聚焦源代码安全,网罗国内外最新资讯!
翻译:360代码卫士团队
自动化解决方案提供商艾默生修复了 ControlWave Micro 过程自动化控制器产品中潜在的一个严重 DoS 漏洞。
ControlWave Micro过程自动化控制器是在全球范围使用的一款混合型远程终端单元 (RTU)/可编程逻辑控制器 (PLC),尤其适用于能源以及水和废水系统行业。
ICS-CERT 在本周发布安全公告称,ControlWave Micro 过程自动化控制器受一个高危栈缓冲溢出漏洞影响,攻击者可通过在端口 20547 发送特殊构造的数据包强制设备进入“停机状态”。
ICS-CERT 在安全公告中指出,“漏洞利用可能导致以太网功能停止,要恢复系统需要进行冷启动以及和 ControlWave Designer 访问权限相关的通信内容。这很可能导致系统可用性丢失以及和其它联网设备的通信中断。”
这个漏洞的编号是 CVE-2018-5452,影响运行 05.78.00 及更早固件版本的 ControlWave Micro控制器。艾默生公司已发布固件版本 05.79.00修复了该漏洞。
这个漏洞是由专门为工控系统提供网络安全和可视化解决方案的公司 Nozomi Networks 报告的。该公司最近在B轮融资中获得1500万美元融资。公司表示,通过为测试工控系统设备开发的进程找到这个漏洞花费的时间并不长。
Nozomi 公司的联合创始人和首席技术官 Moreno Carullo 指出,攻击者可远程利用开放端口 20547 的联网设备。该公司通过 Shodan 搜索引擎发现了163款易受攻击的设备,它们主要位于美国、加拿大和墨西哥。
Carullo 表示在2017年10月将漏洞告知艾默生公司,大约2个月之后,漏洞得到修复。Carullo 表示,和其它公司相比,艾默生的修复速度相对较快。
关联阅读
原文链接
https://www.securityweek.com/emerson-patches-severe-flaw-controlwave-controllers
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。