天天报道:CISA发布警告:三菱电机软件漏洞将导致PLC系统被黑
时间:2023-03-30 18:26:04


(相关资料图)

美国网络安全和基础设施安全局(CISA)上周发布了一份工业控制系统(ICS)咨询报告,警告三菱电机GX Works3工程软件存在多个漏洞。如果成功利用这些漏洞可使未经授权的用户获得对MELSEC iQ-R/F/L系列CPU模块和MELSEC iQ-R系列OPC UA服务器模块的访问权,或查看和执行程序。

GX Works3是ICS环境中使用的工程工作站软件,作为从控制器上传和下载程序的机制,排除软件和硬件问题,并执行维护操作。广泛的功能也使该平台成为希望破坏此类系统以控制被管理的PLC的威胁者的诱人目标。

10个缺陷中有3个与敏感数据的明文存储有关,4个与使用硬编码的加密密钥有关,2个与使用硬编码的密码有关,1个涉及保护不足的凭证情况。

其中最关键的漏洞CVE-2022-25164和CVE-2022-29830的CVSS评分为9.1,可以被滥用,以获得对CPU模块的访问,并获得项目文件的信息,而不需要任何权限。

发现CVE-2022-29831(CVSS评分:7.5)的Nozomi Networks表示,能够访问安全PLC项目文件的攻击者可以利用硬编码密码直接访问安全CPU模块,并可能破坏工业流程。

报告指出:“工程软件是工业控制器安全链中的一个重要组成部分,如果其中出现任何漏洞,对手可能会滥用这些漏洞,最终破坏所管理的设备,从而破坏受监督的工业流程。"

CISA披露了三菱电机MELSEC iQ-R系列的拒绝服务(DoS)漏洞的细节,该漏洞源于缺乏适当的输入验证(CVE-2022-40265,CVSS评分:8.6)。

CISA指出:"成功利用这个漏洞可以使远程未认证的攻击者通过发送特制的数据包在目标产品上造成拒绝服务的情况。

在一个相关的发展中,网络安全机构进一步概述了影响霍纳自动化公司的远程紧凑型控制器(RCC)972的三个问题,其中最关键的问题(CVE-2022-2641,CVSS评分:9.8)可能导致远程代码执行或引起DoS条件。

标签:

最新
  • 环球观热点:真正的“工业”协作机器人集结完毕!速来围观

    工业场景中,制造模式正在向小批量、多品种转变,协作机器人能够帮助企业显著降低成本,提高生产效率,并以其安全、易用等特点,帮助生产企

  • 环球快看:坚定新能源汽车发展战略定力不动摇

    【资料图】新能源车绝对是未来引领科技前沿的标志之一,因为它是集合了多种先进技术的高端制造,甚至很可能人类因为拥有数字化的,新能源组

  • 速讯:2023年需要了解的物联网安全知识

    物联网预计将在2023年增长到1 1万亿美元的市场。其将成为全球为数不多的数万亿美元市场之一,预计到2030年,物联网设备的数量将超过250亿。

  • 天天报道:CISA发布警告:三菱电机软件漏洞将导致PLC系统被黑

    (相关资料图)美国网络安全和基础设施安全局(CISA)上周发布了一份工业控制系统(ICS)咨询报告,警告三菱电机GX Works3工程软件存在多个漏洞

  • 世界观速讯丨以太网,如何开启工业无人驾驶汽车时代?

    作者:Henry Martel(资料图)“随着更多新技术应用于汽车行业,无人驾驶车辆的生态系统将相互作用,它们将自动优化路线、过程和方向,几乎

  • 环球视点!人工智能如何影响行业发展和人们生活?

    (资料图片)在新冠肺炎疫情期间,人工智能的采用率飙升。某间全球决策情报公司在2021年对5,000多家企业进行的一项全球调查结果显示,43%的企

  • 天天即时看!中国医疗领域的数字化进程不断加速

    (相关资料图)近年来,5G、大数据、云计算等技术日益成熟,新一代信息技术和生物医疗行业的深度融合,加速了我国卫生健康领域新模式、新业态

  • 当前热点-智能化和网联化相结合成为未来自动驾驶汽车产业发展的重要方

    (资料图)智能网联汽车是车联网与智能车的有机结合,即通过搭载先进传感器、控制器和执行器等装置,运用5G、人工智能等新技术,实现车与人、

  • 世界热讯:晶圆代工厂联电公布最新财报 产业进入库存调整期

    (相关资料图)近期,半导体晶圆代工厂联电公布最新财报,公司11月营收225 45亿元新台币,相较去年同期的196 61亿元新台币增加14 67%,环比减

  • 全球快播:工业机器人自动化行业的十大趋势

    凭借着行业领先者的优势,优傲机器人(Universal-Robots,下称UR机器人)10多年的经验和各种机器人数据的汇总,推断出了在未来几年中,制药、