131 1300 0010
行業(yè)動(dòng)態(tài)
  • 導(dǎo)航欄目
  • 產(chǎn)品新聞
  • 企業(yè)新聞
  • 行業(yè)動(dòng)態(tài)
  • ABB生產(chǎn)的部分PLC網(wǎng)關(guān)存在嚴(yán)重缺陷
    ABB生產(chǎn)的部分PLC網(wǎng)關(guān)存在嚴(yán)重缺陷
  • ABB生產(chǎn)的部分PLC網(wǎng)關(guān)存在嚴(yán)重缺陷
  •   發(fā)布日期: 2018-12-21  瀏覽次數(shù): 1,174

    Applied Risk安全專(zhuān)家發(fā)現(xiàn)瑞士工業(yè)技術(shù)公司ABB生產(chǎn)的某些網(wǎng)關(guān)受潛在嚴(yán)重漏洞影響,而壞消息是,由于受影響產(chǎn)品已超過(guò)使用期限,供應(yīng)商將不會(huì)發(fā)布固件更新。

    安全公司發(fā)布安全公告,公布ABB Pluto Gateway產(chǎn)品GATE-E1與GATE-E2中兩個(gè)漏洞的技術(shù)細(xì)節(jié)。

     

    ABB網(wǎng)關(guān)解決方案允許ABB可編程邏輯控制器(PLC)與其他控制系統(tǒng)進(jìn)行通信。

    ABB發(fā)布安全公告稱(chēng),“在ABB GATEE1/E2設(shè)備中發(fā)現(xiàn)兩個(gè)漏洞。這些發(fā)現(xiàn)包括設(shè)備管理界面上無(wú)任何身份驗(yàn)證,以及存在未經(jīng)身份驗(yàn)證的持久型跨站腳本漏洞。”

    “發(fā)現(xiàn)這些問(wèn)題后,ABB已停用GATE-E2,而設(shè)備E1早已超出使用期限。”

    這些設(shè)備并未在telnet/web管理界面實(shí)現(xiàn)身份驗(yàn)證,這些缺陷可被用來(lái)更改設(shè)備設(shè)置并通過(guò)不斷重置產(chǎn)品導(dǎo)致拒絕服務(wù)環(huán)境。

    根據(jù)Applied Risk分配,這些缺陷CVSS v3基本分?jǐn)?shù)為9.8。

    ABB PLC網(wǎng)關(guān)

    專(zhuān)家還發(fā)現(xiàn)一個(gè)持久型跨站腳本(XSS)漏洞,攻擊者可利用該漏洞通過(guò)管理HTTP與telnet接口注入惡意代碼。當(dāng)合法管理員訪問(wèn)設(shè)備的web門(mén)戶時(shí),將執(zhí)行惡意操作。該缺陷嚴(yán)重程度評(píng)級(jí)為“高危”。

    ABB還為缺失的身份驗(yàn)證與XSS漏洞發(fā)布了單獨(dú)的公告。ABB將向客戶發(fā)送操作指南,指導(dǎo)用戶保護(hù)其安裝的設(shè)備。

    好消息是專(zhuān)家并未在公開(kāi)的網(wǎng)絡(luò)上發(fā)現(xiàn)利用這些漏洞的攻擊。


  • ·上一篇:
    ·下一篇:
  • 其他關(guān)聯(lián)資訊
    深圳市日月辰科技有限公司
    地址:深圳市寶安區(qū)松崗鎮(zhèn)潭頭第二工業(yè)城A區(qū)27棟3樓
    電話:0755-2955 6626
    傳真:0755-2978 1585
    手機(jī):131 1300 0010
    郵箱:hu@szryc.com

    深圳市日月辰科技有限公司 版權(quán)所有:Copyright?2010-2023 m.xbquwah.cn 電話:13113000010 粵ICP備2021111333號(hào)