聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
罗克韦尔自动化公司的某些 MicroLogix 和 CompactLogix 可编程逻辑控制器 (PLCs) 中被曝严重漏洞,可被远程攻击者用于将用户重定向至恶意站点。
ICS-CERT 和罗克韦尔自动化公司发布安全通告指出,该缺陷(CVE-2019-10955)的 CVSS 评分为 7.1(高危),影响 MicroLogix 1100 和1400以及 CompactLogix 5370(L1、L2和 L3)控制器。
ICS-CERT 将该漏洞描述为开放的重定向漏洞,和运行在这些设备上的 web 服务器有关。该 web 服务器接受来自 PLCs web 接口的用户输入,远程未认证攻击者可注入恶意链接,将用户从控制器的 web 服务器重定向至任意站点。
罗克韦尔在安全通告中指出,“这个恶意网站可能在用户机器上运行或下载任何恶意软件。这种攻击的目标并非工业控制设备,而且并不会破坏控制功能。”
罗克韦尔已发布固件更新解决该问题。该公司建议无法安装更新的组织机构禁用 web 服务器并实现通用的安全措施以阻止潜在攻击。
安全研究员 Josiah Bryan 和 Geancarlo Palavicini 发现了该问题并告知罗克韦尔公司。
原文链接
https://www.securityweek.com/rockwell-controller-flaw-allows-hackers-redirect-users-malicious-sites
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。