近日,美国网络安全和基础设施安全局(CISA)发布了八项工业控制系统 (ICS)公告,警告称存在影响Delta Electronics和Rockwell Automation设备的严重缺陷。
这包括Delta Electronics 的实时设备监控软件 InfraSuite Device Master 中的 13 个安全漏洞。1.0.5 之前的所有版本都受这些问题的影响。
“成功利用这些漏洞可能允许未经身份验证的攻击者获得对文件和凭据的访问权限、提升权限并远程执行任意代码。”CISA表示。
排在首位的是CVE-2023-1133(CVSS评分:9.8),这是一个严重缺陷,源于 InfraSuite Device Master 接受未经验证的 UDP 数据包并反序列化内容,从而允许未经身份验证的远程攻击者执行任意代码。
CISA警告说,另外两个反序列化缺陷CVE-2023-1139(CVSS评分:8.8)和CVE-2023-1145(CVSS评分:7.8)也可以被武器化以获取远程代码执行。
Piotr Bazydlo 和一位匿名安全研究员发现了这些缺陷并向 CISA 报告。
另一组漏洞与罗克韦尔自动化的 ThinManager ThinServer 相关,影响以下版本的客户端和远程桌面协议 (RDP) 服务器管理软件 :
6.x – 10.x
11.0.0 – 11.0.5
11.1.0 – 11.1.5
11.2.0 – 11.2.6
12.0.0 – 12.0.4
12.1.0 – 12.1.5
13.0.0 – 13.0.1
最严重的问题是跟踪为CVE-2023-28755(CVSS评分:9.8)和CVE-2023-28756(CVSS评分:7.5)的两个路径遍历缺陷,可能允许未经身份验证的远程攻击者将任意文件上传到目录ThinServer.exe 的安装位置。
更令人不安的是,对手可以将CVE-2023-28755武器化,用木马化版本覆盖现有的可执行文件,从而可能导致远程代码执行。
“成功利用这些漏洞可能允许攻击者在目标系统/设备上执行远程代码或使软件崩溃。”CISA指出。
我们的建议
1、用户更新至版本11.0.6、11.1.6、11.2.7、12.0.5、12.1.6和 13.0.2 以减轻潜在威胁。ThinManager ThinServer 版本 6.x – 10.x 已停用,要求用户升级到受支持的版本。
2、建议将端口 2031/TCP 的远程访问限制为已知的客户端和 ThinManager 服务器。
在CISA警告Rockwell Automation ThinManager ThinServer(CVE-2022-38742,CVSS 评分:8.1)中存在可能导致任意远程代码执行的高严重性缓冲区溢出漏洞后的六个多月,该漏洞才被披露。
2023.03.23
2023.03.22
2022.03.21
注:本文由E安全编译报道,转载请联系授权并注明来源。