11.0.4
版本 11.1.0 到 11.1.4
版本 11.2.0 到 11.2.5
版本 12.0.0 到 12.0.2
版本 12.1.0 到 12.1.3
版本 13.0.0
漏洞概述
基于堆的緩沖區(qū)溢出 CWE-122受影響的產(chǎn)品容易受到基于堆的緩沖區(qū)溢出的影響。攻擊者可以發(fā)送特制的 TFTP 或 HTTPS 請(qǐng)求,導(dǎo)致基于堆的緩沖區(qū)溢出,從而導(dǎo)致 ThinServer 進(jìn)程崩潰。這可能會(huì)將服務(wù)器暴露給任意遠(yuǎn)程代碼執(zhí)行。
CVE-2022-38742分配給此漏洞。已計(jì)算出 CVSS v3 基本分?jǐn)?shù)為 8.1;CVSS 向量字符串是 ( AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H )
背景
關(guān)鍵基礎(chǔ)設(shè)施行業(yè):凱睿德制造
部署的國(guó)家/地區(qū):全球
公司總部所在地:美國(guó)
研究員
rgod 與 Trend Micro Zero Day Initiative 合作,向羅克韋爾自動(dòng)化和 CISA 報(bào)告了此漏洞。
緩解措施
羅克韋爾自動(dòng)化建議用戶將他們的產(chǎn)品更新到最新的補(bǔ)丁版本:
版本 11.0.0 到 11.0.4:更新到版本 11.00.05
版本 11.1.0 到 11.1.4:更新到版本 11.01.05
版本 11.2.0 到 11.2.5:更新到版本 11.02.06
版本 12.0.0 到 12.0.2:更新到版本 12.00.03版本 12.1.0 到 12.1.3:更新到版本 12.01.04
版本 13.0.0:更新至版本 13.00.01
羅克韋爾自動(dòng)化建議無(wú)法更新到修補(bǔ)版本的用戶阻止 ThinManager 管理的瘦客戶端以外的端點(diǎn)對(duì) ThinManager TFTP 和 HTTPS 端口的網(wǎng)絡(luò)訪問。
在 CISA警告羅克韋爾自動(dòng)化 ThinManager ThinServer( CVE-2022-38742,CVSS 評(píng)分:8.1)中存在可能導(dǎo)致任意遠(yuǎn)程代碼執(zhí)行的高嚴(yán)重性緩沖區(qū)溢出漏洞后的六個(gè)多月,該漏洞才被披露。