天创培训:您身边的信息安全培训专家!
开班计划
2018年11月CISP培训开班通知
主讲老师   张老师、王老师等
开课时间   2018年11月20日-25日
培训方式   实地/面授
授课天次   培训5天+考试半天
上课时间   09:00 -- 16:30
课程介绍 在线报名
行业动态您当前位置:首页 > 最新动态 > 行业动态

工业安全预警:维控WECON PI Studio曝多个漏洞,且暂无补丁可用

作者:天创培训  来源:px.tcnet.com.cn  更新时间:2018-10-10  关键词:漏洞

工业安全预警:维控WECON PI Studio曝多个漏洞,且暂无补丁可用

由美国工业控制系统网络紧急响应小组(ICS-CERT)于近日发布的一份咨询报告显示,研究人员Mat Powell和Natnael Samson在WECON的PI Studio HMI软件中发现了多个安全漏洞。虽然这些漏洞已经得到了WECON的确认,但到目前为止该厂商仍未发布任何补丁。

WECON,福州富昌维控电子科技有限公司的英文简称。该公司成立于2009年,专注于人机界面(HMI)、可编程逻辑控制器(PLC)和工业PC的研究、开发与销售。其产品远销全球,被广泛应用于制造、冶金、化工、能源、污水处理等领域。

从ICS-CERT公布的信息来看,Mat Powell和Natnael Samson在PI Studio HMI软件中共发现了四个安全漏洞,它们都会影响到PI Studio HMI 4.1.9及更早版本和PI Studio 4.2.34及更早版本。具体如下:

  • CVE-2018-14818(CVSS v3得分8)——一个基于堆栈的关键缓冲区溢出漏洞,可能会导致远程代码执行;

  • CVE-2018-14810(CVSS v3得分8)——一个高严重程度的越界写漏洞。受影响的产品在解析文件时会将无效的用户数据传递给不安全的方法调用,这可能允许代码在管理员的上下文中执行;

  • CVE-2018-17889(CVSS v3得分3)——一个中等严重程度的漏洞。在解析项目文件时,Wecon PIStudio附带的XMLParser容易受到XML外部实体注入攻击,这可能允许敏感信息泄露;

  • CVE-2018-14814(CVSS v3得分3)——另一个中等严重程度的漏洞。由于受影响的产品缺乏对用户提供的数据的正确验证,这可能导致对已分配对象的末尾进行读取。

正如本文一开头所提到的那样,虽然WECON已经确认了这些漏洞,但它尚未透露何时会发布安全补丁。

工业安全预警:维控WECON PI Studio曝多个漏洞,且暂无补丁可用

在上周发布的这份咨询报告中,ICS-CERT提供了一些缓解措施:

  • 最大限度地减少控制系统设备或系统在网络上的暴露,并确保无法从互联网访问它们;

  • 找出位于防火墙后面的控制系统网络和远程设备,并将它们与业务网络隔离开来;

  • 当需要远程访问时,请使用安全方法,例如虚拟专用网络(VPN),识别VPN可能存在的漏洞,并及时更新到可用的最新版本。

此外,ICS-CERT还提醒我们,在部署任何安全防御措施之前,都应该对其进行适当的影响分析和风险评估。

 




推荐阅读

网站首页 |  关于天创 |  课程体系 |  最新动态 |  联系我们 |  网站地图 |  二维码
版权所有:江苏天创科技有限公司 苏ICP备16028135号-2
苏州总部地址:江苏省苏州市十梓街327号 电话:0512-65129087 传真:0512-65157410 邮编:215000
南京分公司地址:南京珠江路88号新世界中心A座 电话:025-84533276 传真:025-84533286 邮编:210000