(相关资料图)
美国网络安全和基础设施安全局(CISA)上周发布了一份工业控制系统(ICS)咨询报告,警告三菱电机GX Works3工程软件存在多个漏洞。如果成功利用这些漏洞可使未经授权的用户获得对MELSEC iQ-R/F/L系列CPU模块和MELSEC iQ-R系列OPC UA服务器模块的访问权,或查看和执行程序。
GX Works3是ICS环境中使用的工程工作站软件,作为从控制器上传和下载程序的机制,排除软件和硬件问题,并执行维护操作。广泛的功能也使该平台成为希望破坏此类系统以控制被管理的PLC的威胁者的诱人目标。
10个缺陷中有3个与敏感数据的明文存储有关,4个与使用硬编码的加密密钥有关,2个与使用硬编码的密码有关,1个涉及保护不足的凭证情况。
其中最关键的漏洞CVE-2022-25164和CVE-2022-29830的CVSS评分为9.1,可以被滥用,以获得对CPU模块的访问,并获得项目文件的信息,而不需要任何权限。
发现CVE-2022-29831(CVSS评分:7.5)的Nozomi Networks表示,能够访问安全PLC项目文件的攻击者可以利用硬编码密码直接访问安全CPU模块,并可能破坏工业流程。
报告指出:“工程软件是工业控制器安全链中的一个重要组成部分,如果其中出现任何漏洞,对手可能会滥用这些漏洞,最终破坏所管理的设备,从而破坏受监督的工业流程。"
CISA披露了三菱电机MELSEC iQ-R系列的拒绝服务(DoS)漏洞的细节,该漏洞源于缺乏适当的输入验证(CVE-2022-40265,CVSS评分:8.6)。
CISA指出:"成功利用这个漏洞可以使远程未认证的攻击者通过发送特制的数据包在目标产品上造成拒绝服务的情况。
在一个相关的发展中,网络安全机构进一步概述了影响霍纳自动化公司的远程紧凑型控制器(RCC)972的三个问题,其中最关键的问题(CVE-2022-2641,CVSS评分:9.8)可能导致远程代码执行或引起DoS条件。
-
滚动 2022-12-19
-
滚动 2022-12-19
-
滚动 2022-12-19
-
滚动 2022-12-19
-
滚动 2022-12-19
-
滚动 2022-12-19
-
滚动 2022-12-19
-
滚动 2022-12-19
-
滚动 2022-12-19
-
滚动 2022-12-19
-
服务 2022-12-19
-
帮别人担保被起诉了会拍卖房子吗?丈夫帮人担保被起诉影响妻子吗?
服务 2022-12-19 -
新股第一天不封板是什么原因?新股上市第一天没有封板是怎么回事?
服务 2022-12-19 -
服务 2022-12-19
-
服务 2022-12-19
-
服务 2022-12-19
-
2022房产契税怎么申请退税?2022房产契税退税流程有哪些?
服务 2022-12-19 -
服务 2022-12-19
-
服务 2022-12-19
-
长沙灵活就业公积金最高可以交多少?长沙灵活就业如何申请交公积金?
服务 2022-12-19 -
研究 2022-12-19
-
研究 2022-12-19
-
研究 2022-12-19
-
研究 2022-12-19
-
研究 2022-12-19
-
快报 2022-12-19
-
快报 2022-12-19
-
银行卡的钱会自动转入理财吗?银行卡余额自动转入理财怎么取消?
快报 2022-12-19 -
快报 2022-12-19
-
快报 2022-12-19
-
快报 2022-12-19
-
贷款每月还款一样是本金还是本息?为什么贷款每月还款利息比本金多?
快报 2022-12-19 -
五险一金离职后再入职可以续交吗?公司给缴纳五险离职后可以续交么?
快报 2022-12-19 -
公积金贷款买房后什么时候放款?公积金贷款签约成功后多久后放款?
快报 2022-12-19 -
快报 2022-12-19
广告
X 关闭
广告
X 关闭
- 12-19 10万存定期还是买国债好?国债逆回购有什么购买技巧吗?
- 12-19 邮政银行月月升赎回何时到账?月月升理财产品怎么样?
- 12-19 手机上医保电子凭证怎么激活?医保断缴多久后不能用?
- 12-19 终身寿险是人死了后才领钱吗?年金险和终身寿险区别是什么?
- 12-19 房贷审核期间可以用网贷吗?网贷审核一般需要多久?
- 12-19 五险一金离职了断交有影响吗?五险断交对退休金有影响吗?
- 12-19 房贷部分提前还款需要预约吗?怎么预约提前还清房贷?
- 12-19 新股停牌可以挂单吗?可转债停牌后挂单有效吗?
- 12-19 买房组合贷款需要满足哪些条件?现在买房可以组合贷款吗?
- 12-19 二手房贷款有什么风险?买二手房担保公司有什么风险?