天创培训:您身边的信息安全培训专家!
行业动态
工业安全预警:维控WECON PI Studio曝多个漏洞,且暂无补丁可用

工业安全预警:维控WECON PI Studio曝多个漏洞,且暂无补丁可用

由美国工业控制系统网络紧急响应小组(ICS-CERT)于近日发布的一份咨询报告显示,研究人员Mat Powell和Natnael Samson在WECON的PI Studio HMI软件中发现了多个安全漏洞。虽然这些漏洞已经得到了WECON的确认,但到目前为止该厂商仍未发布任何补丁。

WECON,福州富昌维控电子科技有限公司的英文简称。该公司成立于2009年,专注于人机界面(HMI)、可编程逻辑控制器(PLC)和工业PC的研究、开发与销售。其产品远销全球,被广泛应用于制造、冶金、化工、能源、污水处理等领域。

从ICS-CERT公布的信息来看,Mat Powell和Natnael Samson在PI Studio HMI软件中共发现了四个安全漏洞,它们都会影响到PI Studio HMI 4.1.9及更早版本和PI Studio 4.2.34及更早版本。具体如下:

  • CVE-2018-14818(CVSS v3得分8)——一个基于堆栈的关键缓冲区溢出漏洞,可能会导致远程代码执行;

  • CVE-2018-14810(CVSS v3得分8)——一个高严重程度的越界写漏洞。受影响的产品在解析文件时会将无效的用户数据传递给不安全的方法调用,这可能允许代码在管理员的上下文中执行;

  • CVE-2018-17889(CVSS v3得分3)——一个中等严重程度的漏洞。在解析项目文件时,Wecon PIStudio附带的XMLParser容易受到XML外部实体注入攻击,这可能允许敏感信息泄露;

  • CVE-2018-14814(CVSS v3得分3)——另一个中等严重程度的漏洞。由于受影响的产品缺乏对用户提供的数据的正确验证,这可能导致对已分配对象的末尾进行读取。

正如本文一开头所提到的那样,虽然WECON已经确认了这些漏洞,但它尚未透露何时会发布安全补丁。

工业安全预警:维控WECON PI Studio曝多个漏洞,且暂无补丁可用

在上周发布的这份咨询报告中,ICS-CERT提供了一些缓解措施:

  • 最大限度地减少控制系统设备或系统在网络上的暴露,并确保无法从互联网访问它们;

  • 找出位于防火墙后面的控制系统网络和远程设备,并将它们与业务网络隔离开来;

  • 当需要远程访问时,请使用安全方法,例如虚拟专用网络(VPN),识别VPN可能存在的漏洞,并及时更新到可用的最新版本。

此外,ICS-CERT还提醒我们,在部署任何安全防御措施之前,都应该对其进行适当的影响分析和风险评估。