2022年12月06日
美國網絡安全和基礎設施安全局 (CISA) 在上周發布了一份工業控制系統 (ICS) 咨詢,對三菱電機 GX Works3 工程軟件存在的多個漏洞發出了安全警告。
GX Works3是一種用于 ICS 環境的工程軟件,能夠從控制器上傳和下載程序、排除軟硬件故障以及執行相應的操作維護。由于功能廣泛,使得該軟件平臺成為攻擊者的一個強有力的”集火“目標,攻擊者希望破壞此類系統以控制受管理的 PLC。
在CISA揭露的10個缺陷中,有 3 個涉及敏感數據的明文存儲,4 個涉及使用硬編碼加密密鑰,2 個涉及使用硬編碼密碼,1 個涉及憑證保護不足。最嚴重的漏洞CVE-2022-25164和CVE-2022-29830的 CVSS 評分高達 9.1,可在無需任何權限的情況下被濫用,以獲取對 CPU 模塊的訪問權限并獲取有關項目文件的信息。
三菱表示,工程軟件是工業控制器安全鏈中的一個關鍵組成部分,如果其中出現任何漏洞,對手可能會濫用它們最終危及托管設備,從而危及受監管的工業過程。
CISA也提到了一個CVSS 評分為8.6的MELSEC iQ-R 系列中的拒絕服務 (DoS) 漏洞信息,并指出由于缺乏適當的輸入驗證,成功利用此漏洞可能允許未經身份驗證的遠程攻擊者通過發送特制數據包,在目標產品上造成拒絕服務。
三菱已經宣布相關補丁將在不久之后發布,在此之前建議應用以下緩解措施:
盡可能限制不受信任方訪問安全 CPU 項目文件;
在傳輸和靜止時充分保護安全 CPU 項目文件(例如通過加密);
更改安全 CPU 模塊上設置的所有弱密碼;
切勿重復使用相同的憑據打開安全 CPU 項目文件和訪問安全 CPU 模塊。
來源: FreeBuf.COM