聚焦源代码安全,网罗国内外最新资讯!
作者:Lindsey O'Donnell
研究人员在瑞士工业技术公司 ABB 生产的某些网关产品中发现了严重漏洞,但由于产品的生命周期结束,因此厂商将不会推出补丁。
Applied Risk公司本周发布安全公告表示,ABB 生产的 Pluto 网关产品中存在两个严重漏洞。受影响的网关是 GATE-E1 和 GATE-E2,它们可导致 ABB 公司的可编程安全控制器(安全 PLCs)和其它控制系统通信。
研究人员指出,这些设备的管理员 telnet 和 web 接口上缺少认证机制,可导致攻击者轻易获取授权权限。该缺陷被 Applied Risk 公司和 ABB 公司均评为“严重”等级,可被用于修改设备配置并通过持续重置产品的方法引发拒绝服务条件。
ABB 公司解释称,“该漏洞是因产品中缺乏认证支持导致的。当开发产品时,并未设计提供安全服务如认证。”
Applied Risk公司表示,这些漏洞可遭远程利用,而且如果网络配置了这类访问权限则可能通过互联网被利用。
ABB 公司为认证缺失和 XSS 漏洞情况发布安全公告。该公司告知客户称,产品已寿终正寝,因此将不会推出任何固件更新。然而,用户应当会收到关于如何保护安装程序安全的指南邮件。
目前尚未有证据表明,这些缺陷已被恶意利用。
推荐阅读
原文链接
https://www.securityweek.com/serious-flaws-found-abb-safety-plc-gateways
本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士 www.codesafe.cn”。